Démarche de Sécurité : Normes et standards 

1.1. Normes et standards relatives à la sécurité 

Les normes sont des accords documentés contenant des spécifications techniques ou
autres critères précis destinés à être utilisés systématiquement en tant que règles, lignes
directrices ou définitions de caractéristiques pour assurer que des processus, services, produits
et matériaux sont aptes à leur emploi [AYA14].

Pour les audits de sécurité dans un SI, les normes qui régissent ce secteur sont celles de la
famille ISO/IEC 2700x.

1.1.1. Norme ISO/IEC 27000 

Cette norme fournit :

¾ Une introduction aux systèmes de management de la sécurité de l'information (SMSI) ;

¾ Une vue d'ensemble de la famille de normes du SMSI ;
¾ Une brève description du processus : Planifier – Déployer – Contrôler – Agir ;
¾ Les principales définitions des termes utilisés dans la famille de normes du SMSI.

En fait ce chapitre synthétise les définitions présentes dans les normes ISO2700x.

1.1.2. Norme ISO/IEC 27001 

La norme ISO/IEC 27001 a été publiée en octobre 2005, intitulée « Exigences de SMSI »,
elle est la norme centrale de la famille ISO 2700x, c'est la norme d'exigences qui définit les
conditions en vue de mettre en œuvre et documenter un SMSI.

Cette norme précise les moyens à mettre en œuvre (aussi bien humain que technique),
l’organisation à déployer, la démarche de construction et de pérennisation à suivre. Il s’agit
d’une norme de certification. La certification peut être un objectif recherché mais il n’est pas
le seul avantage à retirer de la norme ISO 27001 [AYA14]. En effet une organisation peut
décider de suivre les principes avancés sans pour autant viser la certification.

Pour mieux comprendre cette norme, il importe de voir comment construire un SMSI à
partir de la roue de Deming appliquée à la sécurité. La mise en œuvre du SMSI se réalise en
quatre étapes (planifier, faire, contrôler et améliorer). Il est important de signaler que la norme

1
vise à la mise en œuvre d’un processus et n’impose pas un niveau de sécurité minimum. Il
s’agit principalement de dire ce que l’on va faire (« plan »), de faire ce que l’on a dit (« do »),
de contrôler ce que l’on a fait (« check »), de corriger et d’améliorer dans le temps (« act »).
Mettre en œuvre un SMSI représente donc un changement important par rapport aux
démarches habituellement rencontrées.

L'objectif n'est pas d’écrire toutes les règles que l’on souhaite voir implémentées, mais de
se concentrer sur les mesures de sécurité à mettre en œuvre à court terme sur un périmètre
défini. Ces mesures doivent en particulier répondre à des risques clairement identifiés et
documentés. La norme pose également des principes de base essentiels, tels que l’attribution
de ressources (autant financières qu'humaines) dédiées à la sécurité, ainsi qu’un suivi et une
approbation régulière du niveau de sécurité au plus haut niveau de l’organisation [HBM06].

1.1.3. Norme ISO/IEC 27002 

Cette norme est issue de la BS 7799-1 (datant de 1995) qui a évolué en ISO 17799:V2000,
puis en ISO 17799:V2005. Enfin en 2007, la norme ISO/IEC 17799:2005 a été rebaptisée en
ISO/IEC 27002 pour s'intégrer dans la suite ISO 2700x [AYA14]. Elle est intitulée « Code de
bonnes pratiques pour la gestion de la sécurité de l'information ».

ISO 27002 couvre le sujet de la gestion des risques. Elle donne des directives générales
sur la sélection et l'utilisation de méthodes appropriées pour analyser les risques pour la
sécurité des informations.

Elle est composée de 15 chapitres dont 4 premiers introduisent la norme et les 11 chapitres
suivants composés de 39 rubriques et 133 mesures dites « best practices » qui couvrent le
management de la sécurité aussi bien dans ses aspects stratégiques que dans ses aspects
opérationnels (les objectifs de sécurité et les mesures à prendre).

1.1.4. Norme ISO/IEC 27005 

La norme ISO/IEC 27005, intitulé « Gestion du risque en sécurité de l'information », est

une évolution de la norme ISO 13335, définissant les techniques à mettre en œuvre dans le
cadre d’une démarche de gestion des risques.

Les normes sont des définitions abstraites et théoriques pour la sécurité de l’information
de manière générale. Pour l’automatisation concrète de la gestion des risques, il existe des

2
méthodes dites de gestion des risques, qui permettent de guider les auditeurs dans
l’identification et la gestion des risques.

3
 Décret du Premier Ministre 

Dans le Décret N°2012/1643/PM du 14 juin 2012, le Premier Ministre, chef du

Gouvernement fixe les conditions et les modalités d’audit de sécurité des réseaux de
communications électroniques et des systèmes d’information.

4
5
6
7
8
9
10
[AYA14] AYARI Amani, Audit de Sécurité du Système Informatique de MTIC, 05-
02-2014.
[ISO00] Systèmes de management de la qualité – Principes essentiels et vocabulaire –
International Organization for Standardization – ISO (2000).
[ISO05] Information technology – Security Techniques – Information security
management systems - Requirements, International Organization for Standardization –
ISO (2005).
[ISO06] Information technology – Code of practice for information security
management, International Organization for Standardization – ISO (2006).
[ISO08] Information technology – Security Techniques – Information security risk
management, International Organization for Standardization – ISO (2008).
[ISO09] Management du risque – Vocabulaire – International Organization for
Standardization – ISO (2009).

11