Article d'auteur Management de la qualité - VI-60 - 07/01/2021

1  La genèse

C’est en mars 1995 que le BSI (British Standards Institution) a publié la version finalisée de sa norme BS 7799-1, qui a été adoptée par l’ISO (International Organization for Standardization) et l’IEC (International Electrotechnical Commission) en décembre 2000, au terme d’une procédure rapide et simplifiée nommée fast track^[1], sous la référence ISO/IEC 17799. Ce document n’était pas une norme de certification, mais un code de bonne pratique couvrant les aspects techniques, organisationnels, sociaux et juridiques de la sécurité de l’information. En 1998, le BSI publiait un deuxième volet, le BS 7799-2, décrivant l’ensemble des tests et des contrôles à effectuer pour s’assurer du bon respect des principes de sécurité exposés dans le premier volet (BS 7799-1) et obtenir ainsi une certification. 

Dès sa publication en décembre 2000, le recueil de bonnes pratiques ISO/IEC 17799 s’est imposé dans de nombreux pays, notamment sur le continent asiatique, comme un référentiel incontournable pour toute entreprise privée ou tout organisme public soucieux d’élaborer et de mettre en œuvre une véritable politique de sécurité de l’information. Dans certains pays, particulièrement en France, les polémiques nées de l’utilisation d’une procédure fast track ont eu pour effet de ralentir l’expansion de cette norme, et il a fallu attendre 2006 pour enregistrer la certification de la première entreprise française. Il faut dire que, depuis leur création, de nombreuses évolutions ont rendu les normes BS 7799 incontournables :

– en septembre 2002, le BSI éditait une nouvelle version de la norme BS 7799-2 proposant notamment une démarche de définition et de mise en œuvre d’un SMSI (système de management de la sécurité de l’information) harmonisée avec celle décrite dans la norme NF EN ISO 9001 pour le SMQ (système de management de la qualité) ou dans la norme NF EN ISO 14001 pour le SME (système de management environnemental) ;

– une nouvelle version de la norme ISO/IEC 17799 a paru en juin 2005, sous la référence ISO/IEC 17799, après un travail collectif mené par un groupe de travail constitué au sein des États membres de l’ISO ;

– en octobre 2005, la BS 7799-2 est devenue l’ISO/IEC 27001 (référence française : NF ISO/IEC 27001, Technologies de l’information – Techniques de sécurité – Systèmes de gestion de sécurité de l’information – Exigences), premier volet d’une nouvelle famille créée sur le modèle de la famille ISO 9000 pour la gestion de la qualité, ou de la famille ISO 14000 pour ce qui concerne l’environnement ;

– enfin, en avril 2007, la norme ISO/IEC 17799 est devenue ISO/IEC 27002 (référence française : NF ISO/IEC 27002, Technologies de l’information – Techniques de sécurité – Code de bonne pratique pour les mesures de sécurité de l’information), sans modification de son contenu, pour respecter le nouveau système de numérotation.

La dernière version de la norme ISO/IEC 27001 a été publiée en mai 2017, en remplacement de la précédente datant de décembre 2013. Pour ce qui concerne la norme ISO/IEC 27002, la dernière version date d’avril 2017, en remplacement de la mise à jour de janvier 2014.

×