Dernières actualités ...
18e congrès Lambda Mu sur la maîtrise des risques - Tours - octobre 2012
Livre blanc : "ISO 30300 – 30301 – Système de gestion des documents d’activité"
Management de la sécurité de l’information Par Alexandre Fernandez-Toro
La continuité d’activité a sa norme ISO
Publication de la norme ISO 22301
1 000 entreprises du tourisme en cours de certification
Quelles sont les questions à se poser pour déployer les tests à l'échelle d'une organisation ?
Nouvelle réglementation sur l’attribution des étoiles hôtelières
Livre blanc : "ISO 30300 – 30301 – Système de gestion des documents d’activité"
Management de la sécurité de l’information Par Alexandre Fernandez-Toro
La continuité d’activité a sa norme ISO
Publication de la norme ISO 22301
1 000 entreprises du tourisme en cours de certification
Quelles sont les questions à se poser pour déployer les tests à l'échelle d'une organisation ?
Nouvelle réglementation sur l’attribution des étoiles hôtelières
A télécharger ...
Fiche de définition de processus - Concevoir et développer les nouveaux produits
Fiche de définition de processus - Processus et paragraphes autres normes
Modèle de cartographie des processus (modèle 3)
Fiche de définition de processus - Processus et paragraphes de l'ISO 9001
Fiche de définition de processus - Gérer le laboratoire
Fiche de définition de processus - Processus et paragraphes autres normes
Modèle de cartographie des processus (modèle 3)
Fiche de définition de processus - Processus et paragraphes de l'ISO 9001
Fiche de définition de processus - Gérer le laboratoire
Vous souhaitez publier une actualité, un communiqué de presse, une proposition d'emploi ou une autre information ?
Sécurité et normalisation : l'émergence de la certification ISO/IEC 27001
Article
Publication : 12 / 02 / 2007
1297 Consultations
La normalisation en route vers un modèle de gouvernance de la sécurité
L’ISO, en lien avec l'IEC (International Electrotechnical Commission), a publié de nombreuses normes dans le domaine de la sécurité des systèmes d'information, telle que la norme ISO/IEC 17799, issue de BS 7799, ou ISO/IEC 13335 (lignes directrices pour la gestion de la sécurité). Ces différentes normes visent à assurer la sécurité de l’information, que son support soit de nature électronique ou papier, et que la cause des incidents potentiels soit accidentelle ou délibérée. Cependant, au vu des besoins et de la demande grandissante du marché, l’ISO a depuis peu entrepris une refonte de l’ensemble de ses activités de normalisation en lien avec la sécurité. L’objectif est d’aller au-delà des bonnes pratiques et de proposer un modèle de gouvernance de la sécurité de l’information, qui permet l’instauration d’une sécurité durable et alignée sur les objectifs métiers d’un organisme. Au sein du JTC1 (Joint Technical Committee), en charge des normes sur les technologies de l'information, le Sous-Comité 27 s'intéresse spécifiquement à la sécurité. Ce sous-comité se divise en WG (Working Groups), dont le premier est chargé de rédiger et d’organiser les différentes normes ayant pour but de proposer un modèle de gouvernance de la sécurité. Le résultat de cette (r)évolution du monde de la sécurité de l’information est l’émergence de la famille de normes ISO/IEC 2700X, définie de manière à devenir le pendant de la sécurité au regard de la série des 900X pour le domaine de la qualité et 1400X pour l’environnement. La norme ISO/IEC 27001 est, à l'heure actuelle, la seule de la série ayant déjà été publiée (octobre 2005).
Au niveau luxembourgeois, l'ANSIL (Association de Normalisation pour la Société de l'Information du Luxembourg) et plus particulièrement son sous-comité CNLSI (Comité de Normalisation Luxembourgeois pour la Sécurité de l'Information) travaille activement sur cette famille de normes afin de la faire évoluer au niveau international, en regard des intérêts et des spécificités propres au Grand-Duché de Luxembourg.
La norme ISO/IEC 27001
La norme ISO/IEC 27001 présente la notion de Système de Gestion de la Sécurité de l’Information (SGSI) ou Information Security Management System (ISMS). Un SGSI définit le cadre d’une amélioration continue de la sécurité de l’information, en se basant principalement sur une approche de gestion des risques et en s'articulant autour de la méthode Plan-Do-Check-Act (PDCA) ou roue de Deming. La mise en œuvre du SGSI se réalise donc en quatre étapes : l'établissement du SGSI, son implémentation et son exploitation, son contrôle et sa revue, et enfin sa maintenance et son amélioration. Il est important de signaler que la norme vise à la mise en œuvre d’un processus et n’impose pas un niveau de sécurité minimum. Elle ne garantit donc pas un niveau de sécurité, mais plutôt la capacité d’améliorer dans le temps l’organisation et les processus liés à la sécurité de l’information. Mettre en œuvre un SGSI représente donc un changement majeur par rapport aux démarches habituellement rencontrées. L'objectif du SGSI est de se concentrer sur les mesures de sécurité à mettre en œuvre à court terme sur un périmètre défini. Ces mesures doivent en particulier répondre à des risques clairement identifiés et documentés, d'où l'importance donnée à l'utilisation d'une méthode de gestion des risques dans le cadre de la norme. Enfin, la norme pose des principes de base essentiels, tels que l’attribution de ressources (autant financières qu'humaines) dédiées à la sécurité, ainsi qu’un suivi et une approbation régulière du niveau de sécurité au plus haut niveau de l’organisation.
Viser la certification ISO/IEC 27001
La norme ISO/IEC 27001 est une norme de certification au même titre que les normes ISO 9001 ou ISO 14001. La certification garantit de manière indépendante que le SGSI est conforme aux exigences spécifiées, qu’il est capable de réaliser de manière fiable les objectifs déclarés et qu’il est mis en œuvre efficacement. Pour obtenir la certification, il est nécessaire de faire auditer son SGSI par un organisme de certification externe. L’entreprise signe avec cet organisme de certification un contrat de trois ans, incluant la réalisation d’audits suivant un rythme défini avec l’entreprise. L’organisme devra alors assurer, au minimum une vérification complète tous les trois ans et réaliser des audits de surveillance annuellement. Il est cependant préférable de réaliser ces audits plus fréquemment, afin d’éviter de perdre la certification en cas de problème nécessitant un temps de correction long. Lors de l'audit, une première phase de vérification documentaire devra être validée, avant d’enchaîner sur les visites de sites. Lors de cette opération, les auditeurs réaliseront un ensemble de contrôles, techniques et organisationnels, pour vérifier que le SGSI est opérationnel, que les principes sélectionnés ont bien été mis en œuvre et que le système est pérenne. Suite à l’audit, les auditeurs feront parvenir leurs recommandations à l’organisme de certification qui approuvera les résultats et délivrera le certificat officiel.
A l'heure actuelle, les secteurs d’activité les plus représentés au niveau mondial sont les sociétés de services informatiques (hébergeurs, fournisseurs d’applications…) même si beaucoup d’autres sont actifs au niveau international (banques, organismes médicaux, organismes d’état …). Actuellement, au Grand-Duché de Luxembourg, seule la Loterie Nationale est certifiée, mais selon un précédent schéma de certification, proposé alors par la norme BS 7799-2:2002. Aucune certification sur base de la norme ISO/IEC 27001 n'a encore été officiellement obtenue. Cependant, au vu de l'évolution observée notamment au Japon et aux Etats-Unis, une croissance importante de ce type de certification est à prévoir à court terme.
Nicolas Mayer (Ingénieur R&D – CRP Henri Tudor,
PhD Candidate – Université de Namur, nicolas.meyer@tudor.lu)
Jean-Philippe Humbert (Ingénieur R&D – CRP Henri Tudor,
PhD Candidate – Université Paul Verlaine – Metz,
jean-philippe.humbert@tudor.lu)
