ISO 27001 est une norme internationale qui spécifie des exigences de conformité pour l’établissement, la mise en œuvre, le maintien et l’amélioration continue d’un système de management de la sécurité de l’information (SMSI).
Le SMSI est conçu pour aider à gérer les risques liés à l’IT et à protéger la confidentialité, l’intégrité et la disponibilité de l’information (CID).
A qui s’adresse cette norme ?
La norme 27001 s’adresse à toutes les organisations qui souhaitent améliorer la sécurité de leurs informations, quelque soit leur taille ou leur secteur d’activité.
La mise en place d’un SMSI conforme à la norme ISO 27001 permet également de structurer une organisation, du fait de son approche par processus.
Objectifs d’ISO 27001
Le principal objectif de ISO 27001 est de protéger les systèmes d’information contre les menaces potentielles et les vulnérabilités, et de minimiser le risque de failles de sécurité.
Cela permet non seulement de sécuriser les informations mais aussi de renforcer la confiance des clients, des parties prenantes et des investisseurs en démontrant un engagement clair envers la sécurité de l’information.
Qu’est-ce qu’un SMSI ?
SMSI signifie Système de Management de la Sécurité de l’Information. En Anglais on parle d’ISMS pour Information Security Management System.
Système de management
Selon ISO 9000, 3.2.2, un système doit permettre d’établir une politique et des objectifs et d’atteindre ces objectifs
Le SMSI est un ensemble de politiques, de procédures, d’instructions et d’enregistrements, soit un ensemble de documents. Ils décrivent la manière dont la sécurité de l’information doit être gérée au sein de l’organisation.
Le SMSI traite de la sécurité de l’information dans son ensemble. Là ou la cybersécurité se concentre sur la protection des informations numériques uniquement, ISO 27001 s’attache à protéger l’ensemble les informations numériques mais également sous d’autres supports. Cela peut être le papier par exemple, et les moyens de transfert des informations, comme la transmission orale d’informations.
On trouvera donc par exemple dans un SMSI une politique de classification, de traitement et de transfert de l’information. Cette politique décrira des niveaux de classification de la confidentialité des informations (par exemple Public, Confidentiel, Restreint). Elle devra décrire également comment sont taguées les informations avec cette classification, qui est habilité à les consulter, comment chaque information peut-être stockée, transmise etc…
Cette politique pourra être revue régulièrement suivant une procédure. Cette dernière définira la périodicité et la manière dont les documents sont revus, ainsi que les acteurs responsables de cette revue.
Une instruction pourra venir détailler la manière dont les documents doivent être revus.
Enfin, dans le cadre du contrôle et de la surveillance, on pourra mettre en place des indicateurs et enregistrements. Ils serviront à mesurer et à contrôler que notre politique et notre procédure sont bien réalisés et efficaces.
Sécurité de l’information
La sécurité c’est assurer la disponibilité, l’intégrité et la confidentialité de l’information.
Et l’information en règle général, c’est à dire qu’elle soit sous forme numérique, papier, sur des tableaux blancs, communiquer à l’oral…
L’amélioration en continue
L’amélioration en continue est un des principe du SMSI.
Les actions doivent être préparées/planifiées, mises en œuvre, vérifiées et on doit réagir pour améliorer.
Plan, Do, Check, Act : PDCA ou roue de Deming.
Les risques
L’analyse des risques est une notion primordiale dans la mise en œuvre d’un SMSI. Elle va guider la mise en place des mesures afin de venir diminuer l’exposition aux risques.
Dans les grandes lignes, l’analyse des risques va prendre en compte les actifs informationnels et les actifs critiques pour la sécurité de l’information.
Pour chaque actif il faudra mesurer les risques impactant la disponibilité, l’intégrité et la confidentialité de l’information. Il faudra également déterminer la probabilité de leur occurrence.
La norme demande ensuite de traiter les risques. Il sera alors possible d’éviter un risque, de le partager, de le réduire, ou de l’accepter.
L’Annexe A et le guide associé ISO 27002 fourniront un référentiel de mesures afin de vous guider dans la mise en place de bonnes pratiques pour diminuer vos risques.
Le plan de traitement des risques permettra de suivre l’avancement des actions de diminution des risques.
Lors de la revue de direction, les risques résiduels devront être présentés à la direction pour approbation.
La famille 27001
La norme 27001 s’inscrit dans la famille des normes ISO 27000.
2 normes de cette famille sont certifiantes : la 27006 pour les organismes de certification, et la 27001.
Si vous envisagez de passer la certification ISO 27001, procurez-vous également la norme ISO 27002. Il s’agit d’un guide de bonnes pratiques associé aux mesures de sécurité de l’annexe A de la 27001.
ISO 27005 est un guide quant à la gestion des risques, elle peut être intéressante également à consulter.
Les normes sont disponibles à l’achat en France sur le site de l’AFNOR.
Le contenu de la norme ISO 27001
La norme ISO 27001 est un document de 30 pages, dont 19 concernent la norme à proprement parlé.
Les clauses de 4 à 10 qui sont les Exigences pour l’établissement d’un SMSI :
- Contexte de l’Organisation
- Leadership
- Planification
- Supports
- Fonctionnement
- Évaluation de la performance
- Amélioration
L’annexe A comporte 93 mesures de sécurité en 4 thèmes :
- 37 Mesures Organisationnelles
- 8 Mesures concernant les Personnes
- 14 Mesures Physiques
- 34 Mesures Technologiques
La norme est structurée autour de plusieurs composants clé :
- Évaluation du risque : Identification et évaluation des risques pour la sécurité des informations.
- Mesures de sécurité : Définition et mise en œuvre des contrôles appropriés pour atténuer ou éliminer les risques identifiés.
- Politique de sécurité : Création de politiques de sécurité qui définissent clairement les attentes et les exigences.
- Engagement de la direction : Implication active de la direction dans la mise en œuvre, le maintien, et l’amélioration du SMSI.
- Processus d’amélioration continue : ISO 27001 adopte l’approche Plan-Do-Check-Act (PDCA) pour assurer que le système de gestion de la sécurité de l’information est constamment revu et amélioré.
En savoir plus
Pour en savoir plus sur la norme ISO 27001, vous pouvez bien entendu vous procurer la norme via le site de l’AFNOR.
Vous pouvez également vous procurer le livre « Mon SMSI Facile » de Alexandre Lienard qui vulgarise plutôt bien le process d’implémentation d’un SMSI en vue d’une certification ISO 27001.
Enfin, je me tiens à votre disposition pour répondre à vos interrogations et éventuellement envisager un accompagnement à la mise en place de votre SMSI ISO 27001 !