Contact
  
          
Se connecter



Menu

Management de la qualité : Sélection d’articles

Implémenter ISO 27001 PDF Imprimer Envoyer

Présentation ISO 27000

ISO 27000 est une suite de normes composée notamment d'ISO 27001 (liste des exigences), d'ISO 27002 (bonnes pratiques autour des mesures de sécurité), d'ISO 27005 (analyse et gestion des risques) largement inspirées des suites de normes BS7799 et ISO 17799.

ISO 27001 impose la mise en œuvre d'un Système de Management de la Sécurité (SMSI). C'est un dispositif qui combine des mesures techniques et organisationnelles, permettant d'atteindre des objectifs de sécurité prédéterminés et qui grâce au cercle vertueux du PDCA permet d'y rester ou de s'améliorer.
Le SMSI à pour rôle d'impliquer toutes les parties prenantes (clients, utilisateurs, direction, collaborateurs, etc.) en amont du projet pour en définir les exigences, et en bout de chaine pour en satisfaire les exigences. Le SMSI permettra de mettre en œuvre des bonnes pratiques sécurités reconnues internationalement, lesquelles permettront de sécuriser davantage le patrimoine (actifs) de l'entreprise et d'améliorer la confiance avec ses fournisseurs et clients. Par ailleurs la norme induit nécessairement un passage d'une culture de l'oral à une culture de l'écrit.

Quoiqu'il en soit lorsque vous décidez d'initier un tel projet il reste indispensable de comparer les coûts nécessaires à sa réalisation et les bénéfices qui peuvent être attendus. Enfin sachez que si vous souhaitez aller jusqu'à la certification vous devrez non seulement déployer la totalité des exigences spécifiées par ISO 27001, ainsi que les mesures de sécurité décrites dans ISO 27002 et qui s'appliquent à votre activité.

Comment mettre en œuvre ISO 27001 ?

Un projet tel que la mise en place d'ISO 27001 répond aux mêmes exigences normatives que vous retrouvez dans l'ensemble des systèmes de management, et notamment dans ISO 9001. Le déploiement d'ISO 27001 impose de suivre les quatre étapes décrites dans la roue de Deming. En synthèse il s'agit de planifier (PLAN) ce qui doit être fait, puis de réaliser ce qui a été planifié (DO), de vérifier (CHECK) la conformité entre le "planifié" et le "réalisé", et enfin de corriger (ACT) les écarts constatés.

La mise en œuvre d'ISO 27001 obéis à ces étapes que nous détaillons ci-après.
 
  • Plan : Lors de cette phase vous devez définir le périmètre du SMSI. Il peut être défini selon des critères géographiques, selon les lignes de produit et/ou services que vous réalisez, ou des critères organisationnels. Une fois défini il est nécessaire de produire la politique du SMSI, autrement dit votre déclaration d'intention en termes de sécurisation. La politique doit contenir des objectifs et des mesures de sécurités formelles qui guideront le projet. Suite à cela il vous faut définir une méthode d'analyse des risques et initier cette démarche mais nous y reviendrons plus en détail dans ce billet. Enfin en fonction des résultats de l'analyse et des mesures de sécurité décidées vous devez réaliser une DdA (Déclaration d'Applicabilité), laquelle formalise en fonction des risques identifiés les mesures de sécurité à mettre en œuvre. Notez que les mesures non retenues devront être justifiées dans votre DdA Téléchargez ici un modèle de DdA.
Il est important dès à présent de rappeler, à vos équipes, la nécessité de sécuriser les actifs de l'entreprise. Ce message doit être soutenu au plus haut niveau hiérarchique, et porté par la Direction.
A l'issue de cette étape vous avez défini l'objectif à poursuivre il convient à présent de réaliser le projet, c'est la phase DO.
  • Do : Il est important à ce stade de définir les rôles et responsabilités des personnes qui prendront en charge la gestion du projet, la mise en œuvre des mesures de sécurité, etc.
    A présent il s'agit de communiquer sur les objectifs induits par le SMSI et d'allouer les moyens nécessaires à l'exécution du projet.
Les ressources doivent prendre plusieurs formes tels que des recrutements spécifiques au projet, du temps alloué au projet pour les équipes, des lignes budgétaires spécifiques, des outils, et n'omettez surtout pas de former les porteurs de projets, et de sensibiliser l'ensemble des parties-prenantes.
Au regard de l'Analyse des risques réalisées à l'étape PLAN vous devez maintenant initier le déploiement des mesures de sécurité identifiées dans la DdA. Je rappelle que ces mesures ont un seul objectif réduire le risque à un niveau acceptable. Pour les risques acceptés il convient de ne rien faire. S'agissant des risques transférés il faut mettre en œuvre les assurances nécessaires, ou recourir à la sous-traitance, etc.
  • Check : La troisième étape, dite de contrôle, a pour objectif de comparer ce qui a été planifié et ce qui a été mis en œuvre.

    Les outils permettant ces contrôles sont nombreux. Il s'agit des indicateurs, des tableaux de bord Sécurité, des rapports d'audit internes, des enregistrements et non-conformité produit par le SMSI, des incidents de sécurité, etc.

    Que vous poursuiviez un objectif de certification, ou simplement un objectif d'amélioration de la sécurité, ne perdez pas de vue que cette étape doit systématiquement donner lieu à la planification d'actions en réponse aux écarts constatés. C'est la finalité même du système de management.
  • Act : Dernière étape du cycle de l'amélioration continue, la phase ACT est l'occasion de mettre en œuvre le plan d'action défini à l'étape CHECK.   Le plan doit être détaillé et inclure à minima l'action, sa date d'échéance, et le responsable de sa réalisation. A posteriori l'efficacité de chacune des actions doit être vérifiée.

    Lorsque vous avez réalisé une itération complète des 4 étapes présentées ci-dessus, vous devez reprendre à la phase PLAN et ré initier un cycle complet, et ainsi de suite. C'est ce qui garantie l'amélioration permanente de votre SMSI.

Focus sur l'Analyse des Risques :

L'Analyse Des Risques (ADR) est la pierre angulaire de votre SMSI, dans le sens ou ses résultats conditionneront les mesures à mettre en œuvre. Il ne faut surtout pas négliger cette partie. De la qualité de cette analyse dépendra l'efficacité de votre SMSI. Notez enfin que l'ADR doit être réalisée régulièrement, et à intervalles planifiés, aussi la méthode doit être reproductible afin de définir si les risques ont été efficacement réduits, et si de nouveaux risques sont apparus.

Lorsqu'un risque est identifié vous devez appliquer une des règles suivantes :

  • Accepter le risque, c'est-à-dire le tolérer
  • Eviter le risque
  • Transférer le risque à un tiers par exemple
  • Réduire le risque à un niveau acceptable  en appliquant les mesures appropriées
  • Provisionner le risque, c'est-à-dire prévoir une somme en amont de la survenance du risque

Les étapes du projet d'Analyse des risques.
La première étape consiste à identifier les actifs "informationnels" tels que les applications, les bases de données, les services, les serveurs, de l'entreprise impliqués dans le périmètre du SMSI. Une fois listé il faut identifier le propriétaire de chacun d'eux. Avec ces derniers, vous êtes dorénavant en mesure d'identifier les menaces qui pèsent sur ces actifs, donc les vulnérabilités qui pourraient en découler.
Les impacts de ces vulnérabilités devront être catégorisés selon les enjeux (financiers, image de marque, etc.) qu'ils représentent pour l'entreprise selon des critères tels que la confidentialité, l'intégrité, la disponibilité.
A titre de précision les incidents devront être catégorisé en incident dit de "sécurité" si ils impactent un ou plusieurs critères tels qu'évoqués précédemment.
Quelles méthodes pour l'Analyse des Risques ?
Nous venons de le voir l'Analyse des Risques est une étape cruciale dans le déploiement d'ISO 27001. Avant de vous lancer dans cette démarche il faut choisir une méthode. Celles-ci sont nombreuses, on peut évoquer notamment ISO 27005, EBIOS, MEHARI, etc.
Sachez enfin que vous avez la possibilité d'utiliser une méthode interne, l'essentiel étant l'efficacité de la démarche et le caractère reproductible des résultats sur un périmètre identique.


Synthèse & conclusion.

Si le déploiement d'ISO 27001 garantie une reconnaissance internationale en termes d'utilisation de bonnes pratiques de Sécurité, la norme ne garantie pas un niveau de Sécurité. Nous l'avons vu ISO 27001 c'est avant tout un Système de Management Organisationnel adossé à des bonnes pratiques "techniques" avérées.

Enfin, il est primordial en amont de la démarche de se former sur les exigences afin d'en connaitre les tenants et aboutissants et garantir une adéquation du dispositif à vos besoins, et surtout à celui de vos parties prenantes.

En savoir plus : consultez la rubrique ISO 27001.

Citer cet article sur votre site

Pour créer un lien vers cet article sur votre site,
copiez et collez le texte ci-dessous dans votre page.



Prévisualisation :

Implémenter ISO 27001
Jeudi 30 Avril 2009

Powered by QuoteThis © 2008
 

Aide avec le site | Recommander ce site | Mentions légales | Signaler un bug | Contact

Copyright © 2009 FLUENDI Cons. Tous droits réservés.
Rubriques

 
Statistiques du site
Membres : 2034
Contenu : 172
Liens internet : 29
Qui est en ligne ?
Nous avons 65 invités en ligne