Afnor bivi qualité
1 0

Connexion

Identifiez-vous pour accéder aux contenus.

Retour
Mot de passe oublié

Pas de compte ?

Confirmation

Pour retrouver votre sélection lors d’une prochaine session, vous devez impérativement l’enregistrer.

Ajout à la sélection impossible

Le document se trouve déjà dans votre sélection

Login
  • Accueil
  • Thématiques / Articles
    • Management de la qualité
    • Audit et Autoévaluation
    • Formulaires et outils qualité
    • Certification
    • Amélioration continue
    • Environnement
    • Maîtrise des risques
  • Normes
  • Réglementations
  • Actualités
  • Outils
    • Outils téléchargeables
    • Kits
    • Livres blancs
  • SOS Expert
  • Tutoriels
  • Contactez-nous
  • Mentions légales

Critères de recherche :

  • 0Type de document
  • 0Centres d'intérêt
  • 0Démarches

Critères de recherche :

Type de document
Centres d'intérêt
  • Risques
  • Qualité
  • Environnement
Risques
Qualité
Environnement
Démarches
  • Bien vendre
  • Intégrer une nouvelle démarche
  • Élaborer la stratégie d'entreprise
  • Manager la production
  • Améliorer en permanence
  • Manager les ressources humaines
  • Mettre en œuvre la qualité
  • Prendre en compte le client
  • Bien gérer les achats
  • Améliorer son efficacité économique
  • Comprendre les enjeux
  • Prendre en compte ses parties prenantes
  • Réduire ses impacts
  • S'améliorer avec méthode
  • Valoriser sa démarche
  • Gérer les risques
Bien vendre
Intégrer une nouvelle démarche
Élaborer la stratégie d'entreprise
Manager la production
Améliorer en permanence
Manager les ressources humaines
Mettre en œuvre la qualité
Prendre en compte le client
Bien gérer les achats
Améliorer son efficacité économique
Comprendre les enjeux
Prendre en compte ses parties prenantes
Réduire ses impacts
S'améliorer avec méthode
Valoriser sa démarche
Gérer les risques

SOS Expert

Contactez-nous

Tutoriels

FAQ

Risques Qualité Environnement
Bien vendre Intégrer une nouvelle démarche Élaborer la stratégie d'entreprise Manager la production Améliorer en permanence Manager les ressources humaines Mettre en œuvre la qualité Prendre en compte le client Bien gérer les achats Améliorer son efficacité économique Comprendre les enjeux Prendre en compte ses parties prenantes Réduire ses impacts S'améliorer avec méthode Valoriser sa démarche Gérer les risques
Vous n'avez aucune recherche mémorisée ! Pour enregistrer une recherche, cliquez sur le bouton « Mémoriser ma recherche » situé en haut d'une liste de résultats. Cochez la case : « Je souhaite mémoriser mes critères de recherche et créer un profil de recherche ». Retrouvez toutes vos recherches mémorisées dans l'espace Mon compte/Mes recherches.
  • Thématiques / Articles
    • Management de la qualité
    • Audit et Autoévaluation
    • Formulaires et outils qualité
    • Certification
    • Amélioration continue
    • Environnement
    • Maîtrise des risques
  • Normes
  • Réglementations
  • Actualités
  • Outils
    • Outils téléchargeables
    • Kits
    • Livres blancs
Retour
Retour

Article d'auteur Certification - VIII-50 - 29/03/2021


Certification du niveau de sécurité des systèmes d’information selon les normes ISO/IEC 27001 et 27002

Centres d'intérêt : Technologies de l'information / Maîtrise des risques / Certification

Démarches Découvrir un référentiel / Gérer la sécurité de l'information / Se faire certifier

Par  Linlaud Daniel

Voir la vidéo de l'auteur

Acheter ses ouvrages

Bibliographie

Articles d'auteur

Actualités

  • Texte intégral
  • Résumé

1  La sécurité de l’information

Avertissement

Une version révisée de la norme internationale ISO/IEC 27002 est disponible depuis février 2022. Le nombre de mesures de sécurité de l’information énoncées passe de 114 à 93 (fusion de certaines mesures et création de 11 nouvelles), réparties dans 4 thèmes au lieu de 11 précédemment, et la présentation de ces mesures est enrichie de nouveaux attributs.

Un amendement de la norme internationale ISO/IEC 27001 est prévu en juillet 2022. Il se limitera à une adaptation de son annexe A pour une prise en compte de la révision de la norme ISO/IEC 27002.

Les normes françaises NF EN ISO/IEC 27002 et NF EN ISO/IEC 27001 seront impactées de la même manière vers septembre 2022.

Le présent article sera mis à jour après la publication de ces textes normatifs de 2022, en version ISO/IEC et en version NF par les organismes de normalisation respectifs.

  • 1.1 L’évolution des besoins de sécurité

    Tout porte à croire que les problèmes de sécurité de l’information sont nés avec la généralisation des réseaux ouverts tels qu’Internet. Ces derniers ont certes largement favorisé la prise de conscience, mais ils ne représentent qu’une partie de ce vaste domaine. En réalité, depuis que l’Homme manipule de l’information, il a toujours cherché à en assurer la protection :

    – confidentialité des transmissions orales ;

    – transmission des connaissances pour pérenniser le savoir ;

    – copie manuelle de documents, pour en assurer la diffusion mais également la protection ;

    – photocopie et archivage de dossiers ;

    – utilisation d’armoires ignifugées et de coffres-forts, pour protéger les documents et en assurer la confidentialité ;

    – utilisation de destructeurs manuels puis électriques pour détruire les papiers contenant des informations sensibles ;

    – duplication de supports magnétiques pour sauvegarder le contenu des mémoires de stockage de masse ;

    – chiffrement (ou cryptage) de communications téléphoniques confidentielles, notamment dans le domaine de la défense nationale ;

    – numérisation et stockage de documents sur des supports optiques, etc.

    Ce phénomène a été considérablement amplifié avec l’avènement de l’informatique, qui a augmenté la dépendance des organismes et offert de nouveaux outils aux espions, pirates, vandales et autres individus douteux cherchant à s’emparer d’un savoir-faire ou simplement à causer un préjudice. La sécurité informatique, plus que la sécurité de l’information, était alors uniquement une affaire de spécialistes et les utilisateurs n’avaient pas à intervenir d’une quelconque manière dans ce processus. L’ordinateur, appareil puissant et mystérieux, était entre les mains d’un cercle fermé de professionnels assurant son administration, son entretien et, naturellement, sa sécurité. Placé dans une salle équipée pour limiter les risques d’intrusion, climatisée et dotée d’un système d’alimentation électrique de secours, l’ordinateur était implicitement protégé contre de nombreux risques. Quant aux utilisateurs, équipés d’un terminal spartiate, ils n’avaient aucun moyen de nuire volontairement ou non à la bonne marche du système.

    À partir de 1980, l’installation de postes de travail autonomes, les ordinateurs personnels, a décentralisé la gestion de l’information et dispersé le risque. Parallèlement, la multiplication des photocopieurs, l’arrivée de la télécopie et l’invention des supports de stockage amovibles et portables ont mis entre les mains d’un personnel non spécialiste de grandes quantités d’informations et des moyens de calcul performants. Il est dès lors devenu impossible de protéger chaque équipement de manière aussi fiable que l’ordinateur central et il a fallu donner des responsabilités supplémentaires aux utilisateurs, donc, dans certains domaines, un peu plus de pouvoir.

    La mise en commun de ces moyens décentralisés de traitement de l’information à travers des réseaux locaux, de micro-ordinateurs dans un premier temps, puis multimédias (voix, images, données), a encore intensifié le problème. Aujourd’hui, ces réseaux locaux sont interconnectés à travers un maillage planétaire connu sous le nom d’Internet : une faille de sécurité, même sur un serveur informatique se trouvant à des milliers de kilomètres de vous, peut rapidement devenir un problème pour la protection de vos propres données. Le partage mondialisé des informations et de leurs moyens d’exploitation s’est accompagné d’une mondialisation des attaques. Et celles-ci sont de plus en plus sophistiquées, parfois même personnalisées : alors que les premiers virus, pour citer les plus connus de ces dispositifs nuisibles, tentaient d’attaquer immédiatement et avec un protocole identique toutes les machines se trouvant sur leur chemin, les nouveaux malwares savent passer inaperçus, attendre leur heure dans un coin discret de votre système d’information, collecter des données permettant de mieux comprendre son fonctionnement, puis lancer une attaque taillée sur mesure donc évidemment beaucoup plus dévastatrice. Les objectifs des attaquants ont également changé : la cyber-guerre, l’extorsion de fonds et le chantage ont le plus souvent remplacé l’exploit individuel d’un hacker en mal de reconnaissance.

