ISO 27001 Pentest France : Contrôle A.8.29 et obligations de tests de sécurité
La norme internationale ISO/IEC 27001:2022, publiée en octobre 2022, définit les exigences d'un Système de Management de la Sécurité de l'Information (SMSI). Elle est certifiable par des organismes accrédités — en France, le COFRAC (Comité français d'accréditation) accrédite les organismes certificateurs, dont AFNOR Certification, Bureau Veritas et SGS. La révision 2022 introduit un nouveau cadre de contrôles en Annexe A, dont le Contrôle A.8.29 relatif aux tests de sécurité dans les processus de développement et d'acceptation. Ce guide explique ce qu'exige concrètement ISO 27001:2022 en matière de tests de pénétration, le rôle du COFRAC et comment structurer un pentest conforme pour votre certification.
Ce qu'ISO 27001:2022 exige en matière de tests de sécurité
ISO/IEC 27001:2022 est une révision majeure de la norme : elle réorganise les contrôles de sécurité en 4 catégories (organisationnels, des personnes, physiques, technologiques) et passe de 114 à 93 contrôles, dont 11 sont nouveaux. Le Contrôle A.8.29 (Tests de sécurité dans le développement et l'acceptation) est l'un des contrôles technologiques clés. Il exige que les processus de développement intègrent des tests de sécurité — notamment des tests de pénétration pour les systèmes critiques avant leur mise en production et lors des modifications substantielles. ISO 27001:2022 ne prescrit pas de méthode spécifique, mais le document d'orientation ISO/IEC 27002:2022 §8.29 recommande les tests de pénétration comme technique principale pour valider l'efficacité des contrôles de sécurité. Lors d'un audit de certification ISO 27001, les auditeurs vérifient que l'organisation dispose d'un programme de tests de sécurité documenté, que les résultats des tests sont tracés dans le registre des risques (clause 8.3) et que les non-conformités identifiées font l'objet d'un plan de traitement (clause 10.1). En France, les organismes certifiés ISO 27001 par des organismes accrédités COFRAC doivent démontrer une conformité effective — pas seulement documentaire.
- ISO/IEC 27001:2022 Contrôle A.8.29 (Tests de sécurité dans le développement et l'acceptation) : les processus de développement et d'acceptation des systèmes doivent inclure des tests de sécurité — les tests de pénétration constituent la méthode de référence pour les systèmes traitant des informations sensibles.
- ISO/IEC 27002:2022 §8.29 guidance : recommande des « tests de pénétration » et des « revues de code de sécurité » pour valider l'efficacité des contrôles de sécurité dans les nouvelles applications ou lors des modifications significatives.
- Clause 6.1.2 ISO 27001 (Évaluation des risques) : les vulnérabilités identifiées lors des tests de pénétration doivent être documentées dans le registre des risques et traitées selon le plan de traitement des risques — les pentests alimentent directement le SMSI.
- Clause 9.1 ISO 27001 (Surveillance et mesure) : les tests de pénétration constituent un indicateur de performance clé (KPI) pour mesurer l'efficacité des contrôles de sécurité — les résultats doivent être analysés lors des revues de direction (clause 9.3).
- COFRAC accréditation (EN ISO/IEC 17065) : les organismes certificateurs ISO 27001 opérant en France (AFNOR Certification, Bureau Veritas, SGS, Intertek) sont accrédités par le COFRAC — leurs auditeurs vérifient que le programme de pentest est cohérent avec les risques identifiés dans le SMSI.
- ISO/IEC 27001:2022 Contrôle A.8.8 (Gestion des vulnérabilités techniques) : identification, évaluation et traitement des vulnérabilités techniques — les tests de pénétration sont complémentaires du scanning de vulnérabilités pour couvrir les vulnérabilités logiques et les enchaînements d'attaque.
- AFNOR NF EN ISO/IEC 27001 : certification française délivrée par AFNOR Certification selon les critères ISO 27001:2022 — les organisations certifiées en France doivent renouveler leur certification tous les 3 ans avec des audits de surveillance annuels, lors desquels les pentests récents sont vérifiés.
Ce qu'un test de pénétration ISO 27001 doit couvrir
- Périmètre du SMSI (Statement of Applicability) : tests de pénétration alignés sur le champ d'application déclaré du SMSI — identifier tous les systèmes dans le périmètre et prioriser les tests selon la classification des actifs (criticité, sensibilité).
- Applications critiques du périmètre SMSI (A.8.29) : tests de pénétration des applications traitant les informations les plus sensibles (classification confidentielle ou supérieure), API internes et externes, portails clients.
- Contrôle d'accès et authentification (A.5.15, A.8.5) : tests de la politique de contrôle d'accès, authentification forte MFA, gestion des comptes privilégiés (PAM), revue des droits d'accès, CVE-2023-23397 (Microsoft Outlook NTLM relay).
- Sécurité des réseaux (A.8.20, A.8.21) : segmentation réseau, configuration des pare-feux, détection des chemins de déplacement latéral, audit des services exposés sur Internet, test des VPN et des accès distants.
- Gestion des actifs et des informations (A.5.9, A.5.10) : vérification que les politiques de classification de l'information sont effectivement appliquées, test de l'étanchéité entre les zones de sécurité, évaluation des risques de fuite de données.
- Sécurité du développement (A.8.25, A.8.26, A.8.28, A.8.29) : revue des pratiques de développement sécurisé (SAST/DAST), test des environnements de développement et de recette, vérification de la séparation des environnements, OWASP Top 10 (2021) et OWASP API Top 10 (2023).
- Cryptographie (A.8.24) : vérification de la conformité aux politiques de cryptographie du SMSI, TLS 1.3 sur tous les services exposés, chiffrement des données au repos, gestion des clés — CVE-2022-0778 (OpenSSL infinite loop).
- Résilience et continuité (A.8.13, A.8.14) : test de la robustesse des sauvegardes, simulation d'attaque ransomware contre les processus de sauvegarde, vérification des procédures de reprise d'activité.
- Gestion des incidents (A.5.26) : simulation d'un incident de sécurité réel pour tester les processus de détection, de réponse et de notification — vérification que les indicateurs d'attaque (IoC) sont correctement configurés dans les outils SIEM.
Exemple de finding
Absence de chiffrement des données de classification « Confidentiel » au repos (violation A.8.24)
La base de données de gestion des projets clients (PostgreSQL) stocke des données classifiées « Confidentiel » selon la politique de classification du SMSI — plans stratégiques, données financières prévisionnelles, informations contractuelles. Un audit de la configuration de la base de données révèle que le chiffrement au repos (Transparent Data Encryption — TDE) n'est pas activé. Un attaquant ayant accès au système de fichiers du serveur de base de données (via une vulnérabilité de l'application ou un accès physique non autorisé) peut lire directement les fichiers de données PostgreSQL en clair. Cela contrevient directement au Contrôle A.8.24 ISO 27001:2022 (cryptographie) et à la politique de sécurité de l'information de l'organisation qui impose le chiffrement des données de classification Confidentiel et supérieure.
Correction : Activer le chiffrement au repos pour la base de données PostgreSQL via pg_crypto ou une solution TDE (PostgreSQL 15+ supporte les TDE natives via des extensions tierces comme CipherTrust). Évaluer l'utilisation d'un service de base de données cloud chiffré nativement (AWS RDS avec chiffrement KMS, Azure Database for PostgreSQL avec chiffrement). Mettre à jour la politique de gestion des actifs (SMSI) pour inclure des contrôles de vérification du chiffrement lors des audits internes. Ajouter ce risque résiduel au registre des risques SMSI avec le plan de traitement et la date de mise en conformité. Vérifier que les sauvegardes de la base de données sont également chiffrées.
