Blog ENI : Toute la veille numérique !
En raison d'une opération de maintenance, le site Editions ENI sera inaccessible le mardi 10 décembre, en début de journée. Nous vous invitons à anticiper vos achats. Nous nous excusons pour la gêne occasionnée
En raison d'une opération de maintenance, le site Editions ENI sera inaccessible le mardi 10 décembre, en début de journée. Nous vous invitons à anticiper vos achats. Nous nous excusons pour la gêne occasionnée
  1. Livres et vidéos
  2. La norme ISO 27005
  3. Normes et cadres réglementaires
Extrait - La norme ISO 27005 Gestion des risques liés à la sécurité de l'information
Extraits du livre
La norme ISO 27005 Gestion des risques liés à la sécurité de l'information
1 avis
Revenir à la page d'achat du livre

Normes et cadres réglementaires

Introduction

Les règlements sont l’expression de lois que l’on se doit d’appliquer, en revanche une norme n’est aucunement obligatoire et ce sont les organismes qui choisissent de la suivre, ou non. Dans ce chapitre, nous reviendrons sur l’origine des normes ISO, en détaillerons quelques-unes, et ferons un arrêt tout particulier sur deux d’entre elles (ISO 27001 et ISO 31000) ainsi que sur le règlement général sur la protection des données (RGPD) qui sera largement cité dans cet ouvrage.

Que sont les normes ISO ?

L’ISO (Organisation internationale de normalisation) est composée de 165 membres représentant 165 pays différents.

Le nom « ISO » vient du grec « isos », qui signifie « égal ». Les fondateurs de cette organisation ont ainsi choisi un nom court, et unique dans toutes les langues. L’histoire de l’ISO débute en 1946 à Londres, par la réunion d’un groupe composé de 65 délégués provenant de 25 pays visant à échanger et envisager l’avenir de la normalisation internationale.

Elle est le résultat de l’union entre deux organisations : l’ISA (la Fédération internationale des associations nationales de normalisation) basée à New-York et gérée en Suisse, et l’UNSCC (le Comité de coordination de la normalisation des Nations Unies).

Malgré le fait que la fédération ISA soit née sur le continent américain, celle-ci ciblait ses activités principalement en Europe continentale. Cela avait pour conséquence l’utilisation majoritaire du système métrique. Les États-Unis et la Grande-Bretagne, utilisant le système de mesure anglais, n’y ont jamais participé. 

L’ISO reprend majoritairement les règles de procédures et les statuts déjà existants au sein de l’ISA. Plus tard, l’ISA sera décrite comme le « prototype » ou encore le « brouillon » de l’ISO. M. Heiberg (membre de la fondation en Norvège) reconnaît que l’ISA n’avait jamais répondu aux réelles attentes de la fondation.

L’ISA avait été mise à l’arrêt...

ISO 31000 et IEC 31010

La norme ISO 31000 a été élaborée dans le but d’accompagner les organisations dans leur croissance en faisant face aux risques. Sa mise à jour, toujours constante, la rend optimale dans la lutte contre tous les imprévus. Elle est fortement recommandée pour toute société qui nécessite un schéma clair en matière de management du risque. Elle a pour objectif d’être commune à tous les domaines et toutes les problématiques de gestion des risques. Cette norme garantit que le risque est géré de manière cohérente et efficace en tenant compte du contexte et des objectifs de l’organisation. Elle est également transverse à toutes les fonctions de l’entreprise et doit être intégrée au processus de gestion de l’organisation qui est porté par la direction. Dans un souci de maintien en conformité, la gestion des risques doit également être intégrée aux processus de changements et de projets et ainsi devenir un outil permettant un gain de maturité en matière de sécurité de l’information.

En plus des trois activités classiques de la gestion du risque (identification, analyse et évaluation), le processus de management des risques proposé par ISO 31000 est complété par trois activités :

  • L’établissement du contexte, qui permet de décrire avec précision les paramètres dans lesquels s’effectue le management des risques. Il permet d’identifier le contexte externe (l’environnement politique, économique, environnemental dans lequel évolue l’organisation) et interne (les missions, les valeurs et les objectifs de l’organisation). Définir correctement...

ISO 27001

Au début des années 1990, un besoin de l’industrie se fait sentir en matière de bonnes pratiques et de mesures de sécurité dans le but d’améliorer la sécurité de l’information. C’est le gouvernement du Royaume-Uni qui décide de former un groupe de travail regroupant des intervenants expérimentés dans ce domaine. En sortira ainsi un premier recueil de bonnes pratiques et de conseils en gestion de la sécurité de l’information. C’est cinq années plus tard que sera publié le BS7799-1 : 1995, norme du Royaume-Uni.

En 1998, le BS7799-2 : 1998 forme le premier modèle de certification d’un SMSI (système de management de la sécurité de l’information).

La norme ISO/IEC 27001 « Technologies de l’information - Techniques de sécurité - Systèmes de gestion de sécurité de l’information - Exigences » est publiée en 2005, puis révisée en 2013. C’est un ensemble de normes internationales dont l’objectif est d’encadrer la sécurité de l’information. Ces normes aident à la mise en place, au maintien et à l’amélioration continue du SMSI. L’approche de l’ISO 27 001 est basée sur le risque et est neutre en matière de technologie. Chacun est ainsi libre de mettre en œuvre la solution de son choix, ou de suivre la méthodologie qui lui convient pour répondre aux problématiques énoncées par ces normes.

Elle pose le cadre du management de la sécurité de l’information au sein d’une organisation. Elle intègre les principes de management de la norme ISO 9001 sur la qualité ainsi que l’amélioration continue...

ISO/IEC 27005 : gestion des risques

L’ISO 27005 est basée sur ISO 31000 mais axée sur la sécurité de l’information.

L’ISO/IEC 27005 a été rédigée pour la première fois en 2008, revisitée en 2011 puis en 2018. Dans le but de créer un SMSI efficace, elle se compose des grandes lignes de la gestion de risques. Cette norme vient appuyer les concepts de 27 001 et aider à la mise en œuvre de la sécurité de l’information. Grâce à elle, on peut mieux appréhender les risques, les comprendre et ainsi les éviter.

images/01EP01.png

Cette norme propose un processus, qui sera par la suite détaillé dans les chapitres suivants :

images/01EP02.png

1. Certifications

La norme ISO 27005 est une norme certifiante. Elle ne certifie pas un organisme mais une personne qui réussit l’examen. Il existe quatre certifications ISO 27005 :

  • ISO/IEC 27005 Foundation : sur les concepts de la gestion des risques liés à la sécurité de l’information, de sa compréhension de la corrélation entre la norme ISO 27005 et les autres normes et référentiels, ainsi que de sa connaissance des techniques et des méthodes de gestion des risques.

  • ISO/IEC 27005 Provisional Risk Manager : sur les concepts de la gestion des risques liés à la sécurité de l’information, de sa connaissance des techniques et des méthodes de gestion des risques et démontre sa capacité à gérer les risques au sein d’une organisation.

  • ISO/IEC 27005 Risk Manager : sur les principes fondamentaux, du cadre et des processus de la gestion des risques liés à la sécurité de l’information, de sa connaissance des techniques et des méthodes de gestion...

RGPD

Le règlement général sur la protection des données concerne les données personnelles et leur traitement sur le territoire de l’Union européenne. Ce règlement vient appuyer la Loi française Informatique et Liberté de 1978 en permettant à tout citoyen de contrôler l’utilisation des données le concernant, on parle alors de données personnelles.

La notion de données personnelles englobe toutes les informations se rapportant à une personne physique ou identifiable, que ce soit directement (nom, prénom) ou indirectement (numéro de téléphone, adresse, données biométriques, des éléments spécifiques liés à son identité culturelle, religieuse, sociale, etc.). Ainsi, l’identification d’une personne peut se faire soit via une donnée unique, par exemple un numéro de sécurité sociale, une trace d’ADN, ou via plusieurs données. Par exemple, un homme né dans telle ville, allant dans tel cinéma et travaillant dans telle entreprise.

La notion de traitement est très large et concerne toutes opérations faites sur une donnée. On peut citer la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation, la modification, l’extraction, la consultation, l’utilisation, etc. Nous ne parlons pas ici uniquement d’informatisation des traitements. Les fichiers papier sont également concernés par le RGPD.

Le RGPD concerne toute organisation, quels que soient sa taille, son pays et son activité dès lors qu’elle traite des données personnelles sur le territoire de l’Union européenne ou d’un résident européen. Ainsi, une entreprise basée aux États-Unis traitant des données...

Conclusion

Le monde de l’informatique s’enrichit un peu plus chaque jour, poussant ainsi les organismes de standardisation et les États à mettre en place des normes et des régulations dans le but de cadrer cela au maximum. Nous n’avons évoqué ici qu’une infime partie de tous les standards, normes et règlements liés au numérique et à l’information en général. Cependant, les connaissances obtenues lors de ce chapitre nous permettront d’appréhender sereinement la suite de cet ouvrage.