1. Livres & vidéos
  2. La norme ISO/IEC 27005
  3. Normes et cadres réglementaires
Extrait - La norme ISO/IEC 27005 Maîtriser la gestion des risques en sécurité de l'information (2e édition)
Extraits du livre
La norme ISO/IEC 27005 Maîtriser la gestion des risques en sécurité de l'information (2e édition) Revenir à la page d'achat du livre

Normes et cadres réglementaires

Introduction

Les règlements sont l’expression de lois obligatoires que les organisations doivent appliquer. En revanche, une norme n’a aucun caractère obligatoire en soi : ce sont les organismes et entreprises qui choisissent de la suivre pour assurer une meilleure gestion, sécurité ou conformité. Cependant, dans certains secteurs, l’adoption de normes devient un gage de crédibilité et de conformité réglementaire, voire une exigence imposée par des partenaires commerciaux ou des autorités de régulation.

Dans ce chapitre, nous reviendrons sur l’origine des normes ISO, en détaillant plusieurs d’entre elles. Un focus particulier sera fait sur trois normes majeures :

  • ISO 27001, qui définit un cadre de gestion de la sécurité de l’information (SMSI) ;

  • ISO 31000, qui établit les principes et lignes directrices pour la gestion des risques ;

  • ISO 27005, qui fournit une approche détaillée de la gestion des risques liés à la sécurité de l’information.

Nous aborderons également le règlement général sur la protection des données (RGPD), qui impose des obligations strictes en matière de protection des données personnelles, et qui sera largement cité dans cet ouvrage.

Que sont les normes ISO ?

L’ISO (Organisation internationale de normalisation) est composée de 165 membres représentant 165 pays différents.

Le nom « ISO » vient du grec « isos », qui signifie « égal ». Les fondateurs de cette organisation ont ainsi choisi un nom court, et unique dans toutes les langues. L’histoire de l’ISO débute en 1946 à Londres, par la réunion d’un groupe composé de 65 délégués provenant de 25 pays visant à échanger et envisager l’avenir de la normalisation internationale.

Elle est le résultat de l’union entre deux organisations : l’ISA (Fédération internationale des associations nationales de normalisation) basée à New-York et gérée en Suisse, et l’UNSCC (Comité de coordination de la normalisation des Nations Unies).

Malgré le fait que la fédération ISA soit née sur le continent américain, celle-ci ciblait ses activités principalement en Europe continentale. Cela avait pour conséquence l’utilisation majoritaire du système métrique. Les États-Unis et la Grande-Bretagne, utilisant le système de mesure anglais, n’y ont jamais participé.

L’ISO reprend majoritairement les règles de procédures et les statuts déjà existants au sein de l’ISA. Plus tard, l’ISA sera décrite comme le « prototype » ou encore le « brouillon » de l’ISO. M. Heiberg (membre de la fondation en Norvège) reconnaît que l’ISA n’avait jamais répondu aux réelles attentes de la fondation.

L’ISA avait été mise à l’arrêt en 1939, début de la Seconde Guerre mondiale, en raison de l’interruption des échanges internationaux, malgré les efforts du fondateur, M. Huber-Ruf depuis sa Suisse natale. À cette époque, il devait endosser seul le poste de traducteur, rédacteur et responsable des reproductions des documents, épaulé par sa famille uniquement.

De ses cendres naquit une autre fédération : l’UNSCC (Comité...

ISO 31000 et IEC 31010

La norme ISO 31000 a été élaborée dans le but d’accompagner les organisations dans leur croissance en faisant face aux risques. Sa mise à jour, toujours constante, la rend optimale dans la lutte contre tous les imprévus. Elle est fortement recommandée pour toute société qui nécessite un schéma clair en matière de management du risque. Elle a pour objectif d’être commune à tous les domaines et toutes les problématiques de gestion des risques. Cette norme garantit que le risque est géré de manière cohérente et efficace en tenant compte du contexte et des objectifs de l’organisation. Elle est également transverse à toutes les fonctions de l’entreprise et doit être intégrée au processus de gestion de l’organisation qui est porté par la direction. Dans un souci de maintien en conformité, la gestion des risques doit également être intégrée aux processus de changements et de projets et ainsi devenir un outil permettant un gain de maturité en matière de sécurité de l’information.

En plus des trois activités classiques de la gestion du risque (identification, analyse et évaluation), le processus de management des risques proposé par ISO 31000...

