Norme internationale reconnue pour la gestion de la Sécurité de l’Information dans une organisation.

Rappel des SSI (Source Wikipédia)

La sécurité des systèmes d’information (SSI) ou plus simplement sécurité informatique, est l’ensemble des moyens techniques, organisationnels, juridiques et humains nécessaires à la mise en place de moyens visant à empêcher l'utilisation non-autorisée, le mauvais usage, la modification ou le détournement du système d'information. Assurer la sécurité du système d'information est une activité du management du système d'information.

Tout d'abord qu’est-ce que la certification ISO 27001 ?

 

La certification AFAQ ISO/IEC 27001 démontre que vous avez mis en place un Système de management de la sécurité de l’information (SMSI) efficace construit sur la base de la norme internationale de référence, l’ISO 27001. Elle définit une méthodologie pour identifier les cybermenaces,  maîtriser les risques associés aux informations cruciales de votre organisation, mettre en place les mesures de protection appropriées afin d’assurer la confidentialité, la disponibilité et l’intégrité de l’information.

C’est une spécification qui inclut tous les contrôles juridiques, physiques et techniques impliqués dans les processus de gestion des risques de l’information d’une organisation.

La protection des données n’a jamais été aussi importante dans la gestion des processus « métier » qu’aujourd’hui. Avec le règlement général de l’UE sur la protection des données (GDPR) et le grand nombre de violations de données qui font la « Une » des journaux, il est important que votre société et ses fournisseurs soient préparés et disposent de systèmes et de processus de sécurité. ISO 27001 est conçue pour aider les organisations à surveiller, réviser, entretenir et améliorer leurs systèmes de gestion de la sécurité de l’information. Les normes permettent de garantir que les risques de sécurité d’une entreprise sont gérés de manière perenne et d’envoyer un message important et précieux aux clients et aux partenaires commerciaux : « cette entreprise fait les choses correctement ».

Publiée en octobre 2005 et révisée en 2013, son titre est « Technologies de l’information – Techniques de sécurité – Système de gestion de sécurité de l’information – Exigences. » Elle fait partie de la suite ISO/CEI 27000 et permet de certifier des organisations.

 

Elle s’adresse à tous les types d’organismes (entreprises commerciales, ONG, administrations …) et définit les exigences pour la mise en place d’un système de gestion de la sécurité de l’information. Ce système recense les mesures de sécurité, dans un périmètre défini, afin de garantir la protection des actifs de l’organisme. L’objectif est de protéger les fonction et information de toute perte, vol ou altération, et les systèmes informatiques de toute intrusion et sinistre informatique. Cela apporte de la confiance pour les parties prenantes. La norme précise que les exigences en matières de mesures de sécurité doivent être adéquates et proportionnées aux risques encourus et donc ne pas être ni trop laxistes ni trop sévères.

Comment se préparer à  la certification ; que faut-il faire pour être certifié ISO 27001 ?

Vous savez peut-être que certains de vos fournisseurs de logiciels sont certifiés ISO 27001. Mais qu’est-ce que cela signifie vraiment ?

La certification n’est pas un but en soi, c’est-à-dire que l’organisme qui décide de mettre en place un SMSI (Système de Management de la Sécurité de l’Information) en suivant les exigences de l’ISO/CEI 27001, n’a pas pour obligation de se faire certifier. Cependant, c’est l’aboutissement logique de l’implémentation d’un SMSI puisque les parties prenantes n’ont confiance qu’en un système certifié par un organisme indépendant.

Si une organisation est certifiée 27001, cela signifie que la direction et le personnel s’engagent non seulement à maintenir, mais également à améliorer en permanence la gestion et les contrôles de sécurité de l’organisation.

ISO 27001 utilise une approche basée sur les risques et est neutre sur le plan technologique. Il comprend des détails sur la documentation, les responsabilités de la direction, les audits internes, l’amélioration continue et les actions correctives et préventives. Cependant, il ne décrit pas les contrôles spécifiques à utiliser, mais plutôt une liste de recommandations pour le contrôle.

La mise en place de la norme prend beaucoup de temps et d’efforts. Je vois le processus plus simple en le divisant en neuf étapes.

1 - Contenu de la mission

Le projet de mise en place doit commencer par la désignation d’un leader de projet, qui travaillera avec d’autres membres du personnel. Il s’agit essentiellement d’un ensemble de réponses aux questions suivantes :

  •     Qu’espérons-nous réaliser ?
  •     Combien de temps cela prendra-t-il ?
  •     Qu’est-ce que cela coutera ?
  •     Avons-nous le soutient des équipes de direction ?

2 -  Initiation du projet

Les organisations doivent utiliser leur contenu de mission afin de construire une structure plus définie et plus détaillée concernant les objectifs liés à la sécurité de l’information et l’équipe gérant le projet, la planification et les risques.

3 - Initiation du ISMS

(Information security management system)

La prochaine étape consiste à adopter une méthodologie de mise en place d’un ISMS. La norme ISO 27001 reconnaît que la démarche d’amélioration continue suivant une approche par processus est le modèle le plus efficace pour la gestion de la sécurité de l’information.

Cependant, elle ne précise aucune méthodologie en particulier et permet aux organisations d’utiliser la méthode de leur choix ou de continuer avec le modèle déjà en place.

4 - Cadre de gestion

A ce stade, l’ISMS aura besoin d’une signification plus large du cadre. Cela comprend l’identification de la portée du système, qui dépendra du contexte. La portée doit également prendre en compte les appareils mobiles et les télé-travailleurs.

5 - Critères de sécurité

Les organisations doivent identifier leurs principaux besoins de sécurité. Il s’agit des exigences et mesures correspondantes ou des contrôles nécessaires pour gérer l’entreprise.

6 - Gestion des risques

La norme ISO 27001 permet aux organisations de définir de manière plus large leurs propres processus de gestion des risques. Les méthodes les plus communes sont axées sur les risques liés à des actifs précis ou les risques présentés dans des scénarios précis. Les points positifs et négatifs de chacun et certaines organisations seront plus en mesure d’utiliser l’une ou l’autre des méthodes.

L’analyse des risques ISO 27001 comprend cinq points importants :

  •     Établir un cadre d’analyse des risques
  •     Identifier les risques
  •     Analyser les risques
  •     Évaluer les risques
  •     Sélectionner les options de gestion des risques

7 - Plan de traitement des risques

Il s’agit du processus de construction des contrôles de sécurité ayant pour but de protéger les informations de votre organisation. Afin de garantir l’efficacité de ces contrôles, vous devrez vérifier que les employés sont capables d’opérer et d’interagir avec les contrôles, et qu’ils connaissent leurs obligations en matière de sécurité de l’information.

Vous devrez également développer un processus vous permettant de déterminer, réviser et maintenir les compétences nécessaires afin d’atteindre vos objectifs en matière d’ISMS. Cela comprend la mise en place d’analyses et la définition d’un bon niveau de compétence.

8 - Mesurer, contrôler et réviser

Pour qu’un ISMS soit utile, il doit répondre aux objectifs de sécurité de l’information. Les organisations doivent mesurer, contrôler et réviser la performance du système. Cela implique l’identification de métriques ou d’autres méthodes permettant de juger l’efficacité et la mise en place des contrôles.

9 - Certification

Une fois l’ISMS en place, les organisations devraient essayer d’obtenir un certificat auprès d’un organisme de certification accrédité. Cela prouve aux parties prenantes que l’ISMS est efficace et que les organisations comprennent l’importance de la sécurité de l’information.

Le processus de certification implique la révision des documentations des systèmes de gestion de l’organisation afin de vérifier que les contrôles appropriés ont été mis en place. L’organisme de certification mènera également un audit sur-site afin de tester les procédures.

1 commentaire

#1  - sex a dit :

Votre façon de décrire tout cela dans cet article est en fait agréable, tout le monde peut le faire sans
difficulté à comprendre, merci beaucoup.

Les commentaires sont fermés.

Fil RSS des commentaires de cet article