Donnees.net / ISO

ISO 27035 : La méthode pour gérer vos incidents de sécurité

Thomas Blanc
Thomas Blanc
DPO externalisé et Formateur RGPD
Mis à jour le juin 25, 2025

ISO : pourquoi nous ?

  • ✅ Accompagnement ISO
  • ✅ Méthodologie claire
  • ✅ Audit en continu

Un incident de sécurité peut coûter des millions. Pourtant, peu d’entreprises ont une vraie stratégie pour y faire face efficacement. C’est là qu’intervient ISO 27035, la norme de référence pour structurer votre gestion des incidents de sécurité de l’information. Vous ne l’avez jamais explorée en profondeur ? Il est temps d’y remédier.

Pourquoi ISO 27035 est votre meilleur allié en cas de crise

Quand un incident de sécurité survient, chaque minute compte. Or, dans le feu de l’action, l’improvisation coûte cher. ISO 27035 vous donne un plan clair, structuré et actionnable, reconnu à l’échelle internationale, pour éviter la panique et agir vite.

Contrairement à une procédure artisanale souvent incomplète ou floue, cette norme vous aide à professionnaliser votre réponse aux incidents. Elle structure tout le cycle : de la préparation jusqu’aux leçons tirées, en passant par l’identification, l’analyse et la réaction.

Adopter ISO 27035, c’est :

  • Réduire drastiquement les temps de réponse
  • Maîtriser la communication interne et externe
  • Minimiser les impacts opérationnels, financiers et réputationnels

C’est un vrai réflexe de maturité cyber, indispensable dès lors que vos données ont de la valeur.

Les 5 étapes clés du cycle ISO 27035

La norme ISO/IEC 27035-1:2023 ne se contente pas de vous dire quoi faire, elle vous guide, étape par étape, dans la gestion proactive et structurée des incidents de sécurité. Voici comment tirer le meilleur de chaque phase :

1. Préparation : votre meilleure défense, c’est l’anticipation

Tout commence bien avant le moindre incident. Une organisation bien préparée :

  • A cartographié ses actifs sensibles
  • A défini précisément les rôles (RSSI, IT, communication, direction)
  • Dispose de procédures testées sur des scénarios réalistes (ex. : ransomware, fuite de données, sabotage interne)

Cette phase doit inclure des exercices de simulation (type table top) et une veille active sur les menaces émergentes.

👉 Résultat : un plan clair, une équipe prête, et une réaction immédiate en cas d’incident.

2. Identification & détection : captez les signaux faibles

Il est vital de détecter un incident avant qu’il ne fasse des dégâts :

  • Outils SIEM, EDR, antivirus, journaux systèmes… autant de sources à surveiller
  • Signaux à ne pas négliger : tentatives de connexion suspectes, volume anormal de trafic, alertes de phishing

Un bon système de détection combine technologie, supervision humaine et sensibilisation utilisateur.

📌 Plus la détection est fine et rapide, plus la marge de manœuvre est grande.

3. Évaluation & décision : agir avec discernement

Ici, le sang-froid fait la différence. L’équipe doit évaluer :

  • La criticité de l’incident (mineur, majeur, crise)
  • Les impacts potentiels (disponibilité, intégrité, confidentialité)
  • Le périmètre concerné (SI isolé ou attaque globale)

C’est aussi le moment de déclencher – ou non – la cellule de crise, d’informer les parties prenantes, voire d’activer un plan de communication externe (clients, autorités).

🎯 Agir oui, mais toujours avec stratégie.

4. Réponse : stoppez l’hémorragie

L’incident est confirmé : il faut intervenir rapidement, mais méthodiquement :

  • Contenir : isoler les systèmes affectés pour éviter la propagation
  • Éradiquer : supprimer les vecteurs d’intrusion, patcher les failles
  • Restaurer : relancer les systèmes avec des sauvegardes fiables
  • Coordonner : assurer la fluidité entre IT, juridique, RH, communication

Chaque action doit être documentée pour faciliter l’analyse post-incident.

5. Retours d’expérience : transformez l’incident en levier d’amélioration

Une fois l’incident clos, il est crucial de capitaliser :

  • Qu’est-ce qui a bien ou mal fonctionné ?
  • Quelles procédures doivent être ajustées ?
  • Faut-il renforcer certains outils ou former l’équipe ?

Cette phase doit déboucher sur des actions concrètes, intégrées dans votre politique sécurité. Ne pas la mener, c’est s’exposer à revivre le même incident.

🎯 Ce qui ne vous tue pas doit vous renforcer. Et avec ISO 27035, c’est une promesse.

27035-1, 27035-2, 27035-3 : faites la différence

La norme ISO 27035 ne se limite pas à un seul document. Elle est structurée en trois volets complémentaires, souvent mal compris, mais essentiels pour adapter la gestion des incidents à votre réalité terrain :

ISO/IEC 27035-1 : les fondations

C’est le socle stratégique. Cette première partie définit les principes, concepts clés et cadre général du processus de gestion des incidents. Elle répond à la question : Pourquoi et comment structurer une réponse professionnelle ?

👉 C’est la base indispensable, sur laquelle tout le reste s’appuie.

ISO/IEC 27035-2 : l’opérationnel

Cette seconde partie entre dans le concret : procédures détaillées, responsabilités, méthodes d’analyse, documentation…
Elle vous guide étape par étape pour déployer une gestion efficace et cohérente, quel que soit votre secteur.

👉 Vous cherchez à “implémenter ISO 27035” ? C’est ici que ça se passe.

ISO/IEC 27035-3 : l’adaptation sectorielle

Moins connue, cette troisième partie fournit des recommandations spécifiques selon le type d’organisation ou de système concerné (ex. : systèmes industriels, services en ligne…).
Elle permet d’ajuster la norme à des contextes techniques ou organisationnels particuliers.

👉 Elle est précieuse si vous travaillez dans un environnement à forte contrainte ou atypique.

ISO 27035 vs ISO 27001 : deux alliées, une synergie gagnante

Vous êtes déjà certifié ISO 27001 ou en cours de mise en place d’un SMSI ? Parfait. La norme ISO 27035 vient compléter votre dispositif là où ISO 27001 s’arrête.

Ce que dit ISO 27001 :

Elle impose de gérer les incidents de sécurité… mais sans en préciser les méthodes. Elle se concentre sur la gouvernance globale, les objectifs de sécurité, les contrôles à mettre en place.

Ce que fait ISO 27035 :

Elle prend le relais opérationnel : quelles étapes suivre, qui alerter, comment réagir, documenter, tirer des enseignements. En clair, elle transforme l’exigence en plan d’action terrain.

👉 En combinant les deux, vous obtenez :

  • Un cadre stratégique solide (ISO 27001)
  • Une gestion d’incident précise, rapide et traçable (ISO 27035)

Cas concret : comment une PME a désamorcé une attaque grâce à ISO 27035

Exemple réel, secteur médical – 80 collaborateurs – données sensibles patients

Un matin, le DSI d’une PME dans le secteur de la santé détecte une alerte inhabituelle : un poste utilisateur tente de se connecter à un serveur externe en Russie. En quelques minutes, le doute n’est plus permis : un malware dormant a été activé.

Heureusement, l’entreprise s’était préparée sérieusement, avec un plan de gestion des incidents aligné sur ISO 27035.

Voici ce qui a été mis en œuvre :

  • Détection rapide : le système SIEM remonte une alerte critique, et l’analyste SOC déclenche la procédure.
  • Évaluation express : l’incident est qualifié en moins de 30 min comme potentiellement critique.
  • Réponse coordonnée : le poste compromis est isolé, les flux sortants sont coupés, les accès sont révoqués.
  • Communication fluide : les équipes IT, RSSI et direction sont synchronisées ; pas de panique, tout est cadré.
  • Audit & amélioration : un rapport d’incident est rédigé dès le lendemain. Les règles SIEM sont renforcées, les utilisateurs reçoivent une piqûre de rappel sur les e-mails suspects.

Résultat : aucune exfiltration, pas d’arrêt d’activité, aucune perte de données. L’incident devient une opportunité d’amélioration.

Outils pratiques pour appliquer ISO 27035 facilement

Pas besoin de réinventer la roue : plusieurs outils existent pour structurer et automatiser votre gestion des incidents selon les bonnes pratiques ISO 27035.

Voici les indispensables :

Playbooks de réponse automatisés (SOAR)

Des plateformes comme Cortex XSOAR ou Splunk SOAR vous permettent de créer des scénarios de réponse standardisés, activés automatiquement selon les alertes détectées.
✅ Gain de temps, réduction des erreurs, traçabilité complète.

SIEM open source (Wazuh, ELK, Graylog)

Un bon SIEM centralise les journaux d’événements et détecte les signaux faibles.
Des solutions comme Wazuh (basé sur OSSEC) ou ELK Stack (ElasticSearch, Logstash, Kibana) sont puissantes et personnalisables — idéales pour structurer la phase de détection.

Templates de journalisation et rapports d’incidents

Créez un modèle unique pour chaque type d’incident :

  • Heure et lieu de détection
  • Systèmes affectés
  • Actions engagées
  • Enseignements tirés
    Cela facilite le retour d’expérience et l’analyse post-incident.

Solutions de ticketing ITIL compatibles

Des outils comme GLPI, Freshservice ou Jira Service Management permettent de tracer chaque action, d’attribuer les rôles, et de garder une visibilité totale sur les incidents en cours.
🎯 Idéal pour suivre ISO 27035 en environnement collaboratif.

SO 27035 pour les PME : simple, efficace, sans usine à gaz

Pas besoin d’un budget cybersécurité à six chiffres pour appliquer ISO 27035. Même une petite structure peut déployer une gestion des incidents robuste, à condition d’être claire, pragmatique… et un peu méthodique.

Voici ce qui fonctionne concrètement dans les PME :

Une procédure synthétique (4 à 6 pages max)

Pas un manuel de 80 pages. Juste l’essentiel :

  • Qui fait quoi
  • Quels types d’incidents couvrir
  • Quelles étapes suivre, et dans quel ordre

🛠 Bonus : structurez-la par fiches actions (détection, réponse, alerte, reporting…).

Des rôles bien définis (même si c’est la même personne)

Pas besoin d’une armée : souvent, le DSI, le responsable IT ou le DG porte plusieurs casquettes. L’important, c’est que les rôles soient clairs, et qu’un back-up soit identifié en cas d’absence.

Un tableau Excel bien structuré

Faites simple, mais efficace :

  • Date, type d’incident, impact, action corrective
  • Niveau de criticité
  • Suivi des retours d’expérience

Un fichier partagé (et sécurisé), c’est déjà un bon début de traçabilité.

Un prestataire externe pour les cas critiques

En cas de ransomware, fuite de données ou attaque DDoS, mieux vaut pouvoir s’appuyer sur un expert (SOC, forensic, juridique RGPD…).
Identifiez-le à l’avance, contractualisez, et ajoutez-le à votre plan.

Avec ces 4 leviers, vous êtes opérationnel sans lourdeur ni jargon.

Conclusion : faire de la crise une opportunité d’amélioration

Avec ISO 27035, vous ne subissez plus les incidents. Vous les anticipez, les domptez, et vous en sortez plus fort. C’est une norme, oui, mais surtout un réflexe professionnel à acquérir dès maintenant.

En l’adoptant, vous renforcez votre résilience, améliorez votre posture cybersécurité et gagnez en crédibilité auprès de vos partenaires et clients.

FAQ – Tout ce que vous n’osez pas demander sur ISO 27035

ISO 27035 est-elle obligatoire pour se conformer au RGPD ou à la NIS2 ?

Non, ISO 27035 n’est pas obligatoire… mais elle est fortement recommandée comme cadre de référence.

  • Le RGPD impose la notification des violations de données, mais ne dicte pas comment gérer un incident.
  • La directive NIS2, elle, va plus loin en exigeant une capacité de réaction documentée et testée : ISO 27035 fournit une base idéale pour s’y conformer rapidement.

Quelle est la différence entre un incident et une vulnérabilité selon ISO 27035 ?

Dans le langage ISO :

  • Une vulnérabilité est une faille potentielle (ex. : logiciel non à jour)
  • Un incident est un événement avéré qui compromet la sécurité (ex. : attaque par ransomware exploitant cette faille)

ISO 27035 recommande de traiter les deux, mais via des processus distincts. Beaucoup d’organisations les mélangent, ce qui fausse les priorités et retarde les actions critiques.

Comment ISO 27035 s’intègre-t-elle avec une approche Zero Trust ?

Parfaitement. Le modèle Zero Trust repose sur la détection rapide des comportements anormaux et la réaction immédiate — exactement ce que structure ISO 27035.

Mieux : les incidents identifiés via une architecture Zero Trust peuvent enrichir les scénarios ISO 27035, pour une boucle de sécurité toujours plus réactive.

Quels indicateurs de performance (KPI) suivre pour la gestion d’incidents ISO 27035 ?

Voici des KPI recommandés :

  • Temps moyen de détection (MTTD)
  • Temps moyen de réponse (MTTR)
  • Nombre d’incidents par type et par mois
  • Taux de procédures mises à jour après incident
  • Nombre d’exercices de simulation/an

Mesurer, c’est progresser. Ces indicateurs permettent de piloter une amélioration continue conforme à ISO 27035-3.

Posez une question

Un expert vous répondra

Publications similaires