Présentation
RÉSUMÉ
A la fin des années 1990, le British Standard Institution publie un document qui précise les exigences de mise en oeuvre d'un système de management de la sécurité de l'information (SMSI). Aujourd'hui ce document est devenu la série des normes ISO 27000. Il repose sur un ensemble de définitions, de recommandations, d'exigences de sécurité. Ces normes sont applicables au système d'information de la sécurité et à certains domaines spécifiques. Le SMSI apporte les garanties sur la capacité de l'entreprise à maîtriser les coûts et les priorités en matière d'investissements et d'orientations budgétaires au regard des enjeux business et des risques de sécurité.
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleABSTRACT
At the end of the 1990s the British Standards Institution published a document specifying the requirements for the implementation of the Information System Management of Security (ISMS). This document has now become the series of ISO 27000 standards. It is based on a set of definitions, recommendations, and safety requirements. These standards can be applied to the security information system as well as to specific areas. The ISMS provides guarantees on the company's ability to control costs and priorities in terms of investment and budget policies concerning business challenges and security risks.
Auteur(s)
-
Gilles TENEAU : Docteur en sciences de gestion, professeur associé ISC Paris - Chargé de cours à Paris 13 (Master Qualité, Sécurité, Environnement) - Consultant en organisation et Formateur accrédité ITIL (APMG)
-
Nicolas DUFOUR : Enseignant à l'École nationale d'assurance (ifpass – Enass) - Doctorant Conservatoire des Arts et Métiers
INTRODUCTION
Depuis le début des années 2000 la famille des normes ISO 27000 (sécurité des systèmes d’information) n’a cessé de s’agrandir. Nous cherchons à répondre aux questions que peut se poser un RSSI (responsable de la sécurité des systèmes d’information) :
-
comment auditer la sécurité des SI : ISO 27001 ;
-
comment construire un SMSI (système de management de la sécurité de l'information) : ISO 27003 ;
-
quelle démarche adopter pour gérer les risques : ISO 27005 ;
-
comment faire pour gérer la continuité d’activité suite à un désastre : ISO 27031 ;
-
comment gérer les incidents de sécurité : ISO 27035.
Autant de questions qui peuvent trouver leur réponse dans la série des normes ISO 27000.
Du point de vue de Sylvain Laborde, auditeur ISO 27001, un projet de mise place d’une gestion de la sécurité est un projet transversal ; si le service informatique est, de fait, concerné, plusieurs autres directions peuvent être impactées. Le projet concerne toute l’échelle hiérarchique de l’organisme. La réussite du projet dépend essentiellement de l’implication de toutes les personnes concernées dans l’entreprise, de la direction générale au plus bas de l’échelle.
Un projet de mise en place de la sécurité des systèmes d’information suit la logique de la roue de Deming. Une phase PLAN, qui revient à fixer les objectifs, est composée de quatre grandes étapes : définition du périmètre et de la politique, appréciation des risques, traitement du risque, sélection des mesures de sécurité. Une phase DO qui comprend les étapes suivantes : planification du traitement des risques, génération d’indicateurs significatifs, formation et sensibilisation du personnel, gestion quotidienne du SMSI, détection et réaction aux incidents. La suite de normes ISO 2700x impose de mettre en place des moyens de contrôle, c’est la phase CHECK (qui s’appuiera sur des audits, un contrôle, des revues) ; si des écarts sont constatés par rapport aux objectifs, la phase ACT permettra de mener des actions correctives, préventives et d’amélioration.
L’implémentation d’un système de management de la sécurité est la garantie de l’adoption de bonnes pratiques, de l’augmentation de la fiabilité et la certification par un organisme indépendant assurera l’apport de la confiance des parties prenantes de l’entreprise (clients, fournisseurs, actionnaires, banques, autorités...). La série ISO 27000 est en cours de finalisation, elle fait l’unanimité au niveau international. Cette norme commence à intéresser de plus en plus d’entrepreneurs français, non seulement par son caractère normatif mais également parce qu’elle s’avère complémentaire d’un autre référentiel qui connait un engouement important dans le monde : ITIL.
Un glossaire est présenté en fin d'article.
MOTS-CLÉS
sécurité des systèmes d'informations SMSI industrie banque services publics qualité risques
KEYWORDS
security of informations systems | ISMS | industry | bank | public services | quality | risk
VERSIONS
- Version courante de avr. 2018 par Gilles TENEAU
DOI (Digital Object Identifier)
CET ARTICLE SE TROUVE ÉGALEMENT DANS :
Accueil > Ressources documentaires > Archives > [Archives] Sécurité et gestion des risques > Normes ISO 2700x : vers la gouvernance de la sécurité des systèmes d’information > Concepts, termes et définitions
Accueil > Ressources documentaires > Archives > [Archives] Technologies logicielles et architecture des systèmes > Normes ISO 2700x : vers la gouvernance de la sécurité des systèmes d’information > Concepts, termes et définitions
Accueil > Ressources documentaires > Archives > [Archives] Environnement > Normes ISO 2700x : vers la gouvernance de la sécurité des systèmes d’information > Concepts, termes et définitions
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(76 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Présentation
1. Concepts, termes et définitions
Les termes et définitions sont issus, pour la majeure partie, du vocabulaire de l’ISO 27002.
1.1 Définitions générales
Actif : est défini comme « tout élément représentant de la valeur pour l'organisation ».
un employé, un ordinateur, un serveur, une voiture de fonction.
Disponibilité : « propriété d'être accessible et utilisable à la demande par une entité autorisée ».
s’assurer que le service sera disponible selon les accords de niveau de service qui ont été contractualisés.
Intégrité : « propriété de protection de l'exactitude et de la complétude des actifs ».
veiller à ce que les éléments fournis soient complets.
Confidentialité : « propriété selon laquelle l'information n'est pas rendue disponible ou divulguée à des personnes, des entités ou des processus non autorisés ».
les données sont protégées par un identifiant et un mot de passe.
Fiabilité : « propriété relative à un comportement et des résultats prévus et cohérents ».
le nouveau système d’exploitation est assuré de faire les tâches pour lesquelles il a été conçu, il ne doit pas subir d’arrêt.
Menace : « cause potentielle d'un incident indésirable, qui peut nuire à un système ou à une organisation ».
les fils électriques dénudés sont un danger pour la sécurité des employés, risques d’incendie ou d’électrocution.
Vulnérabilité : « faille dans un actif ou dans une mesure de sécurité qui peut être exploitée par une menace ».
les données informatiques doivent être protégées des hackers, les données indiquent la vulnérabilité et les hackers sont la menace.
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(76 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Concepts, termes et définitions
BIBLIOGRAPHIE
-
(1) - BALANTZIAN (G.) - Le plan de gouvernance du SI - Dunod (2006).
-
(2) - BENNASAR (M.), CHAMPENOIS (A.), ARNOULD (P.) - Manager la sécurité du SI - Dunod (2007).
-
(3) - CALE (S.), TOUITOU (P.) - La sécurité informatique - Hermes Lavoisier (2007).
-
(4) - CASEAU (Y.) - Performance du système d’information - Dunod 01 Informatique (2007).
-
(5) - GITLOW (H.), GITLOW (S.) - Le guide DEMING pour la qualité et la compétitivité - AFNOR Gestion (1991).
-
(6) - JOING (J.-L.) - * - . – Auditer l'éthique et la qualité. Pour un développement durable ! Afnor (2003).
-
...
DANS NOS BASES DOCUMENTAIRES
NORMES
-
Lignes directrices pour l'audit des systèmes de management de la qualité et/ou de management environnemental. Norme française homologuée. Ed AFNOR. - NF EN ISO 19011:2002 -
-
Systèmes de management de la sécurité de l'information – Vue d'ensemble et vocabulaire. Norme française homologuée. Ed AFNOR. - NF ISO/IEC 27000:2009 -
-
Systèmes de management de la sécurité de l'information – Exigences. Norme française homologuée. Ed AFNOR. - NF ISO/IEC 27001:2005 -
-
Code de bonne pratique pour le management de la sécurité de l'information. Norme française homologuée. Ed AFNOR. - NF ISO/IEC 27002:2005 -
-
Gestion des risques liés à la sécurité de l'information. Norme française homologuée. Ed AFNOR. - NF ISO/IEC 27005:2011 -
ANNEXES
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(76 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive