14/05/2023

La qualité dans les SI Plan

Système de management de
la sécurité de l’information 


Chaine de valeur vue par M. Porter
Chaine de valeur vue par l’ISO 9001

ISO/IEC 27001: 2013 PAR MOHAMMED GHOUAT




Approche processus
Management par Approche Système
 Système d’information (SI)
 Les technologies de l’information et de communication (TIC)
 TIC et SI
 Typologie de l’information
 Qualité de l’information

1 2

Plan Plan

 Le système d’information : quelques définitions  La typologie des systèmes d’information

 Définition d’un SI  ERP: Enterprise Ressource Planning
 La finalité d’un système d’information
 Schéma général d’un E.R.P.
 Les rôles essentiels d’un SI
 l’ERP dans l’entreprise
 Impacts du SI sur l’entreprise
 Cybercriminalité
 Impacts du SI sur l’entreprise
 Historique du rôle des systèmes d’information
 Système de management de la sécurité de l’information- Objectifs

 Les trois dimensions PRINCIPALES d’un SI

 Les différents systèmes d’entreprise

3 4
1
 14/05/2023

Plan Plan

• Annexe A: Objectifs et mesures de référence

 A.5 Politiques de sécurité de l’information
 Introduction à la norme ISO 27000
 A.6 Organisation de la sécurité de l’information
 Introduction à la norme ISO27001  A.7 Sécurité des ressources humaines
 4 Contexte de l’organisation  A.8 Gestion des actifs
 5 Leadership  A.9 Contrôle d’accès
 A.10 Cryptographie
 6 Planification
 A.11 Sécurité physique et environnementale
 7 Support
 A.12 Sécurité liée à l’exploitation
 8 Fonctionnement  A.13 Sécurité des communications
 9 Évaluation des performances  A.14 Acquisition, développement et maintenance des systèmes d’information
 A.15 Relations avec les fournisseurs
 10 Amélioration
 A.16 Gestion des incidents liés à la sécurité de l’information
 A.17 Aspects de la sécurité de l’information dans la gestion de la continuité de l’activité
 A.18 Conformité

5 6

Chaine de valeur vue par M. Porter Chaine de valeur vue par l’ISO 9001

Leadership S
a
t
i
Clients et Planification s
Clients et
E f
Parties X a
Parties
I c
Intéressées G Evaluation des t Intéressées
Support
pertinentes E
N
performances i
o pertinentes
C n
E
S Réalisation des
activités Produit
Entrée opérationnelles
Sortie
Source : M. Porter, L’Avantage concurrentiel, Inter Editions, 1986

7 8
2
 14/05/2023

Approche processus Management par Approche Système

Identifier, analyser et
EFFICACITE DU
PROCESSUS maîtriser les
R R
CONTROLES Constat que les activités et interactions des I
résultats planifiés sont
atteints processus comme un I Processus O I Processus
O

système de A
R
B
R
PROCESSUS I
“ensemble d’activités management I
corrélées C C
Éléments
d’entrée ou interactives qui
Éléments de
sortie PRODUIT contribue à atteindre I Processus Processus O
C D
transforme de manière efficiente O I
des éléments d’entrée
en éléments de sortie » les objectifs définis I
EFFICIENCE DU C C
PROCESSUS
RESSOURCES Rapport entre le résultat I = (INPUT) Données d’Entrée
obtenu et les ressources O = (OUTPUT) Données de Sortie
utilisées R = RESSOURCES
C = CONTROLES

9 10

Les technologies de l’information et

Système d’information (SI)
de communication (TIC)

 Les entreprises investissent de plus en plus en TIC et en SI

Le SI est un système composé  Les SI transforment et changent la manière de conduire les affaires dans
d’éléments, entre autres, les entreprises
matériels et immatériels, et qui
permet l’acquisition, le  TIC définit les matériels, les logiciels ainsi que les éléments des
traitement, le stockage de télécommunications : c’est l’infrastructure
l’information ainsi que son
échange aussi bien en interne
de l’entreprise qu’avec un
environnement ouvert

11 12
3
 14/05/2023

TIC TIC et SI

 Les technologies de l’information et de Les entreprises utilisent les TIC et SI pour effectuer leur
communication (TIC) et les systèmes travail avec plus d’efficacité:
d’information (SI) sont en train de transformer les  Collecter les informations
principales activités des entreprises:
 Traiter les informations
 le service à la clientèle,
 Accomplir des tâches
 les plans de développement des produits, et
A titre d’exemple les banques n’existeraient pas sans les
 les stratégies de marketing ainsi que la TIC et les SI
distribution.
De plus en plus leur stratégie dépend du TIC et SI
 De nos jours les TIC/SI font partie intégrante de permettant un avantage compétitif.
la vie des entreprises.

13 14

TIC et SI

 En fonction des secteurs d’activités, les coûts relatifs au SI varient de 10 à

40% du budget de fonctionnement de l’entreprise (Source Étude CEE)
 Les dépenses du budget SI croit régulièrement
 La nécessité de justifier les investissements en TIC/SI et de pouvoir, si
possible, « mesurer » leur ROI

15 16
4
 14/05/2023

Typologie de l’information Qualité de l’information

 Information de fonctionnement
 Intégrité
C’est l’ensemble des informations qui sont indispensables au fonctionnement
mécanique et quotidien d’une entreprise  Disponibilité
 Information d’influence  Pertinence
C’est l’ensemble des informations dont la finalité est d’influer sur le comportement des  Utilité
acteurs pertinents pour l’entreprise qu’ils soient internes ou externes.  Présentation
 Information d’anticipation  Fiabilité
C’est l’ensemble des informations qui permettent à l’entreprise de voir venir à l’avance
certains changements de son environnement socio-économique dans le but d’en tirer
un avantage ou bien d’en éviter un risque.

17 18

Qualité de l’information Qualité de l’information

Intégrité Disponibilité Pertinence Utilité Présentation Fiabilité

•L’information inexacte •L’information est disponible
(découlant de bruit) peut quand elle parvient au bon
conduire à des décisions moment, au bon endroit et
inappropriées; sous une forme directement
exploitable. La disponibilité
de l’information est
indissociable de son
accessibilité
•L’information est pertinente
quand elle est fiable,
actuelle, licite, non
redondante et en rapport
avec le problème traité
• L’utilité pour qui? • La forme dont • L’information est fiable
Quand? l’information est quand elle donne une
présentée doit être bonne représentation
facile à comprendre de la réalité. Elle est très
par l’utilisateur souvent liée à la source
de l’information

19 20
5
 14/05/2023

Le système d’information : quelques

Qu’est ce qu’un système ?
définitions

 Groupe de composantes inter-reliées et qui travaillent ensemble à la  Alter (1996) : « un système d’information est un système qui utilise des
technologies de l’information pour saisir, transmettre, stocker, retrouver,
réalisation d’un objectif commun en acceptant des intrants et en manipuler ou afficher de l’information utilisée dans un ou plusieurs processus
produisant des extrants dans le cadre d’un processus de transformation de gestion ».
organisé.  Robert Reix (2000) : « un système d’information est un ensemble organisé de
ressources : matériel, logiciel, personnel, données, procédures permettant
RETROACTION d’acquérir, de traiter, stocker, communiquer des informations (sous forme de
données, textes, images, sons, etc.) dans les organisations ».
 Mélissa Saadoun (2002) :« Le système d’information est un système constitué
par les divers éléments de collecte et de traitement de l’information. La raison
d’être d’un système d’information est l’accès, au bon moment, à la bonne
Éléments Éléments de information pour prendre la bonne décision. La communication en temps
d’entrée TRAITEMENT sortie voulu et la précision des flux d’information sont des données essentielles pour la
dynamique d’un système d'information ».

RESSOURCES

21 22

Définition d’un SI La finalité d’un système d’information

 La finalité principale d’un SI est de créer de la valeur pour l’entreprise et de

 Un système d’information est un ensemble dynamique de ressources
contribuer à sa performance économique.
humaines, techniques et informationnelles. Il est organisé de façon à
soutenir les activités de l’entreprise et à lui permettre de mettre en œuvre
sa stratégie pour la réalisation des objectifs définis, notamment en terme
de performance économique.

23 24
6
 14/05/2023

Les rôles essentiels d’un SI Impacts du SI sur l’entreprise

 Soutenir le processus d'affaires et les activités de l'entreprise  Financier

 Soutenir le processus décisionnel des employés et des gestionnaires  Opérationnel
 Soutenir les stratégies axées sur l'acquisition d'un avantage concurrentiel  Sécurité
des opérations commerciales.
 Social
 Image
Le SI peut être créateur ou destructeur de valeur pour l’entreprise …

25 26

Pourquoi le SI
Pour l’entreprise le SI doit répondre

Pour répondre aux Pour répondre aux Pour mieux gérer Pour améliorer la
besoins fonctionnels attentes du comité l’entreprise performance de
de l’entreprise de direction •Vérifier que les objectifs l’entreprise
•Intégrer des « business •Création de valeur sont atteints •Perte de business
model » •Maximisation du ROI •Contrôler que la valeur
est fournie au business
•Perte de réputation  La vision du management
• Intégrer des processus •Production tout en •Absence d’innovation
• Gérer les risques •Contrôler que les risques
associés au réseaux
•maîtrisant les coûts,
•respectant les délais,
sont maîtrisés
•Non respect des
engagements  La stratégie définie
étendus •dates
•assurant la qualité
•Assurer la continuité de •budgets  La tactique à mettre en œuvre
service
•-bénéfices
• Soutenir la croissance
de l’entreprise  Aux objectifs à atteindre
• Promouvoir l’image de
l’entreprise

27 28
7
 14/05/2023

Historique du rôle des systèmes

Les trois dimensions PRINCIPALES d’un SI
d’information

1950-1960 1960-1970 1970-1980 1980-1990 1990-2000

Stratégie et
Traitement Rapports de Support à Commerce
utilisateur
des données gestion la décision électronique
final

29 30

Les différents systèmes d’entreprise La typologie des systèmes d’information

Contraintes
Système
Flux de décision  ERP
de pilotage  Les systèmes d’information marketing
Système Flux d’information
 Les systèmes d’information de fabrication
 Les systèmes d’information Ressources Humaines
d’information  Les systèmes d’information comptable
Système opérationnel où:
•Les MP sont transformées  Les systèmes d’information financière
•Les PF sont fabriqués Système opérant Flux physique
 Les progiciels de gestion intégrés

31 32
8
 14/05/2023

ERP: Enterprise Ressource Planning ERP: Enterprise Ressource Planning

Marketing interactif
•Automatisation de la force
de vente
Marketing
•Études de marché
Un ERP doit remplir les conditions suivantes :
 Garantir l’unicité et l’intégrité de l’information
Production et
opérations •Planification des
•Analyse de la rémunération  Reposer sur une mise à jour en temps réel des informations modifiées dans
ressources de production
•Prévision des besoins en tous les modules affectés
•Systèmes de production
personnel Gestion des RH
•Commande de processus
 Fournir des pistes d’audit basées sur la garantie d’une totale traçabilité des
opérations de gestion?

•Gestion de caisse
Traitement des commandes
•Contrôle des stocks
•Gestion des
Finances
Comptabilité •Grand livre
investissements
•Budgétisation

33 34

SCHEMA GENERAL D’UN E.R.P.

L’ERP DANS L’ENTREPRISE
Clients
Vous assurez
Vous faites du votre
Négoce Comptabilité
Force de FRONT Gestion Gestion
SAV Site Web
Statistiques - Tableaux de Bord

Vente OFFICE Commerciale Financière

Gestion
Commerciale Vous fabriquez en
Vous êtes
Série
Vous produisez à Sous-Traitant
Achats Stocks Production l’Unité
BACK
OFFICE
Gestion Compta Gestion
Fournisseurs Générale Clients

Analytique et
Trésorerie Paye Gestion MRP II Gestion à la
Budgétaire
Gestion par Affaire commande

35 36
9
 14/05/2023

SCHEMA GENERAL D’UN E.R.P. PLANIFICATION et ACCOMPAGNEMENT DU

PROJET
Initialisation Prise en main Mise en Œuvre … par étapes
L’ERP est constitué de Finance
 La gestion comptable et financière cd d’autoformation Formation
Générale Planification
 Le contrôle de gestion
 La gestion de production Installation Bases de test
Fabrication
Progiciel
 La gestion des achats et des stocks Achats Ventes
Aide en ligne Personnalisation
 L’administration des ventes
 La logistique
 La paie les différentes fonctions RH
GPAO Assistance Formations Formation
 Etc. Planification du Projet Télé Maintenance Multisites Sur site
des Différentes étapes et
Du Plan de montée en charge

37 38

Quelques ERP QUIZ

Que signifie TIC?

Donner des exemples de ces trois types d’informations:
 Information de fonctionnement
 Information d’influence
 Information d’anticipation
Citer quelques qualités de l’information.
Comment un ERP crée-t-il de la valeur ?

39 40
10
 14/05/2023

Cybercriminalité Cybercriminalité

Sources: Economic Impact of Cybercrime— No Slowing Down

February 2018

41 42

Système de management de la
Introduction à la norme ISO 27000
sécurité de l’information- Objectifs
Planification
1. Comprendre à quoi sert un système de management de la sécurité de Actions liées aux risques et opportunités
Fonctionnement
l’information. Appréciation des risques de sécurité de
Planification et contrôle
l’information
2. Comprendre l’évolution historique de l’approche d’un système de opérationnels
Traitement des risques de sécurité de
management de la sécurité de l’information. Appréciation des risques de
l’information
sécurité de l’information
3. Comprendre les concepts de base et le vocabulaire associé. Objectifs de sécurité de l’information et
Traitement des risques de
plans pour les atteindre
4. Comprendre et savoir expliquer quels sont les avantages à mettre en sécurité de l’information
place un système de management de la sécurité de l’information
conforme à l’ISO 27001 V2013 Amélioration Évaluation des performances
Non-conformité et actions Surveillance, mesures, analyse et
correctives évaluation
Amélioration continue Audit interne
Support Revue de direction
Ressources, Compétence, Sensibilisation, Communication, Informations documentées

43 44
11
 14/05/2023

sécurité de l'information

Vous avez la
Termes et définitions ISO 27000 V 2013 définition
“officielle”, … d’après
MAIS… vous... Que veut
dire Sécurité ?

45 46

Termes et définitions ISO 27000 Termes et définitions ISO 27000

2.1 contrôle d'accès
moyens mis en œuvre pour assurer que l'accès aux actifs (2.3) est 2.8 continuité de l'activité
autorisé et limité selon les exigences processus (2.31) et/ou procédures (2.30) permettant d'assurer la continuité de
propres à l'activité métier et à la sécurité l'activité métier

2.1 imputabilité 2.9 confidentialité

responsabilité d'une entité par rapport à ses actions et à ses décisions propriété selon laquelle l'information n'est pas rendue disponible ou divulguée à des
personnes, des entités
2.3 actif
ou des processus (2.31) non autorisés
tout élément représentant de la valeur pour l'organisme

2.4 attaque 2.10 mesure de sécurité

tentative de détruire, de rendre public, de modifier, d'invalider, de voler ou d'obtenir un accès non moyens de management du risque (2.34), y compris les politiques (2.28), les
autorisé ou procédures (2.30), les lignes directrices (2.16), les pratiques ou l'organisation, qui
d'utiliser sans autorisation un actif (2.3) peuvent être de nature administrative, technique, de management ou juridique
2.5 authentification
2.11objectif de sécurité
moyen pour une entité d'assurer la légitimité d'une caractéristique revendiquée
déclaration décrivant ce qui est à accomplir par suite de la mise en place des
2.6 authenticité mesures de sécurité (2.10)
propriété selon laquelle une entité est ce qu'elle revendique être
1.12action corrective
2.7 disponibilité action visant à éliminer la cause d'une non-conformité ou d'une autre situation
propriété d'être accessible et utilisable à la demande par une entité autorisée indésirable détectées

47 48
12
 14/05/2023

Termes et définitions ISO 27000 Termes et définitions ISO 27000

2.13 efficacité 2.20 événement lié à la sécurité de l'information
niveau de réalisation des activités planifiées et d'obtention des résultats occurrence identifiée de l'état d'un système, d'un service ou d'un réseau
escomptés indiquant une faille possible dans la politique (2.28) de la sécurité de l'information
(2.19), ou un échec des mesures de sécurité (2.10), ou encore une situation
2.14 efficience inconnue jusqu'alors et pouvant relever de la sécurité
rapport entre le résultat obtenu et les ressources utilisées
2.21 incident lié à la sécurité de l'information
2.15 événement un ou plusieurs événements liés à la sécurité de l'information (2.20) indésirables
occurrence d'un ensemble particulier de circonstances ou inattendus, présentant une probabilité forte de compromettre les opérations
liées à l'activité de l'organisme et de menacer la sécurité de l'information (2.19)
2.16 ligne directrice
recommandation de ce qui doit être fait pour atteindre un objectif 2.22 gestion des incidents liés à la sécurité de l'information
processus (2.31) pour détecter, rendre compte, évaluer, intervenir, résoudre et
2.17 impact tirer les enseignements des incidents liés à la sécurité de l'information (2.21)
changement négatif pénalisant le niveau des objectifs métier atteints
2.13 système de management de la sécurité de l'information SMSI
2.18 actif informationnel partie du système de management (2.26) global, fondée sur une approche du
savoir ou données représentant de la valeur pour l'organisme risque lié à l'activité, visant à établir, mettre en oeuvre, exploiter, surveiller,
réexaminer, tenir à jour et améliorer la sécurité de l'information (2.19)
2.19 sécurité de l'information
protection de la confidentialité (2.9), de l'intégrité (2.25) et de la disponibilité (2.7)
de l'information

NOTE En outre, d'autres propriétés, comme l'authenticité (2.6), l'imputabilité (2.2), la non-
répudiation (2.27) et la fiabilité (2.33), peuvent également être concernées.

49 50

Termes et définitions ISO 27000 Termes et définitions ISO 27000

2.29 action préventive
2.24 risque lié à la sécurité de l'information action visant à éliminer la cause d'une non-conformité potentielle ou d'une autre
possibilité qu'une menace (2.45) donnée exploite une vulnérabilité (2.46) d'un actif situation potentielle
(2.3) ou d'un groupe d'actifs et nuise donc à l'organisation indésirable

2.25 intégrité 2.30 procédure

propriété de protection de l'exactitude et de l'exhaustivité des actifs (2.3) manière spécifiée d'effectuer une activité ou un processus (2.31)

2.26 système de management 2.31 processus

cadre de référence des politiques (2.28), des procédures (2.30), des lignes ensemble d'activités corrélées ou interactives qui transforme des éléments
directrices (2.16) et des d'entrée en éléments de sortie
ressources associées pour atteindre les objectifs de l'organisme
2.32 enregistrement
2.27 non-répudiation document faisant état de résultats obtenus ou apportant la preuve de la
capacité à prouver l'occurrence d'un événement (2.15) ou d'une action donnés réalisation d'une activité
et les entités qui en sont à l'origine, de manière à prouver l'occurrence ou la non-
occurrence de l'événement (2.15) ou de l'action et l'implication des entités dans 2.33 fiabilité
l'événement (2.15) propriété relative à un fonctionnement prévu et des résultats attendus de façon
régulière
2.28 politique
intentions et orientations globales d'un organisme telles qu'exprimées formellement 2.34 risque
par la direction combinaison de la probabilité d'un événement (2.15) et de ses conséquences

51 52
13
 14/05/2023

Termes et définitions ISO 27000 Termes et définitions ISO 27000

2.35 acceptation du risque
décision d'accepter un risque (2.34)
2.40 estimation du risque
activité consistant à affecter des valeurs à la probabilité et aux conséquences d'un
2.36 analyse du risque
risque (2.34)
utilisation systématique d'informations pour identifier les sources et pour estimer le
risque (2.34)
2.41 évaluation du risque
processus (2.31) de comparaison du risque (2.34) estimé avec des critères de risque
NOTE L'analyse du risque fournit une base pour l'évaluation du risque (2.41), le
(2.39) donnés pour déterminer l'importance du risque (2.34)
traitement du risque (2.43) et l'acceptation du risque (2.35).
2.42 management du risque
2.37 appréciation du risque
activités coordonnées visant à diriger et à contrôler un organisme vis-à-vis du risque
ensemble du processus (2.31) d'analyse du risque (2.36) et d'évaluation du risque
(2.34)
(2.41)
NOTE Le management du risque comporte généralement l'appréciation du risque
2.38 communication relative au risque
(2.37), le traitement du risque (2.43), l'acceptation du risque (2.35), la
échange ou partage d'informations sur le risque (2.34) entre le décideur et d'autres
communication relative au risque (2.38), la surveillance du risque et le réexamen du
parties prenantes
risque.
2.39 critères de risque
2.43 traitement du risque
termes de référence permettant d'apprécier l'importance des risques (2.34)
processus (2.31) de sélection et de mise en œuvre des mesures visant à modifier le
risque (2.34)

53 54

Termes
Termes et et définitions
définitions ISO 27000
ISO 27000
Systèmes de management de la
2.44 déclaration d'applicabilité
déclaration documentée décrivant les objectifs de sécurité (2.11), ainsi que les
mesures de sécurité (2.10) pertinentes et applicables au SMSI (2.23) d'un
sécurité de l'information
organisme

2.45 menace
cause potentielle d'un incident indésirable, qui peut nuire à un système ou à un
organisme ►Pourquoi pensez-vous
2.46 vulnérabilité
faille dans un actif (2.3) ou dans une mesure de sécurité (2.10) qui peut être que nous ayons besoin
d’un Système de
exploitée par une
menace (2.45)

Management de la
Sécurité de l’Information?

55 56
14
 14/05/2023

Systèmes de management de la Systèmes de management de la

sécurité de l'information sécurité de l'information

►Parce que nous devons être aussi près

que possible du centre lorsque nous
visons cette cible mouvante que nous
appelons sécurité

►Qu'est ce qu'un SMSI?

57 58

Systèmes de management de la
sécurité de l'information Systèmes de management de la
sécurité de l'information

Les principes essentiels suivants contribuent également à la réussite de la mise en

Un SMSI (Système de Management de la Sécurité de l'Information) fournit un
modèle destiné à l'établissement, à la mise en oeuvre, au fonctionnement, à la
surveillance, au réexamen, à la mise à jour et à l'amélioration des actifs
informationnels, afin d'atteindre les objectifs métier en se fondant sur l'appréciation
du risque et sur les niveaux d'acceptation des risques par l'organisme, conçus pour
traiter et gérer efficacement les risques. L'analyse des exigences de protection des
actifs informationnels et l'application des mesures appropriées pour assurer la
protection de ces actifs, en cas de besoin, contribuent à la réussite de la mise en
oeuvre d'un SMSI.
oeuvre d'un SMSI:
a) prise de conscience de la nécessité de la sécurité de l'information;
b) attribution de la responsabilité pour la sécurité de l'information;
c) prise en compte de l'engagement de la direction et des intérêts des parties prenantes;
d) consolidation des valeurs sociales;
e) appréciation des risques déterminant les mesures appropriées pour arriver à des niveaux
de risques
acceptables;
f) intégration de la sécurité comme élément essentiel des systèmes et des réseaux
d'information;
g) prévention active et détection des incidents liés à la sécurité de l'information;
h) garantie d'une approche globale du management de la sécurité de l'information;
i) appréciation constante de la sécurité de l'information et mise en oeuvre de modifications le
cas échéant.

59 60
15
 14/05/2023

Introduction à la norme ISO27001

Introduction à la norme ISO 27000 Le sommaire général d’ISO 27001

Planification
Actions liées aux risques et opportunités
Appréciation des risques de sécurité de
Fonctionnement  Les exigences
Planification et contrôle
l’information • 4 Contexte de l’organisation
opérationnels  Les éléments généraux
Traitement des risques de sécurité de
Appréciation des risques de  Avant-propos • 5 Leadership
l’information
sécurité de l’information 0 Introduction • 6 Planification
Objectifs de sécurité de l’information et 
Traitement des risques de
plans pour les atteindre
sécurité de l’information
 1 Domaine d’application • 7 Support
 2 Références normatives • 8 Fonctionnement
 3 Termes et définitions • 9 Évaluation des performances
Amélioration Évaluation des performances
Non-conformité et actions Surveillance, mesures, analyse et • 10 Amélioration
correctives évaluation • Annexe A: Objectifs et mesures de
Amélioration continue Audit interne référence
Support Revue de direction
Ressources, Compétence, Sensibilisation, Communication, Informations documentées

61 62

Introduction à la norme ISO 27001

Avant-propos
0 Introduction
L’ISO (Organisation internationale de normalisation) et la CEI (Commission
électrotechnique internationale) forment le système spécialisé de la normalisation
mondiale.

Les éléments généraux Dans le domaine des technologies de l’information, l’ISO et la CEI ont créé un comité
Avant-propos technique mixte, l’ISO/CEI JTC 1.
0 Introduction
1 Domaine d’application Les Normes internationales sont rédigées conformément aux règles données dans les
Directives ISO/CEI, Partie 2.
2 Références normatives
3 Termes et définitions L’ISO/CEI 27001 a été élaborée par le comité technique mixte ISO/CEI JTC 1,
Technologies de l’information, sous-comité SC 27, Techniques de sécurité des
technologies de l’information.

Cette deuxième édition annule et remplace la première édition (ISO/CEI 27001:2005),

qui a fait l’objet d’une révision technique.

63 64
16

0 Introduction
0.1 Généralités
La présente Norme internationale a été élaborée pour fournir des exigences en
vue de l’établissement, de la mise en œuvre, de la tenue à jour et de
l’amélioration continue d’un système de management de la sécurité de
l’information
L’adoption d’un système de management de la sécurité de
l’information relève d’une décision stratégique de l’organisation.
Le système de management de la sécurité
de l’information préserve la confidentialité,
l’intégrité et la disponibilité de l’information
en appliquant un processus de gestion des
risques et donne aux parties intéressées
l’assurance que les risques sont gérés de
manière adéquate.
65
1. Domaine d’Application
1.1 Généralités
La présente Norme internationale spécifie les exigences relatives à:
• l’établissement, à la mise en œuvre, à la mise à jour et à l’amélioration continue
d’un système de management de la sécurité de l’information dans le contexte
d’une organisation.
• l’appréciation et le traitement des risques de sécurité de l’information, adaptées
aux besoins de l’organisation.
Il n’est pas admis qu’une organisation s’affranchisse de l’une des exigences spécifiées aux
Articles 4 à 10 lorsqu’elle revendique la conformité à la présente Norme internationale.
Les exigences fixées dans la présente Norme internationale sont génériques et prévues pour
s’appliquer à toute organisation, quels que soient son type, sa taille et sa nature.
67
14/05/2023
0.2 Compatibilité avec d’autres systèmes de management
0 Introduction
L’ISO/CEI 27000 décrit une vue d’ensemble et le vocabulaire des systèmes de
management de la sécurité de l’information, en se référant à la famille des normes
du système de management de la sécurité de l’information
1] ISO/CEI 27002:2013, Technologies de l’information — Techniques de sécurité — Code de bonne
pratique pour le management de la sécurité de l’information
[2] ISO/CEI 27003, Technologies de l’information — Techniques de sécurité — Lignes directrices pour
la mise en oeuvre du système de management de la sécurité de l’information
[3] ISO/CEI 27004, Technologies de l’information — Techniques de sécurité — Management de la
sécurité de l’information — Mesurage
[4] ISO/CEI 27005, Technologies de l’information — Techniques de sécurité — Gestion des risques liés
à la sécurité de l’information
66
4 Contexte de l’organisation
 4.1 Compréhension de l’organisation et de son
contexte
 4.2 Compréhension des besoins et des attentes des
parties intéressées
 4.3 Détermination du domaine d’application du
système de management de la sécurité de
l’information
 4.4 Système de management de la sécurité de
l’information
68
17
 14/05/2023

4 Contexte de l’organisation 4 Contexte de l’organisation

 4.1 Compréhension de  4.2 Compréhension des

l’organisation et de son besoins et des attentes
contexte des parties intéressées

Enjeux les
exigences
internes de ces
Enjeux les parties
parties
intéressées
externes intéressées

NOTE Déterminer ces enjeux revient à établir le contexte NOTE Les exigences des parties intéressées peuvent inclure
Clarification externe et interne de l’organisation étudié dans le Clarification des exigences légales et réglementaires et des obligations
paragraphe 5.3 de l’ISO 31000:2009.[5] contractuelles.

69 70

4 Contexte de l’organisation 4 Contexte de l’organisation

 4.3 Détermination du domaine
d’application du système de management
de la sécurité de l’information

les interfaces et
 4.4 Système de management de la
les exigences
les sécurité de l’information
dépendances
de ces parties
intéressées Améliorer
les parties continuellement
intéressées
Tenir à jour

Enjeux
internes
Mettre en œuvre

Enjeux
externes

Etablir

Le domaine d’application doit être disponible sous forme

Clarification d’information documentée.

71 72
18
 14/05/2023

5 Leadership 5 Leadership
a) est adaptée à la mission de

Politique et 5.2 Politique l’organisation;

Communique
des objectifs
b) inclut des objectifs de sécurité de
l’information

Soutenant l’efficacité Etre communiquée au

les exigences liées ressources nécessaires c) inclut l’engagement de satisfaire aux
au SMSI sont sein de l’organisation exigences applicables en matière de
pour le SMSI sont sécurité de l’information; et
intégrées aux disponibles; Etre disponible sous
Processus métiers forme d’information d) inclut l’engagement d’oeuvrer pour
documentée
Etre mise à la disposition
l’amélioration continue du système de
management de la sécurité de
l’information.
S’assure que le SMSI produit le ou les résultats escomptés des parties intéressées,
le cas échéant

 La direction doit faire preuve de leadership et affirmer son engagement en faveur du système de
management de la sécurité de l’information.

73 74

Modèle de Système de Management de la Sécurité

Planification de l’Information
Actions liées aux risques et opportunités
Appréciation des risques de sécurité de
5 Leadership l’information
Traitement des risques de sécurité de
l’information
De s’assurer que le Objectifs de sécurité de l’information et
SMSI est conforme plans pour les atteindre

La direction doit De rendre compte

désigner qui a la à la direction des
responsabilité et performances du
l’autorité SMSI
les responsabilités et
autorités des rôles sont
attribuées et
communiquées
La logique du modèle de PDCA
5.3 Rôles, responsabilités et autorités au sein de l’organisation

75 76
19
 14/05/2023

6 Planification 6 Planification

•Etre cohérents avec la

politique de SSI
•Etre mesurables (si
S’assurer que Actions pour -Appréciation possible);
Déterminer le SMSI peut 6.1 Actions
des risques SSI
6.2 Objectifs
Enjeux et traiter les liées aux SSI et plans
•Tenir compte des
les risques et atteindre les exigences applicables à
Exigences risques et risques et
- Traitement pour les la sécurité de
opportunités résultats opportunités atteindre
l’information, et des
escomptés opportunités des risques SSI résultats de
l’appréciation
•et du traitement des
risques;
•Etre communiqués

conserver des informations L’organisation doit conserver des

documentées sur le processus de informations documentées sur les
traitement des risques de sécurité de objectifs liés à la sécurité de
l’information. l’information.
Clarification

77 78

6 Planification 6 Planification
- Etablir et tenir à
jour les critères de
risque
Appréciation - Identifier les Appréciation - Etablir et tenir à
des risques risques des risques jour les critères de
SSI SSI risque.
- Analyser les 1) les critères d’acceptation des
risques risques;
2) les critères de réalisation des
- Evaluer les risques appréciations des risques SSI

79 80
20
 14/05/2023

6 Planification 6 Planification

Appréciation Appréciation
- Identifier les - Analyser les
des risques des risques
risques. risques
SSI SSI
1) appliquer le processus 1) apprécier les conséquences
d’appréciation des risques de SSI pour potentielles dans le cas où les risques
identifier les risques liés à la perte de identifiés se concrétisaient;
confidentialité, d’intégrité et de 2) procéder à une évaluation réaliste
disponibilité des informations entrant de la vraisemblance d’apparition des
dans le domaine d’application du risques.
SMSI 3) déterminer les niveaux des risques;
2) identifier les propriétaires des
risques;

81 82

6 Planification 6 Planification
- choisir les options de
traitement des risques
appropriées
- déterminer toutes les
Appréciation Traitement mesures nécessaires à la
mise en œuvre
des risques - Evaluer les risques des risques - comparer les mesures
SSI SSI avec celles de l’Annexe
1) comparer les résultats d’analyse A et vérifier qu’aucune
des risques avec les critères de mesure nécessaire n’a
risque déterminés été omise;
2) prioriser les risques analysés pour
Clarification le traitement des risques.

L’organisation doit conserver des informations

documentées sur le processus d’appréciation des
risques de sécurité de l’information.

83 84
21
 14/05/2023

6 Planification 6 Planification
-produire une
déclaration
d’applicabilité
contenant les mesures
nécessaires et la obtenir des propriétaires
Traitement justification de leur
insertion, le fait qu’elles
Traitement des risques l’approbation
du plan de traitement
des risques soient mises en œuvre ou des risques des risques et
non, et la justification de
SSI l’exclusion de mesures SSI l’acceptation des risques
résiduels
de l’Annexe A;
- élaborer un plan de
traitement des risques

Clarification

L’organisation doit conserver des informations

documentées sur le processus de traitement des
risques de sécurité de l’information.

85 86

Modèle de Système de Management de la Sécurité

de l’Information

7 Support 7.5 Informations

7.3 7.4
7.2 Communication documentées
7.1 Ressources Compétence Sensibilisation

identifier et fournir a) déterminer les a) être a) sur quels sujets a) Création et

les ressources compétences sensibilisées à la communiquer; mise à jour
nécessaires à nécessaires politique b) à quels - identification et);
l’établissement, la b) s’assurer que b) avoir moments
mise en œuvre, la - format (par
ces personnes conscience de communiquer; exemple langue,
tenue à jour et sont compétentes leur contribution à c) avec qui version logicielle,
l’amélioration c) mener des l’efficacité du communiquer; graphiques) et
continue du actions pour SMSI support (par
d) qui doit
SMSI acquérir les c) avoir communiquer; et exemple, papier,
compétences conscience des électronique); et
nécessaires implications de e) les processus
toute non- par lesquels la - examen et
conformité communication approbation du
doit s’effectuer. caractère
Support approprié et
pertinent des
Ressources, Compétence, Sensibilisation, informations.
Communication
b) Maîtrise des
Informations documentées Clarification informations
documentées
Création et mise à jour, Maîtrise des informations documentées
La logique du modèle de PDCA conserver des informations
documentées appropriées comme
preuves de ces compétences

87 88
22
 14/05/2023

Modèle de Système de Management de la Sécurité

de l’Information
8 Fonctionnement
8.3 Traitement des
Fonctionnement 8.1 Planification et 8.2 Appréciation des risques de sécurité de
contrôle opérationnels risques SSI l’information
Planification et contrôle
opérationnels a) planifier, mettre Réaliser des Mettre en œuvre le
en œuvre et appréciations des plan de traitement
Appréciation des risques de contrôler les risques de sécurité des risques SSI
sécurité de l’information processus de l’information à
des intervalles
Traitement des risques de b) mettre en œuvre
des plans pour planifiés
sécurité de l’information atteindre les ou quand des
objectifs SSI changements
c) contrôler les significatifs sont
modifications prévus ou ont lieu
prévues, analyser
les conséquences
des modifications
Imprévues
d) s’assurer que les
processus
externalisés sont
définis et contrôlés
Clarification

La logique du modèle de PDCA L’organisation doit conserver des informations documentées dans une mesure suffisante
pour avoir l’assurance que les processus ont été suivis comme prévu.

89 90

Modèle de Système de Management de la Sécurité

de l’Information

9 Évaluation des performances

L’organisation doit évaluer les performances de sécurité de l’information, ainsi que l’efficacité du
système de management de la sécurité de l’information.
L’organisation doit déterminer:
 a) ce qu’il est nécessaire de surveiller et de mesurer,
Évaluation des  b) les méthodes de surveillance, de mesurage, d’analyse et d’évaluation,
performances
 c) quand la surveillance et les mesures doivent être effectuées;
Surveillance, mesures,
analyse et évaluation  d) qui doit effectuer la surveillance et les mesures;
Audit interne  e) quand les résultats de la surveillance et des mesures doivent être analysés et évalués; et
Revue de direction  f) qui doit analyser et évaluer ces résultats.

La logique du modèle de PDCA Clarification L’organisation doit conserver les informations documentées
appropriées comme preuves des résultats de la surveillance et
des mesures.

91 92
23
 14/05/2023

9.2 Audit interne

9 Évaluation des performances Programmes Périmètre Auditeurs
d’audit
9.3 Revue de couvre définir les critères a) assurer
9.2 Audit interne direction notamment la d’audit et le l’objectivité et
fréquence, les périmètre de l’impartialité du
chaque audit
L’organisation À des intervalles méthodes, les processus d’audit
doit réaliser des planifiés, la responsabilités, les b) s’assurer qu’il est
exigences de
audits internes à direction doit planification et
rendu compte des
des intervalles procéder à la résultats des audits
l’élaboration des à la direction
planifiés afin de revue du système rapports concernée;
recueillir des de management tien compte de
informations de la sécurité de l’importance des
permettant de l’information mis processus
déterminer si le en place par concernés et des
résultats des audits
SMSI l’organisation, précédents;
afin de s’assurer
a) est conforme qu’il est toujours
b) est approprié,
efficacement mis adapté et Clarification
en œuvre et tenu efficace.
à jour.
conserver des informations documentées comme preuves de la mise en œuvre du ou des
programme(s) d’audit et des résultats d’audit.

93 94

Modèle de Système de Management de la Sécurité

de l’Information

9.3 Revue de direction

La revue de direction doit prendre en compte:

 a) l’état d’avancement des actions décidées à l’issue des revues de
direction précédentes;
 b) les modifications des enjeux externes et internes pertinents pour le Amélioration
système de management de la sécurité de l’information; Non-conformité et
actions correctives
 c) les retours sur les performances de sécurité de l’information Amélioration
 d) les retours d’information des parties intéressées; continue
 e) les résultats de l’appréciation des risques et l’état d’avancement du
plan de traitement des risques; et
 f) les opportunités d’amélioration continue.

Clarification L’organisation doit conserver des informations documentées comme La logique du modèle de PDCA
preuves des conclusions des revues de direction.

95 96
24
 14/05/2023

10 Amélioration
10.2 Amélioration continue
Non-conformité et Lorsqu’une non- Lorsque il est
actions correctives conformité se nécessaire de mener
•Lorsqu’une non- produit, des actions.
conformité se produit, l’organisation doit: •c) mettre en œuvre
l’organisation doit: toutes les actions
•a) réagir à la non-
conformité, requises;
•b) évaluer s’il est •d) réviser l’efficacité de
nécessaire de mener une toute action corrective
action pour éliminer les mise en oeuvre; et
causes de la non- •e) modifier, si nécessaire,
conformité le système de
management de
Clarification sécurité de l’information.

L’organisation doit continuellement améliorer la pertinence,

L’organisation doit conserver des informations documentées comme preuves: l’adéquation et l’efficacité du système de management de la
f) de la nature des non-conformités et de toute action subséquente; et g) des résultats de toute action sécurité de l’information.
corrective.

97 98

Objectifs et mesures de référence,

Objectifs et mesures de référence
ANNEXE A
A.5 Politiques de
sécurité de
A.11 Sécurité l’information
physique et
environnementale

14 114 A.10 Cryptographie

A.6 Organisation de
la sécurité de
l’information

Domaines
Mesures A.9 Contrôle
d’accès
A.7 Sécurité des
ressources
humaines

A.8 Gestion des

actifs

99 100
25
 14/05/2023

Objectifs et mesures de référence A.5 Politiques de sécurité de l’information

A.5.1.2 Revue des
politiques de SSI
A.12 Sécurité liée à
l’exploitation
A.18 Conformité

A.5.1.1 Politiques de
sécurité de
l’information
A.17 Aspects de la
sécurité de
l’information dans la A.13 Sécurité des
gestion de la communications
continuité de A.5.1 Orientations de la
l’activité Objectif: Apporter à la sécurité de direction en matière de
sécurité de
l’information une orientation et un soutien de l’information

A.16 Gestion des

incidents liés à la
A.14 Acquisition,
développement et la part de la direction, conformément aux
maintenance des
sécurité de
l’information
systèmes exigences métier et aux lois et règlements en
d’information
vigueur.
A.15 Relations avec A.5 Politiques de
les fournisseurs sécurité de l’information

101 102

A.6 Organisation de la sécurité de l’information A.7 Sécurité des ressources humaines

A.7.3 Rupture,
A.6.2 Appareils
Objectif: Protéger les intérêts de terme ou A.7.3.1 Achèvement ou modification
Objectif: Assurer la sécurité du télétravail mobiles et modification du
A.6.2.1 Politique en matière des responsabilités associées au
et de l’utilisation d’appareils mobiles.
télétravail l’organisation dans le cadre du contrat de travail
d’appareils mobiles contrat de travail
processus de modification, de rupture
A.6.2.2 Télétravail
ou de
terme d’un contrat de travail.
A.7.2 Pendant la
durée du contrat
A.7.2.1 Responsabilités de la direction
A.6.1 Organisation A.7.2.2 Sensibilisation, apprentissage
interne A.6.1.1 Fonctions et responsabilités
liées à la sécurité de l’information et formation à la sécurité de
Objectif: S’assurer que les salariés et les l’information
A.6.1.2 Séparation des tâches sous-traitants sont conscients de leurs A.7.1 Avant
A.6.1.3 Relations avec les autorités l’embauche A.7.2.3 Processus disciplinaire
responsabilités en matière de
Objectif: Établir un cadre de management A.6.1.4 Relations avec des sécurité de l’information et qu’ils
pour lancer et vérifier la mise en place et le groupes de travail spécialisés assument ces responsabilités. A.7.1.1 Sélection des candidats.
fonctionnement opérationnel de la sécurité A.6.1.5 La sécurité de l’information
A.6 Organisation de A.7.1.2 Termes et conditions
de l’information au sein de l’organisation. la sécurité de dans la gestion de projet
l’information
Objectif: S’assurer que les salariés et les A.7 Sécurité des
d’embauche
ressources
sous-traitants comprennent leurs humaines
responsabilités et sont qualifiés pour les
rôles qu’on envisage de leur donner

103 104
26
 14/05/2023

A.9 Contrôle d’accès

A.8 Gestion des actifs
Objectif: Empêcher la divulgation, la
modification, le retrait ou la destruction
non autorisé(e) de l’information
de l’organisation stockée sur des
supports.
A.8.3 Manipulation
des supports
A.8.2 Classification
de l’information
A.8.3.1 Gestion des supports amovibles
A.8.3.2 Mise au rebut des supports
A.8.3.3 Transfert physique des supports
Objectif: Empêcher les accès
non autorisés aux systèmes et
aux applications.
Objectif: Rendre les utilisateurs
responsables de la protection de leurs
informations d’authentification..
A.9.4 Contrôle de l’accès au
A.9.3.1 Utilisation d’informations
système et à l’information
Secrètes d’authentification
A.9.2.1 Enregistrement et désinscription des
A.9.3 Responsabilités des
utilisateurs
utilisateurs
A.9.2.2 Distribution des accès aux utilisateurs
A.9.2 Gestion de l’accès A.9.2.3 Gestion des droits d’accès à privilèges
utilisateur

Objectif: S’assurer que l’information A.9.2.4 Gestion des informations secrètes

bénéficie d’un niveau de protection
approprié conforme à son importance
A.8.2.1 Classification des informations Objectif: Maîtriser l’accès utilisateur par d’authentification des utilisateurs
A.8.1
Responsabilités A.8.2.2 Marquage des informations le biais d’autorisations et empêcher les
A.9.1 Exigences métier
A.9.2.5 Revue des droits d’accès utilisateurs
relatives aux actifs en matière de contrôle

A.8.2.3 Manipulation des actifs accès non autorisés aux systèmes et

d’accès
A.9.2.6 Suppression ou adaptation
pour l’organisation.
services d’information. des droits d’accès
Objectif: Identifier les actifs de A.8.1.1 Inventaire des actifs A.9.1.1 Politique de contrôle
l’organisation et définir les responsabilités A.8.1.2 Propriété des actifs Objectif: Limiter l’accès à A.9 Contrôle d’accès
d’accès
A.8 Gestion des
pour une protection appropriée. actifs A.8.1.3 Utilisation correcte des actifs l’information et aux moyens de A.9.1.2 Accès aux réseaux et
A.8.1.4 Restitution des actifs traitement de l’information. aux services réseau

105 106

A.9 Contrôle d’accès A.10 Cryptographie

A.9.4 Contrôle de l’accès au
Objectif: Empêcher les accès non autorisés système et à l’information A.10.1.2 Gestion des
aux systèmes et aux applications. clés

A.9.4.1 Restriction d’accès à l’information

Objectif: Rendre les utilisateurs
A.9.3 Responsabilités des
utilisateurs A.9.4.2 Sécuriser les procédures
A.10.1.1 Politique
responsables de la protection de leurs de connexion d’utilisation des

informations d’authentification.. A.9.4.3 Système de gestion des mesures

A.9.2 Gestion de l’accès
utilisateur
Objectif: Maîtriser l’accès utilisateur par
le biais d’autorisations et empêcher les A.9.1 Exigences métier
accès non autorisés aux systèmes et en matière de contrôle
d’accès
services d’information.
mots de passe
A.9.4.4 Utilisation de programmes
utilitaires à privilèges
A.9.4.5 Contrôle d’accès au code source
des programmes
cryptographiques
Objectif: Garantir l’utilisation correcte
et efficace de la cryptographie en vue
de protéger la confidentialité, A.10.1 Mesures
cryptographiques
l’authenticité et/ou l’intégrité de
l’information

Objectif: Limiter l’accès à l’information

et aux moyens de traitement de A.9 Contrôle d’accès A.10 Cryptographie
l’information.

107 108
27
 14/05/2023

A.11 Sécurité physique et environnementale A.11 Sécurité physique et environnementale

Objectif: Empêcher la perte, A.11.2 Matériels
A.11.2 Matériels Objectif: Empêcher la perte, A.11.2.1 Emplacement et protection
l’endommagement, le vol ou la
compromission des actifs et l’endommagement, le vol ou la des matériels
A.11.1.1 Périmètre de sécurité physique compromission des actifs et A.11.2.2 Services généraux
l’interruption des activités
A.11.1.2 Contrôle d’accès physique l’interruption des activités A.11.2.3 Sécurité du câblage
de l’organisation. A.11.1.3 Sécurisation des bureaux, des A.11.1 Zones
A.11.1 Zones de l’organisation. A.11.2.4 Maintenance des matériels
sécurisées salles et des équipements sécurisées
A.11.2.5 Sortie des actifs
Objectif: Empêcher tout accès A.11.1.4 Protection contre les menaces A.11.2.6 Sécurité des matériels et des
physique non autorisé, tout dommage extérieures et environnementales actifs hors des locaux
ou intrusion portant sur l’information et A.11.1.5 Travail dans les zones Sécurisées A.11.2.7 Mise au rebut ou recyclage
les moyens de traitement de A.11.1.6 Zones de livraison et de Objectif: Empêcher tout accès physique sécurisé(e) des matériels
l’information de l’organisation. chargement non autorisé, tout dommage ou intrusion A.11.2.8 Matériels utilisateur laissés sans
A.11 Sécurité portant sur l’information et A.11 Sécurité
surveillance
physique et physique et
les moyens de traitement de l’information environnementale A.11.2.9 Politique du bureau propre et de
environnementale
de l’organisation. l’écran verrouillé

109 110

A.12 Sécurité liée à l’exploitation

Objectif: Réduire au minimum l’impact des activités d’audit sur les systèmes en exploitation. A.12 Sécurité liée à l’exploitation
Objectif: Empêcher toute exploitation des vulnérabilités techniques.

Objectif: Garantir l’intégrité des systèmes en exploitation.

A.12.1 A.12.1.1 Procédures d’exploitation
Procédures et
Objectif: Se protéger de la perte de données. responsabilités Documentées
liées à
l’exploitation A.12.1.2 Gestion des changements
Objectif: Enregistrer les événements et générer des preuves. A.12.1.3 Dimensionnement
Objectif: S’assurer que l’information et les moyens de traitement A.12.1.4 Séparation des environnements de
Objectif: Assurer l’exploitation correcte
de l’information sont protégés contre les logiciels malveillants.. développement, de test et d’exploitation
et sécurisée des moyens de traitement
de l’information..
Objectif: Assurer l’exploitation correcte et sécurisée
des moyens de traitement de l’information..

A.12.7 A.12.2
A.12.6 Gestion
Considérations A.12.5 Maîtrise A.12.4 Protection
des A.12.3
A.12.7 A.12.2 A.12.1 sur l’audit des des logiciels en Journalisation contre les
A.12.6 Gestion vulnérabilités Sauvegarde
Considérations A.12.5 Maîtrise A.12.4 Protection Procédures et systèmes exploitation et surveillance logiciels
des A.12.3 techniques
sur l’audit des des logiciels en Journalisation contre les responsabilités d’information malveillants
vulnérabilités Sauvegarde
systèmes exploitation et surveillance logiciels liées à
techniques
d’information malveillants l’exploitation

111 112
28
 14/05/2023

A.12 Sécurité liée à l’exploitation A.12 Sécurité liée à l’exploitation

A.12.2
Protection
A.12.2.1 Mesures contre les
contre les logiciels malveillants
logiciels
malveillants
A.12.3
Sauvegarde A.12.3.1 Sauvegarde des informations

Objectif: S’assurer que l’information et les

moyens de traitement de l’information sont Objectif: Se protéger de la perte
protégés contre les logiciels malveillants.. de données.

A.12.7 A.12.2 A.12.1

A.12.7 A.12.1 A.12.6 Gestion
A.12.6 Gestion Considérations A.12.5 Maîtrise A.12.4 Protection Procédures et
Considérations A.12.5 Maîtrise A.12.4 Procédures et des
des A.12.3 sur l’audit des des logiciels en Journalisation contre les responsabilités
sur l’audit des des logiciels en Journalisation responsabilités vulnérabilités
vulnérabilités Sauvegarde systèmes exploitation et surveillance logiciels liées à
systèmes exploitation et surveillance liées à techniques
techniques d’information malveillants l’exploitation
d’information l’exploitation

113 114

A.12 Sécurité liée à l’exploitation A.12 Sécurité liée à l’exploitation

A.12.4.1 Journalisation des événements

A.12.4
Journalisation A.12.4.2 Protection de l’information journalisée
A.12.5 Maîtrise
des logiciels en
A.12.5.1 Installation de logiciels sur des systèmes en
et surveillance
A.12.4.3 Journaux administrateur et opérateur
exploitation
exploitation
A.12.4.4 Synchronisation des horloges

Objectif: Enregistrer les événements et Objectif: Garantir l’intégrité des systèmes en exploitation.
générer des preuves.

A.12.7 A.12.2 A.12.1

A.12.7 A.12.2 A.12.1 A.12.6 Gestion
A.12.6 Gestion Considérations A.12.4 Protection Procédures et
Considérations A.12.5 Maîtrise Protection Procédures et des A.12.3
sur l’audit des Journalisation contre les responsabilités
des A.12.3 vulnérabilités Sauvegarde
sur l’audit des des logiciels en contre les responsabilités systèmes et surveillance logiciels liées à
vulnérabilités Sauvegarde techniques
systèmes exploitation logiciels liées à d’information malveillants l’exploitation
techniques
d’information malveillants l’exploitation

115 116
29
 14/05/2023

A.12 Sécurité liée à l’exploitation A.12 Sécurité liée à l’exploitation

A.12.6 Gestion
A.12.6.1 Gestion des vulnérabilités techniques A.12.7 A.12.7.1 Mesures relatives à l’audit des ystèmes
des
vulnérabilités
A.12.6.2 Restrictions liées à l’installation de logiciels Considérations
sur l’audit des
d’information
techniques systèmes
d’information

Objectif: Empêcher toute exploitation des vulnérabilités Objectif: Réduire au minimum l’impact des activités d’audit sur les
techniques. systèmes en exploitation.

A.12.7 A.12.2 A.12.1

Considérations A.12.5 Maîtrise A.12.4 Protection Procédures et
A.12.3 A.12.2 A.12.1
sur l’audit des des logiciels en Journalisation contre les responsabilités A.12.6 Gestion
Sauvegarde A.12.5 Maîtrise A.12.4 Protection Procédures et
systèmes exploitation et surveillance logiciels liées à des A.12.3
d’information malveillants l’exploitation des logiciels en Journalisation contre les responsabilités
vulnérabilités Sauvegarde
exploitation et surveillance logiciels liées à
techniques
malveillants l’exploitation

117 118

A.14 Acquisition, développement et maintenance des systèmes d’information

A.13 Sécurité des communications Objectif: Garantir la protection des
données utilisées pour les tests.
Objectif: Maintenir la sécurité de A.13.2 Transfert de A.13.2.1 Politiques et procédures de transfert de A.14.3 Données de test

l’information Objectif: S’assurer que les questions de

l’information transférée au sein de l’information
sécurité de l’information sont étudiées
l’organisme et vers une entité A.13.2.2 Accords en matière de transfert A.14.1.1 Analyse et spécification des
et mises en oeuvre dans le cadre du
extérieure. d’information A.14.2 Sécurité des
exigences de sécurité de l’information
cycle de développement des systèmes processus de
A.13.2.3 Messagerie électronique développement et
A.14.1.2 Sécurisation des services
A.13.1 Gestion de la d’information. d’assistance technique

sécurité des réseaux A.13.2.4 Engagements de confidentialité ou de d’application sur les réseaux publics
non-divulgation A.14.1.3 Protection des transactions liées
Objectif: Garantir la protection de Objectif: Veiller à ce que la sécurité de A.14.1 Exigences de
sécurité applicables aux services d’application
aux systèmes
l’information sur les réseaux et des l’information fasse partie intégrante des d’information

moyens de traitement de ’information A.13.1.1 Contrôle des réseaux systèmes d’information tout au long de
sur lesquels elle s’appuie. A.13.1.2 Sécurité des services de réseau leur cycle de vie. Cela inclut également
A.13.1.3 Cloisonnement des réseaux des exigences pour les systèmes
A.13 Sécurité des d’information fournissant des A.14 Acquisition,
communications développement et
services sur les réseaux publics.. maintenance des
systèmes d’information

119 120
30

A.14 Acquisition, développement et maintenance des systèmes d’information
Objectif: Garantir la protection
des données utilisées pour les
tests.
Objectif: S’assurer que les questions
de sécurité de l’information sont
étudiées et mises en oeuvre dans le
cadre du cycle de développement
des systèmes d’information.
Objectif: Veiller à ce que la sécurité
de l’information fasse partie
intégrante des systèmes d’information
tout au long de leur cycle de vie.
Cela inclut également des exigences
pour les systèmes d’information
fournissant des
services sur les réseaux publics..
121
A.15 Relations avec les fournisseurs
Objectif: Maintenir le niveau convenu
de sécurité de l’information et de
service conforme aux accords
conclus avec les fournisseurs.
Objectif: Garantir la protection des
actifs de l’organisation accessible aux
fournisseurs.
123
14/05/2023
A.14 Acquisition, développement et maintenance des systèmes d’information
A.14.3 Données de test Objectif: Garantir la protection des
données utilisées pour les tests.
A.14.2.1 Politique de développement Sécurisé
A.14.2.2 Procédures de contrôle des
A.14.3 Données de test
A.14.3.1 Protection des données de
A.14.2 Sécurité des changements de système
processus de
Objectif: S’assurer que les questions test
développement et A.14.2.3 Revue technique des applications après
d’assistance technique
de sécurité de l’information sont
changement apporté à la plateforme A.14.2 Sécurité des
étudiées et mises en oeuvre dans le processus de
d’exploitation développement et
A.14.1 Exigences de cadre du cycle de développement d’assistance technique
sécurité applicables A.14.2.4 Restrictions relatives aux changements
aux systèmes
des systèmes d’information.
d’information apportés aux progiciels
A.14.2.5 Principes d’ingénierie de la sécurité des A.14.1 Exigences de
sécurité applicables
systèmes Objectif: Veiller à ce que la sécurité de aux systèmes
l’information fasse partie intégrante
d’information
A.14.2.6 Environnement de développement
sécurisé des systèmes d’information tout au
A.14 Acquisition,
développement et long de leur cycle de vie. Cela inclut
maintenance des A.14.2.7 Développement externalisé
systèmes d’information
A.14.2.8 Test de la sécurité du système également des exigences pour les
systèmes d’information fournissant des
A.14 Acquisition,
A.14.2.9 Test de conformité du système développement et
maintenance des
services sur les réseaux publics.. systèmes d’information
122
A.16 Gestion des incidents liés à la sécurité de l’information
A.15.2.1 Surveillance et revue des services
A.15.2 Gestion de la des fournisseurs A.16.1 Gestion des incidents
prestation du service
A.15.2.2 Gestion des changements liés à la sécurité de A.16.1.1 Responsabilités et procédures
apportés dans les services des fournisseurs l’information et améliorations A.16.1.2 Signalement des événements
Objectif: Garantir une méthode liés à la sécurité de l’information
A.15.1 Sécurité dans
A.15.1.1 Politique de sécurité de cohérente et efficace de gestion des A.16.1.3 Signalement des failles liées à la
les relations avec les l’information dans les relations avec les incidents liés à la sécurité de sécurité de l’information
fournisseurs
Fournisseurs l’information, incluant la communication A.16.1.4 Appréciation des événements
A.15.1.2 La sécurité dans les accords des événements et des failles liés à la liés à la sécurité de l’information et
conclus avec les fournisseurs sécurité. prise de décision
A.15.1.3 Chaîne d’approvisionnement A.16 Gestion des incidents A.16.1.5 Réponse aux incidents liés à la
des produits et des services informatiques liés à la sécurité de sécurité de l’information
l’information
A.16.1.6 Tirer des enseignements des
A.15 Relations avec incidents liés à la sécurité de l’information
les fournisseurs
A.16.1.7 Collecte de preuves
124
31
 14/05/2023

A.17 Aspects de la sécurité de l’information dans la gestion de la continuité de l’activité

A.18 Conformité A.18.2.1 Revue indépendante de la
sécurité de l’information
A.18.2.2 Conformité avec les
A.17.2 Redondances
A.17.2.1 Disponibilité des moyens de A.18.2 Revue de la politiques et les normes de sécurité
traitement de l’information sécurité de A.18.2.3 Vérification de la conformité
Objectif: Garantir la disponibilité des Objectif: Garantir que la sécurité de l’information
l’information est mise en oeuvre et technique
moyens de traitement de l’information A.17.1.1 Organisation de la continuité
de la sécurité de l’information appliquée conformément aux
A.17.1 Continuité de politiques et procédures A.18.1.1 Identification de la législation
la sécurité de A.17.1.2 Mise en œuvre de la A.18.1 Conformité aux
et des exigences contractuelles
l’information
continuité de la sécurité de organisationnelles. obligations légales et
Objectif: La continuité de la sécurité de réglementaires applicables
l’information A.18.1.2 Droits de propriété
l’information doit faire partie intégrante
A.17.1.3 Vérifier, revoir et évaluer la Objectif: Éviter toute violation des intellectuelle
de la gestion de la continuité de
continuité de la sécurité de obligations légales, statutaires, A.18.1.3 Protection des
l’activité.
l’information réglementaires ou contractuelles enregistrements
A.17 Aspects de la relatives à la sécurité de l’information, A.18.1.4 Protection de la vie privée et
sécurité de
l’information dans la éviter toute violation des exigences de protection des données à caractère
gestion de la
continuité de l’activité
sécurité. A.18 Conformité
Personnel
A.18.1.5 Réglementation relative aux
mesures cryptographiques

125 126

La qualité dans les SI

Système de management de
la sécurité de l’information
ISO/IEC 27001: 2013
PAR MOHAMMED GHOUAT

127
32