SlideShare une entreprise Scribd logo

Iso27001

A
Arsene Allogo

Présentation général de la norme ISO 27001 pour aider tant les dirigeant que les DSI qui ont peut ou voir qui n'ont pas de connaissance préalable de cette norme et souhaiterai l'intégrer à leurs processus de Management des SI

Direction et management
1  sur  26
Télécharger pour lire hors ligne
Présentation de la Norme ISO 27001
‘’La sécurité des données personnelle est aujourd’hui un sujet majeur pour l’ensemble des individus et des entreprises. Il devient de plus en plus important pour ces dernières de fournir à leurs clients et utilisateurs des garanties sur ce sujet ‘’
❑ Normes les plus connues ❑ Qu’est-ce que l’ISO ? ❑ Qu’est-ce qu’une Norme ? ❑ Différence entre Réglementation & Normalisation La Norme 01 ❑ Informations ❑ Objectifs de la norme ❑ Qu’est-ce qu’un SMSI ? ❑ Qui se conforme ? ❑ Pourquoi se conformer / Certifier ? ❑ Une fois certifié ❑ Cas de demande de conformité ISO 27001 02 ❑ Informations ❑ Objectifs principaux ❑ Phases d'établissements ❑ Processus de certification Structure de l’ISO 27001 03
ISO/IEC 27001 ISO 3166 ISO 6 ISO 639 ISO 4217 Management de la sécurité de l’information Codes des noms de pays Sensibilité des appareils photographiques Codes des langue Codes des monaies Normes les plus connues ISO 9000 Management de la qualité ISO 9660 ISO 13216 ISO 31000 ISO 37001 ISO 45001 ISO 8601 Représentation de la date et de l’heure Images ISO pour fichiers informatiques Sièges auto pour enfants ISOFIX Management du risque Systèmes de management anti- corruption Santé et sécurité au travail
1 - LA NORME ❑ Normes les plus connues ❑ Qu’est-ce que l’ISO ? ❑ Qu’est-ce qu’une Norme ? ❑ Différence entre Réglementation & Normalisation
Qu’est-ce que l’ISO ? Acronyme de Organisation Internationale de Normalisation - Organisation internationale non gouvernementale, indépendante, dont le siège se situe à Genève en Suisse. Créée en 1947. - Disponible dans 161 pays membres, chacun comportant un organisme national (AGANOR au Gabon) de normalisation. - Elle produit des normes internationales dans les domaines industriels et commerciaux. L'ISO a publié plus de 22064 normes
Qu’est-ce qu’une norme ? Document qui fournit des exigences, des spécifications, des directives ou caractéristiques. ❑ Les normes garantissent que les produits et services sont sûrs, fiables et de bonne qualité. ❑ Elles sont des outils stratégiques qui diminuent les coûts en réduisant les déchets et erreurs. En d’autre terme une norme est essentiellement une manière convenue de faire quelque chose, Elle peut concerner la fabrication d’un produit, le management d’un procédé, la prestation d’un service ou la fourniture de matériel. Les normes définissent une forme de sagesse accumulée et distillée par des experts dans leur domaines, NORME
Différence entre Réglementation & Normalisation NormeRéglementation Les normes revêtent un caractère volontaire. S’y conformer n’est pas une obligation. Elles traduisent l’engagement des entreprises à satisfaire un niveau de qualité et sécurité reconnu et approuvé, Exemple: ISO 27001, ISO 9000 etc… La réglementation relève des pouvoirs publics. Elle est l’expression d’une loi, d’un règlement et son application est imposée. Exemple: GDPR / RGPD / Loi N°001-2011- Gabon ≠
2 - ISO 27001 ❑ Informations ❑ Objectifs de la norme ❑ Qu’est-ce qu’un SMSI ? ❑ Qui se conforme ? ❑ Pourquoi se conformer / Certifier ? ❑ Une fois certifié ❑ Cas de demande de conformité
Technologies de l'information -- Techniques de sécurité -- Systèmes de management de la sécurité de l'information – Exigences ✓ Norme internationale qui succède à la norme BS 7799-2 de BSI (British Standards Institution) ✓ Publiée en 2005 et révisée en 2013. ✓ Fait partie de la suite ISO 27000 - Systèmes de gestion de sécurité de l'information. ✓ Permet de certifier des organisations Informations
Objectifs de la norme Elle définit les exigences de conformité pour la mise en place, la mise en œuvre, le maintien, l’amélioration continue d’un Système de Management de la Sécurité de l‘Information (SMSI).
Qu’est-ce qu’un SMSI ? Le SMSI est conçu pour aider à gérer les risques liés à l’IT et à protéger la confidentialité, l’intégrité et la disponibilité de l’information. Le SMSI recense les mesures de sécurité, dans un périmètre défini, afin de garantir la protection des actifs de l'organisme. L’objectif est de protéger les fonctions et informations de toute perte, vol ou altération, et les systèmes informatiques de toute intrusion et sinistre informatique. Cela apportera la confiance des parties prenantes.
Qui se conforme ? ❖ Il n’est pas obligatoire de certifier une entité complète (Site, Direction, Etc. …) ❖ Mais les activités périmétriques en bénéficieront. ❖ Toutes les organisations de tout secteurs et de toutes tailles qui tiennent à la confidentialité de leurs informations. ❖ Une personne qui est certifié ❖ ISO 27001 Lead Auditor : certifie que les professionnels possèdent les connaissances et les compétences pour auditer la conformité d’un SMSI. ❖ ISO 27001 Lead Implémenter : garantis que les candidats possèdent les connaissances et les compétences nécessaires pour mettre en œuvre un SMSI.
➢ Renouvellement tous les 3 ans. ➢ Avec un audit de renouvellement. Pourquoi se conformer / certifier ? ➢ On se conforme volontairement à la norme. ➢ Démontre une assurance aux partenaires, clients, fournisseurs = on s’engage à maintenir un niveau de sécurité de l’information. ➢ Se démarquer de la concurrence. ➢ Que l’on maîtrise son SI Une fois certifié
Cas de demande de conformité L’entreprise intègre un groupe déjà conforme Demande imposée par un fournisseur/partenaire pour conserver un marché. L’entreprise doit se mettre en conformité avec la norme pour pouvoir répondre à certains appels d’offres L’entreprise fait partie d’un groupe qui se met en conformité L’entreprise fait partie d’un groupe étranger lui imposant la mise en conformité Demande par la direction interne ISO 27001
3. Structure de l’ISO 27001 ❑ Informations ❑ Objectifs principaux ❑ Phases d'établissements ❑ Processus de certification
Composé de 10 chapitres et une annexe. Annexe : Composée de 114 mesures réparties en 14 sections. ISO 27002 : Qui permet de donner les bonnes pratiques pour l’implémentation du SMSI. Il n'est pas admis qu'une organisation s'affranchisse de l'une des exigences spécifiées aux chapitres 4 à 10 lorsqu'elle revendique la conformité Informations
Objectifs principaux Objectifs Contrôles d’accès Gestion des biens 2 Acquisition, développement et maintenance des systèmes d'information Sécurité liée aux ressources humaines Gestion des communications et de l'exploitation Politique de sécurité Organisation de la sécurité de l’information Sécurité physique et environnementale Gestion des incidents liés à la sécurité de l'information Gestion de la continuité d’activité
Phases d'établissements • • Revue périodique • Audit interne • Test d’intrusions • Maintenance et amélioration • Incidents / Problèmes • Sensibilisation • Projets de sécurité • Analyse • Objectifs • Politique de Sécurité • Définie le traitement des risques Plan DO CheckAct
Plan Cette phase consiste à fixer les objectifs avec 4 grandes étapes : 1. La politique et le périmètre du SMSI. 2. L’appréciation des risques. 3. Le traitement des risques (en tenant compte des risques résiduels). 4. La sélection des mesures de sécurité présentes dans Annexe A
Do Cette phase consiste à décrire la mise en œuvre des mesures à travers quatre étapes : 1. Un plan de traitement des risques. 2. Déploiement des mesures de sécurité. 3. Formation et sensibilisation des collaborateurs. 4. Choix des indicateurs : - Performance : Vérification de l’efficacité des mesures. - Conformité : Pour contrôler la conformité du SMSI.
Cette phase concerne les moyens de contrôle pour assurer l’efficacité du SMSI et sa conformité : 1. Des contrôles internes. 2. Des audits internes. 3. Les revues : qui garantissent périodiquement l’adéquation du SMSI avec son environnement Check ACT Mise en place d’actions correctives, préventives ou d’amélioration pour les incidents et écarts constatés lors de la phase Check 1. Actions correctives 2. Actions préventives 3. Actions d’amélioration
Processus de certification Audit porte sur l’ensemble du SMSI La durée est déterminée dans l’annexe C de la norme ISO/CEI 27006 L’auditeur ne donne pas la certification, il donne juste un avis qui sera étudié par un comité de validation technique, puis par un comité de certification Après cela que la certification est délivrée pour une durée de trois ans. Dans le cas contraire, un audit complémentaire. L’organisme devra, durant ce délai, corriger les problèmes décelés lors de l’audit initial pour obtenir le certificat.
Conclusion Ainsi, grâce à la certification ISO 27001, une entreprise obtient un système fonctionnel, cadré, sécurisé et évolutif. Au-delà de fournir un cadre d’exploitation, le respect de cette norme permet de réduire ses coûts de sécurité, puisqu’elle permet la mise en place d’actions parfaitement adaptées aux besoins. Mais elle constitue également un élément marketing important : elle rassure les clients, les partenaires… et même les employés d’une entreprise, si son système interne fait partie du périmètre et bien plus que cela ! Cet élément de réassurance peut constituer un avantage concurrentiel sur les concurrents, et finira probablement par devenir un élément indispensable pour ne pas prendre de retard dans l’écosystème informatique. En effet, le nombre de certifications ISO 27001 est en augmentation dans le monde (+7% entre 2013 et 2014), et en plein boom en Afrique,
Made by Arsène Allogo
THANK YOU

Recommandé

ISO 27001
ISO 27001ISO 27001
ISO 27001
Philippe CELLIER
 
BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis Remli
Shellmates
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SI
DIALLO Boubacar
 
Normes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptxNormes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptx
AmorFranois
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001
Intellectus services and consulting
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdf
HajarSalimi
 
ISO 27001 2002 Update Webinar.pdf
ISO 27001 2002 Update Webinar.pdfISO 27001 2002 Update Webinar.pdf
ISO 27001 2002 Update Webinar.pdf
ControlCase
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Bachir Benyammi
 

Recommandé

ISO 27001
ISO 27001ISO 27001
ISO 27001
Philippe CELLIER
 
BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis Remli
Shellmates
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SI
DIALLO Boubacar
 
Normes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptxNormes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptx
AmorFranois
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001
Intellectus services and consulting
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdf
HajarSalimi
 
ISO 27001 2002 Update Webinar.pdf
ISO 27001 2002 Update Webinar.pdfISO 27001 2002 Update Webinar.pdf
ISO 27001 2002 Update Webinar.pdf
ControlCase
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Bachir Benyammi
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013
Bachir Benyammi
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’information
Abbes Rharrab
 
Overview of ISO 27001 ISMS
Overview of ISO 27001 ISMSOverview of ISO 27001 ISMS
Overview of ISO 27001 ISMS
Akhil Garg
 
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Eric Clairvoyant, Adm.A.,T.P., CRISC
 
Présentation audits de sécurité
Présentation audits de sécuritéPrésentation audits de sécurité
Présentation audits de sécurité
Harvey Francois
 
Programme de travail de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SIProgramme de travail de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SI
Ammar Sassi
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
MELLAH MOULOUD Sorbonne Université - Sciences et Ingénierie
 
ISO27001: Implementation & Certification Process Overview
ISO27001: Implementation & Certification Process OverviewISO27001: Implementation & Certification Process Overview
ISO27001: Implementation & Certification Process Overview
Shankar Subramaniyan
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
lancedafric.org
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internes
ISACA Chapitre de Québec
 
Iso iec 27001 foundation training course by interprom
Iso iec 27001 foundation training course by interpromIso iec 27001 foundation training course by interprom
Iso iec 27001 foundation training course by interprom
Mart Rovers
 
exposé sécurité
exposé sécuritéexposé sécurité
exposé sécurité
Kaoutar Kouka Cne
 
ISO 27001 - Information Security Management System
ISO 27001 - Information Security Management SystemISO 27001 - Information Security Management System
ISO 27001 - Information Security Management System
Muhammad Faisal Naqvi, CISSP, CISA, AMBCI, ITIL, ISMS LA n Master
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk Manager
Thierry Pertus
 
French PCI DSS v4.0 Webinaire.pdf
French PCI DSS v4.0 Webinaire.pdfFrench PCI DSS v4.0 Webinaire.pdf
French PCI DSS v4.0 Webinaire.pdf
ControlCase
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SI
Alghajati
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
Franck Franchin
 
Iso 27001 in images - sample slides from different levels of training, e.g. F...
Iso 27001 in images - sample slides from different levels of training, e.g. F...Iso 27001 in images - sample slides from different levels of training, e.g. F...
Iso 27001 in images - sample slides from different levels of training, e.g. F...
Stratos Lazaridis
 
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Ammar Sassi
 
Management des risques IT, levier de gouvernance de la sécurité des SI
Management des risques IT, levier de gouvernance de la sécurité des SIManagement des risques IT, levier de gouvernance de la sécurité des SI
Management des risques IT, levier de gouvernance de la sécurité des SI
PECB
 
presentation iso 27001 EXIGNECE ET gouvernace
presentation iso 27001 EXIGNECE ET gouvernacepresentation iso 27001 EXIGNECE ET gouvernace
presentation iso 27001 EXIGNECE ET gouvernace
ssuserc72852
 
Guide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptxGuide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptx
Tech4nulls
 

Contenu connexe

Tendances

La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internes
ISACA Chapitre de Québec
 
Iso 27001 in images - sample slides from different levels of training, e.g. F...
Iso 27001 in images - sample slides from different levels of training, e.g. F...Iso 27001 in images - sample slides from different levels of training, e.g. F...
Iso 27001 in images - sample slides from different levels of training, e.g. F...
Stratos Lazaridis
 

Tendances (20)

Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’information
 
Overview of ISO 27001 ISMS
Overview of ISO 27001 ISMSOverview of ISO 27001 ISMS
Overview of ISO 27001 ISMS
 
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
 
Présentation audits de sécurité
Présentation audits de sécuritéPrésentation audits de sécurité
Présentation audits de sécurité
 
Programme de travail de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SIProgramme de travail de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SI
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
ISO27001: Implementation & Certification Process Overview
ISO27001: Implementation & Certification Process OverviewISO27001: Implementation & Certification Process Overview
ISO27001: Implementation & Certification Process Overview
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internes
 
Iso iec 27001 foundation training course by interprom
Iso iec 27001 foundation training course by interpromIso iec 27001 foundation training course by interprom
Iso iec 27001 foundation training course by interprom
 
exposé sécurité
exposé sécuritéexposé sécurité
exposé sécurité
 
ISO 27001 - Information Security Management System
ISO 27001 - Information Security Management SystemISO 27001 - Information Security Management System
ISO 27001 - Information Security Management System
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk Manager
 
French PCI DSS v4.0 Webinaire.pdf
French PCI DSS v4.0 Webinaire.pdfFrench PCI DSS v4.0 Webinaire.pdf
French PCI DSS v4.0 Webinaire.pdf
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SI
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
 
Iso 27001 in images - sample slides from different levels of training, e.g. F...
Iso 27001 in images - sample slides from different levels of training, e.g. F...Iso 27001 in images - sample slides from different levels of training, e.g. F...
Iso 27001 in images - sample slides from different levels of training, e.g. F...
 
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
 
Management des risques IT, levier de gouvernance de la sécurité des SI
Management des risques IT, levier de gouvernance de la sécurité des SIManagement des risques IT, levier de gouvernance de la sécurité des SI
Management des risques IT, levier de gouvernance de la sécurité des SI
 

Similaire à Iso27001

Is27001 li formation-iso-iec-27001-lead-implementer
Is27001 li formation-iso-iec-27001-lead-implementerIs27001 li formation-iso-iec-27001-lead-implementer
Is27001 li formation-iso-iec-27001-lead-implementer
CERTyou Formation
 
Is27001 la formation-iso-iec-27001-lead-auditor
Is27001 la formation-iso-iec-27001-lead-auditorIs27001 la formation-iso-iec-27001-lead-auditor
Is27001 la formation-iso-iec-27001-lead-auditor
CERTyou Formation
 
1.3_Intr_ISO_27001_pr_voca_fr.ppt EXERCICE x
1.3_Intr_ISO_27001_pr_voca_fr.ppt EXERCICE x1.3_Intr_ISO_27001_pr_voca_fr.ppt EXERCICE x
1.3_Intr_ISO_27001_pr_voca_fr.ppt EXERCICE x
ssuserc72852
 
Plaquette de formation iso 27001 LI
Plaquette de formation iso 27001 LIPlaquette de formation iso 27001 LI
Plaquette de formation iso 27001 LI
SERGE ROMARIC BASSOMO
 

Similaire à Iso27001 (20)

presentation iso 27001 EXIGNECE ET gouvernace
presentation iso 27001 EXIGNECE ET gouvernacepresentation iso 27001 EXIGNECE ET gouvernace
presentation iso 27001 EXIGNECE ET gouvernace
 
Guide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptxGuide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptx
 
Cinq raisons de certifier son organisation ISO 27001
Cinq raisons de certifier son organisation ISO 27001Cinq raisons de certifier son organisation ISO 27001
Cinq raisons de certifier son organisation ISO 27001
 
Les certifications QHSE
Les certifications QHSELes certifications QHSE
Les certifications QHSE
 
Is27001 li formation-iso-iec-27001-lead-implementer
Is27001 li formation-iso-iec-27001-lead-implementerIs27001 li formation-iso-iec-27001-lead-implementer
Is27001 li formation-iso-iec-27001-lead-implementer
 
Etude comparative iso 9001 vs iso 27001.ppt
Etude comparative iso 9001 vs iso 27001.pptEtude comparative iso 9001 vs iso 27001.ppt
Etude comparative iso 9001 vs iso 27001.ppt
 
Is27001 la formation-iso-iec-27001-lead-auditor
Is27001 la formation-iso-iec-27001-lead-auditorIs27001 la formation-iso-iec-27001-lead-auditor
Is27001 la formation-iso-iec-27001-lead-auditor
 
Sécurité & Continuité
Sécurité & ContinuitéSécurité & Continuité
Sécurité & Continuité
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
 
1.3_Intr_ISO_27001_pr_voca_fr.ppt EXERCICE x
1.3_Intr_ISO_27001_pr_voca_fr.ppt EXERCICE x1.3_Intr_ISO_27001_pr_voca_fr.ppt EXERCICE x
1.3_Intr_ISO_27001_pr_voca_fr.ppt EXERCICE x
 
Management de la sécurité des informations : Esker certifié ISO 27001:2013
Management de la sécurité des informations : Esker certifié ISO 27001:2013Management de la sécurité des informations : Esker certifié ISO 27001:2013
Management de la sécurité des informations : Esker certifié ISO 27001:2013
 
Webinar : Comment la certification peut-elle vous permettre de démontrer votr...
Webinar : Comment la certification peut-elle vous permettre de démontrer votr...Webinar : Comment la certification peut-elle vous permettre de démontrer votr...
Webinar : Comment la certification peut-elle vous permettre de démontrer votr...
 
Ageris training 2016
Ageris training 2016Ageris training 2016
Ageris training 2016
 
Certification et diagnostic certified maintenance
Certification et diagnostic certified maintenanceCertification et diagnostic certified maintenance
Certification et diagnostic certified maintenance
 
Certification et diagnostic certified maintenance
Certification et diagnostic certified maintenanceCertification et diagnostic certified maintenance
Certification et diagnostic certified maintenance
 
Plaquette de formation iso 27001 LI
Plaquette de formation iso 27001 LIPlaquette de formation iso 27001 LI
Plaquette de formation iso 27001 LI
 
PECB Webinaire: Enjeux et intérêts d’implantation d’un SME dans une entreprise
PECB Webinaire: Enjeux et intérêts d’implantation d’un SME dans une entreprisePECB Webinaire: Enjeux et intérêts d’implantation d’un SME dans une entreprise
PECB Webinaire: Enjeux et intérêts d’implantation d’un SME dans une entreprise
 
Chap2 gouvernance des SI.pptx
Chap2 gouvernance des SI.pptxChap2 gouvernance des SI.pptx
Chap2 gouvernance des SI.pptx
 
Certification iso 9001
Certification iso 9001Certification iso 9001
Certification iso 9001
 

Iso27001

  • 2. ‘’La sécurité des données personnelle est aujourd’hui un sujet majeur pour l’ensemble des individus et des entreprises. Il devient de plus en plus important pour ces dernières de fournir à leurs clients et utilisateurs des garanties sur ce sujet ‘’
  • 3. ❑ Normes les plus connues ❑ Qu’est-ce que l’ISO ? ❑ Qu’est-ce qu’une Norme ? ❑ Différence entre Réglementation & Normalisation La Norme 01 ❑ Informations ❑ Objectifs de la norme ❑ Qu’est-ce qu’un SMSI ? ❑ Qui se conforme ? ❑ Pourquoi se conformer / Certifier ? ❑ Une fois certifié ❑ Cas de demande de conformité ISO 27001 02 ❑ Informations ❑ Objectifs principaux ❑ Phases d'établissements ❑ Processus de certification Structure de l’ISO 27001 03
  • 4. ISO/IEC 27001 ISO 3166 ISO 6 ISO 639 ISO 4217 Management de la sécurité de l’information Codes des noms de pays Sensibilité des appareils photographiques Codes des langue Codes des monaies Normes les plus connues ISO 9000 Management de la qualité ISO 9660 ISO 13216 ISO 31000 ISO 37001 ISO 45001 ISO 8601 Représentation de la date et de l’heure Images ISO pour fichiers informatiques Sièges auto pour enfants ISOFIX Management du risque Systèmes de management anti- corruption Santé et sécurité au travail
  • 5. 1 - LA NORME ❑ Normes les plus connues ❑ Qu’est-ce que l’ISO ? ❑ Qu’est-ce qu’une Norme ? ❑ Différence entre Réglementation & Normalisation
  • 6. Qu’est-ce que l’ISO ? Acronyme de Organisation Internationale de Normalisation - Organisation internationale non gouvernementale, indépendante, dont le siège se situe à Genève en Suisse. Créée en 1947. - Disponible dans 161 pays membres, chacun comportant un organisme national (AGANOR au Gabon) de normalisation. - Elle produit des normes internationales dans les domaines industriels et commerciaux. L'ISO a publié plus de 22064 normes
  • 7. Qu’est-ce qu’une norme ? Document qui fournit des exigences, des spécifications, des directives ou caractéristiques. ❑ Les normes garantissent que les produits et services sont sûrs, fiables et de bonne qualité. ❑ Elles sont des outils stratégiques qui diminuent les coûts en réduisant les déchets et erreurs. En d’autre terme une norme est essentiellement une manière convenue de faire quelque chose, Elle peut concerner la fabrication d’un produit, le management d’un procédé, la prestation d’un service ou la fourniture de matériel. Les normes définissent une forme de sagesse accumulée et distillée par des experts dans leur domaines, NORME
  • 8. Différence entre Réglementation & Normalisation NormeRéglementation Les normes revêtent un caractère volontaire. S’y conformer n’est pas une obligation. Elles traduisent l’engagement des entreprises à satisfaire un niveau de qualité et sécurité reconnu et approuvé, Exemple: ISO 27001, ISO 9000 etc… La réglementation relève des pouvoirs publics. Elle est l’expression d’une loi, d’un règlement et son application est imposée. Exemple: GDPR / RGPD / Loi N°001-2011- Gabon ≠
  • 9. 2 - ISO 27001 ❑ Informations ❑ Objectifs de la norme ❑ Qu’est-ce qu’un SMSI ? ❑ Qui se conforme ? ❑ Pourquoi se conformer / Certifier ? ❑ Une fois certifié ❑ Cas de demande de conformité
  • 10. Technologies de l'information -- Techniques de sécurité -- Systèmes de management de la sécurité de l'information – Exigences ✓ Norme internationale qui succède à la norme BS 7799-2 de BSI (British Standards Institution) ✓ Publiée en 2005 et révisée en 2013. ✓ Fait partie de la suite ISO 27000 - Systèmes de gestion de sécurité de l'information. ✓ Permet de certifier des organisations Informations
  • 11. Objectifs de la norme Elle définit les exigences de conformité pour la mise en place, la mise en œuvre, le maintien, l’amélioration continue d’un Système de Management de la Sécurité de l‘Information (SMSI).
  • 12. Qu’est-ce qu’un SMSI ? Le SMSI est conçu pour aider à gérer les risques liés à l’IT et à protéger la confidentialité, l’intégrité et la disponibilité de l’information. Le SMSI recense les mesures de sécurité, dans un périmètre défini, afin de garantir la protection des actifs de l'organisme. L’objectif est de protéger les fonctions et informations de toute perte, vol ou altération, et les systèmes informatiques de toute intrusion et sinistre informatique. Cela apportera la confiance des parties prenantes.
  • 13. Qui se conforme ? ❖ Il n’est pas obligatoire de certifier une entité complète (Site, Direction, Etc. …) ❖ Mais les activités périmétriques en bénéficieront. ❖ Toutes les organisations de tout secteurs et de toutes tailles qui tiennent à la confidentialité de leurs informations. ❖ Une personne qui est certifié ❖ ISO 27001 Lead Auditor : certifie que les professionnels possèdent les connaissances et les compétences pour auditer la conformité d’un SMSI. ❖ ISO 27001 Lead Implémenter : garantis que les candidats possèdent les connaissances et les compétences nécessaires pour mettre en œuvre un SMSI.
  • 14. ➢ Renouvellement tous les 3 ans. ➢ Avec un audit de renouvellement. Pourquoi se conformer / certifier ? ➢ On se conforme volontairement à la norme. ➢ Démontre une assurance aux partenaires, clients, fournisseurs = on s’engage à maintenir un niveau de sécurité de l’information. ➢ Se démarquer de la concurrence. ➢ Que l’on maîtrise son SI Une fois certifié
  • 15. Cas de demande de conformité L’entreprise intègre un groupe déjà conforme Demande imposée par un fournisseur/partenaire pour conserver un marché. L’entreprise doit se mettre en conformité avec la norme pour pouvoir répondre à certains appels d’offres L’entreprise fait partie d’un groupe qui se met en conformité L’entreprise fait partie d’un groupe étranger lui imposant la mise en conformité Demande par la direction interne ISO 27001
  • 16. 3. Structure de l’ISO 27001 ❑ Informations ❑ Objectifs principaux ❑ Phases d'établissements ❑ Processus de certification
  • 17. Composé de 10 chapitres et une annexe. Annexe : Composée de 114 mesures réparties en 14 sections. ISO 27002 : Qui permet de donner les bonnes pratiques pour l’implémentation du SMSI. Il n'est pas admis qu'une organisation s'affranchisse de l'une des exigences spécifiées aux chapitres 4 à 10 lorsqu'elle revendique la conformité Informations
  • 18. Objectifs principaux Objectifs Contrôles d’accès Gestion des biens 2 Acquisition, développement et maintenance des systèmes d'information Sécurité liée aux ressources humaines Gestion des communications et de l'exploitation Politique de sécurité Organisation de la sécurité de l’information Sécurité physique et environnementale Gestion des incidents liés à la sécurité de l'information Gestion de la continuité d’activité
  • 19. Phases d'établissements • • Revue périodique • Audit interne • Test d’intrusions • Maintenance et amélioration • Incidents / Problèmes • Sensibilisation • Projets de sécurité • Analyse • Objectifs • Politique de Sécurité • Définie le traitement des risques Plan DO CheckAct
  • 20. Plan Cette phase consiste à fixer les objectifs avec 4 grandes étapes : 1. La politique et le périmètre du SMSI. 2. L’appréciation des risques. 3. Le traitement des risques (en tenant compte des risques résiduels). 4. La sélection des mesures de sécurité présentes dans Annexe A
  • 21. Do Cette phase consiste à décrire la mise en œuvre des mesures à travers quatre étapes : 1. Un plan de traitement des risques. 2. Déploiement des mesures de sécurité. 3. Formation et sensibilisation des collaborateurs. 4. Choix des indicateurs : - Performance : Vérification de l’efficacité des mesures. - Conformité : Pour contrôler la conformité du SMSI.
  • 22. Cette phase concerne les moyens de contrôle pour assurer l’efficacité du SMSI et sa conformité : 1. Des contrôles internes. 2. Des audits internes. 3. Les revues : qui garantissent périodiquement l’adéquation du SMSI avec son environnement Check ACT Mise en place d’actions correctives, préventives ou d’amélioration pour les incidents et écarts constatés lors de la phase Check 1. Actions correctives 2. Actions préventives 3. Actions d’amélioration
  • 23. Processus de certification Audit porte sur l’ensemble du SMSI La durée est déterminée dans l’annexe C de la norme ISO/CEI 27006 L’auditeur ne donne pas la certification, il donne juste un avis qui sera étudié par un comité de validation technique, puis par un comité de certification Après cela que la certification est délivrée pour une durée de trois ans. Dans le cas contraire, un audit complémentaire. L’organisme devra, durant ce délai, corriger les problèmes décelés lors de l’audit initial pour obtenir le certificat.
  • 24. Conclusion Ainsi, grâce à la certification ISO 27001, une entreprise obtient un système fonctionnel, cadré, sécurisé et évolutif. Au-delà de fournir un cadre d’exploitation, le respect de cette norme permet de réduire ses coûts de sécurité, puisqu’elle permet la mise en place d’actions parfaitement adaptées aux besoins. Mais elle constitue également un élément marketing important : elle rassure les clients, les partenaires… et même les employés d’une entreprise, si son système interne fait partie du périmètre et bien plus que cela ! Cet élément de réassurance peut constituer un avantage concurrentiel sur les concurrents, et finira probablement par devenir un élément indispensable pour ne pas prendre de retard dans l’écosystème informatique. En effet, le nombre de certifications ISO 27001 est en augmentation dans le monde (+7% entre 2013 et 2014), et en plein boom en Afrique,
  • 25. Made by Arsène Allogo