Présentation
EnglishRÉSUMÉ
La sécurité de l'information fait partie du périmètre de la normalisation (ISO et AFNOR). À savoir les normes suivantes : ISO/CEI 27001 Exigences pour la certification, ISO/CEI 27002 Code de pratiques, ISO/CEI 27005 Gestion des risques. La sécurité de l'information est organisée dans un Système de Management de la sécurité de l'Information (SMSI). La démarche méthodologique nécessite de recenser les actifs et d'analyser les risques au regard des trois facteurs : Disponibilité, Intégrité, Confidentialité. En fonction de l'impact (gravité) et de la probabilité d'apparition (fréquence) les risques seront classés soit acceptables soit risques résiduels. Les incidents de sécurité doivent être gérés. Des plans de traitement des risques contribuent à l'amélioration du SMSI.
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleAuteur(s)
-
Claude PINET : Ingénieur diplômé du Conservatoire National des Arts et Métiers (CNAM) - Ingénieur européen EUR ING® - Responsable d’audit certifié IRCA (International Register of Certificated Auditors) n° 1182803 - Directeur fondateur CPI CONSEIL, France
INTRODUCTION
L’information constitue un capital très important pour tout organisme. Elle représente une ressource vitale pour exercer des activités. À ce titre, l’information nécessite la mise en place et la gestion d’une protection adaptée.
La sécurité de l’information a pour objectif de protéger celle-ci contre les nombreuses menaces qui pèsent sur elle, et peuvent entraîner la dégradation, ou l’interruption de la continuité de l’activité de l’organisme. Des mesures doivent être définies, mises en œuvre, suivies, réexaminées et améliorées afin d’atteindre un certain nombre d’objectifs dédiés à la sécurité.
Des processus particuliers doivent être définis et déployés pour y parvenir. Toutefois, ces derniers doivent s’organiser harmonieusement avec les autres processus dans le cadre du système de management global de l’organisme.
Afin de préciser les exigences de sécurité relatives à l’information, un référentiel normatif international a été élaboré. Bien évidemment, il est applicable aux différents systèmes qui traitent l’information.
Le contenu de cet article a été actualisé suite à la dernière version de la norme internationale NF EN ISO/IEC 27001 publiée au mois de janvier 2023. Cette troisième édition remplace la version de 2013, et incorpore les deux rectificatifs techniques ISO/IEC 27001 : 2013/Cor 1 : 2014 et ISO/IEC 27001 : 2013/Cor 2 : 2015. Le texte de l’annexe A a été aligné sur les mesures de sécurité de la dernière version de l’ISO/IEC 27002 : 2022.
Deux nouveaux termes ont été introduits :
-
la cybersécurité : pratique consistant à protéger les systèmes, les réseaux et les programmes contre les attaques numériques ; les cyberattaques visent généralement à accéder à des informations sensibles, à les modifier ou à les détruire, ou à interrompre les processus normaux d’une entreprise ;
-
la protection de la vie privée : le droit au respect de la vie privée est garanti par le Conseil constitutionnel ; il implique :
-
le respect de l’intimité, du secret médical, du droit à l’image, etc.,
-
des limites aux pratiques d’espionnage et d’enquête (comme les écoutes téléphoniques).
-
MOTS-CLÉS
sécurité des systèmes d'informations SMSI systèmes d'information sécurité de l'information cybersécurité normalisation ISO/IEC 27001 protection de la vie privée
VERSIONS
- Version archivée 1 de août 2012 par Claude PINET
- Version archivée 2 de févr. 2015 par Claude PINET
DOI (Digital Object Identifier)
Cet article fait partie de l’offre
Technologies logicielles Architectures des systèmes
(240 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Présentation
2. Série ISO/IEC 27000
On parle généralement de l’ISO/IEC 27000 pour les technologies de l’information dans la catégorie technique de sécurité. En fait, il s’agit d’une famille qui regroupe principalement huit normes :
-
NF EN ISO/IEC 27000 (février 2020) – Technologies de l’information – Techniques de sécurité – Systèmes de management de la sécurité de l’information – Vue d’ensemble et vocabulaire ;
-
NF EN ISO/IEC 27001 (juillet 2023) – Sécurité de l’information, cybersécurité et protection de la vie privée – Systèmes de management de la sécurité de l’information – Exigences (équivalent français de la norme internationale ISO/IEC 27001 (octobre 2022) ;
-
NF EN ISO/IEC 27002 (novembre 2022) – Sécurité de l’information, cybersécurité et protection de la vie privée – Mesures de sécurité de l’information (équivalent français de la norme internationale ISO/IEC 27002) ;
-
ISO/IEC 27003 (mars 2017) – Technologies de l’information – Techniques de sécurité – Système de management de la sécurité de l’information – Lignes directrices ;
-
ISO/IEC 27004 (décembre 2016) – Technologies de l’information – Techniques de sécurité – Management de la sécurité de l’information – Surveillance, mesurage, analyse et évaluation ;
-
ISO/IEC 27005 (février 2023) – Sécurité de l’information, cybersécurité et protection de la vie privée – Préconisation pour la gestion des risques liés à la sécurité de l’information ;
-
NF EN ISO/IEC 27006 (novembre 2020) – Technologies de l’information – Techniques de sécurité – Exigences pour les organismes procédant à l’audit et à la certification des systèmes de management de la sécurité de l’information (équivalent français de la norme internationale ISO/IEC 27006 (octobre 2015)) ;
-
NF EN ISO/IEC 27011 (mai 2020) – Technologies de l’information – Techniques de sécurité – Code de bonne pratique pour les contrôles de la sécurité de l’information fondés sur l’ISO/IEC 27002 pour les organismes...
Cet article fait partie de l’offre
Technologies logicielles Architectures des systèmes
(240 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Série ISO/IEC 27000
BIBLIOGRAPHIE
-
(1) - Sous la direction de PINET (C.) (Groupe des experts qualité du CNAM) - La qualité du logiciel. Retour d’expériences. - AFNOR (1998).
-
(2) - PINET (C.) - La gestion des services. 10 clés pour passer de l’ITIL® à l’ISO/IEC 20000-1:2018. - AFNOR Éditions (2023).
-
(3) - PINET (C.) - 10 clés pour réussir sa certification IS0 9001 :2015. - AFNOR Éditions (2015).
-
(4) - PINET (C.) - 10 clés pour réussir sa certification QSE. - AFNOR Éditions (2015).
-
(5) - PINET (C.) - 10 clés pour la sécurité de l’information. ISO/IEC 27001:2022. - AFNOR Éditions (2023).
-
(6) - PINET (C.) - Développer la performance :...
DANS NOS BASES DOCUMENTAIRES
Association française de normalisation (AFNOR) http://www.afnor.fr
Organisation internationale de normalisation (ISO) http://www.iso.ch
Commission électronique Internationale (CEI) http://www.iec.ch
International Register of Certificated Auditors http://www.irca.org
Agence nationale de la sécurité des systèmes d’information
Présentation EBIOS http://www.ssi.gouv.fr/ebios
Club EBIOS (communauté des experts en gestion de la sécurité) http://www.club-ebios.org/
Club de la sécurité de l'information français http://www.clusif.asso.frhttp://www.clusif.asso.fr/fr/production/mehari/
Bibliothèque virtuelle AFNOR – COBAZ (auteur C. PINET) http://www.bivi-presentation.afnor.org
IX-40-50 Guide d’autoévaluation qualité : norme NF ISO 9001:2015 (article)
IX-40-51 Grille d’autoévaluation qualité : norme NF ISO 9001:2015 (formulaire)
AUA-T-IX-40-51 Grille d’autoévaluation qualité : norme NF ISO 9001:2015 (nouveau formulaire Excel)
IX-40-40 Guide d’autoévaluation environnement : norme NF ISO 14001:2015 (article)
IX-40-41 Grille d’autoévaluation environnement : norme NF ISO 14001:2015 (formulaire)
AUA-T-IX-40-41 Grille d’autoévaluation environnement : norme NF ISO 14001: 2015 (nouveau formulaire EXCEL)
IX-60-10...
Cet article fait partie de l’offre
Technologies logicielles Architectures des systèmes
(240 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive