Académique Documents
Professionnel Documents
Culture Documents
Lead Implementer
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
CHAPITRE 1
Définition et Contexte
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
Programme et contenu |3
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
1. Les principes d’un système de management,
2. Les origines et l’histoire des normes ISO,
3. Le modèle PDCA, approche par processus
4. La norme ISO 27001 et ses exigences
5. Les normes ISO dans l’entreprise,
6. La notion de risque et la norme ISO 27005,
1.1 Les principes d’un système de management |4
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
de ses activités afin d'atteindre ses objectifs.
Sources : www.iso.org
1.2 Les origines et l’histoire des normes ISO |5
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
les 168 membres sont les organismes nationaux de normalisation.
L’ISO compte à ce jour 24754 normes différentes.
1947
Sources : www.iso.org
1.2 Les origines et l’histoire des normes ISO |6
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
bases :
Chaque membre a une représentation égale,
Source : www.iso.org
Sources : www.iso.org
1.2 Autres normes en sécurité de l’information |7
ISO 27005
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
Préconisation pour
la gestion des ISO TR ISO 27559
risques 24485 Cadre pour dé-
Cryptographie en identification de
boîte blanche données VP.
ISO 24745
Protection des
informations
biométriques ISO 18045 ISO 19772
Méthodologie
Chiffrement
pour l’évaluation
authentifié
ISO JTC1 de sécurité
Comité pour le
Sécurité de
l’Information
Sources : www.iso.org
1.3 Le modèle PDCA – Approche par processus |8
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
répondant aux différents standards établis pas l’ISO et
notamment l’ISO 9001.
La mise en œuvre d’un SMSI est aussi l’occasion de revoir les
processus de l’organisation en s ’alignant sur les principaux.
Un processus établi selon les règles nous permettra de
définir les ressources, les responsabilités, les outils et les
techniques.
Sur cette chaine de valeur, nous pourrons définir les mesures
de sécurité nécessaires en prenant en considération les entrées
et les sorties (objectifs à atteindre).
Pour contrôler le processus, les indicateurs adéquates seront
également mis en œuvre.
1.3 Le modèle PDCA – Approche par processus |9
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
Indicateurs
Mesures de et KPI
Sécurité
Ressources et Outils et
RACI Techniques
1.3 Le modèle PDCA – La roue de Deming | 10
Planification :
• Politique
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
• Priorités d’action
• Programme d’action
P
PLANIFIER
Revue de Direction :
• Présentation des états
• Évaluation finale
• Améliorations
A
REAGIR
D
AGIR
Mise en œuvre :
• Actions techniques
• Procédures
• Communication
C
VERIFIER
Contrôle :
• Bilan des indicateurs
• Audits Interne
• Actions correctives
1.4 ISO 27001 – Qu’est-ce que c’est ? | 11
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
conformité pour l’établissement, la mise en œuvre, le maintien
et l’amélioration continue d’un système de management de la
sécurité de l’information (SMSI).
Le SMSI est conçu pour aider à gérer les risques liés à l’IT et à
protéger la confidentialité, l’intégrité et la disponibilité de
l’information (CID).
Il s’agit d’une Norme volontaire et applicable aux
organisations quel que soit le type d’industries.
Obtenir la certification signifie adopter les meilleures
pratiques pour établir un SMSI efficace et démontrer à ses
clients, ses fournisseurs et ses partenaires un engagement à
maintenir un haut niveau de sécurité de l’information.
ISO 27000
INTRODUCTION
Introduction & Vocabulaire
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
ISO 27001 ISO 27006
Exigences SMSI Exigences Organisme EXIGENCES
Certification
GUIDES
ISO 27009 et + INDUSTRIES
Dans la famille ISO 27000, la norme ISO 27009 ainsi que les
numéros suivants ont été réservés pour la création de normes
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
spécifiques à des thèmes donnés :
• A des industries :
• Télécommunication,
• Santé,
• Finance et Assurance…
• A des domaines spécifiques à la sécurité de l’information :
• Sécurité applicative,
• Cyber Sécurité (27032)
• Gestion des incidents de sécurité (27035)
• Protection de la vie privé (27701)
• Intrusion (27039)
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
l’établissement d’un Système de Management de la Sécurité
de l’Information.
Elle est composé de 2 parties : Les clauses de 4 à 10 et
l’Annexe A.
L’annexe A comporte les 93 mesures de sécurité groupées en
4 thèmes.
Pour reconnaître une norme certifiante et d’exigence, celle-ci
utilise le verbe « doit ».
Il s’agit d’une norme certifiante. L’organisme peut ainsi être
certifiée ISO 27001 suite à la mise en œuvre de son SMSI.
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
cette norme a durée + de 15 ans. Celle-ci continuera d’évoluer pour
être au plus proche des problématiques métiers.
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
procédure, de lignes directrice, de ressource et d’activités associées.
Système
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
Ensemble d’éléments corrélés ou interactifs (Source ISO 9000, 3.2.1)
Management
Activités coordonnées pour orienter et contrôler un organisme (Source
ISO 9000, 3.2.6)
Système de Management
Système permettant d’établir une politique et des objectifs et d’atteindre
ces objectifs (Source ISO 9000, 3.2.2)
Sécurité de l’information
Protection de la confidentialité, de l’intégrité et de la disponibilité de
l’information (Source ISO 27000, 2.19)
CLAUSE 4
Contexte
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
P
CLAUSE 6
Planification
A CLAUSE 10 CLAUSE 8 D
Amélioration Fonctionnement
CLAUSE 9
Évaluation
CLAUSE 7 CLAUSE 5
Supports C Leadership
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
4.1 4.2
Compréhension de Compréhension des
l’organisme et de son besoins et des attentes
contexte des parties prenantes
4.4 4.3
Système Management Détermination du
de Sécurité de Domaine d’Application
l’information du SMSI
Clause 5.1
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
Leadership et Responsabilité de la Direction
S'assurer qu'une politique et des objectifs sont établis en
matière de sécurité de l'information,
S’assurer qu'ils sont compatibles avec l'orientation
stratégique de l'organisation,
S'assurer que les ressources nécessaires pour le système
de management de la sécurité de l'information sont
disponibles,
Communiquer l'importance de disposer d’un SMSI efficace
en se conformant aux exigences de la norme ISO 27001,
promouvant l'amélioration continue
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
La Direction de l’organisme doit établir une politique de sécurité de
l’information :
Appropriée à la mission de l’organisme,
Incluant l’engagement de satisfaire aux exigences applicables en
matière de sécurité de l’information,
Incluant l’engagement d’œuvrer pour l’amélioration continue
du système de management de la sécurité de l’information.
La PSI doit :
Être disponible sous forme d’information documentée,
Être communiquée au sein de l’organisation,
Être, le cas échéant, mise à la disposition des parties
prenantes intéressées.
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
La Direction doit s’assurer que les responsabilités et autorités des
rôles concernés par la sécurité de l’information sont attribuées et
communiquées au sein de l’organisation,
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
et opportunités
L’organisation doit déterminer les risques et opportunités qui
nécessitent d’être abordés pour s’assurer d’atteindre les résultats
escomptés, empêcher les effets indésirables et mettre en œuvre une
démarche d’amélioration continuer.
6.1.2 Appréciation des risques de sécurité de l’information. Définir et
appliquer un processus d’appréciation des risques de sécurité de
l’information. Au moins, établir les critères, réaliser l’identification,
l’analyse et l’évaluation des risques.
6.1.3 Traitement des risques de sécurité de l’information.
L’organisation doit définir et appliquer un processus de traitement
des risques. Choisir les options de traitement, déterminer toutes les
mesures nécessaires, produire un Déclaration d’Applicabilité et
élaborer un Plan de Traitement.
Sources : ISO 27000 / ISO 27001
1.4 ISO 27001 – La Clause 6 | 24
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
plans pour les atteindre
L’organisation doit établir, aux fonctions et niveaux concernés, des
objectifs de sécurité de l’information.
Les objectifs de sécurité doivent :
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
Lorsque l’organisme détermine qu’il est nécessaire de modifier le SMSI,
les modifications devront être :
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
Les ressources nécessaires à la mise en œuvre du Système de
Management de la Sécurité de l’Information et au bon fonctionnement
de celui-ci doivent être anticipées et déterminées par l’organisation
pour s’assurer que celles-ci soient adaptées et correspondent aux
besoins de l’organisation.
Les ressources nécessaires à définir devront un périmètre large
comprenant au moins toutes les activités pour la mise en œuvre, la
tenue à jour et l’amélioration continue du système de Management de
la Sécurité de l’Information.
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
L’organisme doit déterminer les compétences nécessaires de la ou
des personnes effectuant , sous son contrôle, un travail qui a une
incidence sur les performances de la sécurité de l’information.
Elle est donc responsable de s’assurer que chacun est les
compétences adaptées et nécessaires,
Que ce soit sur la base d’une formation initiale ou dans le cadre d’une
formation professionnelle, voire même d’une expérience significative,
Le cas échéant, elle devra mener les actions pour acquérir les
compétences et évaluer l’efficacité des actions ainsi entreprises,
L’organisation conservera les informations documentées appropriées
comme preuves desdites compétences.
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
Les personnes effectuant un travail sous le contrôle de l’organisation
doivent être sensibilisées à la politique de sécurité de l’information,
Tous doivent avoir conscience de leurs contributions à l’efficacité du
système de management de la sécurité de l’information,
Chacun doit être conscient des effets positifs d’une amélioration des
performances,
Tous les salariés, et autres parties prenantes internes et externes,
devront avoir conscience des implications de toute non-conformité aux
exigences requises par le système de management de la sécurité de
l’information.
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
La communication est un facteur important de réussite et l’organisation
ne doit pas négliger celle-ci au profit d’une documentation parfois peu
suffisante. L’organisation doit déterminer les besoins en communication
interne et, ou, externe pour la mise en place et le bon maintien du
SMSI.
La communication doit répondre aux questions suivantes :
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
Le SMSI de l’organisation devra inclure toutes les informations
documentées exigées par la norme ISO 27001 ainsi que toutes les
informations documentées que l’organisme juge nécessaires à
l’efficacité au bon fonctionnement de son SMSI.
En fonction de chaque organisation, le système de management peut
différer, c’est pour cette raison qu’il est impératif d’adapter le système
de gestion des informations documentées.
7.5.2 Création et mise à jour. Dans son processus, l’organisation
intègre l’identification, la description, la définition du format et du
support.
7.5.3 Contrôle des informations documentées. Les informations
documentées exigées doivent être contrôlées pour s’assurer qu’elles
sont disponibles et conviennent à l’usage. Les activités suivantes seront
ainsi mises en œuvre : Distribution, gestion des accès, récupération,
stockage et conservation, contrôle des modifications et suppression.
Sources : ISO 27000 / ISO 27001
1.4 ISO 27001 – La Clause 8 | 31
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
L’organisation doit planifier, mettre en œuvre et contrôler les
processus nécessaires pour satisfaire aux exigences et réaliser les
actions déterminées dans l’article 6.
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
l’information
L’organisation doit réaliser des appréciations des risques de sécurité
de l’information à des intervalles planifiés ou quand des
changements significatifs sont prévus ou ont lieu, en tenant compte
des critères établis dans la clause 6.1.2,
L’organisation doit conserver des informations documentées sur les
résultats des processus d’appréciation des risques de sécurité de
l’information.
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
l’information
L’organisation doit mettre en œuvre le plan de traitement des
risques de sécurité de l’information établi en suivant les exigences
de la clause 6.
L’organisation doit conserver des informations documentées sur les
résultats du traitement des risques de sécurité de l’information.
CLAUSE 6 CLAUSE 8
Définition et exigences Mise en œuvre des
pour la détermination actions et plans définis
des risques et de leurs en clause 6
traitements
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
L’organisme doit s’assurer de l’efficacité et de l’efficience du SMSI.
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
L’organisation doit réaliser des audits internes à des
intervalles planifiés afin de recueillir des informations
permettant de déterminer si le système de
management de la sécurité de l’information est
conforme aux exigences de la normes ISO 27001 et
aux exigences de l’organisation.
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
À des intervalles planifiés, la direction doit procéder à la revue du SMSI
mis en place par l'organisation, afin de s'assurer qu'il est toujours
approprié, adapté et efficace.
La revue de direction doit prendre en considération :
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
La revue de Direction est une réunion qui doit être organisée comme
tel. Règle des tiers, rapport dans les 48 heures max. Des rôles définis…
Les bonnes pratiques en termes de conduite de réunion pourront être
appliquées. A la fin de la revue, il sera nécessaire de formaliser les
résultats :
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
10.1 Amélioration continue
L’organisme améliorera continuellement la pertinence, l’adéquation et
l’efficacité de Système de Management de la Sécurité de l’Information.
Exigences
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
Clauses de 4 à
10
ISO 27002
ISO 27001
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
sécurité en détail)
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
mesure de sécurité de l’information
décrites dans l’annexe de la norme
ISO 27001,
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
Harmoniser les bonnes pratiques entre les
différents systèmes de management,
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
établis. Ainsi, certaines clauses sont communes à de nombreuses
normes. Comparons certaines clauses avec les deux normes ISO
les plus répandues :
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
assureront à l’organisation une efficacité améliorer de la protection de ses actifs.
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
La norme ISO 27005 fournit des lignes directrices pour la
gestion des risques liés à la sécurité de l'information.
L'approche décrite vient étayer les concepts généraux
énoncés dans la norme ISO 27001.
Les objectifs sont de fournir des recommandations pour la
mise en œuvre d'une approche de gestion des risques
orientée processus afin d'aider à la bonne mise en œuvre et à
la satisfaction des exigences de gestion des risques liés à la
sécurité de l'information de l'ISO 27001.
La norme ISO 27005 est Basée sur les référentiels de gestion
des risques reconnus : EBIOS RM et MEHARI.
La sécurité de l’information
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
Un système de management de la sécurité de
l'information approprié, adéquat et efficace procure la
garantie aux dirigeants de l'organisation et autres
parties intéressées que leurs informations et autres
actifs associés sont suffisamment sécurisés et protégés
contre les menaces et dommages, ce qui permet à
l'organisation d'atteindre les objectifs métier visés.
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
La Sécurité de l’information se focalise sur la protection
des 3 critères principaux : La Confidentialité, l’Intégrité et
la Disponibilité.
La Disponibilité
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
Propriété d’être accessible et utilisable à la demande par
une entité autorisée.
Deux éléments importants dans cette définition : Que
l’information soit accessible et surtout que seul les
personnes ou entités autorisées pourront y accéder.
La Disponibilité
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
Facteurs déterminant et caractérisant principalement le critère
de disponibilité de l’information.
FIABLE
AU BON DISPONIBILITE DE
MOMENT L’INFORMATION
ACCESSIBLE
L’Intégrité
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
Propriété d’exactitude et de complétude de l’information
La Confidentialité
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
Propriété selon laquelle l’information n’est pas diffusée
ni divulguée à des personnes, des entités ou des
processus non autorisés.
Ce qui est intéressant dans cette définition c’est de se
rendre compte que les personnes ne sont pas les seules à
devoir être prises en considération.
Types d’information
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
La norme ISO 27001 permet la mise en œuvre d’un
système de management de la sécurité de
l’information robuste et couvrant tout type
d’information dans l’organisation. Il ne faut pas
s »arrêter au document et fichier informatique, les
informations d’une manière générale seront intégrées
dans le périmètre de protection :
Information imprimée, manuscrite, transmise par email
ou d’une manière dématérialisée,
Les enregistrements vocaux, tous les supports vidéos,
Information incluse sur tout type de média : site
Internet, réseaux sociaux… et même les conversations
pourront être considérées.
Sources : ISO 27000 / ISO 27001 / ISO 27005
1.6 La notion de Risque et la norme ISO 27005 | 53
Quelques définitions
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
Document
Support d’information et l’information qu’il contient
Information
Données porteuses de sens.
Enregistrement
Document faisant état de résultats obtenus ou apportant la preuve
de la réalisation d’une activité.
Spécification
Document détaillant les caractéristiques d’un élément.
Actif
Tout ce qui a de la valeur pour l’organisation (Matériel, Logiciel,
Information, Infrastructure, Les personnes, Les services externalisés)
Vulnérabilité
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
Faille dans un actif ou dans une mesure de sécurité qui
peut être exploitée par une ou plusieurs menaces.
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
Catégorie Exemples de vulnérabilité
Maintenance insuffisante. Sensibilité aux rayonnements
Matériel
électromagnétiques
Logiciel distribué à grande échelle. Activation de services non
Logiciel
nécessaires
Mécanismes insuffisants pour les preuves d'envoi ou de réception
Réseau
d'un message. Trafic sensible non protégé
Procédures de recrutement inadaptées. Inefficacité ou absence de
Personnel politiques relatives à la bonne utilisation de supports de
télécommunications et de la messagerie.
Protection physique insuffisante du bâtiment, des portes et des
Site fenêtres. Emplacement situé dans une zone sujette aux
inondations.
Politique relative à l'utilisation des e-mails non élaborée, ou mise
en œuvre inefficace. Absence ou insuffisance des dispositions
Organisme
(relatives à la sécurité de l'information) dans les contrats avec les
employés.
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
• Analyse de documents,
• Entretien avec des utilisateurs et
autres personnes,
• Questionnaires
• Inspections physiques,
• Essais d’intrusion,
• Essais et évaluation de sécurité,
• Revue de code,
• Outil automatisé d’analyse de
vulnérabilités.
Sources : ISO 27000 / ISO 27001 / ISO 27005
1.6 La notion de Risque et la norme ISO 27005 | 57
Les menaces
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
Cause potentielle d’un incident indésirable, qui peut
nuire à un système ou à un organisme,
Une menace est susceptible d’endommager les actifs
tels que des informations, des processus et des
systèmes et, par conséquent, des organismes.
Les sources des menaces peuvent être classées en 3
grands groupes d’éléments : environnementale,
accidentelle ou intentionnelle.
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
Catégorie Description de la Menace
Menaces Physiques Incendie, Eau, Explosion …
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
Evénement qui, s’il se produit, aura un impact sur
l’organisation et la sécurité des actifs. Un risque peut être
défini par sa criticité, R (appelé aussi gravité, poids du
risque…). Celle-ci sera calculé en multipliant le niveau
d’impact, I, du risque lorsque celui-ci se sera matérialisé et la
probabilité, P, que cet événement ne se matérialise.
P X I = R
Sources : ISO 27000 / ISO 27001 / ISO 27005
1.6 La notion de Risque et la norme ISO 27005 | 60
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
Il existe 3 types de mesures de sécurité. Chacune correspond
à un moyen de maîtrise des risques et se positionne
différemment dans le temps.
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
Lors de la mise en place des mesures de sécurité, il est
possible de mettre en place des solutions :
Manuelle : Réalisée manuellement, celle-ci sont moins
chère à mettre en œuvre mis généreront des coûts
important dans un environnement opérationnel et lors de
leur utilisation. Un mode opératoire manuel génère en
général plus d’erreurs.
Automatique : Réalisée par un système automatisé, ce
mode opératoire sera plus cher à mettre en œuvre mais
générera de forte économie lors de son utilisation. Ceci
génère moins d’erreurs même si cela doit être suivi,
contrôler et vérifier.
Mixte : Un mode entre les deux pourra être adopté en
reprenant des éléments en manuel puis en automatique
avec une proportion plus ou moins égale.
Sources : ISO 27000 / ISO 27001 / ISO 27005
1.6 La notion de Risque et la norme ISO 27005 | 62
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
Mesures 6.1.3 10.1 9.3
6.2 5.2
Stratégiques Traitement Amélioration Revue de
Objectifs SMSI Politique
Clause 4 à 10 du Risque Continue Direction
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
Une vrai relation se crée naturellement entre les actifs,
les vulnérabilités et les mesures de sécurité.
Les actifs informationnels ont plus ou moins de
vulnérabilité,
Ces vulnérabilités seront exploitées par des menaces, ce
qui génère des risques pour les actifs,
Pour répondre et traiter les risques, on mettra en œuvre
des mesures de sécurité,
Plus de vulnérabilité augmenteront le niveau de risque et
le nombre de menace,
Les mesures de sécurité réduiront le nombre de
vulnérabilité tout en ayant la possibilité d’en créer d’autre.
Parmi les propositions suivantes, laquelle n’est pas un des principes de base du
1 fonctionnement de l’ISO ?
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
A Représentation égale
D Orientation d’affaires
2 Quelles sont les trois critères pour lesquels la sécurité de l’information se focalise ?
Dans la liste suivante, un élément ne fait pas partie des exigences de la clause 7 :
3 Support de la norme ISO 27001, lequel ?
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
A Les Ressources
B La Sensibilisation
C La Documentation
D La Stratégie
5 Dans la liste suivante, quelle n’est pas une classe des contrôles de Sécurité ?
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
A Garantie
B Prévention
C Détection
D Correction
Selon le modèle PDCA formalisé par M. W. Edwards Deming, que signifie les 4 lettres
6 de son modèle ?
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
A Orientation Stratégique / Accompagnement / Communication
Dans la famille des normes ISO 27000, Quelle est la norme d’exigences obligatoire pour
9 les organismes de certification ?
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
A ISO 27005
B ISO 27001
C ISO 27003
D ISO 27006
Faille dans un actif ou dans une mesure de sécurité qui peut être exploitée par une ou
B plusieurs menaces.
Une maintenance insuffisante sur un système de sauvegarde ayant entrainé une panne
D matérielle.
ABC - Synthèse du Chapitre 1 | 69
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
Ce premier chapitre nous a permis de mieux comprendre le contexte des normes
ISO et en particulier la norme ISO 27001.
Nous avons appris comment la norme ISO 27001 est composée, les clauses
B
de 4 à 10 et les 93 Mesures de Sécurité.
Nous avons abordé la notion de Risque selon la norme ISO 27005. Les
C
Vulnérabilités, Les Menaces et les Risques.
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1