For Iso27kli Core Course FR Ch02 v3.1 180423

ISO 27001
Lead Implementer
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
d’un SMSI
La Mise en œuvre
CHAPITRE 2
Programme et contenu |3
Chapitre 2 : La mise en œuvre
1. Les principes de mise en œuvre – ISO 27003,
2. Définir l’approche et la méthodologie,
3. La gestion du Changement,
4. Pour aller plus loin,
5. Définir la vision et les objectifs,
2.1 Les principes de mise en œuvre – ISO 27003 |4
 Guide de bonnes pratiques pour la
mise en œuvre et l’implémentation
d’un SMSI,
 Celui-ci vient en complément de la

norme ISO 27001 et de la norme ISO
27002 pour aider à sa mise en
œuvre,
 Toutes les étapes pour mettre en œuvre le SMSI sont

décrites d’une manière détaillées. Depuis la version 2023, la
structure de la norme a évoluée pour être en adéquation
avec la norme ISO 27002. Ce n’est pas une norme de
certification.
Source : Norme ISO 27003

Les 5 étapes de la mise en œuvre selon ISO 27003
Obtenir l’approbation du management pour initialiser le projet de
1 mise en œuvre d’un SMSI.
Définir le périmètre du Système de Management de la Sécurité de

2 l’Information, les limites et les politiques.
Réaliser l’analyse des besoins de l’organisation en matière de Sécurité

3 de l’Information.
Réaliser l’analyse et le recensement des risques et création du plan de

4 traitement des risques liés à la Sécurité de l’Information.
Définir et conceptualiser le Système de Management de la Sécurité de

5 l’Information.

Obtenir l’approbation du management pour initialiser le projet de mise en

1 œuvre d’un SMSI.
LES ACTIVITES
Clarifier les priorités de l’organisation pour la mise en œuvre d’un

A SMSI.
Définir le périmètre préliminaire du projet de mise en œuvre d’un

B SMSI.
Définir les rôles et les responsabilités préliminaires pour le périmètre

C du SMSI.
Créer le Cas d’Affaire et le Plan du Management de Projet pour leurs

D approbation par le Management.

Obtenir l’approbation du management pour initialiser le projet de mise en

1 œuvre d’un SMSI.
LES DOCUMENTS
Liste des
Résumé des Ebauche des
contraintes et
Objectifs du caractéristiques
des obligations
SMSI Métiers
contractuelles
Proposition de
Cas d’Affaire
Projet SMSI
Approbation du
Projet SMSI
pour
Initialisation


LES ACTIVITES
A Définir les limites et le périmètre de l’organisation.
Définir les limites et le périmètre des technologies de l’information et

B de communication.
C Définir les limites et le périmètre physique du SMSI.
Intégrer l’ensemble des informations pour constituer le périmètre et

D les limites du SMSI.
Développer la Politique ISMS et obtenir son approbation par la

E Direction.


LES DOCUMENTS
Limites de Limites et Limites et

l’organisation Périmètre de Périmètre
pour le SMSI l’ICT Physique
Limites et
Politique SMSI
Périmètre du
Approuvée
SMSI

2.1 Les principes de mise en œuvre – ISO 27003 | 10
Réaliser l’analyse des besoins de l’organisation en matière de Sécurité de

3 l’Information.
LES ACTIVITES
A Identifier et définir les besoins et les exigences en Sécurité de

l’information pour la mise en œuvre du SMSI.
B
Identifier les actifs (Assets) qui seront inclus dans le périmètre du
SMSI.
C
Réaliser un audit sur la Sécurité de l’Information au sein de
l’organisme.

Réaliser l’analyse des besoins de l’organisation en matière de Sécurité de

3 l’Information.
LES DOCUMENTS
Classification
des Processus
et des Actifs
Compte-
Besoins et
Rendu sur
exigences en Actifs
l’état de
Sécurité de identifiés
maturité de
l’Information
l’organisation


LES ACTIVITES
A Réaliser un audit des risques, des menaces et des vulnérabilités de

l’organisation.
B
Sélectionner les mesures de Sécurité et les objectifs applicables à
l’organisme.
C
Obtenir l’approbation et l’autorisation de la part de la Direction pour
mettre en œuvre un SMSI.


