3. Sommaire
Qu’est-ce que l’ISO ?
Qu’est-ce qu’une norme ?
Délégations
Ne pas confondre avec réglementation
4. Présentation
Acronyme de Organisation Internationale de Normalisation
Organisation internationale non gouvernementale, indépendante, dont le siège se situe à
Genève en Suisse. Créée en 1947.
Disponible dans 161 pays membres, chacun comportant un organisme national de
normalisation.
Elle produit des normes internationales dans les domaines industriels et commerciaux.
L'ISO a publié plus de 22064 normes.
Qu’est-ce que l’ISO ?
5. Présentation
Document qui fournit des exigences, des spécifications, des directives ou caractéristiques.
Les normes garantissent que les produits et services sont sûrs, fiables et de bonne qualité. Elles
sont des outils stratégiques qui diminuent les coûts en réduisant les déchets et erreurs.
Qu’est-ce qu’une norme ?
La réglementation relève des pouvoirs publics. Elle est l’expression d’une loi, d’un règlement et
son application est imposée. GDPR / RGPD
Les normes revêtent un caractère volontaire. S’y conformer n’est pas une obligation. Elles
traduisent l’engagement des entreprises à satisfaire un niveau de qualité et sécurité reconnu et
approuvé.
Ne pas confondre avec réglementation
8. Sommaire
Informations
Objectifs de la norme
Qu’est-ce qu’un SMSI ?
Vue d’ensemble des normes ISO 27000
Qui se conforme ?
Pourquoi se conformer / Certifier ?
Une fois certifié
Cas de demande de conformité
9. Découverte de la norme
Technologies de l'information -- Techniques de sécurité -- Systèmes de
management de la sécurité de l'information – Exigences
Norme internationale qui succède à la norme BS 7799-2 de BSI (British Standards Institution)
Publiée en 2005 et révisée en 2013.
Fait partie de la suite ISO 27000 - Systèmes de gestion de sécurité de l'information.
Permet de certifier des organisations.
Informations
10. Découverte de la norme
Elle définit les exigences de conformité pour la mise en place, la mise en œuvre, le
maintien, l’amélioration continue d’un Système de Management de la Sécurité de
l‘Information (SMSI).
Objectifs de la norme
Le SMSI est conçu pour aider à gérer les risques liés à l’IT et à protéger la confidentialité, l’intégrité
et la disponibilité de l’information.
Qu’est-ce qu’un SMSI ?
11. Découverte de la norme
Vue d’ensemble des normes ISO 27000
ISO 27001
SMSI
ISO 27006
Audit de SMSI
ISO 27000
Vocabulaire
ISO 27002
Mesures
ISO 27005
Analyse de risques
ISO 27004
Métrique
Exigences
Guides Secteurs ISO 270034
Sécurité des
applications
12. Découverte de la norme
Qui se conformer ?
Toutes les organisations de tout secteurs et de toutes tailles qui tiennent à la confidentialité de
leurs informations.
Il n’est pas obligatoire de certifier une entité complète (Site, Direction, Etc …)
Mais les activités périmétriques en bénéficieront.
Une personne qui est certifiée :
ISO 27001 Lead Auditor : certifie que les professionnels possèdent les connaissances et les
compétences pour auditer la conformité d’un SMSI.
ISO 27001 Lead Implementer : garantis que les candidats possèdent les connaissances et les
compétences nécessaires pour mettre en œuvre un SMSI.
13. Découverte de la norme
Pourquoi se conformer / certifier
On se conforme volontairement à la norme.
Démontre une assurance aux partenaires, clients, fournisseurs = on s’engage à maintenir
un niveau de sécurité de l’information.
Se démarquer de la concurrence.
Que l’on maîtrise son SI.
Renouvellement tous les 3 ans.
Avec un audit de renouvellement.
Une fois certifié
14. Découverte de la norme
Cas de demande de conformité
L’entreprise intègre un groupe déjà conforme.
