Qu’est-ce que la norme ISO 27001 ?

L'information

L’information est partout sous différentes formes.

D’après le dictionnaire Larousse, une information est : une indication, un renseignement, un événement, un fait, un jugement, une nouvelle communiquée, un élément de connaissance, … Les différentes formes prises par une information peuvent être numérique (fichier, base de données), document écrit, ou transmission orale.

L’information se dématérialise de plus en plus, et plus elle se dématérialise plus elle se répand. L’ouverture vers l’extérieur et l’interconnexion des systèmes d’information ont créé d’importantes brèches et multiplié les problèmes.

Les informations stockées et manipulées dans les systèmes des organisations représentent un patrimoine pour celles-ci. Tout dommage porté aux informations des organismes génère des pertes financières dont le montant dépend de la gravité de l’acte commis et des moyens mis en œuvre pour réparer les dégâts subis.

La sécurité de l’information

L’objectif de la sécurité de l’information est de protéger les informations sensibles sous tous leurs aspects (l’information en soi et les systèmes qui les traitent) en assurant la Confidentialité, l’Intégrité et la Disponibilité de celles-ci.

Cependant, la sécurité de l’information ne se résume pas aux seuls problèmes informatiques tels que les phénomènes néfastes liés à l’utilisation du réaseau Internet (pénétrations frauduleuses dans les systèmes, virus, chevaux de Troie, programmes espions, etc.). Il a été démontré qu’une grande partie des problèmes de sécurité de l’information viennent de l’intérieur de l’organisme et que les actes commis ne sont pas toujours délibérés, la négligence et la méconnaissance des risques étant également des facteurs importants.

En matière de sécurité de l’information, le cas de chaque organisme exige une étude spécifique débouchant sur des préconisations personnalisées concernant les bons dispositifs de protection.

L’ISO 27001 (v2013)

La version 2013 de la NF ISO/CEI 27001 a été établie selon la « structure de haut niveau », « High Level Structure » (HLS), afin de simplifier la compatibilité et l’intégration avec d’autres normes d’exigences telles que la NF EN ISO 9001 ou la NF EN ISO 14001.

Cela facilite la mise en œuvre d’un SMSI pour des organismes ayant la volonté de mettre en place un système de management intégré en utilisant les chapitres communs des référentiels des SMQ ou SME, la définition des objectifs étant basée sur une analyse de risque.

Le parallèle entre ces trois normes met en évidence les points communs tels que, les exigences générales pour : la définition, l’implémentation et le suivi d’un système de management ainsi que des exigences de documentation et de leur maîtrise.

Les autres axes communs sont :

  • En matière d’engagement de la direction
  • Pour la mise à disposition des ressources nécessaires
  • Dans la réalisation des plans de communication et de formation
  • Dans la mise en place d’audit et du suivi de l’amélioration continue des processus.

L’ISO 27001 est divisé en

10

chapitres

les 3 premiers chapitres d’introduction et les 7 chapitres déclinant les exigences liées au système de management.

L’annexe A décline

70

objectifs de sécurité

répartis selon 113 mesures de sécurités.

L’ISO 27002 (v2013) donne les lignes directrices en matière de normes organisationnelles relatives à la sécurité de l’information et des bonnes pratiques de management de la sécurité de l’information, incluant la sélection, la mise en œuvre et la gestion de mesures de sécurité prenant en compte le ou les environnement(s) de risques de sécurité de l’information de l’organisation (selon l’ISO).

Mise en œuvre d’un SMSI (système de management de la sécurité de l'information)

Les étapes

  • null

    Analyse qualitative et quantitative des risques

    • Risques actuels et potentiels sur les actifs et les ressources humaines
    • Révision des procédures
    • Examen des interactions avec tierces parties
  • null

    Analyse des écarts

    • Lister les écarts avec les standards
    • Identifier les actions et les coûts pour combler les écarts
    • Fixer les priorités pour réduire les écarts
  • null

    Politique

    •  Rédiger une politique
    • Établir les responsabilités
  • null

    Mise en place des mesures de protection

    • Sur les facteurs humains
    • Sur le système d’information
  • null

    Surveillance des mesures de protection

La déclaration d’applicabilité

La norme impose la réalisation de la déclaration d’applicabilité qui formalise la comparaison des mesures de sécurité déjà envisagées après la réalisation de l’analyse de risques, aux 113 mesures de l’annexe A, avec une justification de l’inclusion ou de l’exclusion des mesures.

6.1.3 Traitement des risques de sécurité de l’information […]

  1. b) déterminer toutes les mesures nécessaires à la mise en œuvre de(s) (l’)option(s) de traitement des risques de sécurité de l’information choisie(s) ; […]
  1. c) comparer les mesures déterminées ci-dessus en 6.1.3 b) avec celles de l’Annexe A et vérifier qu’aucune mesure nécessaire n’a été omise ; […]
  1. d) produire une déclaration d’applicabilité contenant les mesures nécessaires (voir 6.1.3 b) et c)) et la justification de leur insertion, le fait qu’elles soient mises en œuvre ou non, et la justification de l’exclusion de mesures de l’Annexe A ;

L’ensemble des justifications des choix d’inclusion ou d’exclusion doit donc être documenté dans une « déclaration d’applicabilité », simplifiant par la même la conception, la sélection, la revue ou l’audit des moyens de maîtrise. Cet outil est fondamental pour créer un lien fort entre le SMSI, la gestion du risque, la politique de sécurité et les dispositions de maîtrise opérationnelle dans les processus métier ou de support, l’humain, les actifs, les outils de support de l’information (le SI, la sécurité physique).

Tous les objectifs et principes de sécurité établis dans la politique de sécurité de l’information (PSI) peuvent ainsi trouver leur matérialisation opérationnelle dans le plan de traitement comparé à une référence internationale reconnue.

Exemples de moyens de protection

Identification des utilisateurs

  • Authentifier chaque utilisateur : définition des règles de gestion des mots de passe
  • Gestion des habilitations de chaque utilisateur : l’utilisateur ne doit avoir accès qu’à l’information nécessaire pour sa mission
  • Recours à la sous traitance : établir une clause de confidentialité

Les protections

  • Cadrage des relations collectives (externes/internes) : par la rédaction d’un règlement intérieur (obligatoire +20 salariés), de Chartes informatiques, de Guide de bonne conduite, etc…
  • Cadrage des relations individuelles (en internes) : Définition dans le Contrat de travail, un Ordre de mission, une Convention de stage, etc

Les clauses de protection du savoir faire

  • Les clauses de confidentialité/secret
  • Les clauses de propriété industrielle
  • Les clauses de non concurrence

Les clauses relatives aux TIC (Technologies de l’information et de la communication

  • Protection des données informatiques
  • Règles d’utilisation des messageries
  • Règles d’utilisation internet/réseaux sociaux/Téléchargement
  • Règles de stockage des données sur disque dure, médias amovibles

Mieux que des clauses : La formation et la sensibilisation

  • Responsabiliser, sensibiliser et former les salariés à la sécurité de l’information
  • Communiquer sur les incidents afin d’augmenter la vigilance
  • Motiver et intéresser les salariés aux enjeux de l’entreprise.
Contact