ISO 27001 et EASM : complémentarité et synergies
ISO 27001 est le standard de référence pour la gestion de la sécurité de l'information. Sa version 2022 a introduit de nouvelles maîtrise spécifiquement liées à la surveillance de l'exposition externe. L'EASM n'est pas un outil alternatif à ISO 27001 — c'est un outil qui accélère et renforce sa mise en œuvre.
Les exigences ISO 27001 qui nécessitent un EASM
Clause 8.1 — Planification opérationnelle et contrôle
ISO 27001 exige l'identification et l'évaluation des risques. Pour les actifs exposés sur Internet, l'EASM fournit une base de données continue et actualisée de ces actifs et de leurs risques associés.
Contrôle A.5.9 (Inventaire des actifs)
ISO 27001:2022 exige un inventaire des actifs d'information. L'EASM complète les inventaires internes en découvrant automatiquement les actifs exposés — y compris ceux du shadow IT.
Contrôle A.8.8 (Gestion des vulnérabilités techniques)
L'ISO 27001:2022 exige l'identification et le traitement des vulnérabilités techniques. L'EASM automatise cette détection pour la surface externe et fournit une liste priorisée.
Contrôle A.8.20 (Sécurité des réseaux)
Surveillance des réseaux et des systèmes exposés. L'EASM couvre spécifiquement l'exposition externe de l'infrastructure réseau.
Contrôle A.5.19 (Sécurité de la chaîne d'approvisionnement)
Nouveauté ISO 27001:2022 : surveillance de la sécurité des fournisseurs. L'EASM permet de scanner la surface d'attaque externe de vos tiers critiques.
Les nouveaux contrôles ISO 27001:2022 alignés avec l'EASM
ISO 27001:2022 a introduit 11 nouveaux contrôles dans l'Annexe A. Plusieurs sont directement liés aux capacités EASM :
| Contrôle | Description | Apport EASM |
|---|---|---|
| A.8.8 | Gestion des vulnérabilités | Scan continu, priorisation CVE |
| A.8.9 | Gestion de la configuration | Détection des configurations risquées |
| A.8.20 | Sécurité réseaux | Monitoring des services exposés |
| A.5.7 | Renseignements sur les menaces | Détection des nouvelles vulnérabilités actives |
| A.5.23 | Sécurité pour les services cloud | Surveillance des actifs cloud exposés |
Comment l'EASM accélère la certification ISO 27001
Avant l'EASM : les difficultés courantes
- Inventaire incomplet (shadow IT non couvert)
- Mise à jour manuelle de l'inventaire (chronophage, rapidement obsolète)
- Évaluation des risques basée sur un audit ponctuel
- Difficulté à prouver la surveillance continue
Avec l'EASM : les gains concrets
- Inventaire automatiquement mis à jour en continu
- Découverte automatique des actifs inconnus
- Évaluation des risques basée sur l'exposition réelle
- Preuve documentaire de surveillance continue pour l'auditeur
Ce que l'auditeur ISO 27001 va vérifier
Lors d'un audit ISO 27001, l'auditeur demande généralement :
- La liste de vos actifs exposés sur Internet — L'EASM fournit cette liste automatisée et à jour
- Les vulnérabilités identifiées et comment elles sont traitées — L'EASM fournit le rapport avec les vulnérabilités et leur statut de correction
- La preuve d'une surveillance régulière — L'EASM fournit l'historique des scans et alertes
- Le traitement du risque fournisseur — L'EASM fournit les scores de posture de vos tiers
ROI de l'EASM dans un projet ISO 27001
Une organisation qui déploie un EASM dans le cadre de sa démarche ISO 27001 peut espérer :
- Réduction de 40-60% du temps de préparation de l'inventaire des actifs
- Réduction de 30-50% du temps d'évaluation des risques liés aux actifs externes
- Satisfaction des auditeurs : preuve documentaire irréfutable de surveillance continue
- Scope élargi : inclusion automatique des actifs shadow IT dans le périmètre de certification