LA27001 FR Day1

© PECB, 2020. Tous droits réservés.
Version11.0
Numéro de document: ISMSLAD1V11.0
Les documents fournis aux participants sont strictement réservés à des fins de formation. Aucune partie de ces
documents ne peut être publiée, distribuée, affichée sur Internet ou sur un intranet, extraite ou reproduite sous
quelque forme ou par quelque moyen que ce soit, électronique ou mécanique, y compris par photocopie, sans
l’autorisation écrite préalable de PECB.
Licensed to CYBERBST Conseil & Formation SARL ()

©Copyrighted material PECB®. Single user license only, copying and networking prohibited. Downloaded: 2021-12-20
1/139
Jour 1: Introduction au système de management de la sécurité de l'information (SMSI) et à ISO/IEC 27001
Section 1: Objectifs et structure de la formation
Section 2: Normes et cadres réglementaires
Section 3: Processus de certification
Section 4: Concepts et principes fondamentaux de la sécurité de l’information
Section 5: Système de management de la sécurité de l’information (SMSI)
Jour 2: Principes d'audit, préparation et initiation d'un audit
Section 6: Concepts et principes fondamentaux de l’audit
Section 7: Impact des tendances et de la technologie en audit
Section 8: Audit basé sur les preuves
Section 9: Audit basé sur les risques
Section 10: Initiation du processus d’audit
Section 11: Étape1 de l’audit
Jour 3: Activités d'audit sur site
Section 12: Préparation de l’étape2 de l’audit
Section 13: Étape2 de l’audit
Section 14: Communication pendant l’audit
Section 15: Procédures d’audit
Section 16: Création de plans d’échantillonnage d’audit

2/139
Jour 4: Clôture de l’audit
Section 17: Rédaction des rapports de constatations d’audit et de non-conformité
Section 18: Documentation d’audit et revue de la qualité
Section 19: Clôture de l’audit
Section 20: Évaluation des plans d’action par l’auditeur
Section 21: Après l’audit initial
Section 22: Gestion d’un programme d’audit interne
Section 23: Clôture de la formation
Jour 5: Examen de certification

3/139
Normes de référence
1.Principales normes:
ISO/IEC 27001:2013, Technologies de l'information – Techniques de sécurité – Systèmes de management
de la sécurité de l'information – Exigences
ISO/IEC 27002:2013, Technologies de l'information – Techniques de sécurité – Code de bonne pratique
pour le management de la sécurité de l'information
ISO/IEC 27005:2018, Technologies de l'information – Techniques de sécurité – Gestion des risques liés à
la sécurité de l'information
ISO/IEC 27006:2015, Technologies de l'information – Techniques de sécurité – Exigences pour les
organismes procédant à l'audit et à la certification des systèmes de management de la sécurité de
l'information
ISO/IEC 27007:2020, Technologies de l’information, cybersécurité et protection des données privées –
Lignes directrices pour l’audit des systèmes de management de la sécurité de l’information
ISO/IEC TS27008:2019, Technologies de l’information – Techniques de sécurité – Lignes directrices pour
les auditeurs des contrôles de sécurité de l’information
ISO/IEC 27000:2018, Technologies de l'information – Techniques de sécurité – Systèmes de management
de la sécurité de l'information – Vue d'ensemble et vocabulaire
2.Autres normes référencées:
ISO19011:2018, Lignes directrices pour l’audit des systèmes de management
ISO/IEC 17021-1:2015, Évaluation de la conformité – Exigences pour les organismes procédant à l'audit et
à la certification des systèmes de management – Partie 1: Exigences
ISO/IEC 17024:2012, Évaluation de la conformité – Exigences générales pour les organismes de
certification procédant à la certification de personnes
ISO/IEC 17065:2012, Évaluation de la conformité – Exigences pour les organismes certifiant les produits,
les procédés et les services
Directives ISO/IEC, Partie1:2019, Procédures pour les travaux techniques
ISO 31000:2018, Management du risque – Lignes directrices
ISO 9000:2015, Systèmes de management de la qualité – Principes essentiels et vocabulaire
ISO 55000:2014, Gestion d’actifs – Aperçu général, principe et terminologie

4/139
Liste des acronymes
BS : British Standard
COBIT : Control Objectives for Information and related Technology
CRAMM : CCTA Risk Analysis and Management Method
DCP : Données à caractère personnel
EA : European co-operation for Accreditation
FISMA : Federal Information Security Management Act
FPC : Formation professionnelle continue
GAAS : (Generally Accepted Auditing Standards) : Normes d'audit généralement admises
HIPAA : Health Insurance Portability and Accountability Act
IA : Intelligence artificielle
IaaS : Infrastructure as a Service
IAF : Intelligence artificielle forte
IAF : International Accreditation Forum
IAS : International Accreditation Service
IMS2 : Integrated Implementation Methodology for Management Systems and Standards
ISO : Organisation internationale de normalisation
LA : Lead Auditor

5/139
LI : Lead Implementer
NC : Non-conformité
NIST : National Institute of Standards and Technology
OCDE : Organisation de coopération et de développement économiques
OCTAVE : Operationally Critical Threat, Asset and Vulnerability Evaluation
OED : Oxford English Dictionary
PaaS : Platform as a Service
PCI DSS : Payment Card Industry Data Security Standard
PDCA : Planifier-Déployer-Contrôler-Agir
PECB : Professional Evaluation and Certification Board
SaaS : Software as a Service
SMSI : Système de management de la sécurité de l’information
SoA : (Statement of applicability) : Déclaration d'applicabilité
SOX : Sarbanes–Oxley Act
SQL : Structured Query Language
STE : Security Testing and Evaluation
TIC : Technologies de l'information et de la communication

6/139
Note de terminologie
La terminologie utilisée tout au long de cette formation est basée sur les normes suivantes : ISO 19011:2018,
ISO/IEC 17021-1:2015, ISO/IEC 27000:2018, ISO/IEC 27001:2013, ISO/IEC 27005:2018, ISO 9000:2015, etc.
Dans cette formation, nous nous sommes efforcés de rassembler les meilleures pratiques de plusieurs normes
internationales. Les praticiens de ce domaine utilisent parfois une terminologie différente ou peuvent utiliser la
même terminologie ou une terminologie similaire pour signifier différentes choses.
La signification d'un mot ou d'un terme spécifique dépend du contexte. Par conséquent, veuillez prêter attention
au contexte spécifique dans lequel ce terme spécifique est utilisé, ainsi qu'à la référence à la norme.
Par exemple :
«Information documentée» est le terme qui a remplacé les termes documents et enregistrements dans les
normes révisées du système de management qui sont basées sur la structure de haut niveau (HLS) du format de
l'Annexe L. Ce terme est défini comme «l'information qui doit être contrôlée et conservée par un organisme et le
support sur lequel elle est contenue».
Par conséquent, sur la base de l'ISO
(https://www.iso.org/files/live/sites/isoorg/files/archive/pdf/en/documented_information.pdf), il existe deux types
d'information documentée :
1. L'information documentée qui devrait être maintenue, telle que les politiques, les procédures, etc.
2. L'information documentée qui devrait être conservée, telle que les enregistrements.
Tout au long de cette formation, nous faisons parfois référence à des documents sans les qualifier d'«information
documentée». La présentation des articles de l'ISO est un exemple d'une telle approche :
ISO/IEC 27001, AnnexeA.18.1.3 Protection des enregistrements
Les enregistrements doivent être protégés de la perte, de la destruction, de la falsification, des accès non
autorisés et des diffusions non autorisées, conformément aux exigences légales, réglementaires, contractuelles et
aux exigences métier.

7/139
Ceci est fait uniquement pour clarifier la compréhension.

8/139
Cette section présente les objectifs de la formation et sa structure, y compris le processus d'examen et de
certification et l'importance d'être un auditeur certifié.

9/139
Afin de briser la glace, tous les participants se présenteront en mentionnant:
Nom
Fonction actuelle
Connaissances et expérience relatives à la sécurité de l’information
Connaissances et expérience avec ISO/IEC 27001 et d'autres normes de la famille ISO/IEC 27000
(ISO/IEC 27002, ISO/IEC 27003, ISO/IEC 27004, ISO/IEC 27005, etc.)
Connaissances et expérience relatives à d’autres systèmes de management (ISO 9001, ISO 14001,
ISO/IEC 20000-1, ISO 22301, etc.)
Connaissance et expérience des pratiques d'audit
Attentes de cette formation
Durée de l’activité: 20 minutes

10/139
En tant que prestataire mondial de services de formation, d’examen et de certification, PECB offre son expertise
dans de multiples domaines, notamment la sécurité de l'information, la protection de la vie privée et des
données, la continuité d'activité, le management des services et de la qualité, la gestion des risques, la santé et
sécurité, et la durabilité.
PECB aide les professionnels à démontrer engagement et compétence en leur fournissant une formation, une
évaluation et une certification de qualité conformément aux exigences de normes reconnues mondialement. La
mission de PECB est de fournir à nos clients des services qui inspirent confiance, démontrent la compétence et
bénéficient à toute la société.
Les principaux objectifs de PECB sont les suivants :
1. Établir les exigences minimales nécessaires pour certifier les professionnels
2. Examiner et vérifier les qualifications des candidats afin de s'assurer qu'ils peuvent prétendre à la
certification
3. Élaborer et maintenir des processus de demande de certificat PECB fiables et valides
4. Délivrer des certificats aux candidats qualifiés, maintenir à jour et publier un registre des titulaires de
certificats PECB valides
5. Établir des exigences pour le renouvellement périodique de la certification PECB et déterminer la
conformité à ces exigences
6. S'assurer que les personnes certifiées satisfont aux normes d'éthique et adhèrent au Code de déontologie
de PECB
7. Promouvoir les avantages de la certification aux organismes, aux fonctionnaires, aux praticiens dans les
domaines connexes et au grand public

11/139
Veuillez noter la localisation des issues de secours en cas d’urgence.
Entente sur l’horaire du cours et les deux pauses. Merci d’être à l’heure.
Réglez votre téléphone portable en mode silencieux. Si vous devez répondre à un appel, veuillez le faire
en dehors de la salle de classe.
Les appareils d’enregistrement sont interdits, car ils peuvent nuire à la libre discussion.
Les sessions de formation sont conçues pour encourager chacun à participer et à tirer le meilleur parti de
la formation.
Service client
Afin d’assurer la satisfaction du client et l'amélioration continue, le service client de PECB a mis en place un
système de tickets d’assistance pour traiter les réclamations.
Dans un premier temps, nous vous invitons à discuter de la situation avec le formateur. Si nécessaire, n’hésitez
pas à contacter le responsable de l’organisme de formation où vous êtes inscrit. Dans tous les cas, nous restons
à votre disposition pour arbitrer tout litige pouvant survenir entre vous et la société de formation.
Pour envoyer vos commentaires, questions ou réclamations, veuillez ouvrir un ticket d’assistance sur le site Web
de PECB au Centre d'aide PECB (www.pecb.com/help).
En cas d’insatisfaction à l’égard de la formation (formateur, salle de formation, équipement, etc.), de l’examen ou
des processus de certification, rendez vous au Centre d'aide de PECB (www.pecb.com/help), et ouvrez un
ticket sous la rubrique d’aide Déposer une plainte.
Si vous avez des suggestions concernant l’amélioration des supports de formation PECB, nous aimerions les lire
et analyser vos commentaires. Vous pouvez le faire directement depuis notre application KATE ou vous pouvez
créer un ticket adressé au service de formation depuis le Centre d'aide de PECB (www.pecb.com/help).

12/139
Cette formation est destinée à aider les participants à renforcer leurs connaissances et leurs compétences qui
les aideront dans l'audit d'un système de management de la sécurité de l'information. D'un point de vue
pédagogique, la compétence se compose des 3 éléments suivants:
1. Connaissance
2. Compétence
3. Comportement (attitude)
L’objectif de cette formation est d’aider les participants à acquérir les connaissances sur les techniques d’audit, et
non à acquérir une expertise en management de la sécurité de l'information. Par conséquent, une connaissance
générale des concepts de management de la sécurité de l'information est nécessaire pour réussir le cours.
Si les participants souhaitent acquérir des connaissances approfondies sur la mise en œuvre et le management
d'un SMSI, nous leur recommandons de suivre la formation PECB Certified ISO/IEC 27001 Lead Implementer.

