Blog ENI : Toute la veille numérique !
🐠 -25€ dès 75€ 
+ 7 jours d'accès à la Bibliothèque Numérique ENI. Cliquez ici
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
  1. Livres et vidéos
  2. Management de la sécurité de l'information et ISO 27001
  3. La norme ISO 27001
Extrait - Management de la sécurité de l'information et ISO 27001 Principes et mise en oeuvre de la gouvernance
Extraits du livre
Management de la sécurité de l'information et ISO 27001 Principes et mise en oeuvre de la gouvernance
3 avis
Revenir à la page d'achat du livre

La norme ISO 27001

Contextualisation de la norme

La norme ISO 27001 est, à l’instar des standards ISO 9001 (qualité) et ISO 14001 (environnement), une norme de gouvernance. La gouvernance étant définie comme le processus qui consiste à contrôler l’utilisation des actifs et ressources pour accomplir la mission de l’organisation. La norme ISO 27001 est dévolue à la sécurité de l’information, et a donc pour objectif d’améliorer la gestion des actifs et des ressources en termes de cybersécurité. Il convient de prendre en considération au premier chef cette essence managériale, et comprendre de prime abord que, loin d’être réservée aux seuls spécialistes de la cybersécurité, elle est destinée plus largement à un public ayant à mettre en place et opérer un système de gouvernance. Dans bien des organisations, des responsables qualité au fait de l’ISO 9001 ont mis en place avec succès une gouvernance sécurité, quand l’appropriation de la norme par des spécialistes techniques de la sécurité s’est avérée plus délicate. Et c’est bien naturel, puisque toutes ces normes de gouvernance présentent un modèle similaire, et spécifient les mêmes règles.

La norme ISO 27001 n’est donc pas réservée à une minorité d’élus spécialistes de la technologie ; elle n’est pas non plus exclusivement réservée à de grands groupes, et bien des PME ont été certifiées...

Rappel historique sur sa construction

Sans être un amateur inconditionnel du duc de Bern, il est des cas où un peu d’histoire permet de donner un éclairage neuf à une situation présente ; et c’est effectivement le cas pour la norme ISO 27001.

La norme ISO 27001 est en fait de naissance britannique, et existait avant son adoption à l’ISO au tournant du siècle en tant que standard BS (British Standard Organisation) sous la référence 7799-1 (7799-2 pour ce qui devait devenir ISO 27002). Est-ce cette naissance britannique qui a conduit les Français à adopter une position très réservée à l’égard de ce qui devait devenir le seul standard de sécurité réellement utilisé par le monde ? Peut-être est-ce effectivement lié à une inimitié remontant à Jeanne d’Arc… Peut-être et plus vraisemblablement est-ce lié au côté, non pas libertaire, mais respectueux de la liberté d’entreprendre que peuvent parfois avoir nos voisins d’Outre-Manche et qui nous fait souvent défaut ? Peut-être ce standard est-il beaucoup trop pragmatiquement anglais et heurte le goût français du dogmatisme ?

Le standard est respectueux de la liberté d’entreprendre. Dans la mesure où le système de management est en phase avec les objectifs stratégiques fixés par la direction, où il est conforme aux exigences réglementaires et au cadre contractuel que l’entreprise s’est fixé, il est possible d’agir en toute liberté....

Domaine adressé

La norme 27001 est donc avant tout une norme de gouvernance, appliquée à la sécurité de l’information. Elle permet de définir un Système de Management de la Sécurité de l’Information (SMSI). Il convient alors de définir le sens donné à « sécurité de l’information » : la sécurité de l’information est un processus visant à protéger des données contre l’accès, l’utilisation, la diffusion, la destruction, la modification non autorisée ou l’indisponibilité. Le point important à retenir dans cette définition, en dehors de l’introduction des concepts de confidentialité d’intégrité et de disponibilité qui seront développés ultérieurement, est la composante protection des données : le système de management vise à protéger les données qui le nécessitent, quel que soit leur support (papier, clé USB, espace mémoire, bande de sauvegarde…), qu’elles soient échangées ou stockées… Il convient également de noter qu’il n’y a pas de restriction envisagée quant à la notion de protection : le système de management fera ainsi appel à des mesures physiques (accès aux locaux, caméra…), techniques (sécurité des postes de travail, sécurité des réseaux, des systèmes…), des mesures organisationnelles (recrutement, sensibilisation…) ou des mesures procédurales...

Usage actuel de la norme

Dans ses grandes lignes, la norme ISO 27001 incite une organisation à définir un plan d’action afin de se mettre en conformité vis-à-vis des exigences réglementaires et de ses engagements contractuels, et d’atteindre les objectifs de sécurité qu’elle s’est fixée en réduisant les risques par la mise en place de mesures. Elle demande également de contrôler l’efficacité de ces mesures au travers d’indicateurs. Elle demande enfin et surtout de mettre en place ce plan d’action, et d’améliorer les éléments qui demeurent perfectibles au regard des audits, des indicateurs et plus généralement des opportunités constatées. Il s’en suit que la norme invite à améliorer progressivement sa maturité sécurité, en harmonie avec les moyens humains et financiers de l’entreprise. Elle est en cela pragmatique : on constate en effet trop d’organisations qui, confrontées à un référentiel sécurité trop contraignant, abandonnent tout simplement l’exercice ; un peu comme on ne retourne pas dans un club de sport qui vous propose un entraînement inadapté à vos capacités du moment. La norme a cette vertu de se montrer accessible à tous, et de permettre un développement harmonieux et progressif de la maturité sécurité.

Deuxième atout conséquent de la norme : sa cohérence avec les autres standards de gouvernance que sont l’ISO 27001 et l’ISO 14001, et plus généralement...

Philosophie de la norme

L’essence d’une norme de gouvernance tient en quelques mots : « je dis ce que je vais faire en réponse aux objectifs qui m’ont été fixés, dans le respect du cadre réglementaire et contractuel qui est le mien ; je fais ce que j’ai dit ; je mesure la réalité et l’efficacité de ce que j’ai fait, je corrige, je complète et l’améliore ».

L’application de ce principe de base devrait être systématique dans bien des contextes. Prenons la politique par exemple : je dis ce que je vais faire, c’est le principe des « professions de foi », et les boîtes aux lettres en sont remplies à chaque campagne. Je fais ce que j’ai dit est déjà beaucoup moins fréquent hélas ; la réalité et l’efficacité des actions effectuées restent souvent bien ténébreuses. Quant aux corrections et améliorations, c’est chose rare pour des gens dont les leitmotivs sont « droit dans mes bottes » et « je maintiendrai le cap quoi qu’il arrive ». Comme si les navigateurs ne variaient pas leur route en fonction de la météo…

La gouvernance peut être résumée comme la mise en œuvre d’un ensemble de règles, protocoles, conventions, contrats pour assurer une meilleure coordination des parties prenantes afin de lancer des actions concertées et contrôlées visant à atteindre un objectif fixé.

Il s’agit bien, dans le cas de la gouvernance...

Contenu de la norme

La présente section met en évidence les éléments clés du standard ISO 27001 et donne quelques explications quant à notre compréhension du texte et aux attentes généralement constatées des auditeurs. En préambule à cette lecture, il est bon de rappeler que les obligations formulées par la norme font systématiquement l’objet d’une formulation avec le verbe devoir. Dans le cas contraire, la norme fait état de recommandation (il convient, il est recommandé), ou de possibilités (il peut). Mentionnons également que, pour les auditeurs, toute obligation de la norme doit donner matière à éléments probants justifiant de sa prise en compte. La simple assertion comme quoi cela a été fait ne suffit évidemment pas à étayer la chose, il convient de disposer de matière écrite. En ce sens, la recherche de la conformité peut s’avérer très consommatrice d’un point de vue rédactionnel.

La norme comporte sept clauses numérotées de 4 à 10, et une annexe définissant une liste de mesures, elles-mêmes détaillées dans la norme ISO 27002. Seules les clauses 4 à 10 sont obligatoires pour se conformer au standard.

images/Chapitre3-1-6.png

Lien ISO 27001 - ISO 27002

1. Clause 4 : contexte de l’organisation

a. Compréhension de l’organisation et de son contexte

L’organisation doit déterminer les enjeux externes et internes pertinents compte tenu de sa mission et qui influent sur sa capacité à obtenir le(s) résultat(s) attendu(s) de son système...

Rappel des points clés

La norme ISO 27001 est, à l’instar des standards ISO 9001 (qualité), ISO 14001 (environnement), une norme de gouvernance. L’essence d’une norme de gouvernance tient en quelques mots : « je dis ce que je vais faire en réponse aux objectifs qui m’ont été fixés, dans le respect du cadre réglementaire et contractuel qui est le mien ; je fais ce que j’ai dit ; je mesure la réalité et l’efficacité de ce que j’ai fait, je corrige, je complète et l’améliore ».

La norme ISO 27001 fait partie d’un ensemble normatif regroupé sous le sigle ISO 2700X. C’est la seule norme de cet ensemble qui donne lieu à certification, c’est-à-dire que des organismes accrédités peuvent certifier la conformité d’un organisme au standard.

Le corpus documentaire comprend essentiellement les éléments suivants :

  • ISO 27002 : code de bonnes pratiques pour le management de la sécurité de l’information. Constitue une liste de mesures qu’il est recommandé de prendre en compte pour réduire les risques ou améliorer son niveau de sécurité ; ces mesures constituent l’annexe A de la norme ISO 27001.

  • ISO 27003 : guide pour mettre en place la norme ISO 27001.

  • ISO 27004 : guide pour la définition d’indicateurs visant à contrôler la pertinence et l’efficacité des mesures mises en place.

  • ISO 27005 : guide relatif à la gestion des risques.

Dans ses grandes lignes, la norme ISO 27001 incite une organisation...