SlideShare une entreprise Scribd logo

Guide de mise en œuvre complet en 10 étapes.pptx

Télécharger en tant que PPTX, PDF
T
Tech4nulls

Guide pour la mise en place iso 27001

Technologie
1  sur  17
La mise en œuvre d’un système de gestion de la sécurité de l’information conforme à la norme ISO 27001 peut s’avérer difficile. Pour vous faciliter la tâche, vous trouverez ci-dessous un guide en 10 étapes sur la manière de mettre en œuvre la norme ISO 27001 dans votre entreprise. De l’adhésion de la direction à la mise en œuvre, en passant par les activités de contrôle et d’amélioration.
Étape 1 : Mise en place d’une équipe de mise en œuvre Votre première tâche consiste à désigner un chef de projet chargé de superviser la mise en œuvre du SGSI. Il doit avoir une connaissance approfondie de la sécurité de l’information, ainsi que l’autorité nécessaire pour diriger une équipe et donner des ordres aux gestionnaires. Qui, au sein de votre organisation, supervisera le processus, fixera les attentes et gérera les étapes ? Comment obtiendrez-vous l’adhésion de la direction de votre entreprise ? Allez-vous faire appel à un consultant ISO 27001 pour vous aider tout au long du processus ?
Une fois l’équipe constituée, elle doit élaborer un plan de projet et définir certaines réponses : • Quels sont les objectifs à atteindre ? • Combien de temps cela prendra-t-il ? • Combien cela va-t-il coûter ? • Le projet est-il soutenu par la direction ? L’apprentissage de la norme ISO 27001 et de ses 93 contrôles est un élément fondamental de ce processus.
Étape 2 : Définir le champ d’application de votre SGSI Chaque entreprise est unique et héberge différents types de données. Avant d’élaborer votre SGSI, vous devez déterminer exactement le type d’informations que vous devez protéger. Cela implique d’identifier les endroits où les informations sont stockées : dans des fichiers physiques ou numériques et dans des systèmes ou appareils portables. Définir correctement votre champ d’application est une partie essentielle de votre projet de mise en œuvre du SGSI.
Si votre champ d’application est trop restreint, vous risquez de laisser des informations exposées, mettant ainsi en péril la sécurité de votre organisation. Mais si votre champ d’application est trop large, le SGSI deviendra trop complexe à gérer. Pour certaines entreprises, le champ d’application comprend l’ensemble de l’organisation. Pour d’autres, il n’englobe qu’un département ou un système spécifique, et ce n’est pas grave, la norme le permet.
Étape 3 : Identifier les risques • Approche basée sur des scénarios : les risques sont identifiés en considérant les événements et notés en évaluant leurs conséquences. En d’autres termes, vous essayez d’imaginer tout ce qui pourrait mal tourner (événements) et de déterminer l’impact que cela aurait sur la confidentialité, l’intégrité et la disponibilité des informations dans votre champ d’application. • Approche fondée sur les menaces et la vulnérabilité des actifs : les risques sont identifiés en utilisant l’inventaire des actifs comme point de départ. Pour chaque catégorie d’actifs (p. ex. ordinateurs portables, serveurs, réseaux), les menaces (erreur humaine, logiciels malveillants, etc.) sont prises en compte et notées en conséquence.
Étape 4 : Établir un processus de gestion des risques En ce qui concerne les risques, vous pouvez prendre l’une des quatre mesures suivantes : • Modifier le risque en mettant en place des contrôles qui réduisent la probabilité de sa survenance. • Éviter le risque en prévenant les circonstances dans lesquelles il pourrait se produire. • Partager le risque avec un tiers (c’est-à-dire confier les efforts de sécurité à une autre entreprise, souscrire une assurance, etc.) • Accepter le risque parce que le coût de sa résolution est supérieur au dommage potentiel.
Vous mettrez ensuite en œuvre des contrôles en réponse aux risques identifiés. Vos politiques doivent établir et appliquer les meilleures pratiques en matière de sécurité, par exemple en demandant aux employés d’utiliser l’authentification multifactorielle et de verrouiller les appareils chaque fois qu’ils quittent leur poste de travail.
Étape 5 : Mise en œuvre de programmes de formation et de sensibilisation Si vous voulez que votre personnel mette en œuvre toutes les nouvelles politiques et procédures, vous devez d’abord leur expliquer pourquoi elles sont nécessaires et les former pour qu’elles fonctionnent comme prévu. En outre, la norme ISO 27001 exige que tous les employés soient formés à la sécurité de l’information. Cela permet de s’assurer que tous les membres de l’organisation comprennent l’importance de la sécurité des données et leur rôle dans l’obtention et le maintien de la conformité. Il est essentiel que la formation soit attestée.
Étape 6 : Documenter et collecter des preuves C’est à ce stade que la norme ISO 27001 devient une routine quotidienne dans votre organisation. Le mot clé est ici : “enregistrements”. Pour obtenir la certification, vous devez prouver à votre auditeur que vous avez mis en place des politiques et des contrôles efficaces et qu’ils fonctionnent comme l’exige la norme. Outre l’audit, les enregistrements devraient vous aider en premier lieu – en les utilisant, vous pouvez contrôler ce qui se passe. Vous saurez ainsi avec certitude que toutes les personnes impliquées dans le SGSI s’acquittent de leurs tâches comme il se doit.
Étape 7 : Réaliser des audits internes C’est ici que les objectifs de vos contrôles et votre méthode de mesure se rejoignent – vous devez vérifier que les résultats que vous obtenez correspondent à ce que vous avez défini dans vos objectifs. Si ce n’est pas le cas, vous saurez que quelque chose ne va pas et vous devrez prendre des mesures correctives et/ou préventives pour résoudre le problème.
Étape 8 : Contrôler et mesurer le SGSI Que se passe-t-il dans votre SGSI ? Combien d’incidents avez-vous et de quel type ? Toutes les procédures sont-elles exécutées correctement ? Pour être efficace, le SGSI doit être revu par la direction générale à des intervalles planifiés et périodiques. Cette révision doit permettre d’évaluer les changements/améliorations apportés aux politiques, aux procédures, aux contrôles et aux décisions prises par le personnel. Cette étape importante du processus est la revue de la gestion du projet. Les résultats des audits et des examens périodiques doivent être documentés et conservés.
Étape 9 : Préparation de l’audit de certification L’audit de certification initial est divisé en deux phases, la phase 1 et la phase 2. La phase 1 est essentiellement un audit documentaire destiné à vérifier si le système de gestion peut faire l’objet d’un audit de certification de phase 2, et c’est au cours de cette phase que le plan d’audit de la phase 2 est préparé. La phase 2 est un audit au cours duquel toutes les techniques sont appliquées : vérification documentaire, entretiens, évaluation des processus, évaluation des infrastructures, etc. Cette phase comporte le plus grand nombre de jours d’audit et, par conséquent, le plus grand échantillon du cycle de certification.
Étape 10 : Maintenir l’amélioration continue Au fur et à mesure que votre entreprise évolue et que de nouveaux risques apparaissent, vous devrez rechercher les possibilités d’améliorer les processus et les contrôles existants. La norme ISO 27001 exige des audits internes périodiques dans le cadre de cette surveillance continue. Les auditeurs internes examinent les processus et les politiques afin de déceler les faiblesses éventuelles et les domaines à améliorer avant un nouvel audit externe.
Quel est le coût de la mise en œuvre de la norme ISO 27001 ?  La réponse n’est pas immédiate et le coût total de la mise en œuvre dépendra de plusieurs facteurs : • La taille de votre entreprise, c’est-à-dire le nombre d’employés (vous ne devez calculer que les employés qui seront inclus dans le champ d’application de votre ISO 27001). • Le niveau de criticité de l’information (par exemple, l’information dans les banques est considérée comme plus critique et nécessite un niveau de protection plus élevé). • La technologie utilisée par l’organisation (par exemple, les centres de données ont tendance à avoir des coûts plus élevés en raison de la complexité de leurs systèmes).
• Les exigences de la législation (en général, les secteurs financier et gouvernemental sont fortement réglementés en matière de sécurité de l’information). À cela s’ajoutent tous les autres coûts qui peuvent survenir au cours de la mise en œuvre, tels que la formation et la documentation, les services de conseil, les nouvelles technologies et la certification.
Combien de temps faut-il pour mettre en œuvre la norme ISO 27001 ?  La réponse n’est pas vraiment motivante – de nombreuses personnes pensent que la mise en œuvre ne prend que quelques semaines. Mais ce n’est pas du tout réaliste. La réalité va de quelques mois pour les petites entreprises à plus d’un an pour les grandes organisations.  Certes, il est toujours possible de produire des dizaines de documents en quelques jours en prétendant être conforme à la norme ISO 27001, mais ce n’est pas ce que signifie une véritable mise en œuvre de la norme avec l’intention réelle de produire des résultats – moins d’incidents, plus d’efficacité, une réduction des coûts, etc.  La durée et la complexité peuvent être considérablement réduites avec l’aide de consultants ou d’outils logiciels. Si vous essayez de le faire seul, sans aide, cela prendra certainement beaucoup plus de temps.

Recommandé

Iso27001
Iso27001 Iso27001
Iso27001 Arsene Allogo
 
ISO 27001
ISO 27001ISO 27001
ISO 27001Philippe CELLIER
 
Cinq raisons de certifier son organisation ISO 27001
Cinq raisons de certifier son organisation ISO 27001Cinq raisons de certifier son organisation ISO 27001
Cinq raisons de certifier son organisation ISO 27001Mielabelo
 
Club Excellence Opérationnelle : RGPD pour les TPE/PME
Club Excellence Opérationnelle : RGPD pour les TPE/PMEClub Excellence Opérationnelle : RGPD pour les TPE/PME
Club Excellence Opérationnelle : RGPD pour les TPE/PMELoïc Charpentier
 
Is27001 li formation-iso-iec-27001-lead-implementer
Is27001 li formation-iso-iec-27001-lead-implementerIs27001 li formation-iso-iec-27001-lead-implementer
Is27001 li formation-iso-iec-27001-lead-implementerCERTyou Formation
 
exposé sécurité
exposé sécuritéexposé sécurité
exposé sécuritéKaoutar Kouka Cne
 
Le RGPD, véritable opportunité vers la gouvernance de l’information
Le RGPD, véritable opportunité vers la gouvernance de l’informationLe RGPD, véritable opportunité vers la gouvernance de l’information
Le RGPD, véritable opportunité vers la gouvernance de l’informationPECB
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdfHajarSalimi
 

Recommandé

Iso27001
Iso27001 Iso27001
Iso27001 Arsene Allogo
 
ISO 27001
ISO 27001ISO 27001
ISO 27001Philippe CELLIER
 
Cinq raisons de certifier son organisation ISO 27001
Cinq raisons de certifier son organisation ISO 27001Cinq raisons de certifier son organisation ISO 27001
Cinq raisons de certifier son organisation ISO 27001Mielabelo
 
Club Excellence Opérationnelle : RGPD pour les TPE/PME
Club Excellence Opérationnelle : RGPD pour les TPE/PMEClub Excellence Opérationnelle : RGPD pour les TPE/PME
Club Excellence Opérationnelle : RGPD pour les TPE/PMELoïc Charpentier
 
Is27001 li formation-iso-iec-27001-lead-implementer
Is27001 li formation-iso-iec-27001-lead-implementerIs27001 li formation-iso-iec-27001-lead-implementer
Is27001 li formation-iso-iec-27001-lead-implementerCERTyou Formation
 
exposé sécurité
exposé sécuritéexposé sécurité
exposé sécuritéKaoutar Kouka Cne
 
Le RGPD, véritable opportunité vers la gouvernance de l’information
Le RGPD, véritable opportunité vers la gouvernance de l’informationLe RGPD, véritable opportunité vers la gouvernance de l’information
Le RGPD, véritable opportunité vers la gouvernance de l’informationPECB
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdfHajarSalimi
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatiqueetienne
 
Etude comparative iso 9001 vs iso 27001.ppt
Etude comparative iso 9001 vs iso 27001.pptEtude comparative iso 9001 vs iso 27001.ppt
Etude comparative iso 9001 vs iso 27001.pptKhouloud Errachedi
 
Is27001 la formation-iso-iec-27001-lead-auditor
Is27001 la formation-iso-iec-27001-lead-auditorIs27001 la formation-iso-iec-27001-lead-auditor
Is27001 la formation-iso-iec-27001-lead-auditorCERTyou Formation
 
veille digimind
veille digimindveille digimind
veille digimindicdes
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxJean-Michel Razafindrabe
 
Processus Audit SI
Processus Audit SIProcessus Audit SI
Processus Audit SIArsène Ngato
 
Comment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By DesignComment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By DesignThierry RAMARD
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIAlghajati
 
Mise en place d 'une structure d'ie bonnes pratiques_points de vigilance
Mise en place d 'une structure d'ie bonnes pratiques_points de vigilanceMise en place d 'une structure d'ie bonnes pratiques_points de vigilance
Mise en place d 'une structure d'ie bonnes pratiques_points de vigilanceSoumayaNebli
 
Mise en place d 'une structure d'IE bonnes pratiques_points de vigilance
Mise en place d 'une structure d'IE bonnes pratiques_points de vigilanceMise en place d 'une structure d'IE bonnes pratiques_points de vigilance
Mise en place d 'une structure d'IE bonnes pratiques_points de vigilanceIbtissemSlimeni
 
Le modèle cobit
Le modèle cobitLe modèle cobit
Le modèle cobitYoussef Bensafi
 
Chap2 gouvernance des SI.pptx
Chap2 gouvernance des SI.pptxChap2 gouvernance des SI.pptx
Chap2 gouvernance des SI.pptxInformatiqueL22022
 
PECB Webinaire: Enjeux et intérêts d’implantation d’un SME dans une entreprise
PECB Webinaire: Enjeux et intérêts d’implantation d’un SME dans une entreprisePECB Webinaire: Enjeux et intérêts d’implantation d’un SME dans une entreprise
PECB Webinaire: Enjeux et intérêts d’implantation d’un SME dans une entreprisePECB
 
Quick Response Quality Control : La réactivité organisée vers le 0 défaut
Quick Response Quality Control : La réactivité organisée vers le 0 défautQuick Response Quality Control : La réactivité organisée vers le 0 défaut
Quick Response Quality Control : La réactivité organisée vers le 0 défautJoel DUFLOT
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2Sébastien GIORIA
 
Omni Advisory 2010
Omni Advisory 2010Omni Advisory 2010
Omni Advisory 2010nicoperes
 
Benchmark TNP Consultants sur les outils du DPO - GDPR
Benchmark TNP Consultants sur les outils du DPO - GDPRBenchmark TNP Consultants sur les outils du DPO - GDPR
Benchmark TNP Consultants sur les outils du DPO - GDPRTNP Consultant
 
Benchmark gdpr outils dpo
Benchmark gdpr outils dpoBenchmark gdpr outils dpo
Benchmark gdpr outils dpoTNP Consultant
 
Cobitf formation-cobit-foundation-et-la-gouvernance-des-si
Cobitf formation-cobit-foundation-et-la-gouvernance-des-siCobitf formation-cobit-foundation-et-la-gouvernance-des-si
Cobitf formation-cobit-foundation-et-la-gouvernance-des-siCERTyou Formation
 
Cobf formation-cobit-foundation-et-la-gouvernance-des-si
Cobf formation-cobit-foundation-et-la-gouvernance-des-siCobf formation-cobit-foundation-et-la-gouvernance-des-si
Cobf formation-cobit-foundation-et-la-gouvernance-des-siCERTyou Formation
 

