Présentation général de la norme ISO 27001 pour aider tant les dirigeant que les DSI qui ont peut ou voir qui n'ont pas de connaissance préalable de cette norme et souhaiterai l'intégrer à leurs processus de Management des SI
2. ‘’La sécurité des données personnelle est aujourd’hui un sujet
majeur pour l’ensemble des individus et des entreprises. Il
devient de plus en plus important pour ces dernières de fournir
à leurs clients et utilisateurs des garanties sur ce sujet ‘’
3. ❑ Normes les plus connues
❑ Qu’est-ce que l’ISO ?
❑ Qu’est-ce qu’une Norme ?
❑ Différence entre Réglementation
& Normalisation
La Norme
01 ❑ Informations
❑ Objectifs de la norme
❑ Qu’est-ce qu’un SMSI ?
❑ Qui se conforme ?
❑ Pourquoi se conformer / Certifier ?
❑ Une fois certifié
❑ Cas de demande de conformité
ISO 27001
02
❑ Informations
❑ Objectifs principaux
❑ Phases d'établissements
❑ Processus de certification
Structure de l’ISO 27001
03
4. ISO/IEC 27001
ISO 3166
ISO 6
ISO 639
ISO 4217
Management de la
sécurité de
l’information
Codes des noms
de pays
Sensibilité des
appareils
photographiques
Codes des langue
Codes des monaies
Normes les
plus connues
ISO 9000 Management de la
qualité
ISO 9660
ISO 13216
ISO 31000
ISO 37001
ISO 45001
ISO 8601
Représentation de la
date et de l’heure
Images ISO pour
fichiers informatiques
Sièges auto pour
enfants ISOFIX
Management du risque
Systèmes de
management anti-
corruption
Santé et sécurité au
travail
5. 1 - LA NORME
❑ Normes les plus connues
❑ Qu’est-ce que l’ISO ?
❑ Qu’est-ce qu’une Norme ?
❑ Différence entre Réglementation
& Normalisation
6. Qu’est-ce que l’ISO ?
Acronyme de Organisation Internationale de Normalisation
- Organisation internationale non gouvernementale,
indépendante, dont le siège se situe à Genève en Suisse. Créée
en 1947.
- Disponible dans 161 pays membres, chacun comportant un
organisme national (AGANOR au Gabon) de normalisation.
- Elle produit des normes internationales dans les domaines
industriels et commerciaux.
L'ISO a publié plus de 22064 normes
7. Qu’est-ce qu’une norme ? Document qui fournit des exigences, des spécifications,
des directives ou caractéristiques.
❑ Les normes garantissent que les produits et services
sont sûrs, fiables et de bonne qualité.
❑ Elles sont des outils stratégiques qui diminuent les
coûts en réduisant les déchets et erreurs.
En d’autre terme une norme est essentiellement une
manière convenue de faire quelque chose, Elle peut
concerner la fabrication d’un produit, le management
d’un procédé, la prestation d’un service ou la fourniture
de matériel.
Les normes définissent une forme de sagesse
accumulée et distillée par des experts dans leur
domaines,
NORME
8. Différence entre Réglementation &
Normalisation
NormeRéglementation
Les normes revêtent un caractère volontaire.
S’y conformer n’est pas une obligation. Elles
traduisent l’engagement des entreprises à
satisfaire un niveau de qualité et sécurité
reconnu et approuvé,
Exemple:
ISO 27001, ISO 9000 etc…
La réglementation relève des pouvoirs
publics. Elle est l’expression d’une loi, d’un
règlement et
son application est imposée.
Exemple:
GDPR / RGPD / Loi N°001-2011- Gabon
≠
9. 2 - ISO 27001
❑ Informations
❑ Objectifs de la norme
❑ Qu’est-ce qu’un SMSI ?
❑ Qui se conforme ?
❑ Pourquoi se conformer / Certifier ?
❑ Une fois certifié
❑ Cas de demande de conformité
10. Technologies de l'information -- Techniques de sécurité -- Systèmes
de management de la sécurité de l'information – Exigences
✓ Norme internationale qui succède à la norme BS 7799-2 de BSI
(British Standards Institution)
✓ Publiée en 2005 et révisée en 2013.
✓ Fait partie de la suite ISO 27000 - Systèmes de gestion de sécurité
de l'information.
✓ Permet de certifier des organisations
Informations
11. Objectifs de la norme
Elle définit les exigences de conformité
pour la mise en place, la mise en œuvre, le
maintien, l’amélioration continue d’un
Système de Management de la Sécurité de
l‘Information (SMSI).
12. Qu’est-ce qu’un SMSI ?
Le SMSI est conçu pour aider à gérer les risques liés à l’IT
et à protéger la confidentialité, l’intégrité et la disponibilité
de l’information.
Le SMSI recense les mesures de sécurité, dans un
périmètre défini, afin de garantir la protection des actifs de
l'organisme. L’objectif est de protéger les fonctions et
informations de toute perte, vol ou altération, et les
systèmes informatiques de toute intrusion et sinistre
informatique. Cela apportera la confiance des parties
prenantes.
13. Qui se conforme ?
❖ Il n’est pas obligatoire de certifier une entité
complète (Site, Direction, Etc. …)
❖ Mais les activités périmétriques en bénéficieront.
