Académique Documents
Professionnel Documents
Culture Documents
1
2 3 PROCESSUS DE CERTIFICATION
2.1.3 Étape 3 : Traiter le risque et identifier le • De performance pour savoir si les mesures de
risque résiduel par un plan de gestion sécurité sont efficaces
• De conformité qui permettent de savoir si le
Il existe quatre traitements possibles de chacun des SMSI est conforme à ses spécifications
risques identifiés :
4. Former et sensibiliser le personnel
1. L’acceptation (ou maintien) : ne mettre en place
aucune mesure de sécurité supplémentaire car les 2.3 Phase Check
conséquences de cette attaque sont acceptables
(exemple : vol d’un ordinateur portable ne compor- Consiste à gérer le SMSI au quotidien et à détecter les
tant pas de données primordiales pour l’entreprise, incidents en permanence pour y réagir rapidement 3 outils
piratage de la vitrine web…) Cette solution peut peuvent être mis en place pour détecter ces incidents :
n'être que ponctuelle.
2. L’évitement : politique mise en place si l’incident est 1. Les audits internes qui vérifient la conformité et l’ef-
jugé inacceptable. L'évitement permet de sortir de ficacité du système de management. Ces audits sont
la situation. ponctuels et planifiés.
3. Le transfert (ou partage) : lorsque le risque ne peut 2. Le contrôle interne qui consiste à s’assurer en per-
pas être évité et qu’elle ne peut pas mettre en place manence que les processus fonctionnent normale-
les mesures de sécurité nécessaires elle transfère le ment.
risque par le biais de la souscription d’une assurance
3. Les revues (ou réexamens) qui garantissent l’adé-
ou de l’appel à la sous-traitancepar exemple.
quation du SMSI avec son environnement.
4. La réduction : Réduire le risque à un niveau accep-
table par la mise en œuvre de mesures techniques et
organisationnelles, solution la plus utilisée. 2.4 Phase Act
Mettre en place des actions correctives, préventives ou
Lorsque la décision de traitement du risque est prise l’en- d’amélioration pour les incidents et écarts constatés lors
treprise doit identifier les risques résiduels c’est-à-dire de la phase Check
ceux qui persistent après la mise en place des mesures
de sécurité. S'ils sont jugés inacceptables, il faut défi-
nir des mesures de sécurité supplémentaires. Cette phase • Actions correctives : agir sur les effets pour corri-
d'acceptation formelle des risques résiduelle s’inscrit sou- ger les écarts puis sur les causes pour éviter que les
vent dans un processus d'homologation. Le système étant incidents ne se reproduisent
homologué en tenant compte de ces risques résiduels. • Actions préventives : agir sur les causes avant que
l’incident ne se produise
2.1.4 Étape 4 : Choisir les mesures de sécurité à
• Actions d’amélioration : améliorer la performance
mettre en place
d’un processus du SMSI.
La norme ISO 27001 contient une annexe A qui propose
114 mesures de sécurité classées en 14 catégories (poli-
tique de sécurité, sécurité du personnel, contrôle des ac- 3 Processus de certification
cès…) Cette annexe normative n'est qu’une liste qui ne
donne aucun conseil de mise en œuvre au sein de l’en- La certification n’est pas un but en soi, c’est-à-dire que
treprise. Les conseils sont présentés dans la norme ISO l’organisme qui décide de mettre en place un SMSI en sui-
27002. vant les exigences de l’ISO 27001, n’a pas pour obligation
4.2 Limites 3
de se faire certifier. Cependant, c’est l’aboutissement lo- 1. Processus d'amélioration continue de la sécurité,
gique de l’implémentation d’un SMSI puisque les parties donc le niveau de sécurité a plutôt tendance à
prenantes n’ont confiance qu’en un système certifié par un croître.
organisme indépendant.
2. Meilleure maîtrise des risques
La certification ISO 27001 se déroule sur un cycle de trois
ans : l’audit initial, l’audit de surveillance et l’audit de re- 3. Diminution de l'usage des mesures de sécurité qui
nouvellement. ne servent pas.
L’audit initial porte sur l’ensemble du SMSI. Sa durée
est déterminée dans l’annexe C de la norme ISO 27006. • Une certification qui améliore la confiance avec les
L’auditeur ne donne pas la certification, il donne juste un parties prenantes.
avis qui sera étudié par un comité de validation technique,
puis par un comité de certification. Ce n’est qu’après cela • Homogénéisation : c’est un référentiel international.
que le certificat initial est délivré pour une durée de trois Cela facilite les échanges, surtout pour les entre-
ans. Dans le cas contraire, il y a un audit complémentaire prises qui possèdent plusieurs sites.
dans le délai maximum de trois mois. L’organisme de-
• Processus simple et peu coûteux : réduction des
vra, durant ce délai, corriger les problèmes décelés lors
coûts grâce à la diminution d'usage de mesures de
de l’audit initial pour obtenir le certificat.
sécurité inutiles et à la mutualisation des audits
L’audit de surveillance a lieu pendant la période de va- (baisse du nombre et de la durée des audits quand
lidité du certificat (3 ans) afin de s’assurer que le SMSI on obtient la certification).
est toujours valable. Il y en a un par an. L’audit porte no-
tamment sur les écarts ou non-conformités relevés lors de • La norme fournit des indicateurs clairs et fiables ain-
l’audit initial ainsi que sur d’autres points : si que des éléments de pilotage financier aux direc-
tions générales.
• le traitement des plaintes ; • La norme permet d'identifier plus efficacement les
risques et les coûts associés.
• l’état d’avancement des activités planifiées ;
• la viabilité du SMSI ;
4.2 Limites
• l’utilisation de la marque de l’organisation certifica-
trice ; • Parfois, faible expérience des organismes
d'accréditation par rapport aux spécificités des
• différentes clauses choisies par l’auditeur. enjeux en sécurité des systèmes d'information.
6 Notes et références
[1] « HLS : La structure universelle des normes de manage-
ment », 18 novembre 2014
7 Voir aussi
7.1 Bibliographie
• Alexandre Fernandez-Toro, Management de la
sécurité de l'information : implémentation ISO
27001 : mise en place d'un SMSI et audit de cer-
tification, Paris, Eyrolles, 2007
• Intelligence économique
• ITSEC
• Norme
• Sécurité de l'information
8.2 Images
• Fichier:Logo_securite_informatique.png Source : https://upload.wikimedia.org/wikipedia/commons/b/b4/Logo_securite_
informatique.png Licence : Public domain Contributeurs : travail personnel (discussion sur la création) Artiste d’origine : Romainhk
• Fichier:Nuvola_apps_kgpg.png Source : https://upload.wikimedia.org/wikipedia/commons/a/a2/Nuvola_apps_kgpg.png Licence : LG-
PL Contributeurs : http://icon-king.com Artiste d’origine : David Vignoni / ICON KING