LES DOCUMENTS
Liste des
Approbation
Méthodologies Mesures de Acceptation
pour
d’Audit des Sécurité et des risques
l’implémentati
Risques Objectifs Résiduels
on d’un SMSI
Applicables
Déclaration
Résultat de Plan de d’Applicabilité
l’Audit des Traitement des Incluant les
Risques Risques mesures de Sécurité
et les Objectifs


5 l’Information.
LES ACTIVITES
A
Définir l’organisation pour le Système de Management de Sécurité de
l’Information.
• Définir la structure de l’organisation finale,
• Définir le processus de gestion documentaire pour le SMSI,
• Définir la politique de Sécurité de l’Information,
• Développer les standards et les procédures de Sécurité de l’Information.
B
Définir les exigences physiques et en Technologie de l’Information
pour le SMSI.
C
Définir les contrôles spécifiques à inclure dans le SMSI en Sécurité de
l’Information.
• Création du Plan de Management des revues,
• Définir les besoins en formation, Informations et accompagnement.
D
Produire le Plan Final du Projet d’implémentation du SMSI dans
l’organisation.


5 l’Information.
LES DOCUMENTS
Structure Matériels de
Politique de
Organisationnelle formation pour les Template et stockage
Sécurité de
(Rôles et sessions de des Enregistrements
l’Information
Responsabilités) sensibilisation
Procédure de Gestion Flux et processus Liste des entrées

Procédures de
documentaire et des standards en pour réaliser les
gestion de la Sécurité
gestion des Sécurité de revues de
de l’Information
enregistrements l’Information Management
Plan
Standards de Sécurité Enregistrements pour d’implémentation
de l’Information, la réalisation du plan des mesures de
incluant les référentiels de
l’organisme de formation Sécurité et des
Plan final pour le
Objectifs
projet
implémentation
du SMSI

Les annexes de la norme ISO 27003 apportent un réel atout
pour vous aider lors de l’implémentation.
Une checklist pour votre projet,
La définition des rôles et responsabilités,
Des informations sur les audits internes,
La structure des politiques

Et des informations sur le contrôle et le
suivi.

2.2 Définir l’approche et la méthodologie | 17
Les différentes approches possibles
Il est important de convenir d’une démarche commune et
pour se faire il est donc évident qu’au fait du lancement d’un
projet d’implémentation du SMSI, Il sera important, pour
l’organisation, de sélectionner :
Quelle est l’approche globale que nous souhaitons mettre

en œuvre,
La ou les méthodologies qui seront utilisées pour la mise
en œuvre du SMSI,
Définir les bonnes pratiques et les techniques spécialistes
qui seront nécessaires à la bonne réalisation du projet
d’implémentation du SMSI.

Lorsque l’organisation devra choisir l’approche la plus
appropriée pour la mise en œuvre de son SMSI, plusieurs
facteurs rentreront en ligne de compte :
La maturité de l’organisation vis-à-vis de la gestion de la
qualité, des standards, des méthodes et des processus déjà
existants,
Les besoins de l’organisation, ses attentes, ses souhaits, ses
objectifs et sa vision vis-à-vis du périmètre du projet,
Le niveau d’engagement, qu’il soit de la part de la Direction
de l’organisation mais aussi de l’ensemble des acteurs, en
fonction du contexte actuel et de la situation économique
de l’organisation,
Les échéanciers et la roadmap que souhaite mettre en
œuvre l’organisation, le temps et les délais. Source : Norme ISO 27003
Il existe plusieurs manières de gérer votre projet
d’implémentation. L’approche doit être choisie en fonction des
critères suivants :
La taille de l’organisation et l’ampleur du projet,

Le nombre de parties prenantes impliqué,
Les méthodologies et approches existantes dans
l’organisation,
Les connaissances et compétences des membres de
l’équipe projet,
Doit-on intégrer la démarche dans un programme ou la
mise en place d’un projet peut être suffisant ?
Les différentes approches : Traditionnelle
Une approche traditionnelle peut être adoptée. Celle-ci exige
une période d’initialisation pour définir clairement le Plan de
Management de projet et la réalisation suit les plans définis :
Pour répondre à un projet dont les objectifs et le

déroulement sont simple ou difficile et connus,
Apporte un modèle de gouvernance défini, clair et
structuré,
Les processus sont existants et apportent une gestion
efficace,
On pilotera ainsi le projet à l’aide des plans définis.
Une structure organisationnelle hiérarchique encadrera
le projet.
Dessin sur la différence entre prédictif et adaptatif
2.2 Définir l’approche et la méthodologie
| 21
Les différentes approches : Agile
Suivant les concepts et les valeurs du manifeste Agile, cette
approche sera plus souple et permettra de répondre à des
problématique complexe et chaotique pour lesquelles le
déroulement du projet est incertain et peu connu à l’avance.
Cette approche sera avant fondée sur l’adaptabilité :
Incrémentale, Itérative à l’aide de cycle court,

Beaucoup plus accès sur la vision que sur les livrables,
Piloter par la valeur qui est priorisée tout au long du
cycle de vie du projet,
Une équipe plus petite, ou dimensionnée et surtout
auto-organisée.
Schéma sur les 4 valeurs et principes de l’Agile
| 23
Les différentes approches : Hybride
Une approche hybride peut également être privilégié dans les
cas ou l’organisme souhaite adopter une approche mixte.
Ainsi, il est possible de capitaliser sur les forces de chaque
approche :
Un cadre souple pouvant répondre à de nombreuses

situations,
Une approche hybride pourra mettre l’accent sur
l’incrémental, l’itératif, le traditionnel, la
gouvernance et la priorisation de la valeur.
Un nombre de possibilité de dimensionnement infini.
d’hybridation
Schéma sur les différentes combinaisons
| 25
Les différentes approches : Le Programme
Une approche un peu différente pourrait être de considérer
l’implémentation d’un SMSI comme un programme. Cela peut
apporter de nombreux avantages non négligeables pour une
grande organisation :
Un dimensionnement au niveau total de l’entreprise.

Les différentes phases d’accompagnement au
changement seront ainsi bien délimitées,
Un cadre structurant permettant le contrôle par
l’atteinte d’un état final commun,
Emergent ou innovant, le programme amènera une
structure de gouvernance robuste et efficace.
Programme
Schéma d’un programme type et exemple entre Projet et
| 27
Schéma du choix de l’approche en fonction du type de

problématique (Cynefin)
Les différentes Méthodes : PMI®
PMI : Project Management Institute
Créé en 1969,
Méthodologie prédictive et traditionnelle à l’origine,
Illustrer par le PMBOK (Project Management Body of Knowledge)
La V6 structure la démarche au travers de 49 activités réparties en
5 processus,
La V7 est la dernière version et intègre les principes Agile pour
une démarche globale.
La Certification associée : PMP (Project Management Professional)
Dessiner et expliquer PMI
| 30
Les différentes Méthodes : PRINCE2®
PRINCE2 : PRoject IN Controlled Environment v2
Créé en 1975,
Méthodologie prédictive et traditionnelle à l’origine,
Illustrer par le Guide officiel « Réussir le management de projet
avec PRINCE2 » édité par Axelos.
L’édition version 6 est sortie en 2017 et définie une approche à la
fois prédictive et Agile en mixant les concepts,
Les Certifications associées : PRINCE2 Niveau Fondamental et le
niveau Praticien. Une version PRINCE2 Agile est également
disponible.
Dessiner et expliquer PRINCE2
| 32
Les différentes Méthodes : SCRUM®
Framework basé sur les concepts du Manifeste Agile.
Alliant les itérations (Sprint), les versions et incréments (Release
et User Stories) ainsi une forte priorisation de la valeur (Product
Backlog),
Framework conçu par Jeff Sutherland et Ken Schwaber. Ce dernier
expliquait que Scrum est simple à comprendre mais extrêmement
difficile à maîtriser. Officialisé en 2010 avec le Guide Scrum.
Ce cadre de développement utilise le concept des boites de
temps, ou Timeboxing, pour structurer le projet.
Plusieurs certifications : Scrum master, Scrum product Owner…
Dessiner et expliquer SCRUM
| 34
Les différentes Méthodes : AgilePM®
Une méthode de gestion de projet à la croisée des approches
traditionnelles et Agiles.
Basée sur les 4 valeurs et 12 Principes du Manifeste Agile,
Un cycle de vie complet et étendu et une gouvernance claire et
structuré avec prise en compte de la gestion des changements et
des risques,
Créée en 1995, appartient à Agile Business Consortium (ABC),
Le cœur de la méthodologie est DSDM (Dynamic Software
Development Methodology),
Les Certifications associées : AgilePM Fondamental et Praticien
Dessiner et expliquer AgilePM
| 36
Les différentes Méthodes : MSP®
Une approche en mode programme modifie et transforme la
capacité d’une organisation au lieu de se focaliser uniquement sur
la livraison d’objectifs définis.
MSP, ou Managing Successful Programmes apporte flexibilité,
adaptation et un cadre permettant de garantir un cycle de vie
large prenant en considération l’atteinte d’un état futur en
transformant la capacité de l’organisation.
Créé en 2010, MSP est aujourd’hui à la version 5,
Les certifications associées sont MSP Fondamental et Praticien.
Dessiner et expliquer MSP
| 38
2.3 La gestion du Changement | 39
La gestion des changements : ADKAR
Accompagner les collaborateurs devra être une priorité lors de
l’implémentation d’un SMSI.
La gestion des changements : John Kotter
La gestion des changements : 7S de McKinsey
Dessiner et expliquer La répartition des réfractaire et des

ambassadeurs. Courbe de Gausse.
2.4 Pour aller plus loin | 43
Pour aller plus loin
D’autres méthodologies Traditionnelles, Agiles ou Hybrides
existent pour gérer votre projet ou programme d’implémentation
du SMSI.
L’important est de bien définir les méthodes et cadre de référence
en fonction de vos besoins et de vos affinités. Vous devez être à
l’aide avec ceux utilisé.
L’adoption de ces méthodes est une affaire commune à votre
organisation et pas uniquement celle du Chef de projet.
N’oubliez jamais qu’une méthode est un support et non une
contrainte.
2.5 Définir la Vision et les Objectifs | 44
La Vision et les Objectifs Principaux du SMSI
La Vision est l’essence même du projet de mise en œuvre d’un SMSI.
Cette vision doit permettre de définir les objectifs principaux et être
largement communiquer pour créer l’adhésion. Tous vers un seul
point final.
La vision doit définir l’état final désirable que l’organisation
cherche à atteindre.
Celle-ci permet de comprendre les raisons et les motivations de
l’organisation et donne un sens à la démarche globale,
Les objectifs principaux, quant à eux, sont définis en partant de
cette vision et vont définir, au-delà de la direction à prendre, les
but et résultats à atteindre.
Les objectifs peuvent être uniquement orienté vers l’atteinte de la
vision ou permettre à l’organisation d’évoluer par pallier et donc
d’atteindre des états intermédiaires.
La Vision
Décrit l’état final à atteindre.
Décrit les motivations.
Donne un sens au projet.
Concise, claire et explicite.
Pas trop longue ni prophétique.
Réaliste faisant rêver.
Décrivant les bénéfices généraux.
Donnant les raisons principales.
Comprise par tous.
Créer la Vision, quelques techniques
Créer la vision est un exercice complexe qui doit être réalisé avec
beaucoup d’attention. On réunit les bonnes parties prenantes et on
travaille à définir en commun la vision. Les techniques suivantes
peuvent être de bons points de départ :
Brainstorming,
StoryBoarding / StoryMapping,
Product in a Box,
Modelling,
Design Thinking,
UX Design.
Communiquer la Vision
La vision du projet de mise en œuvre du SMSI devra être largement
communiquée au sein de l’organisation. Ainsi, il sera possible de créer
une forte adhésion et implication des collaborateurs. Plusieurs
techniques pourront être utilisé mais le pitch de l’ascenseur est ici
tout indiqué.
Simple à réaliser,
Court, précis et clair pour tous,
Quelques lignes ou quelques minutes,
Une synthèse de la vision,
Utilisable avec de nombreux médias.
Les Objectifs Principaux
Découlant directement de la vision définie précédemment, les
objectifs principaux de la mise en œuvre d’un SMSI permettront de
donner la direction et les étapes nécessaires pour garantir la réussite
du projet.
Les objectifs sont SMART,
Les objectifs sont positifs et commun à tous,
Les objectifs sont suffisants mais pas trop nombreux (focaliser
sur les principaux à cette étape),
Les objectifs ne sont pas trop ambitieux et montrent le
cheminement du projet d’implémentation du SMSI.
Quizz 2 | 49
Dans le processus de mise en œuvre conforme à la norme ISO 27003, dans la 5ème étape, quel est
1 le document principal utilisé comme sortie du processus ?
A Le Cas d’Affaire.
B Plan final pour le projet implémentation du SMSI.
C La classification des processus et des actifs.
D La déclaration d’applicabilité.
2 La méthodologie Scrum est basée sur 3 Piliers, mais lesquels ?
A Transparence, Entraide, Vision.
B Adaptation, Cohésion, Communication.
C Adaptation, Transparence, Inspection.
D Inspection, Transparence, Autogestion.

Quizz 2 | 50
Il est possible de nombreuse technique pour réaliser et créer la vision du projet de mise en
3 œuvre du SMSI. Parmi les suivantes, laquelle n’est pas recommandée ?
A Planning poker
B Product in a Box
C Design Thinking
D Modelling
4 Dans la méthodologie ADKAR de la société Prosci, que signifie le « D » ?
A Domain
B Domination
C Demand
D Desire
Quizz 2 | 51
5 Combien y-a-t’il d’activité référencées dans les 5 processus de la méthodologie du PMI ?
A 47
B 49
C 35
D 5
6 Quelles sont les 3 caractéristiques d’une approche Agile ?
A Itératif, Redondant, Planifier
B Unique, Amène le Changement, Prioriser
C Incrémental, Hybride, Adaptatif
D Itératif, Incrémental, Priorisé par la valeur

Quizz 2 | 52
7 Parmi les propositions suivantes, laquelle décrirait mieux la Vision ?
A Une description exhaustive du futur résultat que le projet devra atteindre.
B Une description courte, clair et concise d’un futur désirable donnant du sens au projet.
C Un rêve et une description du désir de chacun.
D Une description courte faisant référence aux produits qui seront livrés par le projet.
Dans le modèle ‘Cinefin’, dans quelle situation sera-t’il recommandé d’utiliser une approche
8 Agile mais légère ?
A Dans une situation Complexe.
B Dans une situation Difficile.
C Dans une situation simple.
D Dans une situation Chaotique.

Quizz 2 | 53
Parmi les propositions suivantes, laquelle représente l’une des valeurs décrites dans le
9 Manifeste Agile ?
A Les processus et les outils avant de mettre en œuvre la collaboration avec le client.
B Les plans et les applications plus que la collaboration avec les clients.
C Les individus et leurs interactions plus que les processus et les outils.
D Les individus et leurs émotions plus que les objectifs et les résultats.
Pourquoi serait-il plus pertinent de choisir de mettre en œuvre un programme plus qu’un
10 projet ?
Pour obtenir beaucoup plus de budget auprès de la Direction de l’Organisation car les
A programmes sont plus stratégiques.
Lorsque le projet d’implémentation du SMSI doit excéder 9 mois, il sera préférable de

B mettre en œuvre un programme.
Lorsque deux Chefs de projet sont nécessaires pour réaliser le projet d’implémentation
C du SMSI.
Lorsqu’il sera nécessaire de réaliser une implémentation par palier en privilégiant

D l’atteinte et la transformation de la capacité de l’entreprise.
ABC - Synthèse du Chapitre 2 | 54
Synthèse du Chapitre 2 : Initialisation de la mise en œuvre du SMSI
Le chapitre 2 nous a amener à savoir définir une approche adéquate pour la mise
en œuvre d’un SMSI. Identifier la bonne méthodologie et poser la vision du SMSI.
Nous avons vu d’une manière général le processus d’implémentation

A
proposé par la norme ISO 27003.
Nous avons appris comment identifier et sélectionner la meilleure approche

B
et méthodologie nécessaire à la réalisation du projet.
Nous avons vu comment créer la vision du projet de mise en œuvre du SMSI

C
et comment identifier les objectifs principaux.

For Iso27kli Core Course FR Ch02 v3.1 180423

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

For Iso27kli Core Course FR Ch02 v3.1 180423

Transféré par

Droits d'auteur :

Formats disponibles

ISO 27001

Chapitre 2 : La mise en œuvre

 Guide de bonnes pratiques pour la

 Celui-ci vient en complément de la

 Toutes les étapes pour mettre en œuvre le SMSI sont

Source : Norme ISO 27003

Les 5 étapes de la mise en œuvre selon ISO 27003

Définir le périmètre du Système de Management de la Sécurité de

Réaliser l’analyse des besoins de l’organisation en matière de Sécurité

Réaliser l’analyse et le recensement des risques et création du plan de

Définir et conceptualiser le Système de Management de la Sécurité de

Source : Norme ISO 27003

Obtenir l’approbation du management pour initialiser le projet de mise en

Clarifier les priorités de l’organisation pour la mise en œuvre d’un

Définir le périmètre préliminaire du projet de mise en œuvre d’un

Définir les rôles et les responsabilités préliminaires pour le périmètre

Créer le Cas d’Affaire et le Plan du Management de Projet pour leurs

Source : Norme ISO 27003

Obtenir l’approbation du management pour initialiser le projet de mise en

Source : Norme ISO 27003

Définir le périmètre du Système de Management de la Sécurité de

A Définir les limites et le périmètre de l’organisation.

Définir les limites et le périmètre des technologies de l’information et

C Définir les limites et le périmètre physique du SMSI.

Intégrer l’ensemble des informations pour constituer le périmètre et

Développer la Politique ISMS et obtenir son approbation par la

Source : Norme ISO 27003

Définir le périmètre du Système de Management de la Sécurité de

Limites de Limites et Limites et

Source : Norme ISO 27003

Réaliser l’analyse des besoins de l’organisation en matière de Sécurité de

A Identifier et définir les besoins et les exigences en Sécurité de

Source : Norme ISO 27003

Réaliser l’analyse des besoins de l’organisation en matière de Sécurité de

Source : Norme ISO 27003

Réaliser l’analyse et le recensement des risques et création du plan de

A Réaliser un audit des risques, des menaces et des vulnérabilités de

Source : Norme ISO 27003

Réaliser l’analyse et le recensement des risques et création du plan de

Source : Norme ISO 27003

Définir et conceptualiser le Système de Management de la Sécurité de

Source : Norme ISO 27003

Définir et conceptualiser le Système de Management de la Sécurité de

Procédure de Gestion Flux et processus Liste des entrées

Source : Norme ISO 27003

Les annexes de la norme ISO 27003 apportent un réel atout

Une checklist pour votre projet,

La définition des rôles et responsabilités,

Des informations sur les audits internes,

La structure des politiques

Source : Norme ISO 27003

Les différentes approches possibles

Quelle est l’approche globale que nous souhaitons mettre

Source : Norme ISO 27003

Les différentes approches possibles

Les différentes approches possibles

La taille de l’organisation et l’ampleur du projet,

Les différentes approches : Traditionnelle

Pour répondre à un projet dont les objectifs et le

Les différentes approches : Agile

Incrémentale, Itérative à l’aide de cycle court,

Les différentes approches : Hybride

Un cadre souple pouvant répondre à de nombreuses