| Une question ?

Présentation

Article

1 - GÉNÉRALITÉS ET CONCEPTS DE BASE

  • 1.1 - Sécurité, une exigence pour l’information
  • 1.2 - Référentiels normatifs applicables
  • 1.3 - Organisation des articles
  • 1.4 - Rappels sur les instances officielles
  • 1.5 - Concepts de base

2 - SÉRIE ISO/IEC 27000

3 - NORME ISO 27001

4 - DÉCLARATION D'APPLICABILITÉ

5 - NORME ISO 27002

6 - RECENSER LES ACTIFS

7 - IDENTIFIER LES RISQUES

  • 7.1 - Qu’est-ce qu’un risque ?
  • 7.2 - Comment identifier un risque ?

8 - ANALYSER LES RISQUES

9 - ÉVALUER LES RISQUES

10 - INCIDENTS DE SÉCURITÉ

11 - CONCLUSION

12 - GLOSSAIRE

Article de référence | Réf : H5070 v3

Norme ISO 27001
Sécurité de l’information, cybersécurité et protection des données de vie privée - NF EN ISO/IEC 27001 : 2023

Auteur(s) : Claude PINET

Date de publication : 10 juil. 2024

Pour explorer cet article
Télécharger l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !

Sommaire

Présentation

Version en anglais En anglais

RÉSUMÉ

La sécurité de l'information fait partie du périmètre de la normalisation (ISO et AFNOR). À savoir les normes suivantes : ISO/CEI 27001 Exigences pour la certification, ISO/CEI 27002 Code de pratiques, ISO/CEI 27005 Gestion des risques. La sécurité de l'information est organisée dans un Système de Management de la sécurité de l'Information (SMSI). La démarche méthodologique nécessite de recenser les actifs et d'analyser les risques au regard des trois facteurs : Disponibilité, Intégrité, Confidentialité. En fonction de l'impact (gravité) et de la probabilité d'apparition (fréquence) les risques seront classés soit acceptables soit risques résiduels. Les incidents de sécurité doivent être gérés. Des plans de traitement des risques contribuent à l'amélioration du SMSI.

Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.

Lire l’article

ABSTRACT

Information security, cybersecurity, and protection of privacy data - ISO/IEC 27001 : 2022

Information security comes within the scope of standardization (ISO and AFNOR (French national body mirroring ISO)). The following standards are concerned: ISO / IEC 27001 Requirements for certification, ISO / CIS 27002 Codes of practice, and ISO / CIS 27005 Risk management. Information security is organized in an Information Security Management System (ISMS). The methodological approach requires an inventory of assets and a risk analysis with regard to three factors: availability, integrity, and confidentiality. According to the impact (gravity) and the probability of occurrence (frequency) the risks are classified as either acceptable or residual. Security incidents must be managed. Risk treatment plans help to improve the ISMS.

Auteur(s)

  • Claude PINET : Ingénieur diplômé du Conservatoire National des Arts et Métiers (CNAM) - Ingénieur européen EUR ING® - Responsable d’audit certifié IRCA (International Register of Certificated Auditors) n° 1182803 - Directeur fondateur CPI CONSEIL, France

INTRODUCTION

L’information constitue un capital très important pour tout organisme. Elle représente une ressource vitale pour exercer des activités. À ce titre, l’information nécessite la mise en place et la gestion d’une protection adaptée.

La sécurité de l’information a pour objectif de protéger celle-ci contre les nombreuses menaces qui pèsent sur elle, et peuvent entraîner la dégradation, ou l’interruption de la continuité de l’activité de l’organisme. Des mesures doivent être définies, mises en œuvre, suivies, réexaminées et améliorées afin d’atteindre un certain nombre d’objectifs dédiés à la sécurité.

Des processus particuliers doivent être définis et déployés pour y parvenir. Toutefois, ces derniers doivent s’organiser harmonieusement avec les autres processus dans le cadre du système de management global de l’organisme.

