Guide de mise en œuvre et d’audit ISO 27001

L’information est l’un des atouts les plus précieux de votre organisation. Les objectifs de la sécurité de l’information sont de protéger la confidentialité, l’intégrité et la disponibilité de l’information. Ces éléments de base de la sécurité de l’information aident à garantir qu’une organisation peut se protéger contre :

  • des informations sensibles ou confidentielles ayant été partagées, divulguées ou autrement exposées, accidentellement ou délibérément ;
  • des informations personnelles identifiables étant compromises ; 
  • des informations critiques ayant été modifiées accidentellement ou intentionnellement à l’insu de l’organisation ; 
  • des informations commerciales importantes ayant été perdues sans laisser de trace ni possibilité de récupération ; et
  • des informations commerciales importantes étant indisponibles en cas de besoin. 

Il devrait incomber à tous les gestionnaires, propriétaires ou dépositaires de systèmes d’information et utilisateurs en général de s’assurer que leurs informations sont correctement gérées et protégées contre tout types de risques et de menaces auxquels chaque organisation est confrontée. Les deux normes ISO / IEC 27001: 2017, Systèmes de management de la sécurité de l’information – Exigences, et ISO / IEC 27002: 2017, Techniques de sécurité – Code de bonne pratique pour le management de la sécurité de l’information, constituent ensemble une base aidant les organisations à développer un cadre efficace de gestion de la sécurité de l’information afin de gérer et protéger leurs actifs commerciaux importants, tout en minimisant leurs risques, en maximisant les investissements et les opportunités commerciales, et en veillant à ce que leurs systèmes d’information restent disponibles et opérationnels.

ISO / IEC 27001 est une norme d’exigences pouvant être utilisée pour les certifications de système de management de la sécurité de l’information (SMSI ou SGSI (système de gestion de la sécurité de l’information)) accréditées par une tierce partie. Les organisations passant par la voie de la certification accréditée font auditer leur SGSI par un organisme de certification accrédité. Cela garantit qu’elles ont mis en place des processus et des systèmes de gestion appropriés et qu’ils sont conformes aux exigences spécifiées par la norme ISO / IEC 27001.

L’ISO / IEC 27002 donne des lignes directrices en matière de contrôles pour la sécurité de l’information et de bonnes pratiques de mise en œuvre. Les organisations peuvent adopter ces contrôles dans le cadre du processus de traitement des risques indiqué dans la norme ISO / IEC 27001, afin de gérer les risques auxquels leurs informations sont exposées.


Afin de revendiquer la conformité aux exigences de la norme ISO / IEC 27001, l’organisation doit démontrer qu’elle dispose de tous les processus en place et fournir des preuves objectives appropriées à l’appui de ces déclarations. Toute exclusion de contrôles jugée nécessaire pour satisfaire aux critères d’acceptation des risques doit être justifiée. Il faut également apporter la preuve que les risques associés ont été acceptés sciemment et objectivement par les membres de la direction responsables de ces prises de décisions.

L’exclusion des exigences indiquées dans les clauses 4 à 10 de la norme ISO / IEC 27001, n’est pas acceptable.

La mise en œuvre des processus du SGSI a pour résultat que l’organisation déploie un système de contrôles basé sur une approche de gestion des risques pour gérer ses risques. L’organisation devrait avoir mis en place un système efficace de contrôles et processus de gestion dans le cadre de son SGSI, et devrait pouvoir fournir des preuves à l’auditeur du SGSI. L’organisation peut ne pas avoir d’étude de cas pour un audit tiers mais un processus d’audit interne du SGSI est obligatoire pour se conformer à la norme ISO / IEC 27001. 


RESPECT DES EXIGENCES ISO/IEC 27001

ISO / IEC 27001 comprend deux parties principales : 

  • les exigences relatives aux processus d’un système de gestion de la sécurité informatique, décrites dans les clauses 4 à 10 ; et
  • une liste des contrôles SGSI, figurant à l’annexe A. Ces contrôles sont décrits plus en détail dans la norme ISO / IEC 27002.

Les exigences du processus SGSI traitent de la manière dont une organisation doit établir et maintenir son SGSI. Une organisation souhaitant obtenir la certification ISO / IEC 27001 doit se conformer à toutes ces exigences – les exclusions ne sont pas acceptables.

Les contrôles SGSI listés dans la norme ISO / IEC 27001, Annexe A ne sont pas obligatoires. Ils devraient servir d’aide-mémoire pour aider l’organisation à identifier les endroits où elle aurait pu passer à côté d’un risque ou d’un contrôle de sécurité pertinent dans son évaluation des risques et dans l’élaboration de son plan de traitement des risques. Ceci est indiqué dans la norme  ISO / IEC 27001 comme suit:

L’organisation doit produire une déclaration d’applicabilité contenant les contrôles nécessaires, la justification des inclusions, qu’elles soient mises en œuvre ou non, et la justification des exclusions des contrôles de l’annexe A.


POLITIQUES DE SECURITE DE L’INFORMATION (ISO/IEC 27001, A.5)

Orientation de management de la sécurité de l’information (ISO/IEC 27001, A.5.1) 

Objectif : fournir une orientation et un soutien en matière de sécurité de l’information, conformément aux exigences de l’entreprise et aux lois et réglementations pertinentes.