L’entreprise fait partie d’un groupe qui se met en conformité.
L’entreprise fait partie d’un groupe étranger lui imposant la mise en conformité.
Demande imposée par un fournisseur/partenaire pour conserver un marché.
L’entreprise doit se mettre en conformité avec la norme pour pouvoir répondre à certains
appels d’offres.
Demande la direction interne.
17. Structure de la norme
Composé de 10 chapitres et une annexe.
Annexe : Composée de 114 mesures réparties en 14 sections.
ISO 27002 : Qui permet de donner les bonnes pratiques pour l’implémentation du SMSI.
Il n'est pas admis qu'une organisation s'affranchisse de l'une des exigences spécifiées aux
chapitres 4 à 10 lorsqu'elle revendique la conformité.
Informations
18. Structure de la norme
Politique de sécurité
Organisation de la sécurité de l’information
Gestion des biens
Sécurité liée aux ressources humaines
Sécurité physique et environnementale
Gestion des communications et de l'exploitation
Contrôles d’accès
Acquisition, développement et maintenance des systèmes d'information
Gestion des incidents liés à la sécurité de l'information
Gestion de la continuité d’activité
Conformité légale et réglementaire
Objectifs principaux
19. Structure de la norme
Phases d'établissements
• Revue périodique
• Audit interne
• Test d’intrusions
• Maintenance et
amélioration
• Incidents / Problèmes
• Sensibilisation
• Projets de sécurité
• Analyse
• Objectifs
• Politique de Sécurité
• Définie le traitement
des risques
PLAN DO
CHECKACT
20. Structure de la norme
• Analyse
• Objectifs
• Politique de Sécurité
• Définie le traitement
des risques
PLAN
Cette phase consiste à fixer les objectifs avec 4 grandes étapes :
1. La politique et le périmètre du SMSI.
2. L’appréciation des risques.
3. Le traitement des risques (en tenant compte des risques résiduels).
4. La sélection des mesures de sécurité présentes dans Annexe A.
21. Structure de la norme
• Incidents / Problèmes
• Sensibilisation
• Projets de sécurité
DO
Cette phase consiste à décrire la mise en œuvre des mesures à travers quatre étapes :
1. Un plan de traitement des risques.
2. Déploiement des mesures de sécurité.
3. Formation et sensibilisation des collaborateurs.
4. Choix des indicateurs :
Performance : Vérification de l’efficacité des mesures.
Conformité : Pour contrôler la conformité du SMSI.
22. Structure de la norme
• Revue périodique
• Audit interne
• Test d’intrusions
CHECK
Cette phase concerne les moyens de contrôle pour assurer l’efficacité du SMSI et sa conformité :
1. Des contrôles internes.
2. Des audits internes.
3. Les revues : qui garantissent périodiquement l’adéquation du SMSI avec son environnement.
23. Structure de la norme
• Maintenance et
amélioration
ACT
Mise en place d’actions correctives, préventives ou d’amélioration pour les incidents et écarts
constatés lors de la phase Check
1. Actions correctives
2. Actions préventives
3. Actions d’amélioration
24. Structure de la norme
Processus de certification
Audit porte sur l’ensemble du SMSI.
La durée est déterminée dans l’annexe C de la norme ISO/CEI 27006.
L’auditeur ne donne pas la certification, il donne juste un avis qui sera étudié par un comité de
validation technique, puis par un comité de certification.
Après cela que la certification est délivrée pour une durée de trois ans.
Dans le cas contraire, un audit complémentaire.
L’organisme devra, durant ce délai, corriger les problèmes décelés lors de l’audit initial pour
obtenir le certificat.
26. Conclusion
Vous avez toutes les informations en mains pour pouvoir :
Aider à mettre en place un SMSI.
Aider une organisation à se préparer ainsi qu’à se certifier.
Vous ou votre organisation.