Afin de préciser les exigences de sécurité relatives à l’information, un référentiel normatif international a été élaboré. Bien évidemment, il est applicable aux différents systèmes qui traitent l’information.

Le contenu de cet article a été actualisé suite à la dernière version de la norme internationale NF EN ISO/IEC 27001 publiée au mois de janvier 2023. Cette troisième édition remplace la version de 2013, et incorpore les deux rectificatifs techniques ISO/IEC 27001 : 2013/Cor 1 : 2014 et ISO/IEC 27001 : 2013/Cor 2 : 2015. Le texte de l’annexe A a été aligné sur les mesures de sécurité de la dernière version de l’ISO/IEC 27002 : 2022.

Deux nouveaux termes ont été introduits :

  • la cybersécurité : pratique consistant à protéger les systèmes, les réseaux et les programmes contre les attaques numériques ; les cyberattaques visent généralement à accéder à des informations sensibles, à les modifier ou à les détruire, ou à interrompre les processus normaux d’une entreprise ;

  • la protection de la vie privée : le droit au respect de la vie privée est garanti par le Conseil constitutionnel ; il implique :

    • le respect de l’intimité, du secret médical, du droit à l’image, etc.,

    • des limites aux pratiques d’espionnage et d’enquête (comme les écoutes téléphoniques).

Cet article est réservé aux abonnés.
Il vous reste 92% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !

L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

KEYWORDS

security of informations systems   |   ISMS   |   information system   |   information security   |   cybersecurity   |   standardisation   |   ISO/IEC 27001   |   privacy protection

VERSIONS

Il existe d'autres versions de cet article :

DOI (Digital Object Identifier)

https://doi.org/10.51257/a-v3-h5070

Cet article fait partie de l’offre

Technologies logicielles Architectures des systèmes

(239 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Présentation
Version en anglais En anglais

3. Norme ISO 27001

3.1 Contexte

Un premier document, ISO/IEC 17799 publié en 2005, traitait des techniques de sécurité et donnait un code de bonnes pratiques pour la gestion de la sécurité de l’information. Ces recommandations de mise en œuvre sont reprises dans l’annexe A normative de l’ISO/IEC 27001. La version 2013 comporte une évolution majeure des exigences. On souligne en particulier :

  • les définitions sont rassemblées dans l’ISO/IEC 27000 ;

  • deux chapitres supplémentaires d’exigences : de 4 à 10 au lieu de 4 à 8 ;

  • l’annexe A normative, qui adopte une nouvelle structure : 14 secteurs d’objectifs au lieu de 11, et 114 mesures de sécurité, au lieu de 133 ;

  • les anciennes annexes B et C, informatives, sont supprimées.

En 2014, la version 2013 a fait l’objet d’un rectificatif technique n°1, qui portait sur la page 13, l’article A 8.1.1. Celui-ci indique que l’analyse de risques doit, dans l’inventaire des actifs, identifier et tenir à jour des actifs associés à l’information et aux moyens de traitement de l’information.

En 2015, la version 2013 a fait l’objet d’un rectificatif technique n° 2, qui portait sur la page 5, l’article 6.1.3. Celui-ci indiquait que la production de la Déclaration d’Applicabilité (DdA) doit contenir :

  • les mesures nécessaires ;

  • la justification de leur insertion ;

  • le fait qu’elles soient mises en œuvre ou non ;

  • la justification de l’exécution de mesures de l’annexe A.

En France, l’incorporation du correctif technique n° 1 et du correctif technique n° 2 au texte de la version 2013 a donné lieu à la publication d’une version 2017, et à la possibilité de certifier un système de management de la sécurité de l’information (SMSI) par rapport à cette version 2017.

La dernière version (troisième version) de la norme ISO/IEC 27001, intitulée Sécurité de l’information – Cybersécurité et protection de la vie privée – Systèmes de management de la sécurité de l’information – Exigences a été publiée par l’ISO en octobre 2022 avec le statut de norme internationale. Elle a été reprise à l’identique par l’AFNOR sous le même titre en tant...

Cet article est réservé aux abonnés.
Il vous reste 95% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !

L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Technologies logicielles Architectures des systèmes

(239 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Norme ISO 27001
Sommaire
Sommaire

BIBLIOGRAPHIE

  • (1) - Sous la direction de PINET (C.) (Groupe des experts qualité du CNAM) -   La qualité du logiciel. Retour d’expériences.  -  AFNOR (1998).

  • (2) - PINET (C.) -   La gestion des services. 10 clés pour passer de l’ITIL® à l’ISO/IEC 20000-1:2018.  -  AFNOR Éditions (2023).

  • (3) - PINET (C.) -   10 clés pour réussir sa certification IS0 9001 :2015.  -  AFNOR Éditions (2015).

  • (4) - PINET (C.) -   10 clés pour réussir sa certification QSE.  -  AFNOR Éditions (2015).

  • (5) - PINET (C.) -   10 clés pour la sécurité de l’information. ISO/IEC 27001:2022.  -  AFNOR Éditions (2023).

  • (6) - PINET (C.) -   Développer la performance :...

DANS NOS BASES DOCUMENTAIRES

ANNEXES

  1. 1 Sites Internet
    1. 2 Normes et standards

      1 Sites Internet

      Association française de normalisation (AFNOR) http://www.afnor.fr

      Organisation internationale de normalisation (ISO) http://www.iso.ch

      Commission électronique Internationale (CEI) http://www.iec.ch

      International Register of Certificated Auditors http://www.irca.org

      Agence nationale de la sécurité des systèmes d’information

      Présentation EBIOS http://www.ssi.gouv.fr/ebios

      Club EBIOS (communauté des experts en gestion de la sécurité) http://www.club-ebios.org/

      Club de la sécurité de l'information français http://www.clusif.asso.frhttp://www.clusif.asso.fr/fr/production/mehari/

      Bibliothèque virtuelle AFNOR – COBAZ (auteur C. PINET) http://www.bivi-presentation.afnor.org

      IX-40-50 Guide d’autoévaluation qualité : norme NF ISO 9001:2015 (article)

      IX-40-51 Grille d’autoévaluation qualité : norme NF ISO 9001:2015 (formulaire)

      AUA-T-IX-40-51 Grille d’autoévaluation qualité : norme NF ISO 9001:2015 (nouveau formulaire Excel)

      IX-40-40 Guide d’autoévaluation environnement : norme NF ISO 14001:2015 (article)

      IX-40-41 Grille d’autoévaluation environnement : norme NF ISO 14001:2015 (formulaire)

      AUA-T-IX-40-41 Grille d’autoévaluation environnement : norme NF ISO 14001: 2015 (nouveau formulaire EXCEL)

      IX-60-10...

      Cet article est réservé aux abonnés.
      Il vous reste 94% à découvrir.

      Pour explorer cet article
      Téléchargez l'extrait gratuit

      Vous êtes déjà abonné ?Connectez-vous !

      L'expertise technique et scientifique de référence

      La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
      + de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
      De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

      Cet article fait partie de l’offre

      Technologies logicielles Architectures des systèmes

      (239 articles en ce moment)

      Cette offre vous donne accès à :

      Une base complète d’articles

      Actualisée et enrichie d’articles validés par nos comités scientifiques

      Des services

      Un ensemble d'outils exclusifs en complément des ressources

      Un Parcours Pratique

      Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

      Doc & Quiz

      Des articles interactifs avec des quiz, pour une lecture constructive

      ABONNEZ-VOUS

      SUR LE MÊME SUJET

      #MULTISECTEURS #INFORMATIQUE (SECTEUR) #SYSTÈME D'INFORMATION #SÉCURITÉ INFORMATIQUE #NORME

      DANS LES RESSOURCES DOCUMENTAIRES

      DANS L'ACTUALITÉ

      DANS LES LIVRES BLANCS

      DANS LES CONFÉRENCES EN LIGNE

      Inscription veille personnalisée