Où trouver des références en Sécurité de l’Information?

References

Je vous raconte plein de choses sur ce blog. Où vais-je les trouver et d’où me vient ma compétence ?

C’est une excellente question à laquelle je réponds aujourd’hui.

Je profite de l’occasion pour passer en revue quelques uns des documents publiés et vous donner un aperçu des évolutions futures.

Cet article concerne surtout les entreprises, quelle que soit leur taille et leur objet. Les asbl (associations loi 1901 pour la France) sont également concernées. Mais nous devrions tous être au courant de leur existence… et nous en inspirer.

Si les détails de ces normes dépassent l’objet des actions de sécurité pour tout un chacun, les principes, eux, restent valables.

Le SMSI

Un SMSI est un ensemble cohérent d’activités destinées à protéger les informations et leur traitement (surtout informatisé) de façon adéquate, façon continue et permanente.

La norme ISO/IEC 27001 (publiées en 2013) définit clairement ce SMSI. Une norme similaire pour la qualité des processus existe et est sans doute déjà plus connue : ISO 9001.

Que contient cette norme ?

Les exigences de la norme concernent chacune des activités à mettre en œuvre pour établir et faire vivre le SMSI. On y retrouve tout ce que je vous raconte depuis bientôt un an et demi :

  • une étude des contextes interne et externe (clause 4)
  • un engagement et un leadership de la direction (clause 5)
  • une appréciation et un traitement des risques (clause 6)
  • le support au fonctionnement du SMSI : ressources, compétences, sensibilisation et documentation (clause 7)
  • le fonctionnement permanent du SMSI (clause 8)
  • l’évaluation de la performance (clause 9)

Vous devez justifier (on appelle cela « la Déclaration d’Applicabilité ») la sélection et le rejet des mesures de l’annexe A, ainsi que de toutes autres mesures que vous choisirez d’une autre source (j’y reviendrai).

Qu’apporte cette norme ISO 27001 ?

L’apport principal est une structure cohérente qui permet réellement de conserver et d’entretenir le nouvel état de sécurité atteint – pour autant que la volonté et l’effort soient soutenus.

La nouvelle structure imposée est identique pour tous les systèmes de management (qualité, environnement, etc.) ce qui permet leur harmonisation et leur mise en place coordonnée, en profitant des acquis et des ressources déjà en place.

C’est sur base des exigences de la norme qu’un audit de certification peut être réalisé.

Une certification ?

L’important est de construire quelque chose de solide et qui tiendra la distance… l’effort initial sera compensé par une activité de contrôle et d’évaluation régulière.

La certification représente un coût certain, pour la mise en place – de préférence accompagnée – et l’audit. Si le certificat peut vous apporter un vrai retour sur investissement, et créer une confiance chez vos partenaires et vos clients, n’hésitez pas.

Le certificat reste valable 3 ans. Il ne représente, en fait, que l’instantané de la situation lors du passage de l’auditeur. Il n’apporte aucune garantie si l’effort ne reste pas soutenu.

Et ensuite ?

Cette norme ISO 27001 seule serait bien vaine si une série d’autres normes ne lui était attachée. Je me contenterai de citer les plus directement utiles.

ISO 27002

C’est le « Code de bonnes pratiques pour la sécurité de l’information » qui explicite chacune des mesures énoncées en annexe A de la 27001. C’est un héritage, mis à jour, de l’original publié en Angleterre en 1995 (le ‘fameux’ BS7799).

Il comporte une liste de 136 contrôles structurés en 15 chapitres couvrant les 8 domaines de sécurité. Pour chacune, la norme décrit les objectifs et les directives de mise en place.

ISO 27003

Cette norme contient les directives de mise en œuvre du SMSI. Elle explicite ce que cela signifie que d’être conforme aux exigences ainsi que ce qu’il faut faire. Elle devrait être publiée fin 2016.

ISO 27004

Cette directive présente comment mesurer et améliorer la performance du SMSI (en référence à la clause 9). Elle devrait également être publiée fin 2016.

ISO 27005

Cette norme décrit en détail le processus de gestion des risques de sécurité de l’information, les différentes approches d’évaluation des risques ainsi que les options de traitement.

La version actuelle est en révision pour l’aligner avec les concepts et la terminologie de la nouvelle version de la 27001 et ne devrait être publiée qu’au cours de 2017.

C’est mon domaine de prédilection et je suis co-éditeur de la norme.

ISO 28008

C’est un manuel destiné au contrôle et à l’audit des mesures de la 27002. Il vous permet de voir si vos mesures sont, à tout le moins, effectives.

ISO 27014

Pour ceux qui veulent aller plus loin, cette norme présente – en 6 pages destinées au conseil d’administration – les recommandations relatives à la gouvernance de la sécurité. De l’information

Comment les acquérir ?

Ces normes – en anglais et en français pour la plupart – ne sont pas gratuites. Leur prix oscille entre 58 et 178 CHF (soit entre 55 et 170 €).

On les achète soit auprès de son organisme national de normalisation (NBN en Belgique, AFNOR en France, etc.) soit, directement après de l’ISO sur son site internet.

 

Connaissez-vous d’autres références ? Voulez-vous que je vous en propose ?

A bientôt, plus en sécurité avec vos informations

Jean-Luc

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *