Comprendre la norme et les exigences iso 27001

La norme iso 27001, exigences pour un Système de Management de la Sécurité de l’Information

Pour obtenir la certification ISO 27001 vous devez répondre aux exigences de la norme iso 27001 et intégrer les contrôles opérationnels de la norme ISO 27002.

Vous trouverez sur cette page un description et explication des exigences du référentiel ISO 27001.

Si vous voulez tout savoir sur la norme iso 27001, cette page est faite pour vous.

Principes de la norme iso 27001

La norme ISO 27001 est une norme internationale sur le management de la sécurité de l’information.

Elle définie un système de management de la sécurité de l’information (SMSI) à mettre en place dans l’entreprise.

Le SMSI est l’organisation (processus, responsabilités, actions…) que l’entreprise doit mettre en place pour améliorer la sécurité de l’information.

Cette norme présente les exigences en matière d’organisation (système de management) pour s’assurer que la sécurité de l’information est bien maîtrisée :

  • La gouvernance liée à la sécurité de l’information et la stratégie,
  • Les processus nécessaires à la maîtrise de la sécurité de l’information,
  • Les méthodes pour analyser les risques et en rendre compte,
  • Les processus de mesure, de suivi et d’amélioration de la sécurité,
  • Les responsabilités liées à la sécurité de l’information.

L’entreprise peut obtenir la certification ISO 27001 délivrée par un organisme indépendant qui certifie la conformité du  SMSI de l’entreprise. 

Périmètre d’application et objet de la norme iso 27001

La norme ISO 27001 est un texte qui vise le contrôle la sécurité et des services à travers la maîtrise de 4 paramètres

  • Assurer la disponibilité des informations et des services
  • Sécuriser l’intégrité des données critiques
  • Garantir la confidentialité des données sensibles ou des données clients
  • Assurer la disponibilité et la conformité des preuves légales et autres

La norme iso 27001 est une norme pour l’ensemble de l’entreprise et non pas uniquement pour les systèmes d’information

Toute entreprise est potentiellement concernée par cette norme. La certification ISO 27001 correspond à une volonté de monté son niveau de qualité de service via la sécurité.

En fonction de ses clients, de son contexte concurrentiel, l’entreprise aura plus ou moins d’intérêt à mettre en oeuvre cette norme et aller jusqu’à la certification.

Plus le service est sensible, critique plus cette certification aura d’intérêt.

Les exigences détaillées de la norme iso 27001

Recommandation pour la lecture du référentiel

La norme ISO 27001 est constituée de 10 chapitres dont 8 sont consacrés aux exigences à appliquer pour être conforme au référentiel.

Les exigences obligatoires dans ce référentiel sont identifiées par la mention « L’organisme DOIT« . L’orsque les exigences sont facultative vous trouverez le terme « devrait » qui indique qu’il s’agit de conseils pour la mise en oeuvre.

Vous trouverez ci-dessous les principales exigences commentées du référentiel.

Exigences du chapitre 4 – contexte de l’organisation

L’entreprise doit :

1. Déterminer les enjeux externes et internes pertinents qui ont un impact sur la sécurité de l’information.

Dans la pratique il s’agit de formaliser ces enjeux stratégiques pour l’entreprise sous forme d’analyse des forces, faiblesses et menaces, opportunités.

2. Déterminer les parties intéressées et leurs exigences en matière de sécurité

Concrètement les parties intéressées les plus importantes vont être vos partenaires, clients et prospects. Leurs exigences doivent être clairement déterminées au sein de l’entreprise dans des documents précis (propositions, accords, contrats, plan assurance sécurité …)

3. Déterminer précisément le domaine d’application du SMSI

Pour cette exigence il est nécessaire de formaliser le périmètre du Système de Management de la Sécurité. Dans ce document vous allez préciser les sites, infrastructures, services, processus concerné par le SMSI.

Pour conclure ce chapitre vise à établir le cadre général de la sécurité de l’information au sein de l’entreprise et de clarifier les enjeux associés.

Exigences du chapitre 5 – Leadership

Ce chapitre porte sur les exigences liées à la Direction. Par direction il faut comprendre la personne (dirigeant, responsable) ou groupe de personne (CODIR) qui définit les objectifs et pilote la sécurité de l’information pour l’entreprise.

1. Le premier point demande à ce que la direction fasse preuve de leadership et démontre son soutient au SMSI.

En pratique la direction doit s’assurer  :

  • qu’une politique et des objectifs sont établis en matière de sécurité de l’information
  • que les exigences liées au SMSI sont mis en place dans les processus métiers
  • que les ressources nécessaires pour le SMSI sont disponibles
  • que le SMSI atteint les objectifs définis

La direction doit également :

  • Communiquer sur l’importance de disposer d’un SMSI efficace et d’être conforme aux exigences
  • Orienter et soutenir les personnes pour qu’elles contribuent à l’efficacité du SMSI
  • Promouvoir l’amélioration continue
  • Aider les managers à faire preuve de leadership

2. La direction doit définir une politique en matière de sécurité de l’information

Concrètement il s’agit de définir une politique de haut niveau qui va donner un cadre (une organisation générale) pour la sécurité de l’information et définir les principaux objectifs visés (ce que l’on souhaite améliorer) en sécurité.

La politique doit être communiquer au sein de l’entreprise et comprise par tous les collaborateurs et partenaires.

Cette politique doit être documentée, inclure l’engagement de la direction à améliorer en continue le SMSI et l’engagement à respecter la règlementation.

 3. Définir les responsabilités et autorités liées à la sécurité de l’information

De façon générale la direction doit s’assurer que les responsabilités et autorités des rôles concernés par la sécurité de l’information sont attribuées et communiquées au sein de l’organisation.

Ces responsabilités couvrent différents périmètre de la sécurité :

  • le management du SMSI : Responsable du SMSI
  • La sécurité opérationnelle : Responsable de la sécurité du Système d’Information (RSSI)
  • Les managers métier qui auront des responsabilités en sécurité liées à leur métier

Généralement le RSSI est la personne désignée par la direction pour :

  • s’assurer que le système de management de la sécurité de l’information est conforme aux exigences de la Norme internationale
  • Reporter à la direction des performances du SMSI

Exigences du chapitre 6 – Planification

Ce chapitre porte sur l’analyse des risques, l’évaluation des risques et l’établissement du plan de traitement des risques.

1. Déterminer les risques et opportunités

L’entreprise doit déterminer les risques et opportunités qui nécessitent d’être abordés pour :

  • Garantir l’atteinte des objectifs
  • Réduire les risques
  • Améliorer en continue la sécurité

L’entreprise doit donc mettre en oeuvre une démarche d’analyse des risques en sécurité de l’information selon une méthode établies et reproductible.

Une fois les risques déterminés l’entreprise doit planifier les actions associées et s’assurer qu’elles sont efficaces.

 

2. Appréciation des risques de sécurité de l’information

L’entreprise doit définir et appliquer un processus d’appréciation des risques de sécurité de l’information.

La méthode employée doit définir les critères de risque de sécurité de l’information (règles et niveau).

L’entreprise doit identifier l’ensemble des risques liés à la perte de confidentialité, d’intégrité et de disponibilité des informations.

Pour chaque risque il est nécessaire d’apprécier les conséquences et la probabilité d’apparition afin de déterminer les niveaux de risque.

Ces niveaux de risques sont comparés aux critères d’acceptation pour déterminer le plan d’actions à mener et les priorités.

3. Traitement des risques

L’entreprise doit définir le plan de traitement des risques : les mesures de sécurité à mettre en oeuvre afin de réduire les risques.

Ces mesures de sécurité doivent être comparées à l’annexe A de la norme qui comprend l’ensemble des mesures de sécurité pertinentes afin de vérifier qu’aucune mesure n’est omise.

Il faut ensuite produire la déclaration d’applicabilité, document listant les mesures de sécurité de l’annexe A et leur application ou non dans l’organisme.

4. Objectifs de sécurité de l’information et plans pour les atteindre

Les Objectifs de sécurité sont les cibles à atteindre en matière de sécurité.

Pour définir les objectifs de sécurité il faut s’appuyer sur les objectifs de haut niveau définis en 5.2.

Ces objectifs ont pour fonction :

  • de vérifier l’atteinte de la politique
  • de s’assurer de l’efficacité des mesures de sécurité
  • de vérifier l’efficacité du traitement des risques
  • de s’assurer de l’amélioration continue

Exigences du chapitre 7 – Support

Ce chapitre porte sur la définition des activités supports en soutien au SMSI : L’attribution des ressources nécessaires, les ressources humaines, la formation, la communication et la gestion documentaire.

De façon générale la norme demande à ce que les ressources nécessaires soient bien allouées pour le traitement des risques, les mesures de sécurité, les actions d’amélioration…

 

1. Compétence

L’entreprise doit:

  • déterminer les compétences nécessaires pour les personnes qui ont un impact sur la sécurité. Cela peut se faire via des fiches de postes pour les postes clés en sécurité (RSSI, Manager, Administrateurs, développeurs …)
  • vérifier que les collaborateurs sont compétents. Les dossiers collaborateurs avec les cv, formations suivies, diplômes, leurs expériences permettent d’atteindre cet objectif

  • Si besoin il faut mener des actions pour acquérir des compétences complémentaires (formations, auto-formation, veille, apports d’expertises). Ex : se former à la sécurité dans le développement. L’évaluation de ces actions est obligatoire.

  • Conserver les ces compétences (dossiers collaborateurs).

2. Sensibilisation

La sensibilisation est un point important de la norme. Les collaborateurs dovent être sensibilisés à la politique de sécurité de l’information, à leur rôle en matière de sécurité et au respect des règles et exigences en sécurité.

3. Communication

L’entreprise doit lister les besoins de communication interne et externe. Ce plan de communication doit décrire :

  • Les sujets de la communication
  • La planification
  • Les cibles
  • Les responsabilités
  • Les moyens

4. Informations documentées

La gestion documentaire porte tout d’abord sur les documents exigés par la norme et ensuite sur les documents nécessaire à l’entreprise.

Lorsque l’on parle de document (information documentée dans la norme) cela fait référence :

  • aux documents prescriptifs : politique, procédures, processus, plans
  • aux enregistrements : preuves de la réalisation d’une activité ou d’un résultat (indicateurs, contrats, Pv…)

Il s’agit ici de mettre en place une gestion documentaire et une maîtrise de ces documents.

Exigences du chapitre 8 – Fonctionnement

Le chapitre 8 porte sur la vie de votre SMSI et le maintien des dispositifs décrits plus haut.

1. Planification et contrôle opérationnels

L’oentreprise doit planifier, mettre en oeuvre et contrôler les processus du SMSI et les actions, objectifs définis au chapitre 6.

Comme précisé au chapitre 6.2  des plans doivent être mis en oeuvre pour atteindre les objectifs de sécurité.

L’organisation doit conserver des informations documentées dans une mesure suffisante pour avoir l’assurance que les processus ont été suivis comme prévu.

L’entreprise doit suivre les modifications prévues, analyser les impacts de ces changements. En cas de besoin , mener des actions pour limiter tout effet non désiré.

Pour les processus externalisés, ceux-ci doivent être définis et contrôlés.

2. Appréciation des risques de sécurité de l’information

L’entreprise doit mettre en oeuvre l’appréciations des risques :

  • à intervalles planifiés 
  • Lors de changements significatifs 

3. Traitement des risques de sécurité de l’information

Le plan de traitement des risques doit être maintenu à jour au fil du temps.

L’analyse des risques doit être un moyen de pilotage et d’apprentissage sur la sécurité de votre entreprise.

Ce processus doit donc être maintenu dans le temps et utiliser comme processus d’amélioration.

La sécurité doit être suivie par des contrôles mis en oeuvre régulièrement et une surveillance du risque :

  • Organiser le contrôle de la sécurité
  • Suivre les actions et traiter les risques

Exigences du chapitre 9 – Evaluation des performances

Ce chapitre porte sur l’évaluation des résultats en matière de sécurité de l’information par le recueil d’indicateurs et la réalisation d’audits. La revue de direction qui permet de faire le point avec la direction sur les résultats et les décisions à prendre.

1. Surveillance, mesures, analyse et évaluation

L’entreprise doit mesurer :

  • les performances de sécurité
  • l’efficacité du SMSI (atteinte des objectifs

L’entreprise établi :

  • ce qu’il faut surveiller, mesurer
  • Les méthodes de mesures, surveillance et analyse (Qui, Quoi, où, qaund, comment et pourquoi)

Il faut conserver les preuves associées à ces indicateurs.

Vous allez définir des indicateurs ou moyens d’évaluation :

  • des objectifs de sécurité
  • des mesures de sécurité

2. Audit interne

L’entreprise doit mener des audits internes de façon planifié afin de vérifier la conformité du SMSI et des exigences.

Lorsque l’on parle d’exigences cela concerne :

  • Les exigences de la norme
  • La règlementation
  • Les exigences contractuelles et de l’entreprise

 

3. Revue de direction

Périodiquement (anuellement ou deux fois par an) la direction doit procéder à la revue du SMSI.

Cette revue a pour objectifs :

  • De vérifier l’efficacité du SMSI
  • De prendre des décisions d’amélioration
  • De décider de changements pour le SMSI

Cette revue est un examen du fonctionnement du SMSI (actions, enjeux, non-conformités, indicateurs, objectifs, risques, opportunités d’amélioration…) pour prendre des décisions et ré-orienter l’entreprise.

Exigences du chapitre 10 – Amélioration

1. Non-conformité et actions correctives

La non-conformité est le non-respect d’une exigence de la norme, contractuelle, règlementaire ou liée à l’entreprise.

Ces non-conformités doivent être engistrées et suivies jusqu’à leur résolution.

Ces non-conformités doivent être analysées pour estimer l’opportunité de mettre en place des actions pour éliminer les sources.

2. Amélioration continue

L’entreprise doit améliorer en continue son SMSI.

Cette exigence globale porte sur l’ensemble du SMSI :

  • utiliser l’analyse des risques comme moyen d’apprentissage de votre système et comme voie d’amélioration
  • les mesures de sécurité doivent être revue pour renforcer en continue la sécurité

Si vous souhaitez en savoir plus, je vous invite à me contacter sur LINKEDIN.

L’annexe A et le code de pratiques iso 27002

La norme ISO 27001 comporte l’annexe A qui décrit les objectifs et politiques à mettre en oeuvre en matière de sécurité.

La certification ISO 27001 demande la mise en place de ces mesures de sécurité. Ces différentes mesures de sécurité sont décrites dans la norme ISO 27002, code de bonnes pratiques en sécurité de l’information.

Les bonnes pratiques en sécurité de l'information

La certification ISO 27001 passe par la mise en place d’objectifs de sécurité choisi parmi un ensemble de bonnes pratiques issues de la norme ISO 27002 code de bonnes pratiques en sécurité de l’information :

  • Organisation de la sécurité
  • Sécurité des ressources humaines
  • Gestion des accès
  • Protection physique
  • Exploitation
  • Gestion des incidents

Mesures opérationnelles à mettre en place

La certification iso 27001

Une fois votre organisation en place et que vous vous êtes assuré que votre système fonctionne. Vous pouvez demander à un organisme accrédité de vous certifier.

  • Déposer le dossier auprès de l’organisme certificateur (6 à 8 mois avant la certification)
  • L’organisme réalise une journée de pré-audit pour prendre connaissance du SMSI et vérifier l’auditabilité,
  • L’organisme réalise l’audit de certification qui dure entre 3 et 10 jours la première année
  • Le rapport est étudié en commission (compter environ 1 mois)
  • L’organisme donne sa réponse sur la certification 1 mois après (favorable ou avec non-conformité),
  • Chaque année, une fois le certificat obtenu pour 3 ans, l’entreprise est auditée lors d’un audit dit de suivi (partiel),
  • A la fin d’un cycle de trois ans, un audit complet, dit de renouvellement doit être réalisé.

Pour comprendre la certification ISO 27001 vous pouvez consulter notre page sur la certification : https://feelagile.com/certification-27001

Dans le cadre d’un projet de certification, vous serez obliger d’acheter la norme sur AFNOR EDITION.

Nos accompagnements

Nous accompagnons nos clients afin de sécuriser l’obtention de leur certification par différents forfaits d’accompagnement, d’assistance ou d’audits.

Notre offre de formation

Nous proposons un parcours de formation intra et inter en sécurité de l’information et certification 27001 éligible au CPF.