Open in app

Sign in

Write

Sign in

Mastodon

Qu’est-ce que la norme ISO/IEC 27001

Patrick Boucher
6 min readJan 7, 2022

--

ISO/IEC 27001 définit formellement un système de gestion de sécurité de l’information (SGSI), comme une suite d’activités relatives à la gestion des risques à la sécurité de l’information.

Un SGSI est un cadre de gestion à travers lequel l’organisation identifie, analyse et traite les risques de sécurité des informations. Le SGSI assure que les dispositifs de sécurité sont pertinents pour faire face aux menaces de sécurité, aux vulnérabilités et efficaces dans la gestion des impacts sur les entreprises.

L’approche de la norme ISO27001 est axée sur les risques spécifiques à l’entreprise et offre une flexibilité que d’autres standards ne permettent pas.

ISO/IEC 27001 n’impose pas de contrôles spécifiques de sécurité de l’information puisqu’ils varient d’une entreprise à l’autre. Les mesures de contrôle sont suggérées dans l’annexe A de la norme ISO 27001.

Les organisations qui adoptent la norme ISO 27001 sont libres de choisir les contrôles spécifiques de sécurité de l’information applicables à leur situation ou la portée, en choisissant ceux qui sont énumérés dans la liste et potentiellement les complétant par d’autres options à la carte (appelés contrôles étendus).

Histoire du standard

La norme ISO 27001 est un dérivé de la norme BS 7799 2e partie, publiée en 1999. Le BS 7799 2e partie a été revisité par le groupe BSI en 2002 afin d’inclure explicitement le processus cyclique d’amélioration continue de Demings soit le “Plan-Do-Check-Act” puis, la norme fut adoptée par le système de norme ISO/IEC en tant qu’ISO 27001 en 2005.

C’est en 2013 que la norme ISO27001 fut révisée de manière intensive afin de l’aligner avec les autres standards de type ISO. C’est pourquoi elle s’écrit :

« ISO/IEC 27001:2013 ».

Donc c’est quoi ISO27001?

La norme ISO27001:2013 est divisée en deux portions :

La première partie de clause obligatoire correspond à la roue d’amélioration continue « Plan-Do-Check-Act ».

Planifier — définir les politiques, les contrôles et les processus et effectuer la gestion des risques pour soutenir la sécurité de l’information alignée sur les activités de l’organisation.
Faire — mettre en œuvre les processus planifiés.
Vérifier — effectuer le suivi, l’évaluation et l’audit des résultats afin d’apporter des améliorations.
Réagir — Réaction aux non-conformités et à la mise en œuvre des plans pour continuer l’amélioration continue.

La seconde partie facultative qui correspond aux contrôles — 14 domaines pour 114 contrôles différents. Voici les 14 domaines définis dans l’annexe A.

  • Politique de sécurité
  • Organisation de la sécurité
  • Ressource humaine
  • Gestion des actifs
  • Contrôle d’accès
  • Cryptographie
  • Sécurité physique et environnementale
  • Sécurité liée à l’exploitation
  • Communications
  • Acquisition, développement et maintenance des systèmes d’information
  • Relations avec les fournisseurs
  • Gestion des incidents
  • Continuité des opérations
  • Conformité

27001 versus 27002?

La norme 27001 décrit les actions pour mettre en place un système de gestion de la sécurité de l’information (SGSI) Il est possible d’être certifié ISO27001.

L’annexe A du ISO27001 fournis des lignes directrices concernant les pratiques de gestion de la sécurité de l’information, y compris la sélection, la mise en œuvre et la gestion des contrôles.

Devenir certifié

Une entreprise peut obtenir la certification ISO 27001 en demandant à un organisme de certification accrédité à effectuer un audit de certification et, si l’audit est réussi, à délivrer le certificat ISO 27001 à l’entreprise.

Ce certificat signifie que l’entreprise est conforme aux critères de la norme ISO 27001.

Conflit d’acronyme — ISMS — SMSI — SGSI.

La version anglaise du système se nomme ISMS pour — Information security management system.

Par contre, la version traduite en français (de France) offre plutôt l’acronyme SMSI pour Système de management de la sécurité de l’information.

Pour ma part ma préférence va pour la traduction québécoise qui est SGSI — Système de gestion de la sécurité de l’information.

Les trois versions se valent et restent votre choix!

Les standards dans la série 2700(x)

La série 27000 offre plusieurs guides et pratiques pour mettre en œuvre un programme de sécurité.

La base d’une certification est la norme ISO/IEC 27001:2013, mais à cette base, les autres standards offrent des définitions ou des contrôles supplémentaires qui s’appliquent à notre organisation. Par exemple une organisation qui offre des services infonuagiques à ses clients devrait prendre en compte de la norme ISO 27017 et la rajouté à son programme de sécurité (SGSI).

Voici une liste non exhaustive:

  • 27000 —Description et des définitions relatives à la sécurité de l’information
  • 27001 — Les spécifications formelles pour mise en œuvre d’u SGSI
  • 27002 — Détails des contrôles de sécurité
  • 27003 — Guide d’implémentation
  • 27004 — Méthodes de mesures, des indicateurs de performance liés au SGSI
  • 27005 — Standard de gestion des risques liés à la sécurité de l’information
  • 27006 — Guide relatif aux entités d’enregistrement SGSI
  • 27007 — Guide d’audit pour SGSI
  • 27008 — Guide de pratique pour les auditeurs
  • 27009 — L’application de la norme pour des secteurs spécifiques
  • 27010 — ISMS pour communication inter-organisation
  • 27011 — ISMS pour organisation de télécommunications
  • 27017 — Utilisation de Service infonuagique client ou fournisseurs
  • 27018 — Fourni des directives sur la manière de protéger la vie privée lors de l’utilisation d’environnements en nuage.
  • 27031 — Fournit aux organisations des lignes directrices pour les systèmes de continuité des activités.
  • 27701 —Exigence pour la mise en place d’un PIMS « Privacy information management system »

Vers une nouvelle version 27002?

Tout porte à croire qu’en 2022, une nouvelle version du standard ISO27002 sera publiée.

Les changements principaux seront que les thèmes passeront de 14 à 4:

  • Mesures organisationnelles
  • Mesures sur les personnes
  • Mesures physiques
  • Mesures technologiques

Les 114 mesures diminuerons à 93. Par contre, à la lecture de la proposition du standard (qui n’est pas encore finale au moment d’écrire ces lignes) il y a des détails supplémentaires pour la compréhension des mesures, on y découvre la finalité, qui permets de mieux comprendre l’objectif de la mesure ainsi que des attributs pour placer la mesure dans un contexte et cadre plus globale.

Également, le concept de vie privé est maintenant impliqué dans le standard jusque dans son titre qui devient:

ISO27002 « Sécurité de l’information, cybersécurité et protection de la vie privée — Mesures de sécurité de l’information »

Combien ça coûte?

C’est bien sur la question que tout le monde se demande toujours.

Les coûts se divisent en plusieurs morceaux:

  • Achat de la norme

Comment affirmer être conforme à une norme si vous n’avez une copie de celle-ci. Elle s’achète sur le site “iso.org” aux montants d’environs 300$.

Liens ici: https://www.iso.org/standard/54534.html

  • Aide par consultant externe

Si vous embauchez une personne externe, les efforts se situent entre 80 et 200 heures pour la rédaction des documents nécessaires ainsi que la coordination des efforts.

  • Temps interne de l’organisation

Ces efforts ne sont pas sans coûts pour l’organisation. Il représente environs 1.5x le temps d’un consultant externe.

  • Coûts en technologies

Ces montants varient beaucoup en fonction de la dette technologique que vous avez.

  • Coûts d’audit interne annuel

Représente environ 2 et 8 jours d’efforts soit par une personne interne à l’organisation ou à un consultant externe.

  • Coûts d’audit externe annuel

Ce travail effectué par l’auditeur externe visant à obtenir la certification se calcule en nombre d’employés, nombre de sites ainsi que du niveau de complexité de l’organisation (Télécommunication, électricité, nucléaire, etc.) le niveau d’effort est habituellement entre 3 et 15 jours.

La norme ISO27001 est reconnue partout dans le monde et offre une excellente base pour un programme de sécurité d’entreprise.

Obtenir une certification de conformité offre un réconfort aux partenaires que la sécurité de l’information est comprise, bien en main et que les responsables ont un plan pour continuellement s’améliorer.

Après avoir participé à la mise en œuvre de plusieurs normes différente, je crois que la norme ISO27001 est la plus simple, la plus vaste et la plus flexible pour gérer un programme de sécurité.

Suivez moi — Un prochain article demandera comment choisir la bonne norme?

Information Security
Standards
Sécurité Informatique

--

--

Patrick Boucher

Written by Patrick Boucher

263 Followers

Amoureux des livres, écrivain à temps partiel. Père, bénévole à souhait, 25 ans en cybersécurité, offensif et défensif!

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams