Article de référence | Réf : G9060 v2

Exemples d’intervention
Normes ISO 2700x : vers la gouvernance de la sécurité des systèmes d’information

Auteur(s) : Gilles TENEAU

Date de publication : 10 avr. 2018

Pour explorer cet article
Télécharger l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !

Sommaire

Présentation

Version en anglais English

NOTE DE L'ÉDITEUR

La norme NF EN ISO 22301 de novembre 2014 citée dans cet article a été remplacée par la norme NF EN ISO 22301 (Z74-306) : Sécurité et résilience - Systèmes de management de la continuité
d'activité - Exigences (Révision 2019)
Pour en savoir plus, consultez le bulletin de veille normative VN1912 (Janvier 2020).

24/02/2020

Les normes NF ISO/IEC 17021-2 d'avril 2017 et NF ISO/IEC 17021-3 de novembre 2017 citées dans cet article sont remplacées par les normes NF EN ISO/IEC 17021-2 et -3 (X50-072-2 et -3) "Évaluation de la conformité - Exigences pour les organismes procédant à l'audit et à la certification des systèmes de management :
- Partie 2 : exigences de compétence pour l'audit et la certification des systèmes de management environnemental
- Partie 3 : exigences de compétence pour l'audit et la certification des systèmes de management de la qualité" (Révision 2018)
 Pour en savoir plus, consultez le bulletin de veille normative VN1901 (janvier 2019).

14/03/2019

La norme ISO/IEC TS 17021-10 "Evaluation de la conformité - Exigences pour les organismes procédant à l'audit et à la certification des systèmes de management - Partie 10: Exigences de compétence pour l'audit et la certification des systèmes de management de la santé et de la sécurité au travail" (révision 2018) vient compléter la norme ISO/IEC 17021-1 citée dans cet article.

Pour en savoir plus, consultez le bulletin de veille normative VN1809 (octobre 2018).

11/01/2019

La norme NF EN ISO 19011 de janvier 2012 citée dans cet article a été remplacée par la norme NF EN ISO 19011 (X50-136) "Lignes directrices pour l'audit des systèmes de management" Révision 2018

Pour en savoir plus, consultez le bulletin de veille normative VN1806 (juillet 2018).

11/01/2019

14/03/2019

RÉSUMÉ

A la fin des années 1990, le British Standard Institution publie un document qui précise les exigences de mise en oeuvre d'un système de management de la sécurité de l'information (SMSI). Aujourd'hui ce document est devenu la série des normes ISO 27000. Il repose sur un ensemble de définitions, de recommandations, d'exigences de sécurité. Ces normes sont applicables au système d'information de la sécurité et à certains domaines spécifiques. Le SMSI apporte les garanties sur la capacité de l'entreprise à maîtriser les coûts et les priorités en matière d'investissements et d'orientations budgétaires au regard des enjeux business et des risques de sécurité.

Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.

Lire l’article

Auteur(s)

  • Gilles TENEAU : Docteur en sciences de gestion, chercheur associé au LEMNA (université de Nantes), professeur au CNAM IDF et au sein de l’ESC Amiens, président du centre de recherche en résilience des organisations, expert ITIL Accredited Formateur

INTRODUCTION

Depuis le début des années 2000, la famille des normes ISO 27000 (sécurité des systèmes d’information) n’a cessé de s’agrandir. Celle-ci cherche à répondre aux questions que peut se poser un RSSI (responsable de la sécurité des systèmes d’information) :

  • comment auditer la sécurité des SI : ISO 27001 ;

  • comment construire un SMSI (système de management de la sécurité de l'information) : ISO 27003 ;

  • quelle démarche adopter pour gérer les risques : ISO 27005 ;

  • comment faire pour gérer la continuité d’activité suite à un désastre : ISO 27031 ;

  • comment gérer les incidents de sécurité : ISO 27035.

Du point de vue de Sylvain Laborde, auditeur ISO 27001, un projet de mise place d’une gestion de la sécurité est un projet transversal ; si le service informatique est, de fait, concerné, plusieurs autres directions peuvent être impactées. Le projet concerne toute l’échelle hiérarchique de l’organisme. La réussite du projet dépend essentiellement de l’implication de toutes les personnes concernées dans l’entreprise, de la direction générale au plus bas de l’échelle.

Un projet de mise en place de la sécurité des systèmes d’information suit la logique de la roue de Deming. Une phase PLAN, qui revient à fixer les objectifs, est composée de quatre grandes étapes : définition du périmètre et de la politique, appréciation des risques, traitement du risque, sélection des mesures de sécurité. Une phase DO qui comprend les étapes suivantes : planification du traitement des risques, génération d’indicateurs significatifs, formation et sensibilisation du personnel, gestion quotidienne du SMSI, détection et réaction aux incidents. La suite de normes ISO 2700x impose de mettre en place des moyens de contrôle, c’est la phase CHECK (qui s’appuiera sur des audits, un contrôle, des revues) ; si des écarts sont constatés par rapport aux objectifs, la phase ACT permettra de mener des actions correctives, préventives et d’amélioration.

L’implémentation d’un système de management de la sécurité est la garantie de l’adoption de bonnes pratiques, de l’augmentation de la fiabilité et la certification par un organisme indépendant assurera l’apport de la confiance des parties prenantes de l’entreprise (clients, fournisseurs, actionnaires, banques, autorités…). La série ISO 27000 est en cours de finalisation, elle fait l’unanimité au niveau international. Cette norme commence à intéresser de plus en plus d’entrepreneurs français, non seulement par son caractère normatif mais également parce qu’elle s’avère complémentaire d’un autre référentiel qui connaît un engouement important dans le monde : ITIL.

L’objectif de cet article est de faire l’état des lieux de l’ensemble des normes de la famille ISO 2700X.

Un glossaire est présenté en fin d'article.

Cet article est réservé aux abonnés.
Il vous reste 95% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

VERSIONS

Il existe d'autres versions de cet article :

DOI (Digital Object Identifier)

https://doi.org/10.51257/a-v2-g9060

CET ARTICLE SE TROUVE ÉGALEMENT DANS :

Accueil Ressources documentaires Innovation Industrie du futur Industrie du futur : outils numériques Normes ISO 2700x : vers la gouvernance de la sécurité des systèmes d’information Exemples d’intervention

Accueil Ressources documentaires Génie industriel Industrie du futur Industrie du futur : outils numériques Normes ISO 2700x : vers la gouvernance de la sécurité des systèmes d’information Exemples d’intervention

Accueil Ressources documentaires Technologies de l'information Sécurité des systèmes d'information Sécurité des SI : organisation dans l'entreprise et législation Normes ISO 2700x : vers la gouvernance de la sécurité des systèmes d’information Exemples d’intervention

Accueil Ressources documentaires Environnement - Sécurité Environnement Système de management du risque Normes ISO 2700x : vers la gouvernance de la sécurité des systèmes d’information Exemples d’intervention

Accueil Ressources documentaires Technologies de l'information Technologies logicielles Architectures des systèmes Génie logiciel Normes ISO 2700x : vers la gouvernance de la sécurité des systèmes d’information Exemples d’intervention


Cet article fait partie de l’offre

Sécurité et gestion des risques

(477 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Présentation
Version en anglais English

3. Exemples d’intervention

Cette partie résume deux cas d’entreprises, le premier au sein de la « Banque Nationale de Rougemont » concernant la politique de sécurité et le second au sein de l’entreprise « MTélécom » relatif à la mise en place d’un projet de sécurité.

3.1 Cas A : politique de sécurité dans le secteur bancaire

Cette étude de cas a été rédigé par le docteur Nicolas Dufour, Risk Manager dans l’assurance et la banque et professeur à Paris School of Business.

HAUT DE PAGE

3.1.1 Exigences normatives dans le secteur bancaire

La sécurité informatique des banques est un sujet majeur d’attention voire une condition indispensable de la confiance accordée par ses clients à un établissement bancaire. Elle est associée à de nombreux enjeux d’actualité : le rogue trading, le trading haute fréquence, les fraudes aux moyens de paiement, les enjeux renforcés de conformité liés aux approches prudentielles (SOX, Bâle II et III). Le risque opérationnel lié à la sécurité des données informatiques est inhérent aux différents produits bancaires, activités, processus et systèmes. Sa prise en compte est un élément fondamental dans le programme de maîtrise des risques d’une banque. Pour ces raisons, ce dernier est une préoccupation majeure et fait l’objet d’une politique de sécurité informatique. L’article 14 du règlement n° 97-02 du 21 février 1997, relatif au contrôle interne des établissements de crédit et des entreprises d’investissement, précise que « Les entreprises assujetties déterminent le niveau de sécurité informatique jugé souhaitable par rapport aux exigences de leurs métiers. Elles veillent au niveau de sécurité retenu et à ce que leurs systèmes d’information soient adaptésLe contrôle des systèmes d’information s’étend à la conservation des informations et à la documentation relative aux analyses, à la programmation et à l’exécution des traitements ».

...

Cet article est réservé aux abonnés.
Il vous reste 95% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Sécurité et gestion des risques

(477 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Exemples d’intervention
Sommaire
Sommaire

BIBLIOGRAPHIE

  • (1) - BALANTZIAN (G.) -   Le plan de gouvernance du SI.  -  Dunod (2006).

  • (2) - BENNASAR (M.), CHAMPENOIS (A.), ARNOULD (P.) -   Manager la sécurité du SI.  -  Dunod (2007).

  • (3) - CALE (S.), TOUITOU (P.) -   La sécurité informatique.  -  Hermes Lavoisier (2007).

  • (4) - CASEAU (Y.) -   Performance du système d’information.  -  Dunod 01 Informatique (2007).

  • (5) - GITLOW (H.), GITLOW (S.) -   Le guide DEMING pour la qualité et la compétitivité.  -  AFNOR Gestion (1991).

  • (6) - JOING (J.-L.) -   Auditer l'éthique et la qualité. Pour un développement durable !.  -  Afnor (2003).

  • ...

1 Sites Internet

http://www.alarm-uk.org/publications.aspx

http://www.bsigroup.com

http://www.certa.ssi.gouv.fr/

https://www.clusif.asso.fr/fr/production/mehari/

http://www.commoncriteriaportal.org/

http://www.iso.com

http://www.itil-itsm-world.com/

http://www.securite-informatique.gouv.fr/

http://www.sgdsn.gouv.fr/

http://www.sorm.state.tx.us/Risk_Management/Business_Continuity/bus_impact.php

HAUT DE PAGE

2 Normes et standards

NF EN ISO 19011 - 2011 - Lignes directrices pour l'audit des systèmes de management de la qualité et/ou de management environnemental.

ISO/IEC 27000 - 2018 - Technologies de l'information – Techniques de sécurité – Systèmes de gestion de sécurité de l'information – Vue d'ensemble et vocabulaire.

ISO/IEC 27001 - 2013 - Technologies de l'information – Techniques de sécurité – Systèmes de gestion de sécurité de l'information – Exigences.

ISO/IEC 27002 - 2013 - Technologies de l'information...

Cet article est réservé aux abonnés.
Il vous reste 95% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Sécurité et gestion des risques

(477 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS