_edited.png)
La norme ISO 27 0001 trouve son origine auprès de la norme BS-7799-2 développée au Royaume-Uni en 1999 et intitulée « Spécifications pour les systèmes de gestion de la sécurité de l'information ». Elle est la première à proposer un cadre de réflexion et des mesures spécifiques au développement d’un Système de Management de la Sécurité de l’Information (SMSI).
Elle sert de socle pour la parution, 6 ans plus tard, de la norme ISO 27001 et plus largement de toute la famille des normes ISO 27000, qui font aujourd’hui consensus à travers le monde et permettent d‘harmoniser les standards de sécurité informatique.
La norme ISO 27001 est revue fréquemment (en 2013 puis en 2022) à mesure que les risques et menaces dans le cyberespace évoluent dans une logique de sécurité continue.
Mais alors quels sont les éléments évalués lors d'une certification ISO 27001 ? Quels sont les pré-requis pour être certifié ISO 27001 ? Et comment se déroule le processus de certification ?
Enjeux et périmètre d’application de la norme ISO 27 001
La norme ISO 27001 a pour objet de concilier la sécurité en profondeur avec des enjeux d’efficacité. En effet, elle est conçue pour être suffisamment flexible pour être adaptée à tous types d’organismes, sans considération de leur statut privé ou public, de leur taille ou de leur objet. La norme n’est pas exclusive et peut sans difficulté être complétée par d’autres normes de sécurité.
Son approche est la plus englobante possible en définissant les responsabilités, les politiques et procédures de sécurité, ainsi que les processus de gestion des risques et incidents qui forment les pré-requis au bon fonctionnement d’un SMSI.
La norme permet ainsi de se prémunir et de répondre à l’ensemble des types de menaces cybernétiques, qu’elles soient internes ou externes à l’organisme, intentionnelles ou non, d’origine humaine, technique ou naturelle, en proposant notamment des contrôles de sécurité physique et logique, définis comme ci-après :
Sécurité physique : Mesures de sécurité visant à protéger les biens matériels d’un organisme (équipements informatiques, locaux, etc.) ainsi que son personnel.
Sécurité logique : Mesures de sécurité visant à protéger les actifs immatériels d’un organisme (les logiciels, les bases de données, les connexions, les applications et sites web, etc.).
La norme ISO 27001 se trouve au croisement entre une documentation et des mesures techniques destinées au personnel qualifié en la matière, et une documentation compréhensible pour le plus grand nombre, dans l’optique de responsabiliser tous les utilisateurs, de les sensibiliser et de les intégrer dans le processus de management de la sécurité de l'organisation.
Ainsi, il faut retenir que la norme permet d’accroitre les capacités de résistance et de résilience des systèmes d’information en réduisant le risque d’une atteinte à la confidentialité, à l’intégrité et à la disponibilité des données, et en garantissant la pérennité de l’organisme.
Construire pas à pas son SMSI avec la norme ISO 27 001
Le processus de certification comprends un certain nombre d’étapes clés, permettant de parvenir à une gestion de la sécurité informatique suffisante pour accéder à la certification (valable 3 ans au maximum).
La première phase correspond à une réflexion en interne conduisant à la validation du projet. Elle permet également de s’assurer que l’organisme dispose des ressources financières et humaines nécessaires à l’implémentation d’un SMSI. Ensuite, l’organisme doit identifier les contrôles et documents nécessaires à la certification et les mettre en œuvre. Pour finir, il est nécessaire d’évaluer la mise en œuvre des contrôles, de les revoir en cas de besoin et de s’assurer que le SMSI pourra être fonctionnel et pérenne.
Nous en parlions dans le précédent article à propos du SMSI et de la norme ISO 27001, mais le processus de création et d'amélioration du SMSI suit le modèle de DEMING, Plan-Do-Check-Act (PDCA).
Plan (pour planifier) : cette étape consiste à collecter les informations nécessaires à l'identification des failles de sécurité et à l'évaluation des risques. C'est sur cette base que sont définis les processus et politiques de sécurité de l'organisation.
Do (pour faire) : cette deuxième étape consiste à appliquer les politiques précédemment élaborées.
Check (pour vérifier) : il s'agit ici de contrôler et de mesurer l'efficacité des processus mis en place et d'évaluer les résultats.
Act (pour agir) : cette dernière étape consiste à améliorer les processus existants, à en éliminer ou à en élaborer de nouveaux grâces à ces résultats.
Étape 1 : Planifier le projet de SMSI
Le développement d’un SMSI via la norme ISO 27 001 est avant tout un projet réflexif sur la gestion des risques et des menaces au sein d’un organisme. Elle nécessite d’être en mesure de définir les besoins de sécurité en adéquation avec la culture de la structure, ses capacités financières et humaines, son cœur de service, son architecture de gestion ou encore son infrastructure physique. Lors de l’élaboration du projet l’écosystème dans lequel évolue la structure, et en s’intéressant à ses usagers ou clients, les sous-traitants et partenaires ou bien le cadre politico-juridique devront également être pris en compte.
Après accord de la direction, il est nécessaire de former une équipe en charge du projet d’implémentation du SMSI. Celle-ci peut par exemple être composée d’un membre de la direction responsable du volet sécurité et d’un membre du service informatique responsable de la mise en œuvre. La composition de cette équipe varie en fonction de la taille de la structure et les rôles peuvent être réunis en une seule et même personne ou au contraire, élargis à d’autres professionnels. Il est également nécessaire de se rapprocher d’un expert en cybersécurité (interne ou externe à l’organisme) capable de guider le projet et d’orienter les décideurs.
Au niveau stratégique, l’organisme devra définir le périmètre d’application du SMSI ainsi que les objectifs de sécurité du projet, généralement déterminés en fonction :
De l’analyse et de la cartographie des risques ;
De la taille, la culture et de l’écosystème de l’organisme ;
De la règlementation en vigueur, à laquelle la structure est soumise ;
Des besoins de sécurité de l’organisme.
Au regard de cette analyse de contexte, l’organisation devra élaborer un plan d’action et choisir en conséquence les modalités d’élaboration de sa Politique de Sécurité des Systèmes d’Information (PSSI), en privilégiant l’élaboration d’un document englobant ou bien l’édition de politiques spécifiques par thématique traitée. Cette décision doit être prise en fonction des résultats de cette première démarche de réflexion sur les besoins et moyens de la structure.
Étape 2 : Élaboration et mise en œuvre des contrôles nécessaires à la certification
L’élaboration d’un plan d’action permettra, à terme, de définir les thématiques qui doivent être couvertes par la PSSI. Cette politique devra nécessairement tenir compte des contrôles de sécurité déjà en place au sein de la structure et sera revue et validée par la direction.
L’engagement continu de la direction est un principe primordial de la norme ISO 27001. Avant que la PSSI ne soit mise en application, le SMSI doit faire l’objet d’une déclaration d’adaptabilité (i.e. DdA). Celle-ci consigne l’ensemble des mesures existantes, celles qui devront être mises en œuvre, une justification du choix des contrôles ainsi que l’aperçu de leur mise en œuvre. Elle est requise pour la certification et a donc caractère obligatoire.
Étape 3 : Évaluation du SMSI et de la pertinence des contrôles
Pour donner suite à l’élaboration des politiques et leur implémentation, l’organisme doit convenir d’indicateurs clés de performances (ICP ou KPI, pour Key Performance Indicators) pertinents et propres à chaque structure. Ils permettront de piloter à court, moyen et long terme le SMSI, et ils permettront d’évaluer ses performances opérationnelles. L’organisme doit ensuite réaliser un audit interne afin de vérifier que le SMSI répond aux objectifs fixés lors de la planification.
La revue de la direction qui s’en suivra est imposée par la norme et porte sur les résultats de l’audit interne, du bilan des actions correctives menées et l’avancement du plan de traitement, des changements dans l’organisation, de l’état de réalisation des objectifs, et elle recherche des solutions alternatives si une mesure apparait trop complexe ou non adaptée. L’analyse des KPI permettent à la revue de la direction d’avoir une idée globale des dysfonctionnements ou des réussites dans le SMSI.
Étape 4 : Mise en œuvre des correctifs et amélioration continue
À la suite des révisions internes, l’organisme doit faire appel à des auditeurs externes impartiaux certifiés par le COFRAC (AFNOR Certification, AB Certification, APAVE Certification, etc.) chargés de réaliser un audit externe ou initial. Ceux-ci fourniront un avis à une commission technique et à une commission de validation qui accorderont ou non la certification.
Néanmoins, puisque le SMSI est un processus continu et évolutif, des audits annuels devront être réalisés. Lors de ces audits annuels, il est vérifié que l'organisme a bien été en capacité de mettre en conformité les points qui ne l’étaient pas lors des précédents audits sur la bases des KPI identifiés, et en tenant compte des évolutions de l’organisme et de ces projets en cours. En cas de non-conformité le certificat ISO/IEC 27001 peut être suspendu ou retiré à l’organisme.
Au terme des 3 ans de validité de la certification, un audit de renouvèlement, analysant l’amélioration du SMSI sur les points préconisés lors des audits annuels, pourra être conduit.
Les apports de la certification ISO 27 001
La certification ISO 27 001 est garante de l’engagement d’un organisme dans un processus sécurité informatique fiable sur le long terme, en complémentarité avec son obligation de conformité au Règlement Général sur la Protection des Données (RGPD). À ce titre, elle est un outil commercial de taille et renforce la confiance des clients, usagers, sous-traitants et partenaires envers la structure certifiée. La norme permet également d’agir plus rapidement et plus consciencieusement en cas d’incident de sécurité de l'information. Sur ce point, elle peut être complétée par la norme ISO 22 301 relative aux systèmes de management de la continuité d’activité (SMCA) qui permette elle d’offrir à l’organisme une capacité de résilience non négligeable.
Plus généralement, la certification ISO/IEC 27001 permet une responsabilisation de la direction et des utilisateurs, instaurant ainsi une véritable culture de la sécurité informatique, devenue primordiale au regard du nombre croissant de cyber-attaques.
Sources :
DUMONT (F.) JEMAI (S.), XU (Z.) sous la direction de DERATHE (A.) et FELAN (P.) « Management de la sécurité de l’information : Outils d’aide au déploiement de la norme ISO/CEI 27001, Version 2013 ».
« Le tableau de bord de la sécurité, élément clé du dialogue RSSI/Directions », CLUSIF, Paris, 2018.
JALAL EL AJI, « Comprendre et mettre en place la norme ISO 27001 », YouTube, 10 Mai 2022.
Articles complémentaires :
Vous avez apprécié cet article de blog ?
Retrouvez plus de contenus en rapport avec la cybersécurité et la conformité réglementaire au RGPD sur le blog de CyberSecura !
Découvrez notre prestation d'accompagnement vers la certification ISO 27001 !
Nous avons besoin de vos réponses !
En répondant à cette enquête, vous nous permettez de mieux comprendre vos interactions avec notre site ainsi que vos potentiel besoins.
Vos réponses sont anonymes, et à moins que vous ne demandiez à être re-contacté(e) par nos équipes, aucune information personnelle ne vous est demandée !
Merci pour vos réponses !
Vous souhaitez être informé(e) de nos actualités, et recevoir nos derniers articles de blog directement dans votre boite mail ? Abonnez-vous à notre newsletter mensuelle !
Vous souhaitez discuter de vos difficultés, de vos besoins, de nos offres ? Demandez à être contacté, gratuitement et sans engagement, par l'un de nos expert en cybersécurité !