Contenu connexe

Similaire à Guide de mise en œuvre complet en 10 étapes.pptx

Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatiqueetienne
 
Etude comparative iso 9001 vs iso 27001.ppt
Etude comparative iso 9001 vs iso 27001.pptEtude comparative iso 9001 vs iso 27001.ppt
Etude comparative iso 9001 vs iso 27001.pptKhouloud Errachedi
 
Is27001 la formation-iso-iec-27001-lead-auditor
Is27001 la formation-iso-iec-27001-lead-auditorIs27001 la formation-iso-iec-27001-lead-auditor
Is27001 la formation-iso-iec-27001-lead-auditorCERTyou Formation
 
veille digimind
veille digimindveille digimind
veille digimindicdes
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxJean-Michel Razafindrabe
 
Comment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By DesignComment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By DesignThierry RAMARD
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIAlghajati
 
Mise en place d 'une structure d'ie bonnes pratiques_points de vigilance
Mise en place d 'une structure d'ie bonnes pratiques_points de vigilanceMise en place d 'une structure d'ie bonnes pratiques_points de vigilance
Mise en place d 'une structure d'ie bonnes pratiques_points de vigilanceSoumayaNebli
 
Mise en place d 'une structure d'IE bonnes pratiques_points de vigilance
Mise en place d 'une structure d'IE bonnes pratiques_points de vigilanceMise en place d 'une structure d'IE bonnes pratiques_points de vigilance
Mise en place d 'une structure d'IE bonnes pratiques_points de vigilanceIbtissemSlimeni
 
PECB Webinaire: Enjeux et intérêts d’implantation d’un SME dans une entreprise
PECB Webinaire: Enjeux et intérêts d’implantation d’un SME dans une entreprisePECB Webinaire: Enjeux et intérêts d’implantation d’un SME dans une entreprise
PECB Webinaire: Enjeux et intérêts d’implantation d’un SME dans une entreprisePECB
 
Quick Response Quality Control : La réactivité organisée vers le 0 défaut
Quick Response Quality Control : La réactivité organisée vers le 0 défautQuick Response Quality Control : La réactivité organisée vers le 0 défaut
Quick Response Quality Control : La réactivité organisée vers le 0 défautJoel DUFLOT
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2Sébastien GIORIA
 
Omni Advisory 2010
Omni Advisory 2010Omni Advisory 2010
Omni Advisory 2010nicoperes
 
Benchmark TNP Consultants sur les outils du DPO - GDPR
Benchmark TNP Consultants sur les outils du DPO - GDPRBenchmark TNP Consultants sur les outils du DPO - GDPR
Benchmark TNP Consultants sur les outils du DPO - GDPRTNP Consultant
 
Benchmark gdpr outils dpo
Benchmark gdpr outils dpoBenchmark gdpr outils dpo
Benchmark gdpr outils dpoTNP Consultant
 
Cobitf formation-cobit-foundation-et-la-gouvernance-des-si
Cobitf formation-cobit-foundation-et-la-gouvernance-des-siCobitf formation-cobit-foundation-et-la-gouvernance-des-si
Cobitf formation-cobit-foundation-et-la-gouvernance-des-siCERTyou Formation
 
Cobf formation-cobit-foundation-et-la-gouvernance-des-si
Cobf formation-cobit-foundation-et-la-gouvernance-des-siCobf formation-cobit-foundation-et-la-gouvernance-des-si
Cobf formation-cobit-foundation-et-la-gouvernance-des-siCERTyou Formation
 

Similaire à Guide de mise en œuvre complet en 10 étapes.pptx (20)

Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatique
 
Etude comparative iso 9001 vs iso 27001.ppt
Etude comparative iso 9001 vs iso 27001.pptEtude comparative iso 9001 vs iso 27001.ppt
Etude comparative iso 9001 vs iso 27001.ppt
 
Is27001 la formation-iso-iec-27001-lead-auditor
Is27001 la formation-iso-iec-27001-lead-auditorIs27001 la formation-iso-iec-27001-lead-auditor
Is27001 la formation-iso-iec-27001-lead-auditor
 
veille digimind
veille digimindveille digimind
veille digimind
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
 
Processus Audit SI
Processus Audit SIProcessus Audit SI
Processus Audit SI
 
Comment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By DesignComment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By Design
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SI
 
Mise en place d 'une structure d'ie bonnes pratiques_points de vigilance
Mise en place d 'une structure d'ie bonnes pratiques_points de vigilanceMise en place d 'une structure d'ie bonnes pratiques_points de vigilance
Mise en place d 'une structure d'ie bonnes pratiques_points de vigilance
 
Mise en place d 'une structure d'IE bonnes pratiques_points de vigilance
Mise en place d 'une structure d'IE bonnes pratiques_points de vigilanceMise en place d 'une structure d'IE bonnes pratiques_points de vigilance
Mise en place d 'une structure d'IE bonnes pratiques_points de vigilance
 
Le modèle cobit
Le modèle cobitLe modèle cobit
Le modèle cobit
 
Chap2 gouvernance des SI.pptx
Chap2 gouvernance des SI.pptxChap2 gouvernance des SI.pptx
Chap2 gouvernance des SI.pptx
 
PECB Webinaire: Enjeux et intérêts d’implantation d’un SME dans une entreprise
PECB Webinaire: Enjeux et intérêts d’implantation d’un SME dans une entreprisePECB Webinaire: Enjeux et intérêts d’implantation d’un SME dans une entreprise
PECB Webinaire: Enjeux et intérêts d’implantation d’un SME dans une entreprise
 
Quick Response Quality Control : La réactivité organisée vers le 0 défaut
Quick Response Quality Control : La réactivité organisée vers le 0 défautQuick Response Quality Control : La réactivité organisée vers le 0 défaut
Quick Response Quality Control : La réactivité organisée vers le 0 défaut
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
 
Omni Advisory 2010
Omni Advisory 2010Omni Advisory 2010
Omni Advisory 2010
 
Benchmark TNP Consultants sur les outils du DPO - GDPR
Benchmark TNP Consultants sur les outils du DPO - GDPRBenchmark TNP Consultants sur les outils du DPO - GDPR
Benchmark TNP Consultants sur les outils du DPO - GDPR
 
Benchmark gdpr outils dpo
Benchmark gdpr outils dpoBenchmark gdpr outils dpo
Benchmark gdpr outils dpo
 
Cobitf formation-cobit-foundation-et-la-gouvernance-des-si
Cobitf formation-cobit-foundation-et-la-gouvernance-des-siCobitf formation-cobit-foundation-et-la-gouvernance-des-si
Cobitf formation-cobit-foundation-et-la-gouvernance-des-si
 
Cobf formation-cobit-foundation-et-la-gouvernance-des-si
Cobf formation-cobit-foundation-et-la-gouvernance-des-siCobf formation-cobit-foundation-et-la-gouvernance-des-si
Cobf formation-cobit-foundation-et-la-gouvernance-des-si
 

Guide de mise en œuvre complet en 10 étapes.pptx

  • 1. La mise en œuvre d’un système de gestion de la sécurité de l’information conforme à la norme ISO 27001 peut s’avérer difficile. Pour vous faciliter la tâche, vous trouverez ci-dessous un guide en 10 étapes sur la manière de mettre en œuvre la norme ISO 27001 dans votre entreprise. De l’adhésion de la direction à la mise en œuvre, en passant par les activités de contrôle et d’amélioration.
  • 2. Étape 1 : Mise en place d’une équipe de mise en œuvre Votre première tâche consiste à désigner un chef de projet chargé de superviser la mise en œuvre du SGSI. Il doit avoir une connaissance approfondie de la sécurité de l’information, ainsi que l’autorité nécessaire pour diriger une équipe et donner des ordres aux gestionnaires. Qui, au sein de votre organisation, supervisera le processus, fixera les attentes et gérera les étapes ? Comment obtiendrez-vous l’adhésion de la direction de votre entreprise ? Allez-vous faire appel à un consultant ISO 27001 pour vous aider tout au long du processus ?
  • 3. Une fois l’équipe constituée, elle doit élaborer un plan de projet et définir certaines réponses : • Quels sont les objectifs à atteindre ? • Combien de temps cela prendra-t-il ? • Combien cela va-t-il coûter ? • Le projet est-il soutenu par la direction ? L’apprentissage de la norme ISO 27001 et de ses 93 contrôles est un élément fondamental de ce processus.
  • 4. Étape 2 : Définir le champ d’application de votre SGSI Chaque entreprise est unique et héberge différents types de données. Avant d’élaborer votre SGSI, vous devez déterminer exactement le type d’informations que vous devez protéger. Cela implique d’identifier les endroits où les informations sont stockées : dans des fichiers physiques ou numériques et dans des systèmes ou appareils portables. Définir correctement votre champ d’application est une partie essentielle de votre projet de mise en œuvre du SGSI.
  • 5. Si votre champ d’application est trop restreint, vous risquez de laisser des informations exposées, mettant ainsi en péril la sécurité de votre organisation. Mais si votre champ d’application est trop large, le SGSI deviendra trop complexe à gérer. Pour certaines entreprises, le champ d’application comprend l’ensemble de l’organisation. Pour d’autres, il n’englobe qu’un département ou un système spécifique, et ce n’est pas grave, la norme le permet.
  • 6. Étape 3 : Identifier les risques • Approche basée sur des scénarios : les risques sont identifiés en considérant les événements et notés en évaluant leurs conséquences. En d’autres termes, vous essayez d’imaginer tout ce qui pourrait mal tourner (événements) et de déterminer l’impact que cela aurait sur la confidentialité, l’intégrité et la disponibilité des informations dans votre champ d’application. • Approche fondée sur les menaces et la vulnérabilité des actifs : les risques sont identifiés en utilisant l’inventaire des actifs comme point de départ. Pour chaque catégorie d’actifs (p. ex. ordinateurs portables, serveurs, réseaux), les menaces (erreur humaine, logiciels malveillants, etc.) sont prises en compte et notées en conséquence.
  • 7. Étape 4 : Établir un processus de gestion des risques En ce qui concerne les risques, vous pouvez prendre l’une des quatre mesures suivantes : • Modifier le risque en mettant en place des contrôles qui réduisent la probabilité de sa survenance. • Éviter le risque en prévenant les circonstances dans lesquelles il pourrait se produire. • Partager le risque avec un tiers (c’est-à-dire confier les efforts de sécurité à une autre entreprise, souscrire une assurance, etc.) • Accepter le risque parce que le coût de sa résolution est supérieur au dommage potentiel.
  • 8. Vous mettrez ensuite en œuvre des contrôles en réponse aux risques identifiés. Vos politiques doivent établir et appliquer les meilleures pratiques en matière de sécurité, par exemple en demandant aux employés d’utiliser l’authentification multifactorielle et de verrouiller les appareils chaque fois qu’ils quittent leur poste de travail.
  • 9. Étape 5 : Mise en œuvre de programmes de formation et de sensibilisation Si vous voulez que votre personnel mette en œuvre toutes les nouvelles politiques et procédures, vous devez d’abord leur expliquer pourquoi elles sont nécessaires et les former pour qu’elles fonctionnent comme prévu. En outre, la norme ISO 27001 exige que tous les employés soient formés à la sécurité de l’information. Cela permet de s’assurer que tous les membres de l’organisation comprennent l’importance de la sécurité des données et leur rôle dans l’obtention et le maintien de la conformité. Il est essentiel que la formation soit attestée.
  • 10. Étape 6 : Documenter et collecter des preuves C’est à ce stade que la norme ISO 27001 devient une routine quotidienne dans votre organisation. Le mot clé est ici : “enregistrements”. Pour obtenir la certification, vous devez prouver à votre auditeur que vous avez mis en place des politiques et des contrôles efficaces et qu’ils fonctionnent comme l’exige la norme. Outre l’audit, les enregistrements devraient vous aider en premier lieu – en les utilisant, vous pouvez contrôler ce qui se passe. Vous saurez ainsi avec certitude que toutes les personnes impliquées dans le SGSI s’acquittent de leurs tâches comme il se doit.
  • 11. Étape 7 : Réaliser des audits internes C’est ici que les objectifs de vos contrôles et votre méthode de mesure se rejoignent – vous devez vérifier que les résultats que vous obtenez correspondent à ce que vous avez défini dans vos objectifs. Si ce n’est pas le cas, vous saurez que quelque chose ne va pas et vous devrez prendre des mesures correctives et/ou préventives pour résoudre le problème.
  • 12. Étape 8 : Contrôler et mesurer le SGSI Que se passe-t-il dans votre SGSI ? Combien d’incidents avez-vous et de quel type ? Toutes les procédures sont-elles exécutées correctement ? Pour être efficace, le SGSI doit être revu par la direction générale à des intervalles planifiés et périodiques. Cette révision doit permettre d’évaluer les changements/améliorations apportés aux politiques, aux procédures, aux contrôles et aux décisions prises par le personnel. Cette étape importante du processus est la revue de la gestion du projet. Les résultats des audits et des examens périodiques doivent être documentés et conservés.
  • 13. Étape 9 : Préparation de l’audit de certification L’audit de certification initial est divisé en deux phases, la phase 1 et la phase 2. La phase 1 est essentiellement un audit documentaire destiné à vérifier si le système de gestion peut faire l’objet d’un audit de certification de phase 2, et c’est au cours de cette phase que le plan d’audit de la phase 2 est préparé. La phase 2 est un audit au cours duquel toutes les techniques sont appliquées : vérification documentaire, entretiens, évaluation des processus, évaluation des infrastructures, etc. Cette phase comporte le plus grand nombre de jours d’audit et, par conséquent, le plus grand échantillon du cycle de certification.
  • 14. Étape 10 : Maintenir l’amélioration continue Au fur et à mesure que votre entreprise évolue et que de nouveaux risques apparaissent, vous devrez rechercher les possibilités d’améliorer les processus et les contrôles existants. La norme ISO 27001 exige des audits internes périodiques dans le cadre de cette surveillance continue. Les auditeurs internes examinent les processus et les politiques afin de déceler les faiblesses éventuelles et les domaines à améliorer avant un nouvel audit externe.
  • 15. Quel est le coût de la mise en œuvre de la norme ISO 27001 ?  La réponse n’est pas immédiate et le coût total de la mise en œuvre dépendra de plusieurs facteurs : • La taille de votre entreprise, c’est-à-dire le nombre d’employés (vous ne devez calculer que les employés qui seront inclus dans le champ d’application de votre ISO 27001). • Le niveau de criticité de l’information (par exemple, l’information dans les banques est considérée comme plus critique et nécessite un niveau de protection plus élevé). • La technologie utilisée par l’organisation (par exemple, les centres de données ont tendance à avoir des coûts plus élevés en raison de la complexité de leurs systèmes).
  • 16. • Les exigences de la législation (en général, les secteurs financier et gouvernemental sont fortement réglementés en matière de sécurité de l’information). À cela s’ajoutent tous les autres coûts qui peuvent survenir au cours de la mise en œuvre, tels que la formation et la documentation, les services de conseil, les nouvelles technologies et la certification.
  • 17. Combien de temps faut-il pour mettre en œuvre la norme ISO 27001 ?  La réponse n’est pas vraiment motivante – de nombreuses personnes pensent que la mise en œuvre ne prend que quelques semaines. Mais ce n’est pas du tout réaliste. La réalité va de quelques mois pour les petites entreprises à plus d’un an pour les grandes organisations.  Certes, il est toujours possible de produire des dizaines de documents en quelques jours en prétendant être conforme à la norme ISO 27001, mais ce n’est pas ce que signifie une véritable mise en œuvre de la norme avec l’intention réelle de produire des résultats – moins d’incidents, plus d’efficacité, une réduction des coûts, etc.  La durée et la complexité peuvent être considérablement réduites avec l’aide de consultants ou d’outils logiciels. Si vous essayez de le faire seul, sans aide, cela prendra certainement beaucoup plus de temps.