Accueil » sooizinsights » La norme ISO 27001

La norme ISO 27001

ISO 27001 Tout comme les requins utilisent leurs sens aiguisés pour évaluer leur environnement avant de s'engager, les organisations emploient des outils d'analyse de risque pour examiner leur paysage de sécurité, identifier les vulnérabilités et planifier des contre-mesures efficaces.

ISO 27001 est une norme internationale qui spécifie des exigences de conformité pour l’établissement, la mise en œuvre, le maintien et l’amélioration continue d’un système de management de la sécurité de l’information (SMSI).

Le SMSI est conçu pour aider à gérer les risques liés à l’IT et à protéger la confidentialité, l’intégrité et la disponibilité de l’information (CID).

Certificat ISO 27001

A qui s’adresse cette norme ?

La norme 27001 s’adresse à toutes les organisations qui souhaitent améliorer la sécurité de leurs informations, quelque soit leur taille ou leur secteur d’activité.

La mise en place d’un SMSI conforme à la norme ISO 27001 permet également de structurer une organisation, du fait de son approche par processus.

Objectifs d’ISO 27001

Le principal objectif de ISO 27001 est de protéger les systèmes d’information contre les menaces potentielles et les vulnérabilités, et de minimiser le risque de failles de sécurité.

Cela permet non seulement de sécuriser les informations mais aussi de renforcer la confiance des clients, des parties prenantes et des investisseurs en démontrant un engagement clair envers la sécurité de l’information.

Qu’est-ce qu’un SMSI ?

SMSI signifie Système de Management de la Sécurité de l’Information. En Anglais on parle d’ISMS pour Information Security Management System.

Le SMSI est un ensemble de politiques, de procédures, d’instructions et d’enregistrements, soit un ensemble de documents. Ils décrivent la manière dont la sécurité de l’information doit être gérée au sein de l’organisation.

Le SMSI traite de la sécurité de l’information dans son ensemble. Là ou la cybersécurité se concentre sur la protection des informations numériques uniquement, ISO 27001 s’attache à protéger l’ensemble les informations numériques mais également sous d’autres supports. Cela peut être le papier par exemple, et les moyens de transfert des informations, comme la transmission orale d’informations.

On trouvera donc par exemple dans un SMSI une politique de classification, de traitement et de transfert de l’information. Cette politique décrira des niveaux de classification de la confidentialité des informations (par exemple Public, Confidentiel, Restreint). Elle devra décrire également comment sont taguées les informations avec cette classification, qui est habilité à les consulter, comment chaque information peut-être stockée, transmise etc…

Cette politique pourra être revue régulièrement suivant une procédure. Cette dernière définira la périodicité et la manière dont les documents sont revus, ainsi que les acteurs responsables de cette revue.

Une instruction pourra venir détailler la manière dont les documents doivent être revus.

Enfin, dans le cadre du contrôle et de la surveillance, on pourra mettre en place des indicateurs et enregistrements. Ils serviront à mesurer et à contrôler que notre politique et notre procédure sont bien réalisés et efficaces.

La famille 27001

Famille ISO 27000
ISO 27001 , 27002, 27005

La norme 27001 s’inscrit dans la famille des normes ISO 27000.

2 normes de cette famille sont certifiantes : la 27006 pour les organismes de certification, et la 27001.

Si vous envisagez de passer la certification ISO 27001, procurez-vous également la norme ISO 27002. Il s’agit d’un guide de bonnes pratiques associé aux mesures de sécurité de l’annexe A de la 27001.

ISO 27005 est un guide quant à la gestion des risques, elle peut être intéressante également à consulter.

Les normes sont disponibles à l’achat en France sur le site de l’AFNOR.

Le contenu de la norme ISO 27001

La norme ISO 27001 est un document de 30 pages, dont 19 concernent la norme à proprement parlé.

Les clauses de 4 à 10 qui sont les Exigences pour l’établissement d’un SMSI :

  • Contexte de l’Organisation
  • Leadership
  • Planification
  • Supports
  • Fonctionnement
  • Évaluation de la performance
  • Amélioration

La norme est structurée autour de plusieurs composants clé :

  • Évaluation du risque : Identification et évaluation des risques pour la sécurité des informations.
  • Mesures de sécurité : Définition et mise en œuvre des contrôles appropriés pour atténuer ou éliminer les risques identifiés.
  • Politique de sécurité : Création de politiques de sécurité qui définissent clairement les attentes et les exigences.
  • Engagement de la direction : Implication active de la direction dans la mise en œuvre, le maintien, et l’amélioration du SMSI.
  • Processus d’amélioration continue : ISO 27001 adopte l’approche Plan-Do-Check-Act (PDCA) pour assurer que le système de gestion de la sécurité de l’information est constamment revu et amélioré.

En savoir plus

Pour en savoir plus sur la norme ISO 27001, vous pouvez bien entendu vous procurer la norme via le site de l’AFNOR.

Vous pouvez également vous procurer le livre « Mon SMSI Facile » de Alexandre Lienard qui vulgarise plutôt bien le process d’implémentation d’un SMSI en vue d’une certification ISO 27001.

Enfin, je me tiens à votre disposition pour répondre à vos interrogations et éventuellement envisager un accompagnement à la mise en place de votre SMSI ISO 27001 !

Retour en haut