La norme ISO/CEI 27001 : Phase PLAN du PDCA

La norme ISO/CEI 27001 : Son approche en quatre phases (Plan, Do, Check, Act) – Deuxième partie :

1. Introduction

Pour être en conformité avec la norme ISO/CEI 27001, les SMSI doivent répondre à toutes les exigences comprises entre les chapitres 4 et 8 illustrés dans la figure 6 suivante [10]:



Figure 6: Structure de l’ISO/CEI 27001

– Le chapitre 5 concerne tout ce qui possède un rapport avec les responsabilités du management.
– Le chapitre 6 précise tout ce qui touche aux audits internes.
– Le chapitre 7 développe les aspects relatifs aux revues des différents éléments du SMSI.
– Le chapitre 8 définit les notions d’actions correctives et préventives.
– Le chapitre 4 est au centre de la norme, il regroupe les quatre phases du PDCA (PLAN, DO, CHECK, ACT) de la roue de Deming.

2. Phase « PLAN » du PDCA

La phase « Plan » du PDCA consiste à fixer les objectifs du SMSI en suivant quatre grandes étapes, la politique et le périmètre du SMSI, l’appréciation des risques, le traitement des risques décidé en tenant en compte des risques résiduels et la sélection des mesures de sécurité présentées dans le SoA11 (Statement of Applicability).

Dans la figure 7 ci-dessous, une vue du déroulement de la phase Plan.


Continue reading


Les normes de la famille ISO/CEI 2700x

4. Les normes de la famille ISO/CEI 2700x

Dans la famille ISO/CEI on trouve deux catégories de normes. Celles qui émettent des exigences : ISO/CEI 27001 et celles qui formulent des recommandations : ISO/CEI 27002. Notons que certaines normes sont encore en cours de rédaction, c’est le cas des normes ISO/CEI 27007 «Audit des SMSI » et ISO/CEI 27008 « Audit des mesures de sécurité ».

Comme représenté sur la figure 5 ci-dessous, la norme ISO/CEI 27001 est le centre de gravité des référentiels du SMSI. La norme ISO/CEI 27001 formule les exigences relatives aux SMSI et fournit une liste de mesures de sécurité pouvant être intégrées au système [7].



Figure 5: Normes de la famille ISO/CEI 2700x

4.1- L’ISO/CEI 27000

Cette norme a été publiée pour répondre au besoin de définir une terminologie pour les SMSI. Comme nous l’avons vu précédemment, beaucoup de référentiels antérieurs à ISO/CEI 27001 ont été publiés ces dernières années. Ces normes ne fournissent pas de notions, ni de vocabulaire commun, permettant une bonne compréhension des SMSI, c’est ce que propose l’ISO/CEI 27000.

L’ISO/CEI 27000 est structurée en trois parties. La première, définit 46 termes tels que, la confidentialité, l’intégrité, la disponibilité, l’authenticité, tous principalement axés sur l’appréciation et l’analyse des risques, des menaces, de la vulnérabilité, etc. Par exemple, le mot risque est « la combinaison de la probabilité d’un événement et de ses conséquences ».
La Continue reading

Les Systèmes de Management de la Sécurité de l’Information SMSI

3. Les SMSI (Systèmes de Management de la Sécurité de l’Information)

3.1- Les systèmes de management

La norme ISO 9000 définit le système de management comme : (…) un système permettant d’établir une politique, des objectifs et atteindre ces objectifs (…).

Un système de management peut être interprété comme un ensemble de mesures organisationnelles et techniques ciblant un objectif comme le montre la figure 3 ci- dessous.



Figure 3: Vue d’un système de management

Un système de management se caractérise par un engagement de l’ensemble des collaborateurs de l’organisme; quel que soit le périmètre du système sur l’activité de l’organisme, il nécessite l’implication de tous les métiers. A cette approche transversale doit s’associer une approche verticale. L’ensemble de la hiérarchie de l’organisme, de la direction jusqu’aux parties intéressées, c’est-à-dire les fournisseurs, partenaires et actionnaires doivent être engagés dans la mise en œuvre du système [4]. Une autre caractéristique des systèmes de management est la formalisation des politiques et procédures de l’organisme afin de pouvoir être audité.

Ces engagements ont un coût en ressources matérielles, humaines et financières.

Comment justifier cet investissement ? Les systèmes de management s’appuient sur des guides de bonnes pratiques, mécanismes d’amélioration continue favorisant la capitalisation sur les retours d’expérience, ce qui a pour effet d’accroitre la fiabilité. En outre, Continue reading


ISO et Historique des normes en matière de sécurité de l’information

2. Définitions

2.1- L’ISO (Organisation Internationale de Normalisation)

L’ISO est le fruit d’une collaboration entre différents organismes de normalisation nationaux. Au début du XXème siècle, L’American Institute of Electrical Engineer1 invite quatre autres instituts professionnels pour constituer une première organisation nationale, l’AESC (American Engineering Standards Committee) qui aura pour objectif de publier des standards industriels communs avant de prendre le nom d’ASA (American Standards Association) et d’établir des procédures standardisées pour la production militaire pendant la seconde guerre mondiale. En 1947, l’ASA, le BSI (British Standards Institute), l’AFNOR (Association Française de Normalisation) et les organisations de normalisation de 22 autres pays fondent l’Organisation Internationale de Normalisation (ISO).

A ce jour, l’ISO regroupe 157 pays membres, et coopère avec les autres organismes de normalisation comme le CEN (Comité européen de normalisation) ou la Commission Electronique Internationale2 (CEI). En 1987, l’ISO et le CEI créent le Joint Technical Committee (JTC1) pour la normalisation des Technologies de l’Information (TI). Le JTC1 allie les compétences de l’ISO en matière de langage de programmation et codage de l’information avec celles du CEI qui traitent du matériel tel que les microprocesseurs. Le JTC1 est composé de plusieurs comités techniques (SC) qui traitent de sujets tels que la biométrie, la téléinformatique, les interfaces utilisateurs ou encore les techniques de sécurité de l’information relatives aux normes de la série ISO/CEI 2700x. La figure 1 ci- dessous montre la structure hiérarchique des différents groupes de travail tel que le WG1 issu du JTC1/SC27 de l’ISO/CEI [1].


Continue reading

Mise en œuvre d’un système de management de la sécurité de l’information

”… Le travail de la mise en œuvre d’un système de management de la sécurité de l’information (SMSI), présenté dans ce rapport a été effectué dans le cadre de mon projet de fin d’études du Master Optimisation et Modernisation de l’Entreprise à l’Université … “

République Tunisienne
Ministère De L’enseignement Supérieur Et De La Recherche Scientifique
Université Virtuelle de Tunis

Mastère en Optimisation et Modernisation des Entreprises : MOME

Mémoire Pour l’obtention d’un Diplôme de Mastère Professionnel(1ère Promotion)

Mise en œuvre d’un système de management de la sécurité de l’information (SMSI)
au sein de l’Ambassade du Royaume du Maroc à Tunis

Encadré par :
– M. Moez Yeddes (UVT)
– M. Mounir Arjdal (Structure d’accueil)

Réalisé par :
Ali Ben Mouloud

Année universitaire :
2010 / 2011

RemerciementsJ’exprime toute ma reconnaissance et gratitude à l’administration et à l’ensemble du corps enseignant de l’Université Virtuelle de Tunis pour leurs efforts à nous garantir la continuité et l’aboutissement de ce programme de Master.

Je tiens à remercier aussi et chaleureusement mes encadreurs MM. Moez Yeddes et Mounir Arjdal ainsi que Son Excellence l’Ambassadeur du Roi du Maroc en Tunisie de m’avoir permis de mener ce travail au sein de l’Ambassade malgré la sensibilité du tel sujet dans une structure pareil.

Je remercie enfin tous ceux qui, d’une manière ou d’une autre, ont contribué à la réussite de ce travail et qui n’ont pas pu être cités ici.

Résumé :

Initialement, notre principale motivation était liée à la volonté de se démarquer dans le domaine de la protection des systèmes d’informations par la mise en place d’un premier Système de Management de la Sécurité de l’Information dans le secteur diplomatique. Continue reading