Académique Documents
Professionnel Documents
Culture Documents
Introduction
Bref, D’un point de vue d’un SMSI basé sur l’ISO il suffirait de déployer
des mesures de nature organisationnelle, de piloter le tout de manière
responsable pour en tirer de bons résultats.
Se démarquer de la concurrence
La norme ISO/IEC 27001 fournit aux entreprises de toutes tailles, quel que
soit leur secteur d’activité, des lignes directrices pour l’établissement, la
mise en œuvre, la tenue à jour et l’amélioration continue d’un système de
management de la sécurité de l’information.
La norme ISO/CEI 27001 décrit les exigences pour la mise en place d'un
Système de Management de la Sécurité de l'Information (SMSI). Le SMSI
est destiné à choisir les mesures de sécurité afin d'assurer la protection des
biens sensibles d'une entreprise sur un périmètre défini
Le SMSI est défini par l’ensemble des ressources mises en place pour
organiser et gérer au quotidien la sécurité de l’information.
Il constitue donc un dispositif global de gouvernance de la sécurité de
l’information. Il englobe l’ensemble des documents définissant les règles et
processus de sécurité, l’organisation associée ainsi que les infrastructures
techniques de sécurité.
Le corps de la norme ISO 27001 est consacré à la création et au maintien du
SMSI.
La norme ISO 27001 propose d’intégrer ces éléments comme des fondements
incontournables de la démarche sécurité:
1) Des processus de sécurité bien identifiés et formalisés (analyse de
risques, gestion des incidents, sensibilisation, ….
2) Le contrôle systématique des éléments mis en œuvre via le SMSI.
3) La gestion efficiente de la documentation (création et mises à jour).
4) La gestion stricte des enregistrements pour permettre le contrôle des
mesures de sécurité mises en place (traces de tous les accès à un local
sécurisé).
IUC_elearning_2024
Donc, L’ISO 27001 propose des principes pertinents qui amènent un plus réel
aux démarches d’amélioration de la sécurité.
• Une meilleure maîtrise des risques qui pèsent réellement sur les activités de
l’entreprise.
• La garantie de mieux dimensionner le budget sécurité et surtout de
l’affecter aux mesures les plus pertinentes.
• Une association plus systématique des acteurs métiers et du management
aux décisions, et
• Donc une meilleure acceptation des contraintes amenées par les mesures
de sécurité.
• Un pilotage plus efficace du traitement des risques.
• La facilitation d’autres démarches liées à la sécurité de l’information,
I- Définition du risque
Un risque est un danger éventuel, plus ou moins prévisible, inhérent à une
situation ou à une activité. Le risque est défini comme l’éventualité d'un
événement futur, incertain, ne dépendant pas exclusivement de la volonté des
parties et pouvant
Causer la perte d'un objet ou tout autre dommage
Risques humains
Les risques humains concernent les utilisateurs
• La maladresse…des erreurs.
• L'inconscience et l'ignorance……de nombreux utilisateurs d'outils
IUC_elearning_2024
Risques techniques
Les risques techniques sont tout simplement ceux liés
aux défauts et pannes inévitables que connaissent tous les
systèmes matériels et logiciels.
• Incidents liés au matériel….
• Incidents liés au logiciel…ils sont de très loin les plus fréquents
• Incidents liés à l'environnement…dus aux variations de
Température ou d'humidité
Risques juridiques
L'ouverture des applications informatiques par le web et la multiplication des
messages électroniques augmentent les risques juridiques liés à l'usage des
technologies de l’information.
On peut citer notamment :
III-Programmes malveillants
La mise en place d’un SMSI efficace ne peut se faire sans une gestion des tiers
rigoureuse et systématique. Les fournisseurs, les partenaires et les sous-traitants
peuvent en effet avoir accès à des informations sensibles et présentent donc un
risque pour la sécurité de l’information, surtout dans un contexte d’intégration
informatique via des outils collaboratifs.
Chaque interaction avec ces tiers peut introduire des risques potentiels pour la
sécurité de l’information, la confidentialité et la continuité de l’activité. Il est
donc essentiel que ces risques soient identifiés, évalués et gérés de manière
appropriée dans le cadre du SMSI.
La gestion des tiers dans le cadre du SMSI se concentre sur trois familles de
risques :