Blog ENI : Toute la veille numérique !
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
  1. Livres et vidéos
  2. Management de la sécurité de l'information et ISO 27001
  3. Finalités de la norme
Extrait - Management de la sécurité de l'information et ISO 27001 Principes et mise en oeuvre de la gouvernance
Extraits du livre
Management de la sécurité de l'information et ISO 27001 Principes et mise en oeuvre de la gouvernance
3 avis
Revenir à la page d'achat du livre

Finalités de la norme

Les principes constitutifs de la norme

La norme ISO 27001 offre une démarche rigoureuse pour la prise en compte de la sécurité des informations numériques ou à vocation numérique. La démarche retenue, qui consiste en la définition d’un système de management, correspond à celle que l’on retrouve dans d’autres normes, notamment de qualité et environnementale. Sur la base de ce socle qu’est le système de management sont intégrées les problématiques qui concernent la sécurité du système ou de l’organisme étudié.

La norme ISO 27001 est prescriptive, puisqu’elle formule des exigences. Toutefois, elle n’est pas limitative dans l’implémentation de ces dernières. Cela signifie que la norme admet une certaine souplesse dans l’interprétation de ses exigences pour les adapter au contexte ciblé. Il n’existe pas de réponse prédéterminée, mais différentes déclinaisons possibles en fonction du contexte d’application.

Si la norme 27001 ne précise pas « comment » traiter ses exigences, et qu’elle se limite à préciser le « quoi », dans le sens de ce qui doit être obligatoirement fait, des éclairages sont toutefois apportés par la norme ISO 27002. En effet, la norme ISO 27001 renvoie à la norme ISO 27002 pour le détail des mesures de sécurité. La conjonction des deux normes, ISO 27001 et ISO 27002, offre ainsi une richesse qui explique, en partie, leur succès auprès...

L’obtention d’une certification ISO 27001

Pour rappel, une norme internationale s’identifie par son nom et par sa date - ISO 27001:2013, par exemple. Une certification s’obtient pour une norme précise, associée à sa date de validation, donc identifiée par son nom de version, comme ceci - ISO 27001 :2013.

La finalité principale de la norme (et qui en justifie son contenu et son essence) est l’obtention d’une certification. La norme ISO 27001 a été élaborée comme support à sa certification. Elle sert ainsi de référentiel d’audit.

Elle se présente sous la forme d’exigences qui énumèrent tous les points qui sont à valider. Les exigences de sa première partie sont liées à la définition de son système de management et en précisent sa structure et son organisation. Celles de sa seconde partie, matérialisée par son annexe A, référencent les mesures de sécurité et les points de contrôle associés. La certification consiste en la vérification formelle de la conformité à la norme. Elle valide ainsi l’adaptation qui en est faite.

En effet, l’obtention de la certification est conditionnée par la mise en place préalable de mesures déclinant les règles de la norme par l’organisme. Ces mesures ainsi définies s’entendent sur un périmètre donné. Cet ensemble, mesures et périmètre, objets de la certification, sont soumis à l’appréciation d’un auditeur agréé....

Le recueil de bonnes pratiques

La norme, de par sa reconnaissance internationale et sa construction par des acteurs experts du domaine de la sécurité de l’information, est un référentiel de bonnes pratiques.

Dès lors que l’on souhaite investir le domaine, il importe de maîtriser au plus tôt les repères et d’adopter les manières les plus appropriées pour traiter les sujets de sécurité.

Les repères portent notamment sur le vocabulaire et les concepts. Une fois maîtrisés, ils permettent de rendre plus fluide le dialogue entre experts ou avec les non experts et normalisent la gestion de la sécurité. Au-delà de cet usage rigoureux des repères, il est bien entendu possible d’approcher la norme de manière essentiellement pragmatique. La norme ISO 27001 ne devient alors qu’un guide pratique, dans lequel sont puisées des connaissances. Ainsi, en tant que source de connaissances, les éléments à retenir et intéressants à exploiter sont sa philosophie, sa logique, sa rigueur et son exhaustivité. En effet, la démarche qui est sous-tendue par cette norme permet de s’entendre sur un niveau d’exigences visé et d’en garantir la rigueur et l’exhaustivité. De surcroît, document maître de la famille ISO 27000, elle s’ouvre sur les autres documents de sa famille qui viennent la compléter et la préciser.

En résumé, la norme sert tant à traiter des problématiques de sécurité qu’à asseoir des concepts. De plus, elle participe à l’approfondissement...

La formation de personnes

Comme cela a déjà été précisé, la norme ISO 27001 est une manière efficace de rentrer dans le vocabulaire et les concepts de sécurité. De plus, elle permet de proposer une trame logique pour le traitement des questions de sécurité.

Que la personne soit novice ou experte du domaine de la sécurité de l’information, elle peut trouver satisfaction à la lecture de la norme pour s’informer ou se former.

La norme n’est pas prescriptive en termes d’audience et étant une norme de gouvernance, elle reste accessible à une population large et pas obligatoirement technicienne.

Étant donné que la norme aborde la gestion de la sécurité sous l’angle du système de management et des risques, elle apporte des connaissances sur ces points. De plus, prenant le parti de couvrir tous les thèmes pouvant impacter la sécurité, elle offre une vision globale de la problématique de sécurité au sein d’un organisme. Elle dimensionne ainsi la gestion de la sécurité de l’information à une échelle qui n’est pas toujours comprise et suivie par les acteurs  ; la sécurité de l’information ne se limite pas au seul sujet de la sécurité informatique.

Nous allons voir au travers de cette section comment bien appréhender la norme et présenter les outils qui peuvent participer au renforcement de sa maîtrise.

1. Une bonne approche de la norme

Pour comprendre les subtilités de la norme ISO 27001, il importe d’adopter une démarche appropriée....

Rappel des points clés

La portée de cette norme est le traitement des questions relatives à la sécurité de l’information.

Très souvent invoquée, la norme ISO 27001 ne sert pas qu’un seul but. Au contraire, la richesse de sa composition, la rigueur de sa constitution, la complétude des thèmes traités en fait une référence dans différents cas d’usage.

Par essence, la norme ISO 27001 est destinée à la certification d’un système de management dédié à la sécurité de l’information. En cela, elle est pertinente pour la constitution d’un système de management, mais aussi pour adresser des aspects plus techniques, propices à la protection des informations sensibles. Le cadre dans lequel s’inscrit cet usage est strict, contraint. La certification est subordonnée à un ensemble de processus et doit répondre à un ensemble d’exigences fixées. Leur prise en compte et leur déploiement doivent être validés et surtout vérifiables.

Par origine, les standards sur lesquels la norme ISO 27001 repose se voulaient être des recueils de bonnes pratiques, propres à édicter les règles constitutives de l’état de l’art. Ainsi, le duo ISO 27001 et ISO 27002 garde cette vocation, offrant un double niveau de lecture, stratégique et pratique. Le cadre de recours aux bonnes pratiques se veut libre. Toutefois, dans certains cas, des obligations, ne répondant pas au processus de certification ISO 27001, peuvent imposer le respect de certaines de ces bonnes pratiques...

Cas pratiques

1. Cas pratique 1

Il vous est proposé à titre d’illustration d’usage de la norme ISO 27001 de vous rendre sur le site de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information - www.ssi.gouv.fr / www.anssi.fr).

Nous vous invitons à balayer l’onglet afférent à la documentation produite et libre d’accès et identifié comme « bonnes pratiques ». De nombreuses publications techniques et pratiques sont disponibles. La prise de connaissance de cette documentation permet de se rendre compte de l’usage explicite ou implicite de la norme ISO 27001, tant dans le vocabulaire employé que dans la trame logique présentée.

Ainsi, à titre d’exercice, nous vous recommandons de parcourir ces documents, et de prendre connaissance des sujets abordés et des textes auxquels ils font référence. Dans de nombreux cas, la norme ISO 27001 est mentionnée ou l’est indirectement, par rebond, via la mention d’un document intermédiaire (ex. Référence à la méthode d’analyse de risques EBIOS qui référence elle-même la norme ISO 27001).

En ce sens, la documentation sur l’élaboration d’une politique de sécurité en est un très bon exemple car la structure proposée repose sur celle de la norme 27001 dans sa version 2005. En effet, le document a été élaboré avant la parution de la version 2013 de la norme.

2. Cas pratique 2

En complément du cas précédent, deux exercices vous sont proposés. Le premier concerne...