Documente Academic
Documente Profesional
Documente Cultură
Text Size
Identifiant ••••••••••••
Conseil Certification ISO Formation, Audit, Coaching SMQHSE, Méthodologie, Conseil www.certificationiso.fr
ITIL v3 Foundation + exam scenario based e-learning course includes ITIL First Aid Kit campus.itpreneurs.com
Gestion Audit Interne Logiciel de gestion intégrée de l’ensemble des activités d’audit www.enablon.fr
Cet article présente le panorama détaillé de l'ensemble des mesures à mettre en œuvre pour tout organisme souhaitant aller vers ISO/IEC 27001.
L'organisme doit mettre en œuvre un SMSI (Système de Management de la Sécurité). Ce SMSI doit être documenté, maintenu, surveillé, amélioré de manière
permanente. Sa mise en œuvre inclut une analyse des risques, ainsi que la mise en œuvre de contre-mesures pour diminuer les risques pesant sur l'information et
l'entreprise.
1.1.1. Définir le périmètre, autrement dit les activités, sur lequel s'applique le SMSI, et justifier les cas échéant les domaines exclus de ce périmètre. Le niveau
de détail attendu concerne tous les actifs (matériels, logiciels, patrimoine). 1.1.2. Faire une déclaration d'intention (Politique) reprenant les éléments décidés au
point précédent. Au delà d'une déclaration d'intention il s'agit là de définir l'orientation donnée à la Politique Sécurité afin d'impulser le projet. La politique est un
document écrit et signé par la Direction et doit contenir à minima :
La façon de sera géré le projet, quels en sont les objectifs (mesurables) et comment sera traitée la Sécurité de l'information,
Comment est gérée la veille réglementaire et sécuritaire afin de s'assurer que l'organisme répond bien à ces exigences externes (vis-à-vis de la législation,
des clients, des fournisseurs),
Faire référence de manière explicite à la méthode dont sont gérés les risques, et comment ils seront évalués
1.1.3. Définir la ou les méthodes d'évaluation des risques, c'est-à-dire comment ils seront identifiés, évalués, réduits ou annihilés. A ce titre l'organisme doit :
Choisir une méthode d'évaluation du risque, dont l'objectif est de recenser tous les risques qui pèsent sur l'Information et de les classifier selon des
critères de probabilité, de vulnérabilité et d'impact.
Lister les critères et niveaux selon lesquels les risques seront acceptés. Exemple : une entreprise peut dans certains décider que le coût de réduction du
risque est trop élevé par rapport à sa probabilité de survenance.
Remarque : Les méthodes telles qu'EBIOS ou MEHARI sont accessibles gratuitement et permettent de réaliser couvrir l'ensemble du dispositif de Gestion
des risques. Compte-tenu du cycle d'amélioration continue qui s'applique au SMSI la méthode de Gestion du risque sera revue annuellement et il convient
de garder la même méthode afin que les données du risque puissent être comparées.
1.1.4. L'organisme doit identifier les risques sur son écosystème et à ce titre il doit :
Produire une liste exhaustive des actifs (uniquement dans le périmètre du SMSI) ainsi que les propriétaires des ces actifs. Ce travail d'inventaire doit faire
l'objet d'un document (tableur, base de données, CMDB, etc.)
Identifier les impacts de ces vulnérabilités, en termes d'intégrité, de confidentialité, de disponibilité et de non-répudiation, sur le patrimoine informationnel
de l'organisme
1.1.5. Une fois les risques identifiés l'organisme doit en produire une analyse et une évaluation documentée. Celle-ci doit contenir à minima :
itil.fr/…/isoiec-27001-mise-en-oeuvre-… 1/7
5/04/2011 Mise en oeuvre étape par étape | ISO 2…
Pour chacun des risques quel est l'impact potentiel de l'exploitation d'une vulnérabilité, donc d'un risque pour l'organisme,
Une évaluation de la probabilité que l'occurrence d'un risque identifié intervienne, compte-tenu de l'analyse réalisée sur les menaces et vulnérabilités,
La liste des risques acceptables qui ne seront pas traités, en fonction des critères préétablis, ainsi que la liste des risques nécessitant un traitement
1.1.6. Puis l'organisme doit définir les méthodes de traitement des risques et évaluer la façon dont elles seront mises en œuvre (élimination des SPOF,
acceptation du risque compte-tenu de sa faible probabilité de survenance, etc.).
1.1.7. Une fois la phase d'évaluation des risques réalisée il convient à présent de définir, de manière mesurable, les objectifs de sécurité que souhaite atteindre
l'entreprise, et de quelle manière ces mesures seront mises en œuvre. Remarque : Pour plus d'information une liste, non exhaustive des objectifs est accessible
dans la norme ISO/IEC 27001.
1.1.8. La formalisation des objectifs de sécurité dans un document doit être soumise pour approbation à la Direction, qui doit notamment statuer sur les risques
résiduels qui seront acceptés ou non.
1.1.9. Suite à l'approbation, la Direction doit autoriser explicitement (par écrit) la mise en œuvre du SMSI dans les conditions établies ci-dessus.
1.1.10. A présent il s'agit de formaliser une DDA (Déclaration d'applicabilité) laquelle inclut à minima :
La liste des mesures de sécurité que l'organisme souhaite mettre en œuvre et la justification de ces choix,
La liste des mesures de sécurité d'ores et déjà mise en œuvre par l'organisme,
Et l'exclusion, le cas échéant des dispositions sécurité que l'organisme ne souhaite pas mettre en œuvre. Les raisons de ces exclusions doivent être
décrites et expliquées (justifiées).
Remarque : Cette phase de préparation est probablement la plus important dans le sens ou elle détermine l'ensemble des dispositions organisationnelles
et sécuritaires que l'organisme va mettre en œuvre. Si la politique et l'analyse des risques ne sont pas adaptés à la finalité de l'entreprise, le déroulement
du projet pourra s'en trouver sérieusement complexifié. Notez par ailleurs que la démarche s'inscrit dans un cycle itératif (PDCA) et qu'il faut donc aborder
ISO/IEC 27001 comme un projet à moyen/long termes, aussi fixez vous des objectifs réalistes.
La mise en œuvre du SMSI implique un certain nombre de taches parmi lesquelles l'organisme doit :
1.2.1 Lister dans un document de planification, les actions à mettre en œuvre pour traiter les risques identifiés en amont. Chaque risque doit être pondéré par
une priorité fonction de sa probabilité de survenance et du poids éventuel de son impact sur l'information et l'organisme. A cette étape il est recommandé
d'utiliser un diagramme de GANT afin de pondérer chacune des actions par sa priorité ainsi que sa charge de traitement en jours/homme. Cela vous permettra
d'avoir une vue précise de la durée de mise en œuvre du SMSI.
1.2.2 Mettre en œuvre les actions listées dans le document de planification de traitement du risque. Le plan doit comprendre l'ensemble des moyens (financier,
budget) et ressources (humaines, matérielles, logicielles) allouées par la Direction au traitement des risques. Il est important d'allouer les ressources nécessaires
afin que les taches soient exécutées de manière efficace.
1.2.3 En fonction des objectifs de Sécurité définis en 2.1.1.7, l'organisme doit mettre en œuvre les mesures de sécurité définies au même point.
1.2.4 Définir les méthodes d'évaluation de l'efficacité des mesures (Sécurité et Réduction des risques) tels que l'audit interne. Les résultats de ces audits ou
évaluation doivent être enregistrés et doivent pouvoir être comparés entre eux.
1.2.5 L'organisme doit mettre en œuvre un programmes destiné à sensibiliser et former toutes les parties prenantes sur les enjeux de la Sécurité. Il peut s'agir
de formations internes, de publication de newsletter, de mise en œuvre d'un intranet ou de communications plus formelles.
1.2.6 A ce stade une organisation (équipe) interne est en mesure de gérer le SMSI
1.2.7 Et l'organisme s'assure de manière permanente de l'adéquation des ressources quant au maintien du SMSI et de ses activités.
1.2.8 Enfin, l'organisme doit s'assurer que les incidents de Sécurité sont gérés et doit décrire puis mettre en œuvre des procédures de traitement des incidents
de Sécurité. Il est recommandé de suivre le processus de traitement des incidents classique, en revanche ce type d'incident doit être catégorisé en incident de
type "Sécurité".
Une fois le SMSI mis en œuvre, le modèle de PDCA recommande d'une part une surveillance permanente du Système, ainsi que des revues périodiques afin
d'améliorer son fonctionnement. A ce titre l'organisme doit :
Détecter les traitements (risques et sécurité) en échecs ou qui n'ont pas abouti au résultat escompté,
Permettre à la Direction de statuer sur l'efficacité des mesures (organisationnelles et technologiques) de Sécurité mises en œuvre ,
Mettre en œuvre des indicateurs de Sécurité facilitant la compréhension de la Gestion de la Sécurité et permettant si possible la détection proactive des
vulnérabilités potentiellement exploitables,
1.3.2. Réaliser à intervalle régulier des examens de l'efficacité du SMSI, ces examens incluent les résultats des audits, les incidents de "Sécurité" et vérifient que
les objectifs de Sécurité sont atteints. Notez que si les objectifs ne sont pas atteints il est important de mettre en œuvre des plans d'action visant à corriger la
situation identifiée.
1.3.3. Vérifier que les exigences de Sécurité de l'organisme sont soutenues par des mesures efficaces. Dans le cas contraire les mesures doivent être revues,
itil.fr/…/isoiec-27001-mise-en-oeuvre-… 2/7
5/04/2011 Mise en oeuvre étape par étape | ISO 2…
1.3.3. Vérifier que les exigences de Sécurité de l'organisme sont soutenues par des mesures efficaces. Dans le cas contraire les mesures doivent être revues,
analysées et modifiées.
1.3.4. L'analyse des risques doit être revue, après qu'un cycle de mise en œuvre de mesure de Sécurité et de réduction des risques ait été mis en œuvre. Il
doit explicitement statué sur le niveau de risque encouru par l'entreprise, et prendre en compte les risques résiduels et le niveau de risque acceptable. Ces
analyses incluent tous les changements apportés :
1.3.5. L'organisme doit assurer que des audits internes sont planifiés et exécutés
1.3.6. L'organisme doit mener des revues de Direction (annuelle ou biannuelle par exemple) statuant sur l'efficacité du SMSI et définissant les plans d'actions à
mettre en œuvre pour en améliorer l'efficacité.
1.3.7. Suite à cela les plans de sécurité doivent être mis à jour en tenant compte des actions et décisions actées en revue de Direction.
1.3.8 Chacun des actions doit être enregistrée car elle peut faire l'objet de preuve dans le cadre d'un audit tierce-partie (audit externe)
Afin d'assurer que le SMSI et en permanence à jour et que le dispositif s'améliore, l'organisme doit :
1.4.1 S'assurer que les améliorations identifiées, qu'elle qu'en soit l'origine, soient mises en œuvre. Il se peut que certaines pistes d'amélioration ne soient pas
mises en œuvre auquel cas il convient d'en justifier la raison, par exemple dans le plan de Sécurité.
1.4.2 Chaque incident, audit, ou non conformité peut-être à l'origine de la mise en œuvre d'actions appropriées dont il faut apporter la preuve de l'efficacité.
Ces actions peuvent être correctives, c'est-à-dire qu'elles interviennent après l'occurrence de l'événement. Elles peuvent être préventives, c'est-à-dire qu'elles
interviennent avant l'occurrence de l'événement. Ces actions doivent être enregistrées, suivies, analysées et clôturées. La preuve de l'efficacité de ces actions
doit être apportée.
1.4.3 L'ensemble des parties prenantes doit être tenu au courant des actions mises en œuvre. Les canaux de communications (réunion, newsletter, intranet)
doivent être utilisés à cet effet.
1.4.4 Chaque action fait l'objet d'une revue dont l'objectif est d'apporter la preuve de son efficacité.
2.1. Généralités
La mise en œuvre d'une norme telle qu'ISO/IEC 27001 implique la nécessité de documenter, enregistrer, suivre les actions afin que toutes les activités soient
traçables. Les décisions prises par la Direction, la Politique Sécurité doivent être formalisées sous une forme documentée et détaillée détaillant les orientations de
la Politique, les revues de celle-ci et les objectifs mesurables que l'organisme souhaite atteindre par la mise en œuvre d'un SMSI.
Afin de démontrer que les résultats des mesures (Sécurité et Risques) mises en œuvre sont conformes aux objectifs pris par l'organisme tout doit être
documenté.
2.1.3. Les procédures de Gestion de la Sécurité, des risques, des incidents de Sécurité et les contrôles (exemple : revue de processus) effectués
2.1.4. Une description de la méthode retenue pour évaluer et gérer les risques
2.1.6. Les procédures d'évaluation des mesures mises en œuvre attestant de leur efficacité
L'ensemble des documents relatifs au SMSI doivent être protégés et maitrisés par une procédure qui définit les actions pour :
2.2.1. Définir les circuits d'approbation des documents avant diffusion (aux équipes, clients et fournisseur),
2.2.2. Définir les circuits de réexamen, de mise à jour et d'approbation des documents,
2.2.3. Assurer que chacun des documents accessible est "versionné" et dispose d'un statut correspondant à son état,
itil.fr/…/isoiec-27001-mise-en-oeuvre-… 3/7
5/04/2011 Mise en oeuvre étape par étape | ISO 2…
2.2.4. Rendre accessible ou cela est nécessaire les documents du SMSI,>
2.2.5. Assurer le cycle de vie des documents, en intégrant les critères d'habilitation, jusqu'à l'archivage,
2.2.6. Les documents provenant de l'extérieur de l'entreprise doivent être identifiés et identifiables par les équipes,
2.2.7. La diffusion des documents doit être maitrisée, c'est-à-dire que les documents livrés et accessibles doivent suivre les procédures dédiées.
2.2.6. Les documents périmés doivent être archivés et ne pas être à la porter des utilisateurs,
2.2.6. Les documents périmés et archivés doivent être identifiés et identifiables si ils sont conservés.
Les enregistrements sont des documents apportant la preuve d'une activité donnée. La norme ISO/IEC 27001 impose d'établir, de conserver des
enregistrements, ils doivent être gérés, protégés et maitrisés comme les documents, dont ils sont un sous-ensemble.
Des procédures de contrôle permettant d'identifier, de stocker, de gérer l'accès, de préciser la durée de conservation, le mode d'élimination doivent être
documentées, portées à la connaissance des utilisateurs et mises en œuvre.
3. Responsabilité de la Direction
La direction donne l'impulsion à la Gestion de la Sécurité dans l'entreprise, elle est partie prenante dans la définition de la politique et des objectifs Sécurité mais
aussi dans la mise en œuvre du SMSI. La preuve de l'implication de la Direction dans le SMSI doit être prouvée au travers notamment du fonctionnement, du
réexamen, de la surveillance, de la mise à jour et de l'amélioration permanente du SMSI.
3.1.2. Donner l'assurance (la preuve) que le SMSI est planifié et que des objectifs sont suivis,
3.1.3. Définir des rôles et des responsabilités en charge des missions initiés dans le cadre du SMSI,
3.1.4. S'assurer que les collaborateurs ont conscience des enjeux que représente leurs activités dans la réalisation des objectifs de sécurité de l'organisme. Cela
passe par de la sensibilisation, de la formation.
3.1.5. Pourvoir l'organisme des moyens nécessaires pour la mise en œuvre du SMSI et assurer sa pérennité,
3.1.6. Définir en amont comment seront acceptés les risques, sur quels critères,
3.1.7. S'assurer que des audits internes planifiés à intervalle régulier ont lieu,
3.1.8. Revoir périodiquement lors d'une revue de Direction les résultats du SMSI, statuer sur son efficacité et initier une amélioration du SMSI le cas échéant
La mise en œuvre d'ISO/IEC 27001 impose à l'organisme de fournir des ressources (matérielles, logicielles, humaines, financières) nécessaires pour :
3.2.1.2. Assurer que les procédures Sécurité sont adaptées aux finalités business de l'entreprise,
3.2.1.3. Assurer que les contraintes règlementaires et légales sont connues, analyser et que l'organisme y répond,
3.2.1.4. S'assurer que toutes les dispositions préconisées dans le cadre du SMSI sont mises en œuvre,
3.2.1.5. Assurer des réexamens périodiques du SMSI, des ses résultats et réévaluer les objectifs de Sécurité,
Afin que le SMSI soit efficace et produise les résultats escomptés sur la Sécurité de l'Information, l'organisme doit assurer que les personnes impliquées dans des
rôles et responsabilités du SMSI aient les compétences nécessaires à son maintien, en :
3.2.2.1. Définissant les compétences nécessaires aux personnes intervenant dans le SMSI,
3.2.2.3. En évaluant (à chaud et à froid) les formations dispensées aux équipes. Les formations peuvent être réalisées en interne ou par l'intermédiaire d'un
organisme de formation,
3.2.2.4. Les documents attestant du niveau de formation initiale (diplômes) et professionnelle (expérience) doivent être conservé. A noté que des fiches de
poste décrivant les qualifications nécessaires permettront d'identifier facilement les compétences que l'organisme possède et celles qu'il nécessite
itil.fr/…/isoiec-27001-mise-en-oeuvre-… 4/7
5/04/2011 Mise en oeuvre étape par étape | ISO 2…
La sensibilisation et la formation s'applique aussi à l'ensemble des collaborateurs de l'organisme, qui doit avoir conscience des enjeux Sécurité.
L'organisme doit s'assurer que des audits internes sont planifiés à intervalle régulier et que le plan est accessible. Ce plan d'audit a pour objectifs de s'assurer que
le SMSI et notamment les processus, les procédures et mesures sont :
4.1. Conformes aux dispositions décrites dans la norme ISO/IEC 27001, mais aussi aux contraintes légales et réglementaires
Chaque processus doit être passé en revue, selon son degré d'importance. La fréquence des revues est d'une fois par an, toutefois l'organisme peut revoir les
processus plusieurs fois. Les audits internes doivent faire l'objet d'une procédure documentée incluant les responsabilités, les exigences, les méthodes de
restitution des audits.
L'auditeur ne doit pas être la personne qui met en œuvre la Sécurité dans l'organisme.
5.1. Généralités
La Direction de l'organisme doit s'assurer de l'efficience du SMSI et des mesures de Sécurité et de Gestion des risques. A ce titre elle doit à minima une fois par
an revoir le SMSI.
La revue de Direction est l'occasion de s'assurer que le SMSI est pertinent (adapté aux finalités de l'organisme), adéquat (par rapport aux objectifs que s'est fixé
l'organisme) et efficace (les résultats sont ils conformes aux objectifs). Le rapport de revue de Direction est enregistrement de la Norme ISO/IEC 27001 et sera
exigible lors d'un audit tierce partie. Les éléments de sortie de la revue doivent permettre d'améliorer le SMSI
5.2.2. Les retours de toutes les parties prenantes et les suggestions d'amélioration de tout un chacun,
5.2.3. Identifier les pistes qui permettraient d'améliorer la performance et l'efficience du SMSI,
5.2.4. Faire un bilan de toutes les actions préventives et correctives mises en œuvre dans le cadre du SMSI,
5.2.5. Les vulnérabilités, menaces, incident qui n'ont pas été traités et clôturés,
5.2.6. Les résultats comparés aux objectifs visés qui permettront de définir l'efficacité du SMSI et des mesures de Sécurité mises en œuvre,
5.2.7. Toutes les actions initiées suites aux revues de Direction antérieures, sauf exception pour la première,
5.2.8. Tous les changements pouvant avoir un impact sur le SMSI tel qu'un changement d'organisation interne, une fusion, un déménagement.
5.2.9. Les données de recommandation d'amélioration issues des constats sur le cycle PDCA précédent
Lors de la revue de Direction tous ces éléments doivent être présentés et analysés par le Comité de Direction afin de produire les éléments de sortie de la
Revue.
La revue de Direction doit impérativement produire dans le rapport de Revue les actions et décisions prises par la Direction par rapport aux éléments d'entrée.
Ces actions et décisions vont alimenter le prochain cycle PDCA. Elles doivent porter sur :
5.3.1. L'amélioration du SMSI, et décrire quelles actions seront entreprises dans ce sens,
5.3.2. Les modifications à mettre en œuvre dans la gestion des risques et des mesures de traitement des risques appropriées aux décisions prises,
5.3.3. La mise à jour des processus et procédures, en fonction des exigences business, de sécurité, des processus métiers, des exigences légales et
réglementaires, des obligations vis-à-vis des clients,
5.3.4. Allouer les ressources nécessaires pour les cas ou le niveau actuel est insatisfaisant,
5.3.5. Analyser et préconiser des méthodes nouvelles pour valider l'efficacité du SMSI et de ses résultats (échantillonnage)
La revue de Direction est une des dispositions les plus importantes de la norme ISO/IEC 27001 puisqu'elle clôture le cycle PDCA. En clair elle statue sur l'efficacité
annuelle du SMSI. De la qualité de sa préparation dépendra la qualité de l'exercice suivant. C'est aussi l'occasion de fédérer les collaborateurs et le management
sur un enjeu important pour l'entreprise.
6. Amélioration du SMSI
itil.fr/…/isoiec-27001-mise-en-oeuvre-… 5/7
5/04/2011 Mise en oeuvre étape par étape | ISO 2…
6. Amélioration du SMSI
Concept fort des normes, telle que ISO/IEC 27001, le PDCA ou concept de la roue de DEMING suggère de statuer sur les résultats des processus et du système
(ensemble des processus). Le SMSI ne déroge pas à cette règle qui garantie que l'amélioration continue sera entretenue par des revues régulière.
L'organisme qui met en œuvre ISO/IEC 27001 doit en conséquence améliorer en permanence le SMSI.
A ce titre il doit utiliser tous les éléments à sa disposition et notamment la Revue de Direction, les rapports d'audits, la comparaison des résultats aux objectifs du
SMSI, les actions préventives et correctives relevées dans le fonctionnement du SMSI.
Afin d'éliminer les causes des non-conformités (exemple : absence de procédure, manquement à un processus) relevées dans le SMSI l'organisme doit
documenter une procédure visant à :
6.2.3. Évaluer les non-conformités et la nécessité d'entreprendre des actions pour les éradiquer et veiller à ce qu'elles ne réapparaissent pas.
6.2.4. Pour les cas ou une action s'avère nécessaire, la mettre en œuvre,
6.2.6. S'assurer que la vérification des résultats de l'action corrective sont conformes aux attentes, c'est à dire que l'action est efficace et que la non-conformité
est durablement traitée.
Les actions correctives interviennent en aval de la non-conformité, c'est une action réactive.
Pour les cas ou l'organisme détecterait une non-conformité potentielle (c'est-à-dire qu'elle n'a pas eu lieu mais que cela pourrait être le cas), il doit mettre en
œuvre une procédure documentée qui définit les exigences en termes de traitement des actions préventives et qui prévoit :
6.3.2. La méthode d'évaluation des non-conformités et la nécessité d'entreprendre des actions afin qu'elles ne se produisent pas.
6.3.5. La méthode pour s'assurer que les résultats de l'action préventive sont conformes aux attentes, c'est à dire que l'action est efficace et que la non-
conformité n'est pas apparue
Les actions préventives interviennent en amont de la non-conformité, c'est une action proactive.
Rétrolien(0)
Adresse URI pour un rétrolien sur cet article
Commentaires (0)
Flux RSS pour les commentaires
Isocèle
Management de la sécurité
Isocèle vous accompagne
www.isocele .co m
alarmes sécurité
Séminaire ISIMAN
Fonction même en dégroupage
GRC = Gouvernanc e + Risques +
total Livraison 48h offerte en
Conformité => Performanc e
Franc e www.k eyword.fr
tike -se curite .fr
AIDE AVEC LE SITE RECOMMANDER CE SITE MENTIONS LÉGALES SIGNALER UN BUG CONTACT
itil.fr/…/isoiec-27001-mise-en-oeuvre-… 7/7