Référence : ISO/IEC 27001:2022 Contrôle A.8.24 Cryptographie · ISO/IEC 27002:2022 §8.24 Usage of cryptography · CWE-311 Missing Encryption of Sensitive Data · RGPD Art. 32 mesures de sécurité · ANSSI guide cryptographie §3.2
Pentest ISO 27001 : comparaison des options
| — | Scan gratuit | Matproof Sentinel | Consultance classique |
|---|---|---|---|
| Moteur de scan automatisé | ✓ (aperçu 3 min) | ✓ Scan complet | ✗ Manuel uniquement |
| Couverture OWASP Top 10 | Partielle | ✓ Complète | ✓ Complète |
| Preuve d'exploitation | ✗ | ✓ Par finding | ✓ Par finding |
| Mapping réglementaire (DORA/NIS2/ISO 27001) | ✗ | ✓ Automatisé | ✓ Manuel |
| Rapport PDF prêt pour l'audit | ✗ | ✓ Instantané | ✓ Livraison 2–4 semaines |
| Scans continus / récurrents | ✗ | ✓ Par déploiement | ✗ Engagement annuel |
| Délai avant premier résultat | ~3 min | ~30 min scan complet | 2–4 semaines |
| Prix | €0 | À partir de €149 | €8 000–€25 000 |
| Revue de code source (SAST) | ✗ | ✓ Plan Growth | ✓ Périmètre défini |
| Tests API (REST/GraphQL) | ✗ | ✓ Automatisé | ✓ Manuel |
Offres de pentest conformes ISO 27001
- 1 scan pentest complet
- Résultats priorisés par IA avec CVSS 3.1
- Proof-of-exploit pour chaque finding
- Rapport PDF (prêt pour l'audit)
- Mapping réglementaire (DORA, NIS2, ISO 27001)
- Scans illimités (jusqu'à 3 domaines)
- Surveillance continue
- Intégration CI/CD (GitHub, GitLab)
- Tous les mappings réglementaires
- Support prioritaire
- Scans + domaines illimités
- Tests authentifiés / White-Box
- Tests d'API et d'infrastructure cloud
- Account manager sécurité dédié
- SLA réponse 24h
Questions fréquentes sur le test de pénétration ISO 27001 en France
ISO 27001:2022 impose-t-elle explicitement des tests de pénétration ?
La norme ISO 27001:2022 n'utilise pas le terme « test de pénétration » explicitement dans ses exigences principales, mais le Contrôle A.8.29 de l'Annexe A impose des « tests de sécurité dans le développement et l'acceptation ». Le document d'orientation ISO 27002:2022 §8.29 recommande explicitement les tests de pénétration comme technique de validation. En pratique, tous les auditeurs de certification ISO 27001 s'attendent à trouver des tests de pénétration documentés pour les systèmes critiques dans le périmètre du SMSI.
Quelle est la différence entre ISO 27001:2022 et ISO 27001:2013 pour les tests de sécurité ?
ISO 27001:2022 restructure les contrôles en 4 catégories et en introduit 11 nouveaux. Pour les tests de sécurité, les principaux changements sont : le nouveau Contrôle A.8.29 (Tests de sécurité dans le développement) est plus explicite sur l'obligation de tests ; le Contrôle A.8.8 (Gestion des vulnérabilités techniques) remplace et élargit l'ancien A.12.6.1 ; le Contrôle A.8.11 (Masquage des données) est nouveau et peut nécessiter des tests spécifiques. Les organisations certifiées ISO 27001:2013 avaient jusqu'en octobre 2025 pour migrer vers la version 2022.
Comment les résultats d'un pentest s'intègrent-ils dans le SMSI ISO 27001 ?
Les résultats du pentest doivent être formellement intégrés dans le SMSI selon plusieurs clauses : les vulnérabilités identifiées sont ajoutées au registre des risques (clause 6.1.2) avec évaluation de la vraisemblance et de l'impact ; les non-conformités font l'objet d'actions correctives documentées (clause 10.1) ; les résultats sont présentés lors de la revue de direction (clause 9.3) ; les indicateurs de performance liés au pentest (nombre de vulnérabilités critiques, délai de remédiation) sont suivis dans le cadre de la surveillance et mesure (clause 9.1).
À quelle fréquence faut-il réaliser un pentest pour maintenir la certification ISO 27001 ?
ISO 27001 ne fixe pas de fréquence minimale — la fréquence doit être déterminée par l'analyse des risques du SMSI (clause 6.1.2) et proportionnée à la criticité des actifs. En pratique, les auditeurs COFRAC s'attendent à des tests de pénétration au moins annuels pour les systèmes critiques du périmètre SMSI, et après chaque modification substantielle. Les audits de surveillance annuels vérifient que le programme de pentest est maintenu et à jour.
Quels organismes certifient ISO 27001 en France et sont-ils accrédités par le COFRAC ?
Les principaux organismes certifiant ISO 27001 en France et accrédités par le COFRAC (accréditation EN ISO/IEC 17065) sont : AFNOR Certification (la plus connue), Bureau Veritas Certification, SGS, Intertek, Apave Certification, et LRQA. L'accréditation COFRAC garantit que les auditeurs suivent des processus standardisés et rigoureux. La liste complète des organismes accrédités est disponible sur le site du COFRAC (cofrac.fr).
Un pentest réalisé avec Matproof Sentinel est-il acceptable pour la certification ISO 27001 ?
Un pentest réalisé avec Matproof Sentinel produit un rapport structuré couvrant les contrôles de sécurité techniques de l'Annexe A ISO 27001:2022, avec les vulnérabilités identifiées, les CVSS scores, les recommandations de remédiation et le statut de correction. Ce rapport peut être présenté lors des audits de surveillance ISO 27001 comme preuve de l'exécution du Contrôle A.8.29. Pour les audits de certification initiaux ou les audits de renouvellement avec un périmètre SMSI étendu incluant des systèmes complexes (infrastructure OT, mainframes), un engagement de pentest manuel complémentaire peut être recommandé.
Quelle est la relation entre ISO 27001 et NIS2 pour la France ?
ISO 27001 et NIS2 sont complémentaires — une certification ISO 27001 avec un SMSI robuste démontre une maturité cybersécurité qui satisfait en grande partie aux exigences de l'Art. 21 NIS2. L'ANSSI reconnaît ISO 27001 comme un référentiel de bonnes pratiques aligné avec NIS2. Cependant, la certification ISO 27001 ne dispense pas formellement des obligations NIS2 — les entités NIS2 doivent également respecter les obligations de notification des incidents (NIS2 Art. 23) et de désignation des responsables de sécurité selon la loi n° 2024-449.
Comment démontrer la conformité au Contrôle A.8.29 lors d'un audit ISO 27001 ?
Pour démontrer la conformité au Contrôle A.8.29 lors d'un audit, vous devez présenter : une politique documentée de tests de sécurité dans le cycle de développement (SDLC sécurisé) ; le registre des tests de sécurité réalisés avec dates, périmètre et référence aux rapports ; les rapports de tests de pénétration récents (moins de 12 mois pour les systèmes critiques) ; le suivi des vulnérabilités identifiées avec statut de remédiation ; et les critères d'acceptation de sécurité pour les nouvelles applications (ce qui déclenche un test de pénétration obligatoire avant mise en production).
Approfondir — articles de blog associés
Démarrez votre pentest conforme ISO 27001
Satisfaisez au Contrôle A.8.29 d'ISO/IEC 27001:2022 avec un rapport de test de pénétration structuré, directement intégrable dans votre SMSI. Mapping explicite sur les contrôles ISO 27001:2022, les vulnérabilités classifiées par CVSS et les plans de remédiation inclus.
Démarrer le pentest ISO 27001