Généralités et concepts de base
Sécurité de l’information, cybersécurité et protection des données de vie privée - NF EN ISO/IEC 27001 : 2023

H5070 v3 Article de référence

Généralités et concepts de base
Sécurité de l’information, cybersécurité et protection des données de vie privée - NF EN ISO/IEC 27001 : 2023

Auteur(s) : Claude PINET

Date de publication : 10 juil. 2024 | Read in English

Cet article est réservé aux abonnés

Pour explorer cet article plus en profondeur Consulter l'extrait gratuit

Déjà abonné ?Se connecter

Sommaire
Médias

Présentation

1 - Généralités et concepts de base

1.1 - Sécurité, une exigence pour l’information
1.2 - Référentiels normatifs applicables
1.3 - Organisation des articles
1.4 - Rappels sur les instances officielles
1.5 - Concepts de base

2 - Série ISO/IEC 27000

3 - Norme ISO 27001

3.1 - Contexte
3.2 - Structure normative
3.3 - Contexte de l’organisation (article 4 de la norme)
3.4 - Leadership (article 5 de la norme)
3.5 - Planification (article 6 de la norme)

Figure 1 - Quatre cadrans du PDCA
3.6 - Supports (article 7 de la norme)
3.7 - Fonctionnement (article 8 de la norme)
3.8 - Évaluation de la performance (article 9 de la norme)
3.9 - Amélioration (article 10 de la norme)

4 - Déclaration d'applicabilité

4.1 - Annexe normative
4.2 - Objectifs et mesures de sécurité
4.3 - Thèmes sécurité imposés

Tableau 1 Tableau 2
4.4 - Comment y répondre ?

5 - Norme ISO 27002

6 - Recenser les actifs

6.1 - Qu’est-ce qu’un actif ?

Tableau 3
6.2 - Comment identifier un actif ?

Tableau 4
6.3 - Attribuer un propriétaire à un actif
6.4 - Comment utiliser correctement un actif ?
6.5 - Comment restituer un actif ?

7 - Identifier les risques

7.1 - Qu’est-ce qu’un risque ?
7.2 - Comment identifier un risque ?

8 - Analyser les risques

8.1 - Typologie d’impacts sur les actifs – Notion de DIC

9 - Évaluer les risques

9.1 - Critères d’importance de risque
9.2 - Évaluer l’impact d’un risque (gravité)

Tableau 5
9.3 - Évaluer la probabilité d’apparition d’un risque (fréquence)

Tableau 6
9.4 - Déterminer les risques acceptables

Tableau 7
9.5 - Approuver les risques résiduels
9.6 - Méthodes pour appréhender les risques

10 - Incidents de sécurité

11 - Conclusion

12 - Glossaire

Bibliographie & annexes

Présentation

RÉSUMÉ

La sécurité de l'information fait partie du périmètre de la normalisation (ISO et AFNOR). À savoir les normes suivantes : ISO/CEI 27001 Exigences pour la certification, ISO/CEI 27002 Code de pratiques, ISO/CEI 27005 Gestion des risques. La sécurité de l'information est organisée dans un Système de Management de la sécurité de l'Information (SMSI). La démarche méthodologique nécessite de recenser les actifs et d'analyser les risques au regard des trois facteurs : Disponibilité, Intégrité, Confidentialité. En fonction de l'impact (gravité) et de la probabilité d'apparition (fréquence) les risques seront classés soit acceptables soit risques résiduels. Les incidents de sécurité doivent être gérés. Des plans de traitement des risques contribuent à l'amélioration du SMSI.

Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.

Lire l’article

Auteur(s)

Claude PINET : Ingénieur diplômé du Conservatoire National des Arts et Métiers (CNAM) - Ingénieur européen EUR ING® - Responsable d’audit certifié IRCA (International Register of Certificated Auditors) n° 1182803 - Directeur fondateur CPI CONSEIL, France

INTRODUCTION

L’information constitue un capital très important pour tout organisme. Elle représente une ressource vitale pour exercer des activités. À ce titre, l’information nécessite la mise en place et la gestion d’une protection adaptée.

La sécurité de l’information a pour objectif de protéger celle-ci contre les nombreuses menaces qui pèsent sur elle, et peuvent entraîner la dégradation, ou l’interruption de la continuité de l’activité de l’organisme. Des mesures doivent être définies, mises en œuvre, suivies, réexaminées et améliorées afin d’atteindre un certain nombre d’objectifs dédiés à la sécurité.

Des processus particuliers doivent être définis et déployés pour y parvenir. Toutefois, ces derniers doivent s’organiser harmonieusement avec les autres processus dans le cadre du système de management global de l’organisme.

Afin de préciser les exigences de sécurité relatives à l’information, un référentiel normatif international a été élaboré. Bien évidemment, il est applicable aux différents systèmes qui traitent l’information.

Le contenu de cet article a été actualisé suite à la dernière version de la norme internationale NF EN ISO/IEC 27001 publiée au mois de janvier 2023. Cette troisième édition remplace la version de 2013, et incorpore les deux rectificatifs techniques ISO/IEC 27001 : 2013/Cor 1 : 2014 et ISO/IEC 27001 : 2013/Cor 2 : 2015. Le texte de l’annexe A a été aligné sur les mesures de sécurité de la dernière version de l’ISO/IEC 27002 : 2022.

Deux nouveaux termes ont été introduits :

la cybersécurité : pratique consistant à protéger les systèmes, les réseaux et les programmes contre les attaques numériques ; les cyberattaques visent généralement à accéder à des informations sensibles, à les modifier ou à les détruire, ou à interrompre les processus normaux d’une entreprise ;
la protection de la vie privée : le droit au respect de la vie privée est garanti par le Conseil constitutionnel ; il implique :
- le respect de l’intimité, du secret médical, du droit à l’image, etc.,
- des limites aux pratiques d’espionnage et d’enquête (comme les écoutes téléphoniques).

Cet article est réservé aux abonnés.
Il vous reste 93 % à découvrir.

Pour explorer cet article Consulter l'extrait gratuit

Déjà abonné ? Se connecter

MOTS-CLÉS

sécurité des systèmes d'informations SMSI systèmes d'information sécurité de l'information cybersécurité normalisation ISO/IEC 27001 protection de la vie privée

VERSIONS

Il existe d'autres versions de cet article :

Version archivée 1 de août 2012 par Claude PINET
Version archivée 2 de févr. 2015 par Claude PINET

DOI (Digital Object Identifier)

https://doi.org/10.51257/a-v3-h5070

Lecture en cours
Présentation

Page
suivante

Série ISO/IEC 27000

Article inclus dans l'offre

"Technologies logicielles Architectures des systèmes"

(236 articles)

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques.

Des contenus enrichis

Quiz, médias, tableaux, formules, vidéos, etc.

Des modules pratiques

Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.

Des avantages inclus

Un ensemble de services exclusifs en complément des ressources.

Voir l'offre

1. Généralités et concepts de base

Rappelons d’abord quelques fondements juridiques.

L’article 9 alinéa 1 du Code civil dispose que : « Chacun a droit au respect de sa vie privée. » Ainsi, chacun a le droit de s’opposer à la reproduction de son image, ou à la diffusion de tout commentaire relatif à sa vie privée.

Les principes de protection de la vie privée et des données personnelles sont inscrits aux articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne.

La directive 95/46/CE du Parlement européen et du Conseil vise à harmoniser la protection des libertés et des droits fondamentaux des personnes physiques en ce qui concerne les activités de traitement, et à assurer le libre flux des données à caractère personnel entre les États membres.

Le Règlement général de protection des données (RGPD) est un texte réglementaire européen qui encadre le traitement des données de manière égalitaire sur tout le territoire de l’Union européenne. Il est entré en application le 25 mai 2018.

1.1 Sécurité, une exigence pour l’information

De nombreuses menaces pèsent sur les organismes quel que soit leur type d’activité. Plus les moyens technologiques de traitement sont sophistiqués, et plus la probabilité de menace est élevée, et plus sa détection est difficile. Les sources de menace sont variées :

fraude informatique ;
espionnage ;
sabotage ;
accès non autorisé ;
usurpation d’identité ;
attaque de site ;
virus ;
chevaux de Troie ;
vandalisme ;
incendie ;
inondation ;
panne de matériel ;
déni de service ;
vol de données ;
etc.

Toutes ces vulnérabilités, avec leurs cortèges de conséquences néfastes, engendrent la peur. Elles peuvent en effet conduire à des situations dramatiques, jusqu’à mettre en danger la survie de l’organisme. Y faire face est une nécessité, qui incite à la prudence.

Le besoin de sécurité...

Cet article est réservé aux abonnés.
Il vous reste 95 % à découvrir.