Les normes de la famille ISO/CEI 2700x
Première partie : Etat de l’art des systèmes de management de la sécurité de l’information

4. Les normes de la famille ISO/CEI 2700x

Dans la famille ISO/CEI on trouve deux catégories de normes. Celles qui émettent des exigences : ISO/CEI 27001 et celles qui formulent des recommandations : ISO/CEI 27002.
Notons que certaines normes sont encore en cours de rédaction, c’est le cas des normes ISO/CEI 27007 «Audit des SMSI » et ISO/CEI 27008 « Audit des mesures de sécurité ».
Comme représenté sur la figure 5 ci-dessous, la norme ISO/CEI 27001 est le centre de gravité des référentiels du SMSI. La norme ISO/CEI 27001 formule les exigences relatives aux SMSI et fournit une liste de mesures de sécurité pouvant être intégrées au système [7].
Normes de la famille ISO/CEI 2700x
Figure 5: Normes de la famille ISO/CEI 2700x

4.1- L’ISO/CEI 27000

Cette norme a été publiée pour répondre au besoin de définir une terminologie pour les SMSI. Comme nous l’avons vu précédemment, beaucoup de référentiels antérieurs à ISO/CEI 27001 ont été publiés ces dernières années.
Ces normes ne fournissent pas de notions, ni de vocabulaire commun, permettant une bonne compréhension des SMSI, c’est ce que propose l’ISO/CEI 27000.
L’ISO/CEI 27000 est structurée en trois parties. La première, définit 46 termes tels que, la confidentialité, l’intégrité, la disponibilité, l’authenticité, tous principalement axés sur l’appréciation et l’analyse des risques, des menaces, de la vulnérabilité, etc.
Par exemple, le mot risque est « la combinaison de la probabilité d’un événement et de ses conséquences ». La deuxième partie développe la notion de processus avec le modèle PDCA et présente les concepts propres aux SMSI comme par exemple, l’importance de l’engagement de la direction.
La troisième partie, est une présentation de l’ensemble des normes de la famille ISO/CEI 2700x.

4.2- L’ISO/CEI 27002

La norme propose sur onze chapitres, une liste de 133 mesures de sécurité accompagnées chacune de points à aborder pour la mise en place d’un SMSI.
Parmi ces chapitres, on a par exemple, la gestion des actifs, la sécurité physique, la sécurité des ressources humaines, la gestion des incidents, la continuité d’activité, la conformité etc. En résumé, l’ISO/CEI 27002 est un guide de bonnes pratiques, une série de préconisations concrètes, abordant les aspects tant organisationnels que techniques, qui permettent de mener à bien les différentes actions dans la mise en place d’un SMSI [8].

4.3- L’ISO/CEI 27003

Publiée en janvier 2010, ISO 27003 facilite la mise en œuvre du SMSI. Elle est utilisée en complément de la norme ISO 27001.
L’ISO 27003 propose cinq étapes pour implémenter le SMSI. Ces étapes concernent l’initialisation du projet, sa politique et son périmètre, l’analyse des exigences en matière de sécurité de l’information, l’appréciation des risques et enfin l’élaboration du SMSI.
Chacune de ces étapes est divisée en activités qui font l’objet d’une clause contenant :
– un résumé de l’activité (explication de l’étape en question),
– les entrées (tous les documents à utiliser au cours de l’étape),
– les recommandations (détail des points à aborder),
– les sorties (liste des livrables à produire).
En résumé, ISO 27003 propose un grand nombre de points à aborder et énumère les documents à produire et à consulter. Notons que ISO/CEI 27003 reprend les lignes directrices de la norme ISO/CEI 13335 devenue aujourd’hui obsolète.

4.4- L’ISO/CEI 27004

Cette norme concerne la gestion des indicateurs. L’utilisation d’indicateurs dans le domaine de la sécurité est nouvelle. La norme ISO/CEI 27001 impose leur mise en place dans le SMSI mais sans préciser comment et lesquels utiliser.
En utilisant les mesures des indicateurs l’objectif est d’identifier les points du SMSI qui nécessitent une amélioration ou une correction.

4.5- L’ISO/CEI 27005

Une des étapes du PDCA les plus difficiles à mettre en œuvre est « l’appréciation des risques7». L’ISO/CEI 27001 fixe des objectifs à atteindre pour être en conformité avec la norme, mais ne donne aucune indication sur les moyens d’y parvenir.
Nous verrons qu’il existe un nombre important de méthodes d’appréciation des risques qui offrent une démarche formelle et pragmatique.
Néanmoins, l’ISO/CEI a souhaité proposer sa propre méthode avec la norme ISO/CEI 27005. L’objectif n’est pas de remplacer ou rendre obsolètes les méthodes existantes mais d’harmoniser le vocabulaire employé. L’ISO/CEI 27005 est constituée de douze chapitres.
Les points les plus importants sont traités dans les chapitres sept à douze.
Les normes de la famille ISO/CEI 2700x
Chap. 7, établissement du contexte
Chap. 8, appréciation du risque
Chap. 9, traitement du risque
Chap. 10, acceptation du risque
Chap. 11, communication du risque
Chap. 12, surveillance et révision du risque
En complément de ces chapitres, viennent s’ajouter six annexes proposant des explications plus détaillées qui présentent des listes de menaces et vulnérabilités types.
L’ISO/CEI 27005 peut aussi servir de référence aux organismes qui cherchent à évaluer une méthode d’appréciation des risques [9].

4.6- L’ISO/CEI 27007

Cette norme est à l’état de brouillon « WD8 ». On peut cependant avancer qu’elle sera le pendant de la norme générique ISO 190119 pour les SMSI.
L’ISO/CEI 27007 donnera les lignes directrices pour auditer les SMSI.

4.7- L’ISO/CEI 27008

A l’état de WD, l’ISO/CEI 27008 traitera de l’audit des SMSI en proposant un guide qui permettra de contrôler les mesures de sécurité.
Elle fournira pour chacune des mesures de sécurité de la 27002, des moyens d’analyse des besoins en contrôle, en tenant compte de l’importance des risques et des actifs. On pourra ainsi déterminer les mesures à contrôler.
Ces points sont importants car les auditeurs internes ou externes doivent contrôler des mesures aussi variées que la gestion des mots de passe, la procédure de gestion des incidents et le suivi de législation en vigueur.

4.8- L’ISO/CEI 27006

Cette norme est une reprise enrichie de la norme ISO 1702110. Etant destinée aux cabinets d’audit en charge de certifier les organismes, l’ISO/CEI 27006 est moins connue que l’ISO/CEI 27001 qui s’adresse directement aux organismes souhaitant mettre en place un SMSI.
L’ISO/CEI 27006 fournit aux organismes de certification les exigences qu’ils doivent faire respecter pour attribuer à leurs clients une certification.
Ces exigences sont par exemple : instaurer des mesures pour garantir la confidentialité des données relatives à leurs clients, établir des procédures appropriées pour certifier le SMSI ou encore vérifier régulièrement que les auditeurs soient compétents en matière de sécurité de l’information.
Les exigences ne décrivent cependant pas comment l’organisme peut parvenir à la mise en place d’un SMSI. L’organisme doit pour cela procéder à un certain nombre de tâches telles que réaliser un audit des risques, trouver des indicateurs, mettre en œuvre les mesures de sécurité etc.
L’organisme a par conséquent besoin d’un guide de bonnes pratiques pour mener à bien son SMSI, et c’est précisément le rôle des normes ISO/CEI 27002 à ISO/CEI 27008.

4.9- Normes ISO/CEI 270xx en préparation

Le tableau 1 ci-dessous donne un aperçu des domaines qui seront couverts par les normes de la famille ISO/CEI 270xx.

PROJETSECTEUR D’ACTIVITE
ISO/CEI 27010Gestion de la communication inter secteur
ISO/CEI 27031Continuité d’activité
ISO/CEI 27032Cyber sécurité
ISO/CEI 27033Sécurité réseau
ISO/CEI 27034Sécurité des applications
ISO/CEI 27035Gestion des incidents
ISO/CEI 27036Audit des mesures de sécurité du SMSI
ISO/CEI 27037Gestion des preuves numériques

Tableau 1 : Normes ISO/CEI 270xx en préparation
Il est à noter que certains secteurs comme les télécommunications ou le domaine médical ont développé des normes plus spécifiques à leur métier, ISO/CEI 27011 et ISO/CEI 27799.
Mise en œuvre d’un système de management de la sécurité de l’information (SMSI)
Mémoire Pour l’obtention d’un Diplôme de Mastère Professionnel
Université Virtuelle de Tunis – Mastère en Optimisation et Modernisation des Entreprises
________________________________
7 L’appréciation des risques est l’étape 2 de la phase PLAN du PDCA proposé par l’ISO/CEI 27001.
8 WD (working draft) est l’état « projet » de la norme avant sa publication.
9 ISO 19011 fournit des conseils sur les principes de l’audit, le management des programmes d’audit, la réalisation d’audits de systèmes de management. C’est une norme générique qui peut s’appliquer à différents types de systèmes de management.
10 ISO 17021 spécifie les principes et les exigences relatives à la compétence, à la cohérence et à l’impartialité lors des audits et lors de la certification de systèmes de management de tous types, ISO 27001 pour les SMSI, 9001 pour le management ou 14001 pour l’environnement.

Rechercher
Télécharger ce mémoire en ligne PDF (gratuit)

Laisser un commentaire

Votre adresse courriel ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Scroll to Top