Présentation

Article

1 - CONCEPTS, TERMES ET DÉFINITIONS

  • 1.1 - Définitions générales
  • 1.2 - Qualité
  • 1.3 - Management du risque
  • 1.4 - Gestion des incidents
  • 1.5 - Qu’est-ce qu’une norme

2 - INFORMATION ET SYSTÈME DE MANAGEMENT DE LA SÉCURITÉ DE L’INFORMATION

3 - À L’ORIGINE LE SOUS-COMITÉ ISO/JTC1/SC27

4 - ISO 2700X, UNE FAMILLE NOMBREUSE

5 - EXEMPLES D’INTERVENTION

6 - CONCLUSION

7 - ANNEXES

| Réf : G9060 v1

À l’origine le sous-comité ISO/JTC1/SC27
Normes ISO 2700x : vers la gouvernance de la sécurité des systèmes d’information

Auteur(s) : Gilles TENEAU, Nicolas DUFOUR

Date de publication : 10 avr. 2013

Pour explorer cet article
Télécharger l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !

Sommaire

Présentation

RÉSUMÉ

A la fin des années 1990, le British Standard Institution publie un document qui précise les exigences de mise en oeuvre d'un système de management de la sécurité de l'information (SMSI). Aujourd'hui ce document est devenu la série des normes ISO 27000. Il repose sur un ensemble de définitions, de recommandations, d'exigences de sécurité. Ces normes sont applicables au système d'information de la sécurité et à certains domaines spécifiques. Le SMSI apporte les garanties sur la capacité de l'entreprise à maîtriser les coûts et les priorités en matière d'investissements et d'orientations budgétaires au regard des enjeux business et des risques de sécurité.

Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.

Lire l’article

Auteur(s)

  • Gilles TENEAU : Docteur en sciences de gestion, professeur associé ISC Paris - Chargé de cours à Paris 13 (Master Qualité, Sécurité, Environnement) - Consultant en organisation et Formateur accrédité ITIL (APMG)

  • Nicolas DUFOUR : Enseignant à l'École nationale d'assurance (ifpass – Enass) - Doctorant Conservatoire des Arts et Métiers

INTRODUCTION

Depuis le début des années 2000 la famille des normes ISO 27000 (sécurité des systèmes d’information) n’a cessé de s’agrandir. Nous cherchons à répondre aux questions que peut se poser un RSSI (responsable de la sécurité des systèmes d’information) :

  • comment auditer la sécurité des SI : ISO 27001 ;

  • comment construire un SMSI (système de management de la sécurité de l'information) : ISO 27003 ;

  • quelle démarche adopter pour gérer les risques : ISO 27005 ;

  • comment faire pour gérer la continuité d’activité suite à un désastre : ISO 27031 ;

  • comment gérer les incidents de sécurité : ISO 27035.

Autant de questions qui peuvent trouver leur réponse dans la série des normes ISO 27000.

Du point de vue de Sylvain Laborde, auditeur ISO 27001, un projet de mise place d’une gestion de la sécurité est un projet transversal ; si le service informatique est, de fait, concerné, plusieurs autres directions peuvent être impactées. Le projet concerne toute l’échelle hiérarchique de l’organisme. La réussite du projet dépend essentiellement de l’implication de toutes les personnes concernées dans l’entreprise, de la direction générale au plus bas de l’échelle.

Un projet de mise en place de la sécurité des systèmes d’information suit la logique de la roue de Deming. Une phase PLAN, qui revient à fixer les objectifs, est composée de quatre grandes étapes : définition du périmètre et de la politique, appréciation des risques, traitement du risque, sélection des mesures de sécurité. Une phase DO qui comprend les étapes suivantes : planification du traitement des risques, génération d’indicateurs significatifs, formation et sensibilisation du personnel, gestion quotidienne du SMSI, détection et réaction aux incidents. La suite de normes ISO 2700x impose de mettre en place des moyens de contrôle, c’est la phase CHECK (qui s’appuiera sur des audits, un contrôle, des revues) ; si des écarts sont constatés par rapport aux objectifs, la phase ACT permettra de mener des actions correctives, préventives et d’amélioration.

L’implémentation d’un système de management de la sécurité est la garantie de l’adoption de bonnes pratiques, de l’augmentation de la fiabilité et la certification par un organisme indépendant assurera l’apport de la confiance des parties prenantes de l’entreprise (clients, fournisseurs, actionnaires, banques, autorités...). La série ISO 27000 est en cours de finalisation, elle fait l’unanimité au niveau international. Cette norme commence à intéresser de plus en plus d’entrepreneurs français, non seulement par son caractère normatif mais également parce qu’elle s’avère complémentaire d’un autre référentiel qui connait un engouement important dans le monde : ITIL.

