Les normes de la famille ISO/CEI 2700x

4. Les normes de la famille ISO/CEI 2700x

Dans la famille ISO/CEI on trouve deux catégories de normes. Celles qui émettent des exigences : ISO/CEI 27001 et celles qui formulent des recommandations : ISO/CEI 27002. Notons que certaines normes sont encore en cours de rédaction, c’est le cas des normes ISO/CEI 27007 «Audit des SMSI » et ISO/CEI 27008 « Audit des mesures de sécurité ».

Comme représenté sur la figure 5 ci-dessous, la norme ISO/CEI 27001 est le centre de gravité des référentiels du SMSI. La norme ISO/CEI 27001 formule les exigences relatives aux SMSI et fournit une liste de mesures de sécurité pouvant être intégrées au système [7].



Figure 5: Normes de la famille ISO/CEI 2700x

4.1- L’ISO/CEI 27000

Cette norme a été publiée pour répondre au besoin de définir une terminologie pour les SMSI. Comme nous l’avons vu précédemment, beaucoup de référentiels antérieurs à ISO/CEI 27001 ont été publiés ces dernières années. Ces normes ne fournissent pas de notions, ni de vocabulaire commun, permettant une bonne compréhension des SMSI, c’est ce que propose l’ISO/CEI 27000.

L’ISO/CEI 27000 est structurée en trois parties. La première, définit 46 termes tels que, la confidentialité, l’intégrité, la disponibilité, l’authenticité, tous principalement axés sur l’appréciation et l’analyse des risques, des menaces, de la vulnérabilité, etc. Par exemple, le mot risque est « la combinaison de la probabilité d’un événement et de ses conséquences ».
La deuxième partie développe la notion de processus avec le modèle PDCA et présente les concepts propres aux SMSI comme par exemple, l’importance de l’engagement de la direction.

La troisième partie, est une présentation de l’ensemble des normes de la famille ISO/CEI 2700x.

4.2- L’ISO/CEI 27002

La norme propose sur onze chapitres, une liste de 133 mesures de sécurité accompagnées chacune de points à aborder pour la mise en place d’un SMSI.

Parmi ces chapitres, on a par exemple, la gestion des actifs, la sécurité physique, la sécurité des ressources humaines, la gestion des incidents, la continuité d’activité, la conformité etc. En résumé, l’ISO/CEI 27002 est un guide de bonnes pratiques, une série de préconisations concrètes, abordant les aspects tant organisationnels que techniques, qui permettent de mener à bien les différentes actions dans la mise en place d’un SMSI [8].

4.3- L’ISO/CEI 27003

Publiée en janvier 2010, ISO 27003 facilite la mise en œuvre du SMSI. Elle est utilisée en complément de la norme ISO 27001. L’ISO 27003 propose cinq étapes pour implémenter le SMSI. Ces étapes concernent l’initialisation du projet, sa politique et son périmètre, l’analyse des exigences en matière de sécurité de l’information, l’appréciation des risques et enfin l’élaboration du SMSI. Chacune de ces étapes est divisée en activités qui font l’objet d’une clause contenant :

– un résumé de l’activité (explication de l’étape en question),
– les entrées (tous les documents à utiliser au cours de l’étape),
– les recommandations (détail des points à aborder),
– les sorties (liste des livrables à produire).

En résumé, ISO 27003 propose un grand nombre de points à aborder et énumère les documents à produire et à consulter. Notons que ISO/CEI 27003 reprend les lignes directrices de la norme ISO/CEI 13335 devenue aujourd’hui obsolète.

4.4- L’ISO/CEI 27004

Cette norme concerne la gestion des indicateurs. L’utilisation d’indicateurs dans le domaine de la sécurité est nouvelle. La norme ISO/CEI 27001 impose leur mise en place dans le SMSI mais sans préciser comment et lesquels utiliser. En utilisant les mesures des indicateurs l’objectif est d’identifier les points du SMSI qui nécessitent une amélioration ou une correction.

4.5- L’ISO/CEI 27005

Une des étapes du PDCA les plus difficiles à mettre en œuvre est « l’appréciation des risques7». L’ISO/CEI 27001 fixe des objectifs à atteindre pour être en conformité avec la norme, mais ne donne aucune indication sur les moyens d’y parvenir. Nous verrons qu’il existe un nombre important de méthodes d’appréciation des risques qui offrent une démarche formelle et pragmatique.

Néanmoins, l’ISO/CEI a souhaité proposer sa propre méthode avec la norme ISO/CEI 27005. L’objectif n’est pas de remplacer ou rendre obsolètes les méthodes existantes mais d’harmoniser le vocabulaire employé. L’ISO/CEI 27005 est constituée de douze chapitres. Les points les plus importants sont traités dans les chapitres sept à douze.

Chap. 7, établissement du contexte
Chap. 8, appréciation du risque
Chap. 9, traitement du risque
Chap. 10, acceptation du risque
Chap. 11, communication du risque
Chap. 12, surveillance et révision du risque

En complément de ces chapitres, viennent s’ajouter six annexes proposant des explications plus détaillées qui présentent des listes de menaces et vulnérabilités types. L’ISO/CEI 27005 peut aussi servir de référence aux organismes qui cherchent à évaluer une méthode d’appréciation des risques [9].

4.6- L’ISO/CEI 27007

Cette norme est à l’état de brouillon « WD8 ». On peut cependant avancer qu’elle sera le pendant de la norme générique ISO 190119 pour les SMSI. L’ISO/CEI 27007 donnera les lignes directrices pour auditer les SMSI.

4.7- L’ISO/CEI 27008

A l’état de WD, l’ISO/CEI 27008 traitera de l’audit des SMSI en proposant un guide qui permettra de contrôler les mesures de sécurité. Elle fournira pour chacune des mesures de sécurité de la 27002, des moyens d’analyse des besoins en contrôle, en tenant compte de l’importance des risques et des actifs. On pourra ainsi déterminer les mesures à contrôler. Ces points sont importants car les auditeurs internes ou externes doivent contrôler des mesures aussi variées que la gestion des mots de passe, la procédure de gestion des incidents et le suivi de législation en vigueur.

4.8- L’ISO/CEI 27006

Cette norme est une reprise enrichie de la norme ISO 1702110. Etant destinée aux cabinets d’audit en charge de certifier les organismes, l’ISO/CEI 27006 est moins connue que l’ISO/CEI 27001 qui s’adresse directement aux organismes souhaitant mettre en place un SMSI. L’ISO/CEI 27006 fournit aux organismes de certification les exigences qu’ils doivent faire respecter pour attribuer à leurs clients une certification. Ces exigences sont par exemple : instaurer des mesures pour garantir la confidentialité des données relatives à leurs clients, établir des procédures appropriées pour certifier le SMSI ou encore vérifier régulièrement que les auditeurs soient compétents en matière de sécurité de l’information. Les exigences ne décrivent cependant pas comment l’organisme peut parvenir à la mise en place d’un SMSI. L’organisme doit pour cela procéder à un certain nombre de tâches telles que réaliser un audit des risques, trouver des indicateurs, mettre en œuvre les mesures de sécurité etc. L’organisme a par conséquent besoin d’un guide de bonnes pratiques pour mener à bien son SMSI, et c’est précisément le rôle des normes ISO/CEI 27002 à ISO/CEI 27008.

4.9- Normes ISO/CEI 270xx en préparation

Le tableau 1 ci-dessous donne un aperçu des domaines qui seront couverts par les normes de la famille ISO/CEI 270xx.

PROJET

SECTEUR D’ACTIVITE

ISO/CEI 27010

Gestion de la communication inter secteur

ISO/CEI 27031

Continuité d’activité

ISO/CEI 27032

Cyber sécurité

ISO/CEI 27033

Sécurité réseau

ISO/CEI 27034

Sécurité des applications

ISO/CEI 27035

Gestion des incidents

ISO/CEI 27036

Audit des mesures de sécurité du SMSI

ISO/CEI 27037

Gestion des preuves numériques

Tableau 1 : Normes ISO/CEI 270xx en préparation

Il est à noter que certains secteurs comme les télécommunications ou le domaine médical ont développé des normes plus spécifiques à leur métier, ISO/CEI 27011 et ISO/CEI 27799.

Mise en œuvre d’un système de management de la sécurité de l’information (SMSI)
Mémoire Pour l’obtention d’un Diplôme de Mastère Professionnel
Université Virtuelle de Tunis – Mastère en Optimisation et Modernisation des Entreprises

Table des matières :
Introduction
Première partie : Etat de l’art des systèmes de management de la sécurité de l’information
1. Introduction
2. Définitions
2.1- L’ISO (Organisation Internationale de Normalisation)
2.2- Les normes
2.3- La normalisation
2.4- Historique des normes en matière de sécurité de l’information
3. Les SMSI (Systèmes de Management de la Sécurité de l’Information)
3.1- Les systèmes de management
3.2- Sécurité de l’information
4. Les normes de la famille ISO/CEI 2700x
Deuxième partie : La norme ISO/CEI 27001 : Son approche en quatre phases (Plan, Do, Check, Act)
1. Introduction
2. Phase « PLAN » du PDCA
2.1- Politique et périmètre du SMSI
2.2- Appréciation des risques
3. Phase « DO » du PDCA
4. Phase « CHECK » du PDCA
4.1- Les audits internes
4.2- Les contrôles internes
4.3- Revues de direction
5. Phase « ACT » du PDCA
Troisième partie : Implémentation et Mise en œuvre de la norme ISO / CEI 27001
1. Introduction
2. Structure d’accueil
3. Audit Préalable de l’existant
3.1- Démarche de l’audit préalable
3.2- Conclusion de l’audit
4. Article « A.5 POLITIQUE DE SECURITE »
4.1- Fondements
4.2- Définitions
4.3- Champ d’application
4.4- La classification
4.5- Mentions particulières de confidentialité et les Informations Sensibles Non Classées (ISNC)
4.6- L’accès aux informations traitées à l’ambassade (Information de Sécurité d’Etat)
4.7- Lieux abritant des informations de sécurité d’Etat
4.8- Contrôles et inspections
5. Article « A.6 ORGANISATION DE LA SECURITE DE L’INFORMATION »
5.1- Principe
5.2- Implication de la direction
5.3- Elaboration du Catalogues des Fonctions des Informations de Sécurité d’Etat de l’Ambassade (CFISE)
5.4- Candidats à l’habilitation et gestion de l’habilitation
5.5- Procédure d’habilitation
5.6- La décision d’habilitation
5.7- La notification de la décision
5.8- Habilitation et changement d’affectation
5.9- Conservation des décisions 72
5.10- Répertoire des habilitations
5.11- Fin de l’habilitation
6. Conclusion

________________________________
7 L’appréciation des risques est l’étape 2 de la phase PLAN du PDCA proposé par l’ISO/CEI 27001.
8 WD (working draft) est l’état « projet » de la norme avant sa publication.
9 ISO 19011 fournit des conseils sur les principes de l’audit, le management des programmes d’audit, la réalisation d’audits de systèmes de management. C’est une norme générique qui peut s’appliquer à différents types de systèmes de management.
10 ISO 17021 spécifie les principes et les exigences relatives à la compétence, à la cohérence et à l’impartialité lors des audits et lors de la certification de systèmes de management de tous types, ISO 27001 pour les SMSI, 9001 pour le management ou 14001 pour l’environnement.



Leave a Reply

Your email address will not be published. Required fields are marked *