    Cependant, la sécurité de l’information ne se résume pas aux seuls problèmes informatiques et, pour réduire encore le périmètre, aux attaques menées à travers Internet ou les réseaux 4G ou 5G des opérateurs téléphoniques, même s’il est certain que ces nuisances font partie de la réalité quotidienne des utilisateurs, qu’il s’agisse d’entreprises ou de particuliers. Une relative et immédiate protection peut être apportée par l’installation de dispositifs techniques, logiciels et matériels, dont les plus connus sont les anti-virus et les firewalls, mais pour que ces dispositifs restent parfaitement opérationnels, ils doivent faire l’objet d’un suivi quotidien et s’insérer dans un ensemble plus vaste prenant en considération certains aspects complémentaires de première importance, tels que ceux liés aux ressources humaines de l’organisme.

    Diverses études montrent qu’une grande partie des problèmes de sécurité de l’information viennent de l’intérieur de l’organisme et que les actes commis ne sont pas toujours délibérés, la négligence et la méconnaissance des risques étant également des facteurs importants. Les attaques menées de l’extérieur de l’organisme ne sont donc pas la cause de tous les sinistres.

    Les aspects organisationnels, à travers la rédaction de procédures et de guides, pédagogiques, par une sensibilisation des utilisateurs et une formation adaptée aux outils utilisés, et juridiques, par l’élaboration de contrats et de chartes décrivant les responsabilités de chacun, constituent, à côté des dispositifs techniques, le cœur du système de gestion de la sécurité de l’information.

    C’est ce constat qui a donné naissance à la norme ISO/IEC 17799, renommée ISO/IEC 27002 en 2005. Inspirée de la norme britannique BS 7799-1, elle est destinée à orienter la réflexion des entreprises ou des organismes publics souhaitant rédiger leur politique de sécurité de l’information et les procédures qui en découlent. De même que la série des normes ISO 9000 traite de la qualité, la famille de normes ISO 27000 a pour vocation de couvrir tous les aspects relatifs à la sécurité des informations et, au-delà, de proposer un label de confiance universel entre les organismes. Ces normes fournissent des recommandations et définissent des exigences de certification pour la gestion d’un système de sécurité de l’information, à l’usage des responsables de son initialisation, de sa mise en œuvre ou de sa maintenance.

[1]. Une norme élaborée en dehors de l’ISO peut être proposée selon une procédure rapide et simplifiée (fast track), directement au stade de draft international standard (DIS) ; elle est ensuite traitée selon la voie normale. Une norme élaborée par un organisme international de normalisation reconnu par l’ISO peut être proposée directement au stade de final draft international standard (FDIS) et être directement soumise au vote pour devenir une norme ISO. C’est cette procédure qui a été utilisée par le BSI pour la BS 7799-1.
[2]. Critères communs pour l’évaluation de la sécurité des technologies de l’information, CCIMB-99-031, 1999.
[3]. Technologies de l’information.
[4]. Target of evaluation (cible d’évaluation).
[5]. La norme européenne EN ISO/IEC 15408-1:2020 est mise en application avec le statut de norme française et reproduit intégralement la norme internationale ISO/IEC 15408-1:2009.

Pour lire le document, abonnez-vous ou faites un essai gratuit.



Vous avez déjà un compte ? Identifiez-vous

Le premier article de cette série présente les grandes lignes d’une démarche de mise en œuvre de la norme ISO 27001 en vue de sécuriser un système d’information, avec ou sans objectif de certification. Il est complété par une description détaillée des autres normes de la famille ISO 27000.

Cette première approche s’adresse aux personnes, spécialistes ou non de ce domaine, en charge d’une réflexion globale sur la mise œuvre de moyens de protection du patrimoine informationnel de leur organisme.