❖ Toutes les organisations de tout secteurs
et de toutes tailles qui tiennent à la
confidentialité de
leurs informations.
❖ Une personne qui est certifié
❖ ISO 27001 Lead Auditor : certifie que les professionnels
possèdent les connaissances et les compétences pour
auditer la conformité d’un SMSI.
❖ ISO 27001 Lead Implémenter : garantis que les candidats
possèdent les connaissances et les compétences
nécessaires pour mettre en œuvre un SMSI.
14. ➢ Renouvellement tous les 3 ans.
➢ Avec un audit de renouvellement.
Pourquoi se conformer / certifier ?
➢ On se conforme volontairement à la norme.
➢ Démontre une assurance aux partenaires, clients,
fournisseurs = on s’engage à maintenir
un niveau de sécurité de l’information.
➢ Se démarquer de la concurrence.
➢ Que l’on maîtrise son SI
Une fois certifié
15. Cas de demande de conformité
L’entreprise intègre un groupe
déjà conforme
Demande imposée par un
fournisseur/partenaire pour
conserver un marché.
L’entreprise doit se mettre en
conformité avec la norme pour
pouvoir répondre à certains
appels d’offres
L’entreprise fait partie d’un
groupe qui se met en conformité
L’entreprise fait partie
d’un groupe étranger lui
imposant la mise en
conformité
Demande par la direction interne
ISO 27001
16. 3. Structure de l’ISO 27001
❑ Informations
❑ Objectifs principaux
❑ Phases d'établissements
❑ Processus de certification
17. Composé de 10 chapitres et une annexe.
Annexe : Composée de 114 mesures réparties en 14 sections.
ISO 27002 : Qui permet de donner les bonnes pratiques pour
l’implémentation du SMSI.
Il n'est pas admis qu'une organisation s'affranchisse de l'une des
exigences spécifiées aux chapitres 4 à 10 lorsqu'elle revendique la
conformité
Informations
18. Objectifs principaux
Objectifs
Contrôles d’accès Gestion des biens
2
Acquisition, développement et
maintenance des systèmes
d'information
Sécurité liée aux ressources
humaines
Gestion des communications et de
l'exploitation
Politique de sécurité
Organisation de la sécurité de
l’information
Sécurité physique et environnementale
Gestion des incidents liés à la
sécurité de l'information
Gestion de la continuité d’activité
19. Phases d'établissements
• • Revue périodique
• Audit interne
• Test d’intrusions
• Maintenance et
amélioration
• Incidents / Problèmes
• Sensibilisation
• Projets de sécurité
• Analyse
• Objectifs
• Politique de Sécurité
• Définie le traitement
des risques
Plan DO
CheckAct
20. Plan
Cette phase consiste à fixer les objectifs avec 4 grandes
étapes :
1. La politique et le périmètre du SMSI.
2. L’appréciation des risques.
3. Le traitement des risques (en tenant compte des
risques résiduels).
4. La sélection des mesures de sécurité présentes dans
Annexe A
21. Do
Cette phase consiste à décrire la mise en œuvre des mesures à travers quatre étapes :
1. Un plan de traitement des risques.
2. Déploiement des mesures de sécurité.
3. Formation et sensibilisation des collaborateurs.
4. Choix des indicateurs :
- Performance : Vérification de l’efficacité des mesures.
- Conformité : Pour contrôler la conformité du SMSI.
22. Cette phase concerne les moyens de contrôle pour assurer l’efficacité du
SMSI et sa conformité :
1. Des contrôles internes.
2. Des audits internes.
3. Les revues : qui garantissent périodiquement l’adéquation du SMSI avec
son environnement
Check
ACT
Mise en place d’actions correctives, préventives ou d’amélioration pour les
incidents et écarts constatés lors de la phase Check
1. Actions correctives
2. Actions préventives
3. Actions d’amélioration
23. Processus de certification
Audit porte sur l’ensemble du SMSI
La durée est déterminée dans l’annexe C de la norme
ISO/CEI 27006
L’auditeur ne donne pas la certification, il donne juste un
avis qui sera étudié par un comité de
validation technique, puis par un comité de certification
Après cela que la certification est délivrée pour une durée
de trois ans.
Dans le cas contraire, un audit complémentaire.
L’organisme devra, durant ce délai, corriger les problèmes
décelés lors de l’audit initial pour
obtenir le certificat.
24. Conclusion
Ainsi, grâce à la certification ISO 27001, une entreprise obtient un système fonctionnel,
cadré, sécurisé et évolutif. Au-delà de fournir un cadre d’exploitation, le respect de cette
norme permet de réduire ses coûts de sécurité, puisqu’elle permet la mise en place
d’actions parfaitement adaptées aux besoins. Mais elle constitue également un élément
marketing important : elle rassure les clients, les partenaires… et même les employés d’une
entreprise, si son système interne fait partie du périmètre et bien plus que cela !
Cet élément de réassurance peut constituer un avantage concurrentiel sur les concurrents,
et finira probablement par devenir un élément indispensable pour ne pas prendre de retard
dans l’écosystème informatique. En effet, le nombre de certifications ISO 27001 est en
augmentation dans le monde (+7% entre 2013 et 2014), et en plein boom en Afrique,