For Iso27kli Core Course FR Ch01 v3.1 180423

ISO 27001
Lead Implementer
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
CHAPITRE 1
Définition et Contexte
Programme et contenu |3
Chapitre 1 : ISO 27001 Définition et Contexte
1. Les principes d’un système de management,
2. Les origines et l’histoire des normes ISO,
3. Le modèle PDCA, approche par processus
4. La norme ISO 27001 et ses exigences
5. Les normes ISO dans l’entreprise,
6. La notion de risque et la norme ISO 27005,
1.1 Les principes d’un système de management |4
Un système de management est l'ensemble des processus par

lesquels un organisme gère les éléments corrélés ou en interaction
de ses activités afin d'atteindre ses objectifs.
Il existe de nombreuse normes permettant de répondre à des

besoins variés et spécifiques :
• ISO 9001, Management de la Qualité,

• ISO 20000, Management des Services,
• ISO 27001, Management de la sécurité de l’information
• ISO 31000, Management des risques,
• ISO 14001, Management de l’environnement,
• ISO 26000, Responsabilité Sociétale.
Sources : www.iso.org
1.2 Les origines et l’histoire des normes ISO |5
L’ISO (Organisation internationale de normalisation) est une

organisation internationale non gouvernementale, indépendante, dont
les 168 membres sont les organismes nationaux de normalisation.
L’ISO compte à ce jour 24754 normes différentes.
1949 1971 1987 2013

Premier Bureau Premier Comité ISO 9000 ISO 27001 :
à Genève Technique SMQ Révision
1947
1951 1975 2005 2022

Première Norme Internationalisation ISO 27001 est Révision
ISO de l’ISO créée ISO 27001
1.2 Les origines et l’histoire des normes ISO |6
Pour garder une grande objectivité, l’ISO a défini des principes de
bases :
Chaque membre a une représentation égale,
L’adhésion des membres est volontaire,
Chaque norme répond à un besoin métier pour chacune des

industries.
Les normes sont créés sur un plan international.
Source : www.iso.org
1.2 Autres normes en sécurité de l’information |7
ISO 27005
Préconisation pour
la gestion des ISO TR ISO 27559
risques 24485 Cadre pour dé-
Cryptographie en identification de
boîte blanche données VP.
ISO 24745
Protection des
informations
biométriques ISO 18045 ISO 19772
Méthodologie
Chiffrement
pour l’évaluation
authentifié
ISO JTC1 de sécurité
Comité pour le
Sécurité de
l’Information
1.3 Le modèle PDCA – Approche par processus |8
Une approche par processus sera privilégié. Celle-ci
répondant aux différents standards établis pas l’ISO et
notamment l’ISO 9001.
La mise en œuvre d’un SMSI est aussi l’occasion de revoir les
processus de l’organisation en s ’alignant sur les principaux.
Un processus établi selon les règles nous permettra de
définir les ressources, les responsabilités, les outils et les
techniques.
Sur cette chaine de valeur, nous pourrons définir les mesures
de sécurité nécessaires en prenant en considération les entrées
et les sorties (objectifs à atteindre).
Pour contrôler le processus, les indicateurs adéquates seront
également mis en œuvre.
1.3 Le modèle PDCA – Approche par processus |9
Indicateurs
Mesures de et KPI
Sécurité
ENTREES ACTIVITES SORTIES
Ressources et Outils et
RACI Techniques
1.3 Le modèle PDCA – La roue de Deming | 10
Planification :
• Politique
• Priorités d’action
• Programme d’action
P
PLANIFIER
Revue de Direction :
• Présentation des états
• Évaluation finale
• Améliorations
A
REAGIR
D
AGIR
Mise en œuvre :
• Actions techniques
• Procédures
• Communication
C
VERIFIER
Contrôle :
• Bilan des indicateurs
• Audits Interne
• Actions correctives
1.4 ISO 27001 – Qu’est-ce que c’est ? | 11
C’est une Norme internationale qui définit des exigences de
conformité pour l’établissement, la mise en œuvre, le maintien
et l’amélioration continue d’un système de management de la
sécurité de l’information (SMSI).
Le SMSI est conçu pour aider à gérer les risques liés à l’IT et à
protéger la confidentialité, l’intégrité et la disponibilité de
l’information (CID).
Il s’agit d’une Norme volontaire et applicable aux
organisations quel que soit le type d’industries.
Obtenir la certification signifie adopter les meilleures
pratiques pour établir un SMSI efficace et démontrer à ses
clients, ses fournisseurs et ses partenaires un engagement à
maintenir un haut niveau de sécurité de l’information.
Sources : ISO 27000 / ISO 27001

1.4 La grande famille ISO 27000 | 12
ISO 27000
INTRODUCTION
Introduction & Vocabulaire
ISO 27001 ISO 27006
Exigences SMSI Exigences Organisme EXIGENCES
Certification
ISO 27002 ISO 27003 ISO 27004

Guide de Bonnes Guide de mise en Contrôle et
Pratiques Œuvre Indicateurs
GUIDES
PRATIQUES
ISO 27005 ISO 27007-27008
Gestion des Risques Guides d’Audit Interne et
Externe
GUIDES
ISO 27009 et + INDUSTRIES

1.4 ISO 27009 + | 13
Dans la famille ISO 27000, la norme ISO 27009 ainsi que les
numéros suivants ont été réservés pour la création de normes
spécifiques à des thèmes donnés :
• A des industries :
• Télécommunication,
• Santé,
• Finance et Assurance…
• A des domaines spécifiques à la sécurité de l’information :
• Sécurité applicative,
• Cyber Sécurité (27032)
• Gestion des incidents de sécurité (27035)
• Protection de la vie privé (27701)
• Intrusion (27039)

1.4 La norme ISO 27001 | 14
La norme ISO 27001 spécifie les exigences pour
l’établissement d’un Système de Management de la Sécurité
de l’Information.
Elle est composé de 2 parties : Les clauses de 4 à 10 et
l’Annexe A.
L’annexe A comporte les 93 mesures de sécurité groupées en
4 thèmes.
Pour reconnaître une norme certifiante et d’exigence, celle-ci
utilise le verbe « doit ».
Il s’agit d’une norme certifiante. L’organisme peut ainsi être
certifiée ISO 27001 suite à la mise en œuvre de son SMSI.

1.4 Évolution de la norme ISO27001 | 15
La norme ISO 27001 est la suite et la continuité d’un ensemble de

bonnes pratiques qui ont permis de créer celle-ci. L’aboutissement de
cette norme a durée + de 15 ans. Celle-ci continuera d’évoluer pour
être au plus proche des problématiques métiers.
1990 1998 2005 2022

Création d’un code BS 7799-2 Première Version Mise à Jour norme
de bonne pratique Certification SMSI ISO 27001 ISO 27001:2022
1995 2000 2013

Code de bonne Code de bonne Mise à Jour norme
pratique BS 7799-1 pratique ISO 17799 ISO 27001:2013

1.4 Définition du SMSI selon ISO 27001 | 16
Le système de management consiste à un ensemble de politique, de
procédure, de lignes directrice, de ressource et d’activités associées.
Approche systématique visant à établir, mettre en œuvre, exploiter,

surveiller, réexaminer, tenir à jour et améliorer la sécurité de
l’information de l’organisme pour réaliser les objectifs de l’activité.
Approche basée sur une évaluation du risque et l’acceptation des

niveaux de risque de l’organisme, conçus pour traiter et gérer
efficacement les risques.
Les exigences de l’analyse pour la protection des actifs de

l’information et l’application des mesures appropriées pour assurer la
protection de ces actifs de l’information, tel que requis, contribuent à la
mise en œuvre réussie d’un SMSI.

1.4 Définitions liées au SMSI | 17
Système
Ensemble d’éléments corrélés ou interactifs (Source ISO 9000, 3.2.1)
Management
Activités coordonnées pour orienter et contrôler un organisme (Source
ISO 9000, 3.2.6)
Système de Management
Système permettant d’établir une politique et des objectifs et d’atteindre
ces objectifs (Source ISO 9000, 3.2.2)
Sécurité de l’information
Protection de la confidentialité, de l’intégrité et de la disponibilité de
l’information (Source ISO 27000, 2.19)
Sources : ISO 9000 / ISO 27000 / ISO 27001

1.4 Structure de la norme ISO 27001 | 18
CLAUSE 4
Contexte
P
CLAUSE 6
Planification
A CLAUSE 10 CLAUSE 8 D
Amélioration Fonctionnement
CLAUSE 9
Évaluation
CLAUSE 7 CLAUSE 5
Supports C Leadership

1.4 ISO 27001 – La Clause 4 | 19
Clause 4 - Contexte de l’organisme
4.1 4.2
Compréhension de Compréhension des
l’organisme et de son besoins et des attentes
contexte des parties prenantes
4.4 4.3
Système Management Détermination du
de Sécurité de Domaine d’Application
l’information du SMSI

1.4 ISO 27001 – La Clause 5 | 20
Clause 5.1
Leadership et Responsabilité de la Direction
 S'assurer qu'une politique et des objectifs sont établis en
matière de sécurité de l'information,
 S’assurer qu'ils sont compatibles avec l'orientation
stratégique de l'organisation,
 S'assurer que les ressources nécessaires pour le système
de management de la sécurité de l'information sont
disponibles,
 Communiquer l'importance de disposer d’un SMSI efficace
en se conformant aux exigences de la norme ISO 27001,
 promouvant l'amélioration continue

1.4 ISO 27001 – La Clause 5 | 21
Clause 5.2 Politique
La Direction de l’organisme doit établir une politique de sécurité de
l’information :
Appropriée à la mission de l’organisme,
Incluant l’engagement de satisfaire aux exigences applicables en
matière de sécurité de l’information,
Incluant l’engagement d’œuvrer pour l’amélioration continue
du système de management de la sécurité de l’information.
La PSI doit :
Être disponible sous forme d’information documentée,
Être communiquée au sein de l’organisation,
Être, le cas échéant, mise à la disposition des parties
prenantes intéressées.

1.4 ISO 27001 – La Clause 5 | 22
Clause 5.3 Les rôles, les responsabilités et les autorités
La Direction doit s’assurer que les responsabilités et autorités des
rôles concernés par la sécurité de l’information sont attribuées et
communiquées au sein de l’organisation,
La Direction doit attribuer la responsabilité et l’autorité pour :

 S’assurer que le SMSI est conforme aux exigences de la norme ISO
27001,
 Rendre compte à la Direction des performances du SMSI.
Par exemple le RSMSI, Responsable du Système de Management de la

Sécurité de l’information, doit être nommé par la Direction.

1.4 ISO 27001 – La Clause 6 | 23
Clause 6.1 Actions à mettre en œuvre face aux risques
et opportunités
L’organisation doit déterminer les risques et opportunités qui
nécessitent d’être abordés pour s’assurer d’atteindre les résultats
escomptés, empêcher les effets indésirables et mettre en œuvre une
démarche d’amélioration continuer.
6.1.2 Appréciation des risques de sécurité de l’information. Définir et
appliquer un processus d’appréciation des risques de sécurité de
l’information. Au moins, établir les critères, réaliser l’identification,
l’analyse et l’évaluation des risques.
6.1.3 Traitement des risques de sécurité de l’information.
L’organisation doit définir et appliquer un processus de traitement
des risques. Choisir les options de traitement, déterminer toutes les
mesures nécessaires, produire un Déclaration d’Applicabilité et
élaborer un Plan de Traitement.
1.4 ISO 27001 – La Clause 6 | 24
Clause 6.2 Objectifs de sécurité de l’information et
plans pour les atteindre
L’organisation doit établir, aux fonctions et niveaux concernés, des
objectifs de sécurité de l’information.
Les objectifs de sécurité doivent :
Être cohérents avec la PSI, être mesurables, tenir compte des

résultats et appréciation des risques, être surveillés, communiqués
et mis à jour.
L’organisation doit documenter les informations et les conserver.
Elle doit ainsi déterminer et formaliser : Ce qui sera fait, quelles
ressources seront requises, qui sera responsable, les échéances et
la façon dont les résultats seront évalués.

1.4 ISO 27001 – La Clause 6 | 25
Clause 6.3 Planification des modifications
Lorsque l’organisme détermine qu’il est nécessaire de modifier le SMSI,
les modifications devront être :
Planifier au travers d’un plan ou d’une roadmap,

Documenter pour connaître le périmètre et les éléments devant
être modifiés;
Financer dans les budget d’évolution et présenter pour être valider
par la Direction de l’organisation.
Un Système de Management de la Sécurité de l’Information évolue et ne

doit pas être statique. L’environnement, les besoins, les parties
prenantes… Tout change et le SMSI doit être adapté pour toujours
répondre aux exigences de la norme ISO 27001.

1.4 ISO 27001 – La Clause 7 | 26
Clause 7.1 Ressources
Les ressources nécessaires à la mise en œuvre du Système de
Management de la Sécurité de l’Information et au bon fonctionnement
de celui-ci doivent être anticipées et déterminées par l’organisation
pour s’assurer que celles-ci soient adaptées et correspondent aux
besoins de l’organisation.
Les ressources nécessaires à définir devront un périmètre large
comprenant au moins toutes les activités pour la mise en œuvre, la
tenue à jour et l’amélioration continue du système de Management de
la Sécurité de l’Information.

1.4 ISO 27001 – La Clause 7 | 27
Clause 7.2 Compétences
L’organisme doit déterminer les compétences nécessaires de la ou
des personnes effectuant , sous son contrôle, un travail qui a une
incidence sur les performances de la sécurité de l’information.
Elle est donc responsable de s’assurer que chacun est les
compétences adaptées et nécessaires,
Que ce soit sur la base d’une formation initiale ou dans le cadre d’une
formation professionnelle, voire même d’une expérience significative,
Le cas échéant, elle devra mener les actions pour acquérir les
compétences et évaluer l’efficacité des actions ainsi entreprises,
L’organisation conservera les informations documentées appropriées
comme preuves desdites compétences.

1.4 ISO 27001 – La Clause 7 | 28
Clause 7.3 Sensibilisation
Les personnes effectuant un travail sous le contrôle de l’organisation
doivent être sensibilisées à la politique de sécurité de l’information,
Tous doivent avoir conscience de leurs contributions à l’efficacité du
système de management de la sécurité de l’information,
Chacun doit être conscient des effets positifs d’une amélioration des
performances,
Tous les salariés, et autres parties prenantes internes et externes,
devront avoir conscience des implications de toute non-conformité aux
exigences requises par le système de management de la sécurité de
l’information.

1.4 ISO 27001 – La Clause 7 | 29
Clause 7.4 Communication
La communication est un facteur important de réussite et l’organisation
ne doit pas négliger celle-ci au profit d’une documentation parfois peu
suffisante. L’organisation doit déterminer les besoins en communication
interne et, ou, externe pour la mise en place et le bon maintien du
SMSI.
La communication doit répondre aux questions suivantes :
Sur quels sujets communiquer,

Quand communiquer ?
Avec qui communiquer ?
Comment communiquer ?

1.4 ISO 27001 – La Clause 7 | 30
Clause 7.5 Documentation
Le SMSI de l’organisation devra inclure toutes les informations
documentées exigées par la norme ISO 27001 ainsi que toutes les
informations documentées que l’organisme juge nécessaires à
l’efficacité au bon fonctionnement de son SMSI.
En fonction de chaque organisation, le système de management peut
différer, c’est pour cette raison qu’il est impératif d’adapter le système
de gestion des informations documentées.
7.5.2 Création et mise à jour. Dans son processus, l’organisation
intègre l’identification, la description, la définition du format et du
support.
7.5.3 Contrôle des informations documentées. Les informations
documentées exigées doivent être contrôlées pour s’assurer qu’elles
sont disponibles et conviennent à l’usage. Les activités suivantes seront
ainsi mises en œuvre : Distribution, gestion des accès, récupération,
stockage et conservation, contrôle des modifications et suppression.
1.4 ISO 27001 – La Clause 8 | 31
Clause 8.1 Planification et contrôle opérationnel
L’organisation doit planifier, mettre en œuvre et contrôler les
processus nécessaires pour satisfaire aux exigences et réaliser les
actions déterminées dans l’article 6.
Les informations documentées doivent être disponibles dans une

mesure suffisante pour avoir l’assurance que les processus ont été
suivis comme prévu.
L’organisation doit contrôler les modifications prévues, analyser les

conséquences des modifications imprévues et, si nécessaire, mener
des actions pour limiter tout effet négatif.
L’organisation doit s’assurer que les processus, produits ou services

fournis en externe sont contrôlés.

1.4 ISO 27001 – La Clause 8 | 32
Clause 8.2 Appréciation des risques de sécurité de
l’information
L’organisation doit réaliser des appréciations des risques de sécurité
de l’information à des intervalles planifiés ou quand des
changements significatifs sont prévus ou ont lieu, en tenant compte
des critères établis dans la clause 6.1.2,
L’organisation doit conserver des informations documentées sur les
résultats des processus d’appréciation des risques de sécurité de
l’information.

1.4 ISO 27001 – La Clause 8 | 33
Clause 8.3 Traitement des risques de sécurité de
l’information
L’organisation doit mettre en œuvre le plan de traitement des
risques de sécurité de l’information établi en suivant les exigences
de la clause 6.
L’organisation doit conserver des informations documentées sur les
résultats du traitement des risques de sécurité de l’information.
CLAUSE 6 CLAUSE 8
Définition et exigences Mise en œuvre des
pour la détermination actions et plans définis
des risques et de leurs en clause 6
traitements

1.4 ISO 27001 – La Clause 9 | 34
Clause 9.1 Surveillance, mesures, analyse et évaluation
L’organisme doit s’assurer de l’efficacité et de l’efficience du SMSI.
Définir ce qu'il est nécessaire de surveiller et de mesurer.

Définir les méthodes de surveillance, de mesurage, d'analyse et
d'évaluation, selon les cas, pour assurer la validité des résultats.
Quand la surveillance et le mesurage doivent être effectués
Qui doit effectuer la surveillance et les mesurages
Quand les résultats de la surveillance et du mesurage doivent être

analysés et évalués
Qui doit analyser et évaluer ces résultats. Des informations

documentées doivent être disponibles comme preuve des résultats.
1.4 ISO 27001 – La Clause 9 | 35
Clause 9.2 Programme d’audit Interne
L’organisation doit réaliser des audits internes à des
intervalles planifiés afin de recueillir des informations
permettant de déterminer si le système de
management de la sécurité de l’information est
conforme aux exigences de la normes ISO 27001 et
aux exigences de l’organisation.
L'organisation doit planifier, établir, mettre en œuvre

et tenir à jour ou plusieurs programmes d'audit,
couvrant notamment la fréquence, les méthodes, les
responsabilités, les exigences de planification et les
comptes rendus.
1.4 ISO 27001 – La Clause 9 | 36
9.3 Revue de Direction
À des intervalles planifiés, la direction doit procéder à la revue du SMSI
mis en place par l'organisation, afin de s'assurer qu'il est toujours
approprié, adapté et efficace.
La revue de direction doit prendre en considération :
L'état d'avancement des actions,

Les modifications des enjeux externes et internes,
Les modifications des besoins et attentes des parties intéressées,
Les retours sur les performances de sécurité de l'information,
Les retours d'information des parties intéressées,
Les résultats de l'appréciation des risques et l'état d'avancement
du plan de traitement des risques,
Des opportunités d'amélioration continue.

1.4 ISO 27001 – La Clause 9 | 37
9.3 Revue de Direction
La revue de Direction est une réunion qui doit être organisée comme
tel. Règle des tiers, rapport dans les 48 heures max. Des rôles définis…
Les bonnes pratiques en termes de conduite de réunion pourront être
appliquées. A la fin de la revue, il sera nécessaire de formaliser les
résultats :
Les décisions relatives aux opportunités d'amélioration continue

et aux éventuels changements à apporter au système de
management de la sécurité de l'information.
Des informations documentées doivent être disponibles comme
preuve des résultats des revues de direction.

1.4 ISO 27001 – La Clause 10 | 38
Clause 10 – Amélioration du SMSI
10.1 Amélioration continue
L’organisme améliorera continuellement la pertinence, l’adéquation et
l’efficacité de Système de Management de la Sécurité de l’Information.
10.2 Non-conformité et action corrective

Lorsqu'une non-conformité se produit, l'organisation doit réagir à la
non-conformité, et le cas échéant agir pour la contrôler et la corriger.
Après une évaluation et la recherche des causes de la non-conformité,
l’organisation déterminera les actions nécessaire pour résoudre la non-
conformité.
Les actions correctives doivent être appropriées aux conséquences des
non-conformités rencontrées et des informations documentées
doivent être disponibles comme preuve.

1.4 ISO 27001 – Annexe A | 39
Exigences
Clauses de 4 à
10
ISO 27002
ISO 27001
93 Mesures Guide décrivant

de Sécurité les 93 mesures de
Sécurité au travers
Annexe A
des 4 Thèmes.
L’annexe A comporte les 93 mesures de Sécurité devant être

mises en œuvre en fonction de leurs applicabilités.
Elles sont réparties selon 4 Thèmes principaux,
La norme ISO 27002 décrit en détail les 93 mesures de sécurité
pour guider l’organisme lors de la mise en œuvre.

1.4 ISO 27001 – Annexe A | 40
Les 93 Mesures de sécurité réparties en 4 Thèmes

principaux. (La norme ISO27002 décrit les 93 mesures de
sécurité en détail)
A.5 Mesures de sécurité organisationnelles.

37 mesures de sécurité composent ce thème. (de 5.1 à 5.37)
A.6 Mesures de sécurité applicables aux personnes.

A.7 Mesures de sécurité physiques.

A.8 Mesures de sécurité technologiques.


1.4 Les mesures de sécurité – ISO 27002 | 41
 Guide des bonnes pratiques des
mesure de sécurité de l’information
décrites dans l’annexe de la norme
ISO 27001,
 Guide de référence pour la

certification ISO 27001,
 Explique en détails les 93 mesures de sécurité de

l’information au travers des 4 Thèmes principaux,
 Ce n’est pas une norme de certification.

1.5 SMSI : Les structures ISO communes | 42
Plusieurs normes  Système intégré.
Harmoniser les bonnes pratiques entre les
différents systèmes de management,
Réduire les coûts superflus pour la gestion de

plusieurs systèmes de management,
Réduire ou éliminer les responsabilités et les rôles :

diminuer les sources de conflits,
Harmoniser les objectifs de l’organisme et

communiquer une vision unique.
Sources : ISO 9000
1.5 SMSI : Alignement des normes ISO | 43
De manière à faciliter la gestion, les évolutions et les mises à jour

des normes dans une organisation, des correspondances ont été
établis. Ainsi, certaines clauses sont communes à de nombreuses
normes. Comparons certaines clauses avec les deux normes ISO
les plus répandues :
• Les Clauses 5.1 et 5.2 sur les politiques et les engagements

de la Direction sont communes à ISO 9001 et ISO 14001
• La Clause 6.2 de l’ISO 27001 concernant les objectifs d’un
système de Management, est commune à l’ISO 9001 et l’ISO
14001.
• La Clause 7.5 de l’ISO 27001 sur la partie documentation est
commune à l’ISO 9001 et ISO 14001.
Sources : ISO 9000 / ISO 9001 / ISO 14001 / ISO 27001

1.5 Les bénéfices de la certification ISO 27001 | 44
Conforter son assurance de protection des actifs informationnels

Des mécanismes de mesure efficace mis en œuvre contre les menaces et vulnérabilités
assureront à l’organisation une efficacité améliorer de la protection de ses actifs.
Amélioration continue de son environnement de contrôle

Le cadre de référence ainsi mis en œuvre évoluera à l’aide des processus établit et à une
gouvernance robuste pour l’appréciation et le traitement des risques.
Conformité avec les normes et standards du marché

Respect des lois, des règles, par exemple RGPD (Donnée Personnelles), des accords de
Bâle II (Banque) et autres normes spécifiques aux secteurs d’activité.
Impact marketing et amélioration de l’image de l’Organisme

Amélioration de l’image de l’organisme et renfort de la confiance avec les exigences de
ses clients. La certification ISO/CEI 27001 peut faire la différence.
Réduction des coûts et diminution des impacts de non-conformité

Les coûts liés aux non-conformités peuvent s’avérer élevés. La notion de ROSI fait son
apparition (Return Of Security Investment).

1.6 La notion de risque et ISO 27005 | 45
La Norme ISO 27005
La norme ISO 27005 fournit des lignes directrices pour la
gestion des risques liés à la sécurité de l'information.
L'approche décrite vient étayer les concepts généraux
énoncés dans la norme ISO 27001.
Les objectifs sont de fournir des recommandations pour la
mise en œuvre d'une approche de gestion des risques
orientée processus afin d'aider à la bonne mise en œuvre et à
la satisfaction des exigences de gestion des risques liés à la
sécurité de l'information de l'ISO 27001.
La norme ISO 27005 est Basée sur les référentiels de gestion
des risques reconnus : EBIOS RM et MEHARI.
Sources : ISO 27005

1.6 La notion de Risque et la norme ISO 27005 | 46
La sécurité de l’information
Un système de management de la sécurité de
l'information approprié, adéquat et efficace procure la
garantie aux dirigeants de l'organisation et autres
parties intéressées que leurs informations et autres
actifs associés sont suffisamment sécurisés et protégés
contre les menaces et dommages, ce qui permet à
l'organisation d'atteindre les objectifs métier visés.
Source des Définitions : Norme ISO 27000 / ISO27002 / ISO 9000.

Les critères de l’information
La Sécurité de l’information se focalise sur la protection
des 3 critères principaux : La Confidentialité, l’Intégrité et
la Disponibilité.
Confidentialité Intégrité Disponibilité
D’autres propriétés de l’information peuvent également

être pris en considération, telle que l’authenticité, la
fiabilité, l’imputabilité ou la non-répudiation.
La Disponibilité
Propriété d’être accessible et utilisable à la demande par
une entité autorisée.
Deux éléments importants dans cette définition : Que
l’information soit accessible et surtout que seul les
personnes ou entités autorisées pourront y accéder.

La Disponibilité
Facteurs déterminant et caractérisant principalement le critère
de disponibilité de l’information.
FIABLE
AU BON DISPONIBILITE DE
MOMENT L’INFORMATION
ACCESSIBLE

L’Intégrité
Propriété d’exactitude et de complétude de l’information
Une information altérée ou modifié ou incomplète

pourrait avoir un impact désastreux.

La Confidentialité
Propriété selon laquelle l’information n’est pas diffusée
ni divulguée à des personnes, des entités ou des
processus non autorisés.
Ce qui est intéressant dans cette définition c’est de se
rendre compte que les personnes ne sont pas les seules à
devoir être prises en considération.

Types d’information
La norme ISO 27001 permet la mise en œuvre d’un
système de management de la sécurité de
l’information robuste et couvrant tout type
d’information dans l’organisation. Il ne faut pas
s »arrêter au document et fichier informatique, les
informations d’une manière générale seront intégrées
dans le périmètre de protection :
Information imprimée, manuscrite, transmise par email
ou d’une manière dématérialisée,
Les enregistrements vocaux, tous les supports vidéos,
Information incluse sur tout type de média : site
Internet, réseaux sociaux… et même les conversations
pourront être considérées.
Quelques définitions
Document
Support d’information et l’information qu’il contient
Information
Données porteuses de sens.
Enregistrement
Document faisant état de résultats obtenus ou apportant la preuve
de la réalisation d’une activité.
Spécification
Document détaillant les caractéristiques d’un élément.
Actif
Tout ce qui a de la valeur pour l’organisation (Matériel, Logiciel,
Information, Infrastructure, Les personnes, Les services externalisés)
Sources : ISO 27000 / ISO 27001 / ISO 27005 / ISO 9000

Vulnérabilité
Faille dans un actif ou dans une mesure de sécurité qui
peut être exploitée par une ou plusieurs menaces.
Si aucune menace n’existe ou est connue en lien avec une

vulnérabilité, il ne pourra être exiger de mettre en œuvre
une mesure de sécurité, même si celle-ci devra rester
identifier et sous surveillance pour s’assurer qu’aucune
nouvelle menace n’émerge.
Parfois, lors de la mise en œuvre de mesure de sécurité, il

peut être négliger la recherche de nouvelle vulnérabilité,
n’oubliez pas de le vérifier.

Les types de vulnérabilités
Catégorie Exemples de vulnérabilité
Maintenance insuffisante. Sensibilité aux rayonnements
Matériel
électromagnétiques
Logiciel distribué à grande échelle. Activation de services non
Logiciel
nécessaires
Mécanismes insuffisants pour les preuves d'envoi ou de réception
Réseau
d'un message. Trafic sensible non protégé
Procédures de recrutement inadaptées. Inefficacité ou absence de
Personnel politiques relatives à la bonne utilisation de supports de
télécommunications et de la messagerie.
Protection physique insuffisante du bâtiment, des portes et des
Site fenêtres. Emplacement situé dans une zone sujette aux
inondations.
Politique relative à l'utilisation des e-mails non élaborée, ou mise
en œuvre inefficace. Absence ou insuffisance des dispositions
Organisme
(relatives à la sécurité de l'information) dans les contrats avec les
employés.
Sources : ISO 27000 / ISO 27001 / ISO 27005 Annexe A

Appréciation des vulnérabilités
• Analyse de documents,
• Entretien avec des utilisateurs et
autres personnes,
• Questionnaires
• Inspections physiques,
• Essais d’intrusion,
• Essais et évaluation de sécurité,
• Revue de code,
• Outil automatisé d’analyse de
vulnérabilités.
Les menaces
Cause potentielle d’un incident indésirable, qui peut
nuire à un système ou à un organisme,
Une menace est susceptible d’endommager les actifs
tels que des informations, des processus et des
systèmes et, par conséquent, des organismes.
Les sources des menaces peuvent être classées en 3
grands groupes d’éléments : environnementale,
accidentelle ou intentionnelle.
ACCIDENTELLE INTENTIONNELLE ENVIRONNEMENTALE

Les types de Menaces
Catégorie Description de la Menace
Menaces Physiques Incendie, Eau, Explosion …
Menaces Naturelles Phénomène volcanique ; Inondation, Phénomène sismique …
Rayonnements thermiques, Défaillance d’un matériel de

Défaillance des infrastructures
télécommunication…
Défaillance des machines ou du système, violation de la
Défaillances techniques
maintenabilité du système d’information…
Actions humaines Piégeage Logiciel, Divulgation d’informations, Vol de matériel…
Manque de ressources, Violation de la législation ou de la

Menaces organisationnelles
réglementation…
Compromission des fonctions ou
Erreur d’utilisation, Abus de droits ou de permissions…
des services

Les risques et Sécurité de l’information
Evénement qui, s’il se produit, aura un impact sur
l’organisation et la sécurité des actifs. Un risque peut être
défini par sa criticité, R (appelé aussi gravité, poids du
risque…). Celle-ci sera calculé en multipliant le niveau
d’impact, I, du risque lorsque celui-ci se sera matérialisé et la
probabilité, P, que cet événement ne se matérialise.
P X I = R
Classification des mesures de Sécurité
Il existe 3 types de mesures de sécurité. Chacune correspond
à un moyen de maîtrise des risques et se positionne
différemment dans le temps.
Préventif: moyen qui vise à empêcher l'occurrence d'un

événement de sécurité de l'information pouvant entraîner
une ou plusieurs conséquences.
Détection: moyen qui vise à détecter l'occurrence d'un

événement de sécurité de l'information.
Correctif: moyen qui vise à limiter les conséquences d'un

événement de sécurité de l'information.

Les mesures de Sécurité
Lors de la mise en place des mesures de sécurité, il est
possible de mettre en place des solutions :
Manuelle : Réalisée manuellement, celle-ci sont moins
chère à mettre en œuvre mis généreront des coûts
important dans un environnement opérationnel et lors de
leur utilisation. Un mode opératoire manuel génère en
général plus d’erreurs.
Automatique : Réalisée par un système automatisé, ce
mode opératoire sera plus cher à mettre en œuvre mais
générera de forte économie lors de son utilisation. Ceci
génère moins d’erreurs même si cela doit être suivi,
contrôler et vérifier.
Mixte : Un mode entre les deux pourra être adopté en
reprenant des éléments en manuel puis en automatique
avec une proportion plus ou moins égale.
Les mesures de Sécurité : Exemple
Mesures 6.1.3 10.1 9.3
6.2 5.2
Stratégiques Traitement Amélioration Revue de
Objectifs SMSI Politique
Clause 4 à 10 du Risque Continue Direction
Mesures de 5.28 6.7 7.2 5.15 8.20

Sécurité Collecte des Travail à Entrée Contrôle Sécurité des
Annexe A preuves distance physique d’accès réseaux
Logiciel Client Accès à ITSM /

Mesures Applications SAP / ERP
/ CRM distance Servicenow
Spécifique
Non couvert
par ISO27001 Processus de Validation des identifications d’entrée, Mesure relative au traitement
Sécurité des incidents de sécurité, Procédure des accès aux zones protégées.

Résumé et liens entre les concepts
Une vrai relation se crée naturellement entre les actifs,
les vulnérabilités et les mesures de sécurité.
Les actifs informationnels ont plus ou moins de
vulnérabilité,
Ces vulnérabilités seront exploitées par des menaces, ce
qui génère des risques pour les actifs,
Pour répondre et traiter les risques, on mettra en œuvre
des mesures de sécurité,
Plus de vulnérabilité augmenteront le niveau de risque et
le nombre de menace,
Les mesures de sécurité réduiront le nombre de
vulnérabilité tout en ayant la possibilité d’en créer d’autre.

Quizz 1 | 64
Parmi les propositions suivantes, laquelle n’est pas un des principes de base du
1 fonctionnement de l’ISO ?
A Représentation égale
B Approche par consensus
C Chaque pays doit adhérer
D Orientation d’affaires
2 Quelles sont les trois critères pour lesquels la sécurité de l’information se focalise ?
A Disponibilité / Accessibilité / Authenticité
B Disponibilité / Intégrité / Confidentialité
C Contrainte / Intégrité / Légitimité
D Intégrité / Confidentialité / Non-répudiation

Quizz 1 | 65
Dans la liste suivante, un élément ne fait pas partie des exigences de la clause 7 :
3 Support de la norme ISO 27001, lequel ?
A Les Ressources
B La Sensibilisation
C La Documentation
D La Stratégie
4 Qu’est-ce qu’un système de Management selon les normes ISO ?
Le système de Management consiste en des politiques, des procédures, des lignes

A directrices, des ressources et des activités associées.
Le système de Management consiste en l’organisation mise en œuvre pour satisfaire aux

B demandes du métiers en termes de qualité et de sécurité.
Le système de Management consiste en l’ensemble des politiques et des stratégies de

C l’entreprise mises en œuvre pour répondre à la vision de l’entreprise.
Le système de Management consiste en des politiques, des procédures et des bonnes

D pratiques permettant la mise en œuvre des normes qualités au sein de l’entreprise.
Quizz 1 | 66
5 Dans la liste suivante, quelle n’est pas une classe des contrôles de Sécurité ?
A Garantie
B Prévention
C Détection
D Correction
Selon le modèle PDCA formalisé par M. W. Edwards Deming, que signifie les 4 lettres
6 de son modèle ?
A Plan, Do, Control and Action
B Plan, Done, Curse and Absolution
C Plan, Do, Check and Act
D Programm, Define, Control and Action

Quizz 1 | 67
Dans la Clause 5.1 de la norme ISO 27001, Leadership et responsabilité de la Direction,

7 3 éléments sont importants, lesquels ?
A Orientation Stratégique / Accompagnement / Communication
B Disponibilité des ressources / Plans de Déploiement / Standard applicable
C Communication / Orientation Stratégique / Disponibilité des ressources
D Orientation Stratégique / Comité de Direction Annuel / Diffusion des Compte-rendus
8 Qu’est-ce qu’une information ?
A Un document qui permet de comprendre quelquechose
B Une donnée porteuse de sens
C Une preuve de l’application d’une mesure de sécurité
D Un message transmis par la télévision

Quizz 1 | 68
Dans la famille des normes ISO 27000, Quelle est la norme d’exigences obligatoire pour
9 les organismes de certification ?
A ISO 27005
B ISO 27001
C ISO 27003
D ISO 27006
10 Qu’est-ce qu’une vulnérabilité ?

Une cause potentielle d’un accident indésirable, qui peut nuire à un système ou à un
A organisme.
Faille dans un actif ou dans une mesure de sécurité qui peut être exploitée par une ou
B plusieurs menaces.
Preuves du non-fonctionnement d’un actif qui nécessite la mise en application des

C mesures de sécurité adéquates.
Une maintenance insuffisante sur un système de sauvegarde ayant entrainé une panne
D matérielle.
ABC - Synthèse du Chapitre 1 | 69
Synthèse du Chapitre 1 : Définition et Contexte
Ce premier chapitre nous a permis de mieux comprendre le contexte des normes
ISO et en particulier la norme ISO 27001.
Nous avons découvert l’histoire des normes ISO et en particulier la norme

A
ISO 27001. Les différentes versions et ses origines.
Nous avons appris comment la norme ISO 27001 est composée, les clauses
B
de 4 à 10 et les 93 Mesures de Sécurité.
Nous avons abordé la notion de Risque selon la norme ISO 27005. Les
C
Vulnérabilités, Les Menaces et les Risques.

For Iso27kli Core Course FR Ch01 v3.1 180423

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

For Iso27kli Core Course FR Ch01 v3.1 180423

Transféré par

Droits d'auteur :

Formats disponibles

ISO 27001

Chapitre 1 : ISO 27001 Définition et Contexte

Un système de management est l'ensemble des processus par

Il existe de nombreuse normes permettant de répondre à des

• ISO 9001, Management de la Qualité,

L’ISO (Organisation internationale de normalisation) est une

1949 1971 1987 2013

1951 1975 2005 2022

Pour garder une grande objectivité, l’ISO a défini des principes de

L’adhésion des membres est volontaire,

Chaque norme répond à un besoin métier pour chacune des

Les normes sont créés sur un plan international.

Une approche par processus sera privilégié. Celle-ci

ENTREES ACTIVITES SORTIES

C’est une Norme internationale qui définit des exigences de

Sources : ISO 27000 / ISO 27001

ISO 27002 ISO 27003 ISO 27004

Sources : ISO 27000 / ISO 27001

Sources : ISO 27000 / ISO 27001

La norme ISO 27001 spécifie les exigences pour

Sources : ISO 27000 / ISO 27001

La norme ISO 27001 est la suite et la continuité d’un ensemble de

1990 1998 2005 2022

1995 2000 2013

Sources : ISO 27000 / ISO 27001

Le système de management consiste à un ensemble de politique, de

Approche systématique visant à établir, mettre en œuvre, exploiter,

Approche basée sur une évaluation du risque et l’acceptation des

Les exigences de l’analyse pour la protection des actifs de

Sources : ISO 27000 / ISO 27001

Sources : ISO 9000 / ISO 27000 / ISO 27001

Sources : ISO 27000 / ISO 27001

Clause 4 - Contexte de l’organisme

Sources : ISO 27000 / ISO 27001

Sources : ISO 27000 / ISO 27001

Clause 5.2 Politique

Sources : ISO 27000 / ISO 27001

Clause 5.3 Les rôles, les responsabilités et les autorités

La Direction doit attribuer la responsabilité et l’autorité pour :

Par exemple le RSMSI, Responsable du Système de Management de la

Sources : ISO 27000 / ISO 27001

Clause 6.1 Actions à mettre en œuvre face aux risques

Clause 6.2 Objectifs de sécurité de l’information et

Être cohérents avec la PSI, être mesurables, tenir compte des

Sources : ISO 27000 / ISO 27001

Clause 6.3 Planification des modifications

Planifier au travers d’un plan ou d’une roadmap,

Un Système de Management de la Sécurité de l’Information évolue et ne

Sources : ISO 27000 / ISO 27001

Clause 7.1 Ressources

Sources : ISO 27000 / ISO 27001

Clause 7.2 Compétences

Sources : ISO 27000 / ISO 27001

Clause 7.3 Sensibilisation

Sources : ISO 27000 / ISO 27001

Clause 7.4 Communication

Sur quels sujets communiquer,

Sources : ISO 27000 / ISO 27001

Clause 7.5 Documentation

Clause 8.1 Planification et contrôle opérationnel

Les informations documentées doivent être disponibles dans une

L’organisation doit contrôler les modifications prévues, analyser les

L’organisation doit s’assurer que les processus, produits ou services