Un glossaire est présenté en fin d'article.

Cet article est réservé aux abonnés.
Il vous reste 94% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

VERSIONS

Il existe d'autres versions de cet article :

DOI (Digital Object Identifier)

https://doi.org/10.51257/a-v1-g9060


Cet article fait partie de l’offre

Sécurité et gestion des risques

(477 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Présentation

3. À l’origine le sous-comité ISO/JTC1/SC27

Les institutions de normalisation sont apparues aux États-Unis au début des années 1900. Une des premières institutions est l’American Institute of Electrical Engineers (aujourd’hui l’IEEE, Institute of Electrical and Electronics Engineers). La première norme à être approuvée est américaine ; elle a vu le jour en 1916 dans l’American Standard Safety Code. Il s’agit d’une norme qui traite de la protection des yeux et de la tête des ouvriers du monde industriel. L’armée américaine a été la principale grande administration à formaliser un ensemble de normes en créant le Military Standard. L’International Organization for Standardization – ISO – est apparue après-guerre (1947) : 25 pays la composent, et plus précisément les institutions professionnelles des pays. L’ISO est basée à Genève (Suisse) et regroupe l’ensemble des normes internationales.

Les champs de l'ISO se trouvent dans de nombreux domaines et champs de compétences. L’ISO a développé une instance datant de 1987 et dénommée « JTC1 » (Joint Technical Committee). Elle traite du domaine des TI (Technologies de l'Information). Parmi les thèmes traités au sein du comité technique de normalisation, le sous-comité JTC1/SC27 (voir figure 5) – celui qui nous préoccupe dans cet article – concerne les techniques de sécurité, il est aujourd'hui l'un des plus actifs.

  • Groupe WG1 : il s’intéresse aux « exigences, services de sécurité et directives » (« Requirements, security services and guidelines »). C’est ce groupe de travail qui a travaillé sur les normes ISO/IEC 2700x (dont ISO/IEC 27001, 27002, 27005...) traitant respectivement des exigences et des bonnes pratiques pour la mise en place d'un système de management de la sécurité de l'information « SMSI », le terme le plus couramment utilisé étant ISMS (Information Security Management System).

    La sécurité de l’information est une préoccupation importante au sein des organisations. Le British Standard Institute (BSI) fut, en 1995, le premier organisme à publier une norme dans ce domaine, appelée BS 7799, qui définissait les bonnes pratiques pour la sécurité des systèmes d’information. L’ISO a publié de nombreuses normes, telle que la norme ISO 17799,...

Cet article est réservé aux abonnés.
Il vous reste 92% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Sécurité et gestion des risques

(477 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
À l’origine le sous-comité ISO/JTC1/SC27
Sommaire
Sommaire

BIBLIOGRAPHIE

  • (1) - BALANTZIAN (G.) -   Le plan de gouvernance du SI  -  Dunod (2006).

  • (2) - BENNASAR (M.), CHAMPENOIS (A.), ARNOULD (P.) -   Manager la sécurité du SI  -  Dunod (2007).

  • (3) - CALE (S.), TOUITOU (P.) -   La sécurité informatique  -  Hermes Lavoisier (2007).

  • (4) - CASEAU (Y.) -   Performance du système d’information  -  Dunod 01 Informatique (2007).

  • (5) - GITLOW (H.), GITLOW (S.) -   Le guide DEMING pour la qualité et la compétitivité  -  AFNOR Gestion (1991).

  • (6) - JOING (J.-L.) -   *  -  . – Auditer l'éthique et la qualité. Pour un développement durable ! Afnor (2003).

  • ...

NORMES

  • Lignes directrices pour l'audit des systèmes de management de la qualité et/ou de management environnemental. Norme française homologuée. Ed AFNOR. - NF EN ISO 19011:2002 -

  • Systèmes de management de la sécurité de l'information – Vue d'ensemble et vocabulaire. Norme française homologuée. Ed AFNOR. - NF ISO/IEC 27000:2009 -

  • Systèmes de management de la sécurité de l'information – Exigences. Norme française homologuée. Ed AFNOR. - NF ISO/IEC 27001:2005 -

  • Code de bonne pratique pour le management de la sécurité de l'information. Norme française homologuée. Ed AFNOR. - NF ISO/IEC 27002:2005 -

  • Gestion des risques liés à la sécurité de l'information. Norme française homologuée. Ed AFNOR. - NF ISO/IEC 27005:2011 -

Cet article est réservé aux abonnés.
Il vous reste 93% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Sécurité et gestion des risques

(477 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS