ISO 27001 : management de la sécurité des systèmes d’information : Dossier complet

Cet article fait partie de l’offre Environnement

L'accès à une base complète d'articles actualisée et mise à jour en permanence

En ce moment 497 articles

Des services
et outils pratiques

100 % web consultable
sur tous les supports numériques

VOIR L'OFFRE

Quitter la lecture facile

RÉSUMÉ

L'objet de cet article est d'expliciter et de préciser la norme ISO 27001 portant sur le management de la sécurité de l'information. La norme envisage cet enjeu sous l'angle organisationnel et managérial en vue de son effectivité et de son efficacité. Si l'objet de la norme est d'aller vers la certification, celle-ci permet un cercle vertueux d'amélioration continue de la sécurité des systèmes d'information en vue de renforcer la confiance des diverses parties prenantes (clients, investisseurs, etc.) de l'organisme. L'article s'accompagne de commentaires, d'exemples et d'études de cas génériques visant à éclairer les lecteurs sur la mise en oeuvre de la norme.

ABSTRACT

ISO 27001: Information Security Management Systems

The aim of this article is to explain and clarify the ISO 27001 standard on the management of information security. This standard considers this issue from an organizational and managerial angle, in view of its effectiveness and efficiency. The purpose of the standard being certification, it ensures a virtuous circle of continuous improvement of the security of information systems in order to enhance the confidence of every actor involved (customers, investors, etc.). This article also provides commentaries, examples and generic case studies in order to inform readers on the implementation of the standard.

Auteur(s)

Gilles TENEAU : Docteur en sciences de gestion, enseignant CNAM IDF - Chargé de cours à Paris 13 (master Qualité, Sécurité, Environnement) - Consultant en organisation et formateur accrédité ITIL (APMG) - Société iCONS (Innovative Group)
Nicolas DUFOUR : Doctorant CNAM Lirsa, département Comptabilité Contrôle Audit - Enseignant Ifpass-Enass

INTRODUCTION

L’information, sa gestion et sa sécurité sont aujourd’hui plus que jamais des enjeux de management à part entière. Comme l’exprime Jérôme Denis l’informatique et sa sécurité impliquent un paradoxe qui consiste en un développement sans précédent de l’efficacité mais aussi de la fragilité technique des organisations. Les technologies de communication et systèmes d’information sont à la fois l’occasion de démultiplier la circulation d’informations dans une entreprise comme source d’avantage concurrentiel mais elles peuvent aussi la rendre vulnérable à certaines menaces. Les pratiques de management doivent désormais évoluer pour intégrer au niveau de la gouvernance même de l’entreprise la préoccupation d’une sécurisation de l’information de l’entreprise qui constitue un actif (immatériel) à part entière . Ces dernières sont un enjeu de management car elles impliquent des risques et un régime de fragilité permanente pour l’entreprise, pouvant impacter la qualité des biens et services fournis (notamment dans les délais de livraison, dans la fiabilité des informations fournies). Dans un monde interconnecté, l’information et les processus, les systèmes, les réseaux qui s’y rapportent constituent des actifs critiques de l’organisation. Les organisations et leurs systèmes et réseaux d’informations sont confrontés à des menaces pour la sécurité ayant de multiples sources, notamment la fraude assistée par ordinateur, l’espionnage, le sabotage, le vandalisme, les incendies et les inondations. Les dommages causés aux systèmes et aux réseaux d’information par des programmes malveillants, le piratage informatique et les attaques par saturation deviennent plus courants, plus ambitieux et de plus en plus sophistiqués.

Face à cela, la norme ISO 27001-2012 « Techniques de sécurité – Systèmes de gestion de la sécurité de l'information » a comme objectif de répondre à cet enjeu de management en envisageant la sécurité de l’information comme un projet transverse. Si l’objectif de la norme est d’aller vers la certification, celle-ci a bien pour enjeu un enrichissement des pratiques et l’établissement d’un management actif de la sécurité des systèmes d’information. Lequel, itératif, se doit d’intégrer les différentes parties prenantes de l’organisation à la fois dans une logique hiérarchique (Top Down-Bottom Up) mais aussi dans un axe transverse, en lien avec les processus de l’organisation.

La norme ISO 27001 est, à la base, issue de la série des normes ISO 27000. Cette norme décrit les exigences nécessaires à la mise en œuvre du système de management de la sécurité de l’information (SMSI).

Un projet de mise place d’une gestion de la sécurité est nécessairement transversal. Le service informatique ou la direction des systèmes d’information a une activité concernant de fait plusieurs autres directions et l’enjeu de sécurisation de l’information intègre nécessairement le lien avec les autres fonctions de la chaîne de valeur (qu’il s’agisse des fonctions supports comme des fonctions opérationnelles).

Le projet de sécurisation des systèmes d’information concerne encore toute l’échelle hiérarchique de l’organisme. La réussite du projet dépend essentiellement de l’implication de toutes les personnes concernées dans l’entreprise, de la direction générale au plus bas de l’échelle dans une approche de type gestion globale.

Le projet de mise en place de la sécurité des systèmes d’information suit la logique de la roue de Deming. Une phase PLAN, qui revient à fixer les objectifs, est composée de quatre grandes étapes : définition du périmètre et de la politique, appréciation des risques, traitement du risque, sélection des mesures de sécurité. Une phase DO qui comprend les étapes suivantes : planification du traitement des risques, génération d’indicateurs significatifs, formation et sensibilisation du personnel, gestion quotidienne du SMSI, détection et réaction aux incidents. La suite de norme ISO 27001 impose de mettre en place des moyens de contrôle. Il s’agit de la phase CHECK qui s’appuiera sur des procédures de surveillance, sur la fonction d’audit et le dispositif de contrôle interne ainsi que sur des revues managériales en vue de détecter d’éventuels écarts par rapport aux objectifs. Enfin, la phase ACT permettra de mener des actions correctives, préventives et d’amélioration. Le SMSI ainsi mis en place a alors vocation à être audité pour tendre ensuite vers une certification.

Lire l’article en entier

MOTS-CLÉS

KEYWORDS

VERSIONS

Il existe des versions antérieures de cet article :

Version courante de Apr 2018 par Gilles TENEAU

PERMALIEN

https://www.techniques-ingenieur.fr/base-documentaire/archives-th12/archives-environnement-tiag0/archive-1/iso-27001-management-de-la-securite-des-systemes-d-information-g9062/

CET ARTICLE SE TROUVE ÉGALEMENT DANS :

Accueil > Ressources documentaires > Archives > [Archives] Sécurité et gestion des risques > ISO 27001 : management de la sécurité des systèmes d’information

Corps de l'article

BIBLIOGRAPHIE

(1) - BENNASAR (M.), CHAMPENOIS (A.), ARNOULD (P.) - Manager la sécurité du SI - Dunod (2007).
(2) - BOILEAU (T.) - SO 27001, un Système de Management de la Sécurité de l'information : Exemple de mise en œuvre d'un SMSI et sa plate-forme logicielle de supervision (Nagios – MRTG) au sein d'une PME - Éditions universitaires européennes (2012).
(3) - CALE (S.), TOUITOU (P.) - La sécurité informatique - Hermes Lavoisier (2007).
(4) - CASEAU (Y.) - Performance du système d’information - Dunod. 01 Informatique (2007).
(5) - DARSA (J.-D.) - La gestion des risques en entreprise, Identifier, comprendre, maîtriser - Gereso (2010).
(6) - DENIS (J.) - L'informatique et sa sécurité, Le souci de la fragilité technique, Réseaux - 171,...

DANS NOS BASES DOCUMENTAIRES

ANNEXES

1 Sites Internet
2 Normes et standards
3 Annuaire
1. 3.1 Organismes – Associations – Fédérations

1 Sites Internet

Site de l’ISO

http://www.iso.org/iso/fr

Site de l’AFNOR

http://www.afnor.org/en

Site dédié à l’ISO 27001

http://www.27001-online.com/

Site consacré à la gouvernance des SI (IT Gouvernance)

http://www.itgovernance.eu/c-17-iso27001

Site consacré à la certification ISO 27001 (LSTI)

http://www.lsti-certification.fr/index.php/les-smsi/iso-27001.html

Site consacré aux normes ISO 2700X

http://www.27000.org/

Site consacré à la certification ISO 27001 (Bureau Veritas)

http://www.bureauveritas.fr/wps/wcm/connect/bv_fr/local/services+sheet/certification+iso+27001

CLUb de la Sécurité de l’Information Français (CLUSIF)

http://www.clusif.asso.fr/

HAUT DE PAGE

2 Normes et standards

AFNOR

NF ISO/IEC 19011:2012 - Lignes directrices...

NORMES CITÉES DANS CET ARTICLE

Les avantages et services compris dans votre offre

accès

Accès illimité aux
articles en HTML

Enrichis et mis à jour pendant
toute la durée de la souscription

Téléchargement des articles
au format PDF

Pour un usage en toute liberté

Consultation sur tous
les supports numériques

Des contenus optimisés pour
ordinateurs, tablettes et mobiles

services et outils pratiques

Questions aux experts

Les meilleurs experts techniques
et scientifiques vous répondent

Articles découverte

La possibilité de consulter des
articles en dehors de votre offre

Dictionnaire technique multilingue

45 000 termes en français, anglais,
espagnol et allemand

	Licence annuelle monoposte	Licence pluriannuelle et/ou multiposte
Droit d'accès
Accès HTML aux articles	Illimité	Illimité
Téléchargement des versions pdf	5 / jour	> 5 / jour (2)
Consultation sur tous les supports	Oui	Oui
Les services
Questions aux experts (1)	4 / an	> 4 / an (2)
Articles découverte	5 / an	> 5 / an (2)
Dictionnaire technique multilingue	Oui	Oui
Archives	Oui	Oui
Impression à la demande	45 € / exemplaire	45 € / exemplaire
Infos mise à jour	Oui	Oui
	AJOUTER AU PANIER	DEMANDER UN DEVIS