ISO/CEI 27001

L'ISO/CEI 27001 est une norme internationale de système de gestion de la sécurité de l'information de l'ISO et la CEI. Publiée en octobre 2005 et révisée en 2013, son titre est "Technologies de l'information - Techniques de sécurité - Systèmes de gestion de sécurité de l'information - Exigences". Elle fait partie de la suite ISO/CEI 27000.

Dans sa version 2013, l'ISO 27001 est conforme à la nouvelle structure commune des normes de management de l'ISO, l'HLS (HLS : High Level Structure)^[1].

Objectifs

La norme ISO 27001, publiée en octobre 2005 et révisée en 2013, succède à la norme BS 7799-2 de BSI (British Standards Institution)^[2]. Elle s’adresse à tous les types d’organismes (entreprises commerciales, ONG, administrations…) La norme ISO/CEI 27001 décrit les exigences pour la mise en place d'un Système de Management de la Sécurité de l'Information (SMSI). Le SMSI recense les mesures de sécurité, dans un périmètre défini, afin de garantir la protection des actifs informationnels. L’objectif est de protéger les informations de toute perte, vol ou altération, et les systèmes informatiques de toute intrusion. Cela apportera la confiance des parties prenantes.

La norme précise que les exigences en matières de mesures de sécurité doivent être adéquates et proportionnées pour ne pas être ni trop laxistes ni trop sévères.

L'ISO/CEI 27001 énumère un ensemble de points de contrôles à respecter pour s'assurer de la pertinence du SMSI, permettre de l'exploiter et de le faire évoluer. Plus précisément, l'annexe A de la norme est composée des 114 mesures de sécurité de la norme ISO/CEI 27002 (anciennement ISO/IEC 17799), classées dans 14 sections. Comme pour les normes ISO 9001 et ISO 14001, il est possible de se faire certifier ISO 27001.

Un point a disparu par rapport à la norme BS 7799-2, l’ISO 27001 n’incorpore plus l’amélioration de la compétitivité, des cash flow, de la profitabilité, le respect de la réglementation et l’image de marque.

La version 2013 ne fait plus explicitement allusion au PDCA (ou roue de Deming), elle utilise la formulation « établir, implémenter, maintenir, améliorer »^[3].

La structure de la norme

La norme 27001 comporte 11 chapitres ; les exigences qu'ils contiennent doivent obligatoirement être respectées pour obtenir une certification.

Phase Plan

Fixe les objectifs du SMSI

La phase Plan du SMSI comprend 4 étapes :

Étape 1 : Définir la politique et le périmètre du SMSI

Périmètre : domaine d’application du SMSI. Son choix est libre, mais il doit être bien défini, car il doit comprendre toutes les activités pour lesquelles les parties prenantes exigent de la confiance.

Politique : niveau de sécurité (intégrité, confidentialité, disponibilité de l’information) qui sera pratiqué au sein de l’entreprise. La norme n’impose pas de niveau minimum de sécurité à atteindre dans le SMSI.

Le choix du périmètre et de la politique étant libre, ces deux éléments sont des « leviers de souveraineté » pour l’entreprise. Ainsi, une entreprise peut être certifiée ISO 27001 tout en définissant un périmètre très réduit et une politique de sécurité peu stricte et sans répondre aux exigences de ses clients en termes de sécurité.

Étape 2 : Identifier et évaluer les risques liés à la sécurité et élaborer la politique de sécurité

La norme ISO 27001 ne donne pas de directives sur la méthode d’appréciation des risques à adopter. Les entreprises peuvent donc en inventer une en veillant à bien respecter le cahier des charges ou en choisir une parmi les plus courantes notamment la méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) mise en place en France par l'ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information). Le cahier des charges relatif à l’appréciation des risques se développe en 7 points :

Identifier les actifs
Identifier les personnes responsables
Identifier les vulnérabilités
Identifier les menaces
Identifier les impacts
Évaluer la vraisemblance
Estimer les niveaux de risque

Étape 3 : Traiter le risque et identifier le risque résiduel par un plan de gestion

Il existe quatre traitements possibles de chacun des risques identifiés :

L’acceptation : ne mettre en place aucune mesure de sécurité supplémentaire car les conséquences de cette attaque sont faibles (exemple : vol d’un ordinateur portable ne comportant pas de données primordiales pour l’entreprise, piratage de la vitrine web…) Cette solution ne doit être que ponctuelle pour éviter la perte de confiance des parties prenantes.
L’évitement : politique mise en place si l’incident est jugé inacceptable
Le transfert : lorsque le risque ne peut pas être évité et qu’elle ne peut pas mettre en place les mesures de sécurité nécessaires elle transfère le risque par le biais de la souscription d’une assurance ou de l’appel à la sous-traitance.
La réduction : le rendre à un niveau acceptable par la mise en œuvre de mesures techniques et organisationnelles, solution la plus utilisée.

Lorsque la décision de traitement du risque est prise l’entreprise doit identifier les risques résiduels c’est-à-dire ceux qui persistent après la mise en place des mesures de sécurité. S'ils sont jugés inacceptables, il faut définir des mesures de sécurité supplémentaires.

Étape 4 : Choisir les mesures de sécurité à mettre en place

La norme ISO 27001 contient une annexe A qui propose 114 mesures de sécurité classées en 14 catégories (politique de sécurité, sécurité du personnel, contrôle des accès…) Cette annexe normative n'est qu’une liste qui ne donne aucun conseil de mise en œuvre au sein de l’entreprise.

Phase Do

Met en place les objectifs

Elle se découpe en plusieurs étapes :

Établir un plan de traitement des risques
Déployer les mesures de sécurité
Générer des indicateurs
- De performance pour savoir si les mesures de sécurité sont efficaces
- De conformité qui permettent de savoir si le SMSI est conforme à ses spécifications
Former et sensibiliser le personnel

Phase Check

Consiste à gérer le SMSI au quotidien et à détecter les incidents en permanence pour y réagir rapidement 3 outils peuvent être mis en place pour détecter ces incidents :

Les audits internes qui vérifient la conformité et l’efficacité du système de management. Ces audits sont ponctuels et planifiés.
Le contrôle interne qui consiste à s’assurer en permanence que les processus fonctionnent normalement.
Les revues (ou réexamens) qui garantissent l’adéquation du SMSI avec son environnement.

Phase Act

Mettre en place des actions correctives, préventives ou d’amélioration pour les incidents et écarts constatés lors de la phase Check

Actions correctives : agir sur les effets pour corriger les écarts puis sur les causes pour éviter que les incidents ne se reproduisent
Actions préventives : agir sur les causes avant que l’incident ne se produise
Actions d’amélioration : améliorer la performance d’un processus du SMSI.

Processus de certification

La certification n’est pas un but en soi, c’est-à-dire que l’organisme qui décide de mettre en place un SMSI en suivant les exigences de l’ISO 27001, n’a pas pour obligation de se faire certifier. Cependant, c’est l’aboutissement logique de l’implémentation d’un SMSI puisque les parties prenantes n’ont confiance qu’en un système certifié par un organisme indépendant.

La certification ISO 27001 se déroule sur un cycle de trois ans : l’audit initial, l’audit de surveillance et l’audit de renouvellement.

L’audit initial porte sur l’ensemble du SMSI. Sa durée est déterminée dans l’annexe C de la norme ISO 27006. L’auditeur ne donne pas la certification, il donne juste un avis qui sera étudié par un comité de validation technique, puis par un comité de certification. Ce n’est qu’après cela que le certificat initial est délivré pour une durée de trois ans. Dans le cas contraire, il y a un audit complémentaire dans le délai maximum de trois mois. L’organisme devra, durant ce délai, corriger les problèmes décelés lors de l’audit initial pour obtenir le certificat.

L’audit de surveillance a lieu pendant la période de validité du certificat (3 ans) afin de s’assurer que le SMSI est toujours valable. Il y en a un par an. L’audit porte notamment sur les écarts ou non-conformités relevés lors de l’audit initial ainsi que sur d’autres points :

le traitement des plaintes ;
l’état d’avancement des activités planifiées ;
la viabilité du SMSI ;
l’utilisation de la marque de l’organisation certificatrice ;
différentes clauses choisies par l’auditeur.

Si l’auditeur relève des non-conformités, le certificat sera suspendu voire annulé. L’organisme doit donc être perpétuellement mobilisé.

L’audit de renouvellement se déroule à l’échéance du certificat. Il porte sur les non-conformités du dernier audit de surveillance ainsi que sur la revue des rapports des audits de surveillance précédents et la revue des performances du SMSI sur la période.

Critique du standard

Avantages

Une description pratique et détaillée de la mise en œuvre des objectifs et mesures de sécurité.
Un audit régulier qui permet le suivi entre les risques initialement identifiés, les mesures prises et les risques nouveaux ou mis à jour, afin de mesurer l’efficacité des mesures prises.
Sécurité :

Processus d'amélioration continue de la sécurité, donc le niveau de sécurité a plutôt tendance à croître.
Meilleure maîtrise des risques
Diminution de l'usage des mesures de sécurité qui ne servent pas.

Une certification qui améliore la confiance avec les parties prenantes.
Homogénéisation : c’est un référentiel international. Cela facilite les échanges, surtout pour les entreprises qui possèdent plusieurs sites.
Processus simple et peu coûteux : réduction des coûts grâce à la diminution d'usage de mesures de sécurité inutiles et à la mutualisation des audits (baisse du nombre et de la durée des audits quand on obtient la certification).
La norme fournit des indicateurs clairs et fiables ainsi que des éléments de pilotage financier aux directions générales.
La norme permet d'identifier plus efficacement les risques et les coûts associés.

Limites

Parfois, faible expérience des organismes d'accréditation par rapport aux spécificités des enjeux en sécurité des systèmes d'information.
Relations commerciales prépondérantes (achat de certification, de conseil, de produits, de services), ce qui conduit à une dévalorisation du processus d’accréditation.
Durée courte pour les audits.
La définition et la mise en place d'une méthodologie sont des tâches lourdes.
L'application de cette norme ne réduit pas forcément de manière notable le risque en matière de piratage et de vols d'informations confidentielles. Les intervenants, notamment internes, connaissent les règles et peuvent ainsi plus aisément les contourner. Les normes sont inopérantes dans ce domaine.

Autour de la norme

Il existe toute une série de normes associées à l'ISO 27001, qui aident à la mise en place d'un SMSI.

ISO/CEI 27001 est, à l'origine, issue du standard britannique BS7799:2002 - Part 2.

Notes et références

↑ « HLS: La structure universelle des normes de management »,‎ 18 nov. 2014
↑ Norme ISO 27001 sur le site de BSI Group
↑ « ISO 27001:2013, comparatif avec la version 2005 » [PDF], sur club-27001.fr, p. 5

Voir aussi

Bibliographie

Alexandre Fernandez-Toro, Management de la sécurité de l'information : implémentation ISO 27001 : mise en place d'un SMSI et audit de certification, Paris, Eyrolles,‎ 2007

Liens externes

« ISO/IEC 27001:2013 », ISO, Organisation internationale de normalisation

Portail de la sécurité de l’information
Portail de la sécurité informatique

This article is issued from Wikipédia - version of the Thursday, October 01, 2015. The text is available under the Creative Commons Attribution/Share Alike but additional terms may apply for the media files.