Phase Act : mise à jour et amélioration du SMSI
ISO 27001 : management de la sécurité des systèmes d’information

G9062 v1 Archive

Phase Act : mise à jour et amélioration du SMSI
ISO 27001 : management de la sécurité des systèmes d’information

Auteur(s) : Gilles TENEAU, Nicolas DUFOUR

Date de publication : 10 oct. 2013

Cet article est réservé aux abonnés

Pour explorer cet article plus en profondeur Consulter l'extrait gratuit

Déjà abonné ?Se connecter

Sommaire
Médias

Présentation

1 - ISO 27001 et SMSI

1.1 - Système de management SMSI

Figure 1 - La roue de Deming Tableau 1
1.2 - Deux grands axes de la norme ISO 27001
1.3 - Lien de la norme ISO 27001 avec les autres normes

Tableau 2 Tableau 3

2 - Phase Plan : établissement et management du SMSI

2.1 - Détermination du périmètre et de la politique
2.2 - Définition d'une approche d’appréciation des risques
2.3 - Sélection des mesures de sécurité et déclaration d’applicabilité

3 - Phase Do : mise en œuvre et fonctionnement du SMSI

4 - Phase Check : surveillance et réexamen du SMSI

4.1 - Procédures de surveillance
4.2 - Objectif de l’audit

Figure 3 - Fiche d’écart Tableau 4

5 - Phase Act : mise à jour et amélioration du SMSI

5.1 - Processus d’amélioration du SMSI
5.2 - Contenu et usage d'une échelle d'évaluation des critères de sécurité des SI

Tableau 5

6 - Retours d’expérience

6.1 - Sécurisation de l'information et application du SMSI
6.2 - Audit sécurité
6.3 - Analyse des fiches d’écart

Tableau 6

7 - Conclusion

Bibliographie & annexes

Présentation

NOTE DE L'ÉDITEUR

La norme NF EN ISO 22301 de novembre 2014 citée dans cet article a été remplacée par la norme NF EN ISO 22301 (Z74-306) : Sécurité et résilience - Systèmes de management de la continuité
d'activité - Exigences (Révision 2019)
Pour en savoir plus, consultez le bulletin de veille normative VN1912 (Janvier 2020).

24/02/2020

Les normes NF ISO/IEC 17021-2 d'avril 2017 et NF ISO/IEC 17021-3 de novembre 2017 citées dans cet article sont remplacées par les normes NF EN ISO/IEC 17021-2 et -3 (X50-072-2 et -3) "Évaluation de la conformité - Exigences pour les organismes procédant à l'audit et à la certification des systèmes de management :
- Partie 2 : exigences de compétence pour l'audit et la certification des systèmes de management environnemental
- Partie 3 : exigences de compétence pour l'audit et la certification des systèmes de management de la qualité" (Révision 2018)
Pour en savoir plus, consultez le bulletin de veille normative VN1901 (janvier 2019).

14/03/2019

La norme ISO/IEC TS 17021-10 "Evaluation de la conformité - Exigences pour les organismes procédant à l'audit et à la certification des systèmes de management - Partie 10: Exigences de compétence pour l'audit et la certification des systèmes de management de la santé et de la sécurité au travail" (révision 2018) vient compléter la norme ISO/IEC 17021-1 citée dans cet article.

Pour en savoir plus, consultez le bulletin de veille normative VN1809 (octobre 2018).

11/01/2019

La norme NF EN ISO 19011 de janvier 2012 citée dans cet article a été remplacée par la norme NF EN ISO 19011 (X50-136) "Lignes directrices pour l'audit des systèmes de management" Révision 2018

Pour en savoir plus, consultez le bulletin de veille normative VN1806 (juillet 2018).

11/01/2019

La norme XP ISO/IEC TS 17021 citée dans cet article a été complétée par une partie 11 XP ISO/IEC TS 17021-11 (X50-072-11) : Evaluation de la conformité - Exigences pour les organismes procédant à l'audit et à la certification des systèmes de management - Partie 11 : exigences de compétence pour l'audit et la certification des systèmes de management de facility management (FM)(Révision 2019)
Pour en savoir plus, consultez le bulletin de veille normative VN1905 (mai 2019).

29/08/2019

RÉSUMÉ

L'objet de cet article est d'expliciter et de préciser la norme ISO 27001 portant sur le management de la sécurité de l'information. La norme envisage cet enjeu sous l'angle organisationnel et managérial en vue de son effectivité et de son efficacité. Si l'objet de la norme est d'aller vers la certification, celle-ci permet un cercle vertueux d'amélioration continue de la sécurité des systèmes d'information en vue de renforcer la confiance des diverses parties prenantes (clients, investisseurs, etc.) de l'organisme. L'article s'accompagne de commentaires, d'exemples et d'études de cas génériques visant à éclairer les lecteurs sur la mise en oeuvre de la norme.

Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.

Lire l’article

Auteur(s)

Gilles TENEAU : Docteur en sciences de gestion, enseignant CNAM IDF - Chargé de cours à Paris 13 (master Qualité, Sécurité, Environnement) - Consultant en organisation et formateur accrédité ITIL (APMG) - Société iCONS (Innovative Group)
Nicolas DUFOUR : Doctorant CNAM Lirsa, département Comptabilité Contrôle Audit - Enseignant Ifpass-Enass

INTRODUCTION

L’information, sa gestion et sa sécurité sont aujourd’hui plus que jamais des enjeux de management à part entière. Comme l’exprime Jérôme Denis l’informatique et sa sécurité impliquent un paradoxe qui consiste en un développement sans précédent de l’efficacité mais aussi de la fragilité technique des organisations. Les technologies de communication et systèmes d’information sont à la fois l’occasion de démultiplier la circulation d’informations dans une entreprise comme source d’avantage concurrentiel mais elles peuvent aussi la rendre vulnérable à certaines menaces. Les pratiques de management doivent désormais évoluer pour intégrer au niveau de la gouvernance même de l’entreprise la préoccupation d’une sécurisation de l’information de l’entreprise qui constitue un actif (immatériel) à part entière . Ces dernières sont un enjeu de management car elles impliquent des risques et un régime de fragilité permanente pour l’entreprise, pouvant impacter la qualité des biens et services fournis (notamment dans les délais de livraison, dans la fiabilité des informations fournies). Dans un monde interconnecté, l’information et les processus, les systèmes, les réseaux qui s’y rapportent constituent des actifs critiques de l’organisation. Les organisations et leurs systèmes et réseaux d’informations sont confrontés à des menaces pour la sécurité ayant de multiples sources, notamment la fraude assistée par ordinateur, l’espionnage, le sabotage, le vandalisme, les incendies et les inondations. Les dommages causés aux systèmes et aux réseaux d’information par des programmes malveillants, le piratage informatique et les attaques par saturation deviennent plus courants, plus ambitieux et de plus en plus sophistiqués.

Face à cela, la norme ISO 27001-2012 « Techniques de sécurité – Systèmes de gestion de la sécurité de l'information » a comme objectif de répondre à cet enjeu de management en envisageant la sécurité de l’information comme un projet transverse. Si l’objectif de la norme est d’aller vers la certification, celle-ci a bien pour enjeu un enrichissement des pratiques et l’établissement d’un management actif de la sécurité des systèmes d’information. Lequel, itératif, se doit d’intégrer les différentes parties prenantes de l’organisation à la fois dans une logique hiérarchique (Top Down-Bottom Up) mais aussi dans un axe transverse, en lien avec les processus de l’organisation.

La norme ISO 27001 est, à la base, issue de la série des normes ISO 27000. Cette norme décrit les exigences nécessaires à la mise en œuvre du système de management de la sécurité de l’information (SMSI).

Un projet de mise place d’une gestion de la sécurité est nécessairement transversal. Le service informatique ou la direction des systèmes d’information a une activité concernant de fait plusieurs autres directions et l’enjeu de sécurisation de l’information intègre nécessairement le lien avec les autres fonctions de la chaîne de valeur (qu’il s’agisse des fonctions supports comme des fonctions opérationnelles).

Le projet de sécurisation des systèmes d’information concerne encore toute l’échelle hiérarchique de l’organisme. La réussite du projet dépend essentiellement de l’implication de toutes les personnes concernées dans l’entreprise, de la direction générale au plus bas de l’échelle dans une approche de type gestion globale.

Le projet de mise en place de la sécurité des systèmes d’information suit la logique de la roue de Deming. Une phase PLAN, qui revient à fixer les objectifs, est composée de quatre grandes étapes : définition du périmètre et de la politique, appréciation des risques, traitement du risque, sélection des mesures de sécurité. Une phase DO qui comprend les étapes suivantes : planification du traitement des risques, génération d’indicateurs significatifs, formation et sensibilisation du personnel, gestion quotidienne du SMSI, détection et réaction aux incidents. La suite de norme ISO 27001 impose de mettre en place des moyens de contrôle. Il s’agit de la phase CHECK qui s’appuiera sur des procédures de surveillance, sur la fonction d’audit et le dispositif de contrôle interne ainsi que sur des revues managériales en vue de détecter d’éventuels écarts par rapport aux objectifs. Enfin, la phase ACT permettra de mener des actions correctives, préventives et d’amélioration. Le SMSI ainsi mis en place a alors vocation à être audité pour tendre ensuite vers une certification.

Cet article est réservé aux abonnés.
Il vous reste 93 % à découvrir.

Pour explorer cet article Consulter l'extrait gratuit

Déjà abonné ? Se connecter

VERSIONS

Il existe d'autres versions de cet article :

Version courante de avr. 2018 par Gilles TENEAU

DOI (Digital Object Identifier)

https://doi.org/10.51257/a-v1-g9062

CET ARTICLE SE TROUVE ÉGALEMENT DANS :

Accueil > Ressources documentaires > Archives > [Archives] Environnement > ISO 27001 : management de la sécurité des systèmes d’information > Phase Act : mise à jour et amélioration du SMSI

Lecture en cours
Présentation

Page
suivante

Retours d’expérience

Article inclus dans l'offre

"Sécurité et gestion des risques"

(485 articles)

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques.

Des contenus enrichis

Quiz, médias, tableaux, formules, vidéos, etc.

Des modules pratiques

Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.

Des avantages inclus

Un ensemble de services exclusifs en complément des ressources.

Voir l'offre

5. Phase Act : mise à jour et amélioration du SMSI

L’objectif de la norme dans sa phase Act est donc d’acquérir une bonne compréhension de la circulation de l’information dans l’organisme, principalement dans les zones sensibles pour la continuité opérationnelle .

5.1 Processus d’amélioration du SMSI

Le processus comprend sept étapes qui sont :

1. Conduire le SMSI ;

2. Analyser les risques ;

3. Gérer le traitement des risques ;

4. Contrôler l’efficacité ;

5. Gérer les incidents et l’efficacité ;

6. Former et sensibiliser ;

7. Gérer la documentation et les preuves.

HAUT DE PAGE

5.1.1 Étape 1 : conduire le SMSI

Le processus « d’amélioration du SMSI » est transverse à l’ensemble du SMSI. Il a pour objectif de définir la manière dont le SMSI va être géré. Il décrit les responsabilités concernant le fonctionnement du SMSI. Ses objectifs sont de gérer les revues de direction, elles sont décrites, ainsi que leurs objectifs. Elles sont souvent mises en place à fréquence annuelle ou semestrielle.

Revue de direction du SMSI

La direction de l’organisme doit, à intervalles planifiés (a minima une fois par an), procéder au réexamen du SMSI de l'organisme pour assurer qu'il demeure adapté à l’organisme et qu’il permet de couvrir les vrais risques auxquels ce dernier est exposé. Ce réexamen doit intégrer les marges de manœuvre en vue de l’évaluation et de l’amélioration du SMSI. Afin d’être « auditables » et de rester évaluables, les réexamens faits par la direction de l’entreprise doivent être documentés et conservés.

Indicateurs

Les indicateurs liés à ce processus sont :
- le taux de revues de direction réalisées par rapport aux réunions prévues :
  - principe :...

Cet article est réservé aux abonnés.
Il vous reste 94 % à découvrir.