ISO 27001

Au début des années 1990, un besoin de l’industrie se fait sentir en matière de bonnes pratiques et de mesures de sécurité dans le but d’améliorer la sécurité de l’information. C’est le gouvernement du Royaume-Uni qui décide de former un groupe de travail regroupant des intervenants expérimentés dans ce domaine. En sortira ainsi un premier recueil de bonnes pratiques et de conseils en gestion de la sécurité de l’information. C’est cinq années plus tard que sera publié le BS7799-1 : 1995, norme du Royaume-Uni.

En 1998, le BS7799-2 : 1998 forme le premier modèle de certification d’un SMSI (système de management de la sécurité de l’information).

La norme ISO/IEC 27001 « Technologies de l’information - Techniques de sécurité - Systèmes de gestion de sécurité de l’information - Exigences » est publiée en 2005, révisée en 2013 puis en 2022 pour intégrer les nouveaux enjeux de la cybersécurité et une simplification des mesures de sécurité. C’est un ensemble de normes internationales dont l’objectif est d’encadrer la sécurité de l’information. Ces normes aident à la mise en place, au maintien...

ISO/IEC 27005 : gestion des risques

L’ISO 27005 est basée sur ISO 31000, mais axée spécifiquement sur la gestion des risques liés à la sécurité de l’information.

L’ISO/IEC 27005 a été rédigée pour la première fois en 2008, revisitée en 2011, puis en 2018 et enfin en 2022. Cette nouvelle version intègre des ajustements méthodologiques visant à renforcer la flexibilité dans l’évaluation des risques et faciliter son intégration dans un SMSI conforme à ISO 27001:2022.

Dans le but de créer un SMSI efficace, cette norme se compose des grandes lignes de la gestion des risques. Elle vient appuyer les concepts de l’ISO 27001 et aider à la mise en œuvre de la sécurité de l’information. Grâce à elle, on peut mieux appréhender les risques, les comprendre et ainsi les éviter.

images/01EP01.png

Cette norme propose un processus structuré, qui sera par la suite détaillé dans les chapitres suivants :

  • Établissement du contexte ;

  • Identification des risques ;

  • Analyse et évaluation du risque ;

  • Traitement et acceptation des risques ;

  • Communication des risques ;

  • Surveillance et revue des risques.

images/01EP02.png

Certifications

La norme ISO 27005 n’est pas une norme certifiante pour les organisations, mais elle permet...

RGPD

Le règlement général sur la protection des données (RGPD) encadre le traitement des données personnelles sur le territoire de l’Union européenne. Il vient renforcer et moderniser la Loi française Informatique et Libertés de 1978, en garantissant à chaque citoyen un contrôle accru sur l’utilisation de ses données personnelles.

La notion de données personnelles englobe toute information relative à une personne physique identifiable, que ce soit de manière directe (nom, prénom, photo) ou indirecte (adresse IP, numéro de téléphone, données biométriques, préférences de navigation, etc.). Une personne peut être identifiée soit via une seule donnée unique (ex. numéro de sécurité sociale, empreinte digitale), soit par croisement de plusieurs données (ex. lieu de naissance, profession et habitudes de consommation).

Le traitement des données personnelles est un concept très large qui couvre toutes les opérations effectuées sur une donnée, qu’elles soient numériques ou papier. Il peut s’agir de :

  • collecte ;

  • enregistrement ;

  • organisation ;

  • conservation ;

  • modification ;

  • consultation ;

  • suppression.

Le RGPD s’applique à toute organisation, indépendamment de sa taille...

Conclusion

Le monde de l’informatique s’enrichit un peu plus chaque jour, poussant ainsi les organismes de standardisation et les États à établir des normes et des régulations visant à cadrer et sécuriser ces évolutions.

Face à l’augmentation constante des cybermenaces, la mise en œuvre de référentiels comme ISO 27001 et ISO 27005, ainsi que le respect du RGPD, sont devenus des éléments clés pour garantir la sécurité des systèmes d’information et la protection des données.

Nous n’avons évoqué ici qu’une infime partie des nombreux standards, normes et règlements liés au numérique et à la gouvernance de l’information. Toutefois, les connaissances obtenues dans ce chapitre nous permettront d’appréhender sereinement la suite de cet ouvrage et de mieux comprendre les enjeux fondamentaux de la gestion des risques et de la cybersécurité.