Etude comparative :

ISO 9001 VS ISO 27001

EL BOUADRANI LATAR Sara

ERRACHEDI Khouloud
LAALIUI Nihad
ZOUGMANE Achraf

1
 ISO 9001 01

02

Plan
ISO 27001

Points en communs 03

Points de différences 04

2
 PA RT I E

01 ISO 9001

3
 Définition de l’ISO 9001

• Créée en 1987 par l’ISO

• Elle s’insère dans la famille des normes (ISO 9000)

• Elle est destinée à démontrer la capacité des organisations à fournir de manière cohérente

des produits et services qui répondent aux exigences des clients et des réglementations et à

démontrer une amélioration continue

• Elle s’adresse à tout type d’organisation

4
 Principes de l’ISO 9001

Une orientation Implication du Approche Amélioration

client personnel factuelle continue

Leadership Approche Management

Processus des relations

5
 PA RT I E

02 ISO 27001

7
 ISO 27001

Une définition du système d’information

« Tout moyen dont le fonctionnement fait appel à

l’électricité et qui est destiné à élaborer, traiter, stocker,
acheminer, présenter ou détruire l’information »

8
 Estimation des risques
Pour estimer la gravité de chaque
risque identifié, il faut tenir compte de :
− la gravité de risque intrinsèque (sans
tenir compte des mesures de sécurité)
− la gravité de risque résiduelle (en
tenant compte des mesures de
sécurité).
Pour mesurer le risque, on utilise 2
paramètres :
− la probabilité ou la vraisemblance,
appelée : potentialité.
− la gravité des conséquences, appelé :
impact.
12
La potentialité intrinsèque d’un risque :
C’est la probabilité maximale de survenance du risque en l’absence
de toute mesure de sécurité. Elle dépend de :
⋆ La localisation et de l’environnement de ce risque ;
⋆ L’enjeu d’un acte volontaire pour son auteur ;
⋆ La probabilité qu’une action volontaire vise précisément l’organisation.
Exemple : une entreprise de haute technologie est plus explosée au risque
d’espionnage alors qu’une entreprise traitant des flux financiers est plus
exposée aux tentatives de fraudes.
L’impact intrinsèque :
C’est le niveau maximum des conséquences possibles pour
l’organisation en l’absence de toute mesure de sécurité
 Gestion des risques

Plans d’action Mise en œuvre Contrôle et pilotage

⋄ Intervient après les décisions de traitement de risques

⋄ Comprend l’ensemble des processus qui vont permettre de :
∘ Mettre en œuvre ces décision
∘ En contrôler les effets
∘ Les améliorer si nécessaire

Élaboration des plans d’action

− Mise en place de services de sécurité, avec, pour chacun, un objectif de niveau de qualité ;
− Mesures structurelles visant à réduire l’exposition à certains risques ;
− Mesures organisationnelles visant à éviter certains risques. En raison de contraintes de budget, de
personnels, toutes ces actions ne peuvent être entreprises immédiatement :
▷ Choix des objectif prioritaires en terme de services de sécurité et optimisation de ce choix ;
▷ Transformation de ces choix de services de sécurité en plans d’action concrets;
▷ Choix des mesures structurelles et des mesures d’évitement des risques ;
13
▷ Validation des décisions précédentes
 L’amélioration continue : Roue de Deming
⋄ Phase Act :
⋆ Prendre les mesures qui
permettent de réaliser les
corrections et les améliorations
dont l’opportunité a été mise
en lumière par la phase Check
⋆ Préparer une nouvelle
itération de la phase Plan.
⋄ Phase Check :
⋆ Audit et revue périodiques du
SMSI, qui produisent des
constats et permettent
d’imaginer des corrections et
des améliorations
9
⋄ Phase Plan :
⋆ Définir le champ du SMSI,
⋆ Identifier et évaluer les
risques, ⋆ Produire le
document (Statement Of
Applicability : SOA) qui
énumère les mesures de
sécurité à appliquer
⋄ Phase Do :
⋆ Affecter les ressources
nécessaires
⋆ Rédiger la documentation
⋆ Former le personnel
⋆ Appliquer les mesures
décidées
⋆ Identifier les risques
résiduels
 PA RT I E

03 Points en communs

14
 Points en communs

• Contexte d’organisme : examen des questions internes / externes, ainsi que des parties
intéressées
• Leadership : soutien de la haute direction en matière de ressources, de communication et
d'alignement des objectifs du système de gestion avec ceux des objectifs commerciaux globaux
de l'organisation
• Soutien aux ressources humaines : confirmation d'un soutien adéquat pour la mise en œuvre et
la maintenance continue des systèmes de gestion
• Gestion des documents : processus de documentation et procédure de documentation du
système de gestion

15
 • Audit interne : confirmation qu'un examen indépendant et objectif du système de gestion est
effectué
• Mesure et surveillance : confirmation que les opérations du système de gestion sont surveillées
• Revue de direction : preuve que le personnel de direction concerné examine la performance
continue, l'adéquation continue, l'adéquation et l'efficacité du système de gestion
• Amélioration continue : efforts continus et avant-gardistes pour améliorer le système de
gestion global

16
 PA RT I E

04 Points de différence

17
 Points de différence

ISO 9001 (Qualité) ISO 27001 (Sécurité SI)

• S’intéresse à la sécurité des systèmes d’information et

Champs
• S’intéresse aux produits de services de la vie privée aussi bien des clients que des salariés
d’application des entreprises

• Satisfaction des exigences des clients et parties

• Satisfaction des exigences des clients.
intéressées.
Objectifs • Préparation et réalisation des produits ou
• Maîtrise des risques liés aux systèmes d’information
services.
• Respect de la vie privée

18
 • Clients/Contrats/Commandes • Clients / Parties intéressées
Source des
• Les exigences légales et réglementaires • Les exigences légales et réglementaires concernant le
exigences concernant le produit SI

• Des exigences plus fortes en termes de

procédures obligatoires et aussi en • Des notions de situation d’urgence et de gestion de
Types d’exigence termes de communication interne et en risque sont plus fortes dans le cadre des SMSI
externe.

• Identification des exigences demandées • Identification des risques et des opportunités

Etape préalable
• Analyse • Appréciation et traitement des risques