Retour
  • Sommaire
  • 1 La sécurité de l’information
  • 1.1 L’évolution des besoins de sécurité
  • 1.2 Les méthodes de protection
  • 2 Les normes de la série ISO 27000
  • 2.1 De la BS 7799-1 à l’ISO/IEC 17799
  • 2.2 De l’ISO/IEC 17799 à l’ISO/IEC 27002
  • 2.3 De la BS 7799-2 à l’ISO 27001
  • 2.4 Les autres normes de la série ISO 27000
  • 3 Les autres normes traitant de la sécurité des informations ou de sécurité informatique
  • 3.1 Les critères communs (norme ISO/IEC 15408)
  • 3.2 La série 13335
  • 3.3 Autres normes
  • 4 La complémentarité de la famille ISO 27000 avec les normes ISO 9001 et ISO 14001
  • 5 Le système de gestion de la sécurité de l’information et la politique de sécurité
  • 5.1 L’information : une ressource essentielle
  • 5.2 Les objectifs du système de gestion de la sécurité de l’information et de la politique de sécurité
  • 6 La démarche globale
  • 6.1 La définition des objectifs de sécurité de l’organisme
  • 6.2 L’évaluation des risques
  • 6.3 La définition des règles
  • 6.4 Les facteurs de succès
  • 6.5 Les étapes de mise en œuvre des normes ISO/IEC 27001 et 27002

Navigation rapide

  • Sommaire
  • Recherche
  • Figure
1 La sécurité de l’information 1 La sécurité de l’information 1.1 L’évolution des besoins de sécurité 1.2 Les méthodes de protection 2 Les normes de la série ISO 27000 2 Les normes de la série ISO 27000 2.1 De la BS 7799-1 à l’ISO/IEC 17799 2.2 De l’ISO/IEC 17799 à l’ISO/IEC 27002 2.3 De la BS 7799-2 à l’ISO 27001 2.4 Les autres normes de la série ISO 27000 3 Les autres normes traitant de la sécurité des informations ou de sécurité informatique 3 Les autres normes traitant de la sécurité des informations ou de sécurité informatique 3.1 Les critères communs (norme ISO/IEC 15408) 3.2 La série 13335 3.3 Autres normes 4 La complémentarité de la famille ISO 27000 avec les normes ISO 9001 et ISO 14001 5 Le système de gestion de la sécurité de l’information et la politique de sécurité 5 Le système de gestion de la sécurité de l’information et la politique de sécurité 5.1 L’information : une ressource essentielle 5.2 Les objectifs du système de gestion de la sécurité de l’information et de la politique de sécurité 6 La démarche globale 6 La démarche globale 6.1 La définition des objectifs de sécurité de l’organisme 6.2 L’évaluation des risques 6.3 La définition des règles 6.4 Les facteurs de succès 6.5 Les étapes de mise en œuvre des normes ISO/IEC 27001 et 27002

Rechercher un mot dans la page :

Figure 6.1 La démarche débute par un audit Figure 6.2 La démarche débute par l’élaboration de la politique de sécurité

Documents reliés

Les utilisateurs ont aussi consulté (3) Les utilisateurs ont aussi consulté (3) Outils téléchargeables Analyse des risques et des opportunités. Outil Analyse des risques et des opportunités. Exemple Articles d'auteur Le management des risques et la qualité – Mise en œuvre Documents citant le texte (1) Documents citant le texte (1) Articles d'auteur Sécurité de l’information – La norme ISO/IEC 27002:2022 Documents cités dans le texte (22) Documents cités dans le texte (22) Normes NF ISO/IEC 27002 01/2014 NF ISO/IEC 27001 12/2013 NF ISO/IEC 27031 12/2014 NF EN ISO/IEC 27037 08/2017 NF EN ISO/IEC 27040 08/2017 NF EN ISO/IEC 27041 08/2017 NF EN ISO/IEC 27042 08/2017 NF EN ISO/IEC 27038 08/2017 NF EN ISO/IEC 27043 08/2017 NF ISO/IEC 27005 11/2018 NF EN ISO/IEC 27001 05/2017 NF EN ISO/IEC 27002 05/2017 NF EN ISO 22301 11/2019 NF ISO/IEC 27701 10/2020 NF EN ISO/IEC 27000 02/2020 NF EN ISO/IEC 15408-1 03/2020 NF EN ISO/IEC 27019 03/2020 NF EN ISO/IEC 27011 05/2020 NF EN ISO/IEC 27018 05/2020 NF EN ISO/IEC 27006 11/2020 NF EN ISO/IEC 27017 01/2021 NF EN ISO/IEC 27007 01/2022

Partager

Partager

Envoyer à un ami

Envoyer un email vers cette adresse
  • Votre message a bien été envoyé à votre ami.
  • A propos du site
  • Découvrez nos autres sites
  • Rejoignez-nous sur
    • Mentions légales
    • Plan du site
    • FAQ
    • Conditions générales de vente
    • Consentements Cookies
©Copyright Tous droits réserves
Imprimé le