Site icon Blog de la Transformation Digitale

Guide ISO 27001 : de A jusqu’à Z

Sécurité de l'information - Guide ISO 27001 de A jusqu'à Z

Crédit © rawpixel.com 2019

Quand on évoque la sécurité de l’information, on fait souvent référence à la norme ISO 27001. Mais, en fait, de quoi s’agit-il vraiment? Qu’est-ce donc que cette norme? Qui cela concerne? En quoi consiste une certification ISO 27001? J’ai choisi cette approche ludique du guide sous forme d’un abécédaire pour répondre à toutes ces questions. Je vous laisse donc découvrir en vous amusant notre guide ISO 27001 de A jusqu’à Z. Et j’attends, comme toujours, vos commentaires. 

Audit

La norme exige deux types d’audit du SMSI. Un audit interne doit être réalisé au minimum entre deux audits externes. Suite à cet audit interne, des recommandations d’amélioration et/ou de correction de non-conformité doivent être proposées et suivies d’un plan d’action effectivement mis en oeuvre. Les résultats d’un audit interne doivent donc aboutir à l’identification des non-conformités et des actions correctives ou préventives associées. La norme ISO27001 répertorie les exigences en matière d’activité et d’enregistrement relatives aux actions correctives et préventives.

Les audit externes ont pour objectif de vérifier de façon indépendante la conformité du SMSI aux exigences de la norme. Un audit de certification est ainsi réalisé de façon initiale en vue de la certification. Il doit ensuite être renouvelé tous les trois ans afin de renouveler la certification. En outre, chaque année, entre deux audits externes de certification, un audit annuel de surveillance doit être effectué par l’organisme de certification.

Business (Continuité)

La continuité des affaires est une des exigences de la norme ISO 27001. Cette exigence est décrite en détail à l’annexe A.17.1 et A.17.2.

L’Annexe A.17.1 concerne la continuité de la sécurité de l’information. L’objectif des deux contrôles de sécurité associés est que la continuité de la sécurité de l’information soit intégrée aux systèmes de management de la continuité des opérations de l’organisation. C’est une partie importante du système de gestion de la sécurité de l’information (SMSI) pour obtenir la certification ISO 27001.

L’Annexe A.17.2 concerne les redondances. L’objectif de ce contrôle est d’assurer la disponibilité des installations de traitement de l’information en cas de catastrophe.

Certification

La certification de votre SMSI selon ISO/IEC 27001 est une possibilité. Mais il ne s’agit pas une obligation. Certains utilisateurs décident de mettre en œuvre la norme simplement pour les avantages directs que procurent les meilleures pratiques. D’autres font le choix de la certification pour prouver à leurs clients qu’ils suivent les recommandations de la norme. L’ISO ne fournit pas de services de certification. La certification est toujours délivrée par un organisme indépendant accrédité. Elle est alors accordée pour une durée de 3 ans.

Direction (Revue de)

Pour que le SMSI soit efficace et reste à jour et adapté à ses besoins, ISO27001 requiert deux évaluations régulières:

Les résultats des revues et des audits doivent être documentés. En outre, les enregistrements relatifs aux revues de direction et aux audits doivent être conservés.

Engagement de la Direction

L’équipe de direction et de management d’une organisation joue un rôle important dans le succès d’un SMSI.

La section Responsabilité du management de la norme ISO27001 stipule:

La direction doit s’engager à établir, mettre en œuvre, exploiter, surveiller, examiner, maintenir et améliorer le SMSI. L’engagement doit inclure des activités telles que s’assurer que les ressources appropriées sont disponibles pour travailler sur le SMSI et que tous les employés concernés par le SMSI disposent de la formation, de la sensibilisation et des compétences appropriées.

La Direction doit démontrer son engagement en établissant et en communicant :

Formation et Sensibilisation

Des ressources adéquates (personnes, temps, budgets) doivent être allouées au fonctionnement du système de management de la sécurité de l’information (SMSI) et à tous les contrôles de sécurité. En outre, le personnel qui doit travailler au sein du Système de Management de l’Information (le conserver et conserver sa documentation et mettre en œuvre ses contrôles) doit recevoir une formation appropriée.

Le succès du programme de formation doit être surveillé pour assurer son efficacité. Par conséquent, en plus du programme de formation, vous devez également définir un plan pour déterminer l’efficacité de la formation.

La norme exige donc que vous mainteniez :

Une documentation spécifique pour la formation n’est pas requise explicitement dans la norme. Cependant, vous devez prouver que la planification des ressources et la formation ont bien eu lieu. Vous devez donc disposer d’une documentation indiquant qui a reçu la formation et quelle formation il a reçue.

Gouvernance

La gouvernance de la sécurité de l’information est le système par lequel une organisation dirige et contrôle la sécurité de l’information. Elle décrit également le processus d’établissement et de maintenance d’un cadre garantissant l’alignement de la stratégie de sécurité de l’information sur les objectifs business de l’organisation. Elle doit, de plus, être compatible avec les lois et réglementations en vigueur, via le respect des politiques et des contrôles internes, et définir les responsabilités, le tout dans un environnement sécurisé. Il s’agit d’un sous-ensemble de la gouvernance d’entreprise, axée spécifiquement sur la sécurité de l’information.

L’engagement de la direction (voir lettre « E ») en matière de sécurité de l’information est l’aspect le plus important de la gestion efficace des risques pour la sécurité des actifs informationnels d’une organisation, également appelé obligation de diligence de la direction.

C’est le Conseil d’Administration qui doit piloter les activités de gouvernance de la sécurité de l’information avec la haute direction et le personnel clé désigné dont, en particulier le CISO. Ces activités doivent être entreprises de manière cohérente avec la gestion des risques et les plans stratégiques, les exigences de conformité, la structure organisationnelle, la culture et les politiques de gestion de l’organisation. Un aspect clé de la gouvernance de la sécurité est la nécessité de définir les droits de décision et la responsabilité.

Humaines (Ressources)

Le rôle des ressources humaines est essentiel lorsqu’il s’agit de la sécurité de l’information d’une organisation. C’est pourquoi ISO27001 comporte une clause consacrée à tous les aspects relatifs aux ressources humaines.

Elle décrit les contrôles possibles de la sécurité des informations. Elle inclut également des instructions essentielles pour la mise en œuvre dans chacune de ses sections relatives au cycle de vie professionnelle, fournissant des conseils sur les activités préalables à l’embauche, pendant la durée d’emploi et postérieures à l’emploi.

Phase de pré-embauche

La section pré-embauche couvre des domaines tels que la vérification des antécédents ou la sélection et les contrats / conditions.

À titre d’exemple, dans les instructions pas à pas sur la sélection des candidats, ISO 27001 inclut des informations sur la manière de définir les critères et les limitations à utiliser pour les contrôles et le traitement de données personnelles telles que des informations financières personnelles. La norme explique également comment identifier au mieux les personnes habilitées à effectuer de tels contrôles.

Pendant la période d’emploi

Au cours de l’emploi, tous les membres du personnel ont une obligation de diligence envers les actifs informationnels de l’organisation. On s’attend généralement à ce que le service informatique s’occupe de la sécurité. Mais, en fait, la DSI ne s’occupe que de la sécurité informatique. La portée des actifs informationnels d’une organisation est beaucoup plus large. Et elle est soumise à un nombre de risques beaucoup plus élevé que celui auquel on peut raisonnablement s’attendre.

On admet qu’environ 80% des violations de données ont pour cause des personnes plutôt que des défaillances techniques. Cela peut venir par exemple de personnel utilisant des clés USB pour transporter des données alors qu’il ne devrait pas.

Période post-emploi

La période post-emploi présente de gros risques pour la sécurité de l’information des organisations. Elles peuvent être la cible de malveillance, de vol ou d’atteinte à la réputation. Toutes les organisations ne sont pas confrontées au même niveau de menace pour la perte de données protégées. Mais la justice punit ce type d’infractions avec des amendes pouvant atteindre 500 000 €. De graves violations des données ont ainsi conduit certaines entreprises à fermer.

ISO27002 fournit des indications claires sur les politiques et procédures appropriées pour le processus de résiliation. Elles incluent des conseils sur la manière dont le personnel doit restituer les actifs. On y retrouve également des conseils sur la meilleure façon de supprimer leurs droits d’accès. ISO 27002 propose également des directives claires sur la manière de mettre en œuvre de telles politiques.

ISO 27002

L’ISO/CEI 27002 est code de bonnes pratiques pour le management de la sécurité de l’information. Ces pratiques de gestion aideront votre organisation à renforcer la confiance dans ses activités inter-organisationnelles et à mettre en place un ensemble approprié de mesures, y compris les politiques, les processus, les structures organisationnelles et les fonctions logicielles et matérielles. Ce cadre de bonnes pratiques est un document générique pouvant servir de référence pour la sélection des mesures dans le cadre du processus de mise en œuvre du système de management de la sécurité de l’information. L’ISO/IEC 27002 est destinée à être utilisée par tous types d’organisations, les secteurs public comme privé, les entreprises commerciales et celle à but non lucratif ainsi que toute autre organisation confrontée à des risques de sécurité de l’information.

On n’audits jamais une organisation dans le cadre de sa certification sur les mesures préconisées par ISO 27002.

Justification Business

Un des écueils rencontrés lors de la mise en oeuvre de la norme ISO 27001 est l’insuffisance de ressources. Celle-ci résulte souvent de l’incapacité de la direction à saisir l’ampleur des risques liés à la sécurité de l’information.

Un projet SMSI ISO 27001 couronné de succès repose sur un engagement et un soutien de la direction. Ainsi, votre projet obtiendra les ressources financières et humaines dont il a besoin. Et le système de management de l’information sera en alignement sur les objectifs stratégiques de votre organisation.

La réalisation d’un cas d’affaires (business case) est essentielle pour influencer les décideurs. Si vous avez besoin d’une approbation budgétaire pour investir dans la sécurité de l’information, il est judicieux d’en produire un.

KPI (Key Performance Indicators)

La surveillance, la mesure, l’analyse et l’évaluation du SMSI sont une exigence d’ISO 27001: 2013. Selon la norme, l’organisation doit mesurer les processus du SMSI pour s’assurer que la gestion de la sécurité est efficace.

L’organisation doit d’abord déterminer quelles mesures surveiller afin de fournir des informations en retour sur la performance du système. Au niveau du contrôle, on peut facilement définir ces mesures. Par exemple, l’organisation peut souhaiter surveiller les niveaux d’incident de sécurité et l’effet des contrôles sur ceux-ci, ou le nombre de vulnérabilités ouvertes / fermées, et déterminer si le contrôle prend en charge une correction efficace de ceux-ci.

On peut considérer les mesures décrites ci-dessus comme des indicateurs de performance clés ou des indicateurs de performance clés (KPI) pour les contrôles. Celles-ci sont distinctes de la performance du système – même si les deux sont liées. La clause 9.1 traite de la mesure des processus ISO 27001 pour assurer le fonctionnement efficace du système, de la même manière que les contrôles. Voici des exemples de ces KPIs:

Lois et Réglementations

L’annexe A.18.1 concerne le respect des exigences légales et contractuelles. L’objectif est d’éviter les violations des obligations légales, statutaires, réglementaires ou contractuelles relatives à la sécurité de l’information et des exigences de sécurité. C’est une partie importante du système de gestion de la sécurité de l’information (SMSI).

La norme exige 5 contrôles de sécurité :

Mesures de sécurité

L’annexe A de l’ISO 27001 est probablement l’annexe la plus célèbre de toutes les normes ISO. En effet, elle constitue un outil essentiel pour la gestion de la sécurité. Elle se compose d’une liste de 114 mesures de sécurité (ou de contrôles). Elles sont nécessaires pour améliorer la sécurité des informations. Ces 114 mesures de sécurité se répartissent en 14 sections :

Non-conformité

Une non-conformité se définit comme la non-satisfaction d’une exigence. Une non-conformité est décelée lors d’un audit. Les auditeurs identifient deux catégories de non-conformités :

La norme elle-même ne fournit aucune classification. Les organismes de certification utilisent le classement par non-conformité pour évaluer le niveau de conformité et le communiquer à l’entreprise auditée.

Orientation Stratégique

ISO 27001 exige la compréhension du contexte « organisationnel ». C’est à dire le besoin de démontrer une compréhension des questions internes et externes ayant un impact sur l’activité. Ces clauses sont étroitement liées au « leadership », qui veut que le système de management ne soit pas géré de loin par la direction mais rattaché à l’orientation stratégique de l’entreprise. Cela signifie que l’entreprise doit efficacement aligner ses processus. La politique et les objectifs établis pour le système de management doivent être compatibles avec l’orientation stratégique et le contexte de l’organisation. 

Politiques de Sécurité

Une politique de sécurité de l’information est la pierre angulaire d’un SMSI. Elle doit refléter les objectifs de l’organisation et la stratégie de management convenue pour la protection des actifs informationnels clés. Pour être utile et donner le pouvoir d’exécuter le reste du SMSI, elle doit également faire l’objet d’un accord formel avec la direction.

L’essence d’une bonne politique de sécurité de l’information s’appuie sur les bonnes pratiques suivantes :

Une politique est une déclaration de haut niveau de la position de l’organisation sur le sujet choisi (le «pourquoi»). Il ne faut pas la confondre avec le manuel de procédures qui traite du «comment» adopter la politique. Les procédures sont souvent des documents beaucoup plus longs s’ils décrivent des processus complexes à suivre.

Dans l’idéal, la politique doit être brève (une dizaine de mages maximum) et précise en ce qui concerne les responsabilités de l’utilisateur vis-à-vis des informations qu’il recueille, utilise, accède ou traite. Elle se décline en sous-politiques et procédures pertinentes pour les domaines dans lesquels l’utilisateur opère.

Qualité

Si vous possédez déjà une certification de système de gestion de la qualité / ISO9001, certains des éléments que vous avez mis en œuvre pour votre organisation sont également utilisables pour votre système de management de la sécurité des informations, à savoir:

Par conséquent, si vous avez déjà mis en œuvre ISO 9001, vous aurez plus de facilité à mettre en œuvre ISO27001. Vous pourrez ainsi économiser jusqu’à 30% du temps. En outre, vous disposerez d’audits de certification moins chers. En effet, les organismes de certification proposent ce que l’on appelle des «audits intégrés». Cela signifie qu’ils effectueront un même audit ISO 9001 et ISO 27001. Ils vous factureront donc des frais moindres par rapport aux audits séparés.

Risques

Pour se conformer à la norme ISO27001, une organisation doit définir une méthodologie d’évaluation des risques pour les risques liés à la sécurité de l’information. Elle doit identifier les critères d’acceptation des risques et les niveaux de risque acceptables, puis élaborer un plan de traitement des risques pour ramener tous les risques identifiés à un niveau acceptable. La méthode doit être fiable et cohérente. Toutefois l’auditeur n’auditera pas le détail de la méthode appliquée. ISO 27005 vous propose une approche de gestion des risques de sécurité de l’information cohérente avec ISO 27001.

L’évaluation des risques

Identifiez tous les actifs de l’organisation liés à la sécurité de l’information et établissez un registre des actifs.

Identifiez les combinaisons de menaces et de vulnérabilités liées à l’actif, puis identifiez les impacts que des pertes de confidentialité, d’intégrité et de disponibilité peuvent avoir sur l’actif à l’aide d’un rapport d’évaluation du risque des actifs.

Les impacts prennent en compte les obligations commerciales, légales ou contractuelles de l’entreprise.

L’évaluation examine ensuite la probabilité que la défaillance de sécurité se produise en combinant la fréquence de la menace et la probabilité de réussite.

Une combinaison de l’impact et de la probabilité de la défaillance de sécurité fournit un niveau de risque qu’on peut classer dans trois catégories :

Traitement des risques

La sélection de l’option de traitement du risque la plus appropriée implique un équilibre entre les coûts et les efforts de mise en œuvre et les avantages dérivés, en ce qui concerne les exigences légales, réglementaires et autres, telles que la responsabilité sociale et la protection de l’environnement. Les décisions doivent également prendre en compte les risques qui peuvent justifier un traitement des risques qui ne soit pas justifiable pour des raisons économiques, par exemple ainsi que les risques graves (conséquences négatives importantes) mais rares (faibles probabilités).

Système de Management de la Sécurité de l’Information (SMSI)

Vous trouverez ci-dessous une liste de la documentation obligatoire requise par la norme:

Traitement des non-conformités

Toute non-conformité découverte et identifiée lors d’un audit interne doit donner lieu à un plan d’action corrective. Ce plan doit être réaliste, mis en oeuvre, suivi et documenté. Les audits de surveillance ont notamment pour objectif de s’assurer que toutes les non conformités identifiées sont bien sous contrôle et qu’un plan d’action corrective est mis en oeuvre.

Utilisateurs

ISO 27001 reconnaît que, même si les défenses technologiques sont essentielles, leur utilisation sera limitée si le personnel ne comprend pas ses responsabilités en matière de sécurité des informations. Après tout, la technologie ne vous aidera pas si un employé communique son mot de passe écrit à qui que ce soit ou égare un périphérique amovible.

La Norme impose donc aux organisations de traiter les problèmes de sécurité de l’information au niveau des employés de manière régulière et approfondie. Elle doit organiser des séances récurrentes de sensibilisation pour tous les utilisateurs sur les responsabilités de chacun en matière de sécurité. La sécurité de l’information est l’affaire de tous dans l’entreprise et ne doit pas être la seule responsabilité des personnes impliquées dans le SMSI.

Vie Privée

Plusieurs exigences ISO27001 vous aideront à vous mettre en conformité avec GDPR (RGPD). Par exemple, la procédure d‘évaluation des risques, une partie essentielle du standard est similaire avec l‘évaluation de l‘impact sur la protection des données, nécessaire pour la conformité avec GDPR. En outre, ISO27001 guide les organisations vers l‘implémentation d‘une politique de protection des données. 

Pour en savoir plus sur la relation entre ISO 27001 et le RGPD, je vous invite à relire mon précédent article : SMSI certifié ISO 27001 vs conformité RGPD.

Workforce

La force de travail (employés et consultants) sont le noeud de la réussite du fonctionnement de votre SMSI. N’oubliez jamais de les former et de les sensibiliser sur le fait que la sécurité est l’affaire de tous dans une organisation. Et cela va du niveau le plus haut dans l’entreprise jusqu’au niveau le plus bas.

eXemples de mise en oeuvre

Les exemples de mise en oeuvre d’un SMSI certifié ISO 27001 sont nombreux et concernent tous les domaines de l’économie, tant dans le secteur privé que public.

Y aller ou pas?

La certification de votre SMSI à la norme ISO 27001 ne répond à aucune obligation légale. C’est l’affaire de chaque organisation de décider si cette certification est cohérente avec sa stratégie business. Si la certification ISO 27001 ne soutient pas vos objectifs stratégiques, alors il ne faut pas essayer de l’obtenir. La préparation à la certification représente un volume de travail énorme et un très gros investissement. Par conséquent un business case doit toujours être réalisé avant d’entamer la démarche. Il doit être approuvé au plus haut niveau de l’entreprise.

Zéro non-conformité

L’objectif « zéro non-conformité » pour obtenir la certification est un mythe. La certification de votre SMSI peut vous être accordée même s’il existe des non-conformités mineures dès lors qu’un plan d’action corrective a bien été défini, planifié et mis en oeuvre. C’est l’organisme de certification qui en évalue le sérieux et la crédibilité et pourra décider d’accorder ou non la certification.

Quitter la version mobile