Politiques de sécurité de l’information (ISO/IEC 27001, A.5.1.1) 

Un ensemble de politiques de sécurité de l’information doit être défini, approuvé par la direction, publié et communiqué aux employés et aux parties externes concernées.

Conseils de mise en œuvre

Des informations sur le contenu d’une politique de sécurité de l’information sont disponibles dans la norme ISO/IEC 27002, 5.1.1.  

Les politiques organisationnelles doivent être simples et pertinentes. Il peut ne pas être approprié de combiner tous les niveaux de politique dans un seul document. Dans ce cas, la stratégie de sécurité des informations de niveau supérieur peut facilement faire référence à des stratégies plus détaillées, par exemple, à l’aide de liens hypertexte. En effet, la politique de niveau supérieur devrait normalement pouvoir s’exprimer sur un seul papier. Cela pourrait également faire partie d’un document de politique plus générale. La politique de sécurité des informations au plus haut niveau doit être diffusée et communiquée à tout le personnel et à toutes les parties externes concernées, par exemple, d’autres personnes travaillant régulièrement dans les locaux de l’organisation. 

Les politiques de niveau inférieur doivent être mises à la disposition du personnel approprié selon les besoins, leur fonction et les exigences de sécurité associées, et classées en conséquence. La politique de sécurité des informations de niveau supérieur et plusieurs, voire toutes, les politiques de niveau inférieur peuvent être transmises au personnel dans un manuel de politiques de sécurité. 

Les politiques de sécurité des informations doivent être soumises au contrôle de version et doivent faire partie de la documentation SGSI. Il convient de veiller à ce que toutes les personnes responsables de la sécurité de l’information aient accès à toutes les politiques nécessaires. Les politiques de sécurité des informations doivent également être mises à la disposition de toute personne disposant d’une autorisation appropriée sur demande, et protégées contre toute altération ou tout dommage non intentionnel. 

Lorsqu’une politique de sécurité des informations est distribuée à l’extérieur de l’organisation, elle doit être éditée. Toute information sensible éventuellement contenue dans celle-ci est supprimée avant cette distribution. 

Conseils d’audit

La politique de sécurité de l’information au plus haut niveau n’a pas besoin d’être exhaustive, mais elle doit clairement énoncer l’engagement de la direction en matière de sécurité de l’information, être sous le contrôle des modifications et des versions, et être signée par le responsable approprié. La politique doit au moins aborder les sujets suivants :

  • une définition compréhensible de la sécurité de l’information, de son champ d’application global et de ses objectifs ;
  • les raisons pour lesquelles la sécurité de l’information est importante pour l’organisation  ;
  • une déclaration du soutien de la direction en matière de sécurité de l’information ;
  • un résumé du cadre pratique d’évaluation et de gestion des risques et de sélection des contrôles et objectifs des contrôles ;
  • un résumé des politiques, principes, normes et exigences de sécurité en matière de sécurité ;
  • une définition de toutes les responsabilités pertinentes en matière de sécurité de l’information (voir également le point 2.2.1.1 ci-dessous) ;
  • référence à la documentation utilisée, par exemple des politiques plus détaillées; et
  • comment les non-conformités et les exceptions seront traitées.

L’auditeur doit confirmer que la politique est facilement accessible à tous les employés et à toutes les parties externes concernées, et qu’elle est communiquée à toutes les personnes concernées, en s’assurant qu’elles sont au courant de son existence et en comprennent le contenu. La politique peut être une déclaration autonome ou faire partie d’une documentation plus exhaustive (par exemple, un manuel de politique de sécurité) qui définit comment la politique de sécurité des informations est mise en œuvre dans l’organisation. En général, la plupart des employés, sinon tous, couverts par le domaine d’application du SGSI assumeront une part de la responsabilité de la sécurité de l’information, et les auditeurs doivent examiner avec soin toute déclaration qui en découle. 

L’auditeur doit également confirmer que la politique a un propriétaire qui est responsable de sa maintenance (voir aussi 2.1.1.2), et qu’elle est mise à jour de manière appropriée à la suite de toute modification affectant les exigences de sécurité de l’information de l’organisation, telles que les modifications de l’évaluation initiale des risques.

Les politiques spécifiques à un sujet qui sous-tendent la politique de niveau supérieur doivent être clairement liées aux besoins de leurs groupes cibles et couvrir tous les sujets nécessaires pour servir de base à d’autres contrôles de sécurité.

Ceci est la traduction d’un extrait du livre ISO 27001 controls – A guide to implementing and auditing 

©IT Governance Publishing Ltd

ISO 27001 controls – A guide to implementing and auditing est idéal pour toute personne qui met en œuvre ou audite un système de gestion de la sécurité de l’information conforme à la norme ISO 27001. Il vous aide à respecter les exigences des contrôles de l’Annexe A de la norme. Son guide d’audit explique ce qui doit être vérifié et comment, lors de l’examen des contrôles.

Maintenant disponible en version papier, Adobe eBook et Adobe ePub.

Leave a Reply

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.