13/139
Cette formation est axée sur les réalités quotidiennes de la réalisation d'audits. L'étude de cas et les discussions
simulent des situations de la vie réelle.
Plusieurs exercices permettront aux participants de renforcer leurs compétences personnelles qui sont
nécessaires pour mener des activités d'audit, telles que la prise de décision, le travail d'équipe, la présentation et
la rédaction de rapports.
Note importante : La formation PECB Certified ISO/IEC 27001 Lead Auditor est destinée aux auditeurs
internes et externes. Les techniques d'audit et la compétence des auditeurs sont communes à tous les types
d'audit. Les caractéristiques des différents types d'audits seront expliquées au cours de cette formation. Une
section du quatrième jour est consacrée aux audits internes.

14/139
Pour mener à bien cette formation, ces deux facteurs sont essentiels :
Instructions du formateur
Implication des participants
L'interaction par le biais de questions et de suggestions est fortement encouragée. Les participants peuvent
contribuer au mieux à la formation en participant aux exercices, à l’étude de cas et aux discussions. Les
participants sont encouragés à prendre des notes complémentaires.
Les exercices, en particulier, sont importants car ils aident à préparer l'examen de certification.
N'oubliez pas: Ce cours est le vôtre ; vous êtes le principal acteur de son succès.

15/139
ISO 19011 fournit des lignes directrices sur l’audit de systèmes de management, comprenant les principes de
l’audit, le management d’un programme d’audit et la réalisation d’audits de systèmes de management. Elle
donne également des lignes directrices sur l’évaluation de la compétence des personnes impliquées dans le
processus d’audit. Elle s'applique à tous les organismes qui souhaitent procéder à des audits internes et
externes.
Source: www.iso.org
International Federation of Accountants (IFAC) est une organisation mondiale pour la comptabilité. Elle opère
dans plus de 130 pays avec plus de 175 membres et associés afin de protéger l'intérêt public en encourageant
l'utilisation des meilleures pratiques en matière de comptabilité. Les normes élaborées par l'IFAC fournissent des
lignes directrices dans les domaines suivants : audit, assurance, contrôle et services liés à la qualité, à la
formation, à l'éthique et à la comptabilité.
Source : www.ifac.org
The Institute of Internal Auditors (IIA) est une organisation mondiale qui défend, forme et met en relation les
auditeurs internes du monde entier. Elle élabore également des orientations internationales presque
exclusivement pour les audits internes. Ces lignes directrices sont basées sur une analyse minutieuse, des
consultations et les principes fondamentaux concernant la performance des services d'audit interne par les
membres de l'IIA.
Source : www.theiia.org
Les GAAS (Generally Accepted Auditing Standards) sont des normes d'audit développées par l'AICPA (American
Institute of Certified Public Accountants), comprenant des normes générales, des normes par secteur d'activité et
des normes de rapport avec interprétations.
Source : www.aicpa.org

16/139
L'objectif de l'examen de certification est d'évaluer si les candidats ont saisi les concepts et les techniques d'audit
afin de pouvoir planifier et gérer un programme d'audit et diriger une équipe d'auditeurs.
Le comité d'examen de PECB veille à ce que les questions soient adéquates et basées sur la pratique
professionnelle.
Tous les domaines de compétence sont couverts par l’examen. Pour lire une description détaillée de chaque
domaine de compétences, consultez le Guide de préparation à l’examen sur le site Web de PECB.

17/139
Les personnes qui ne remplissent pas toutes les conditions préalables à la certification ne peuvent prétendre à la
certification PECB Certified ISO/IEC 27001 Lead Auditor.
Un candidat moins expérimenté peut postuler pour la certification «PECB Certified ISO/IEC 27001 Auditor» ou
«PECB Certified ISO/IEC 27001 Provisional Auditor».
Le processus de certification sera expliqué en détail au cours de la dernière journée de formation.

18/139
Après la réussite de l’examen, le candidat dispose d’un délai maximal de trois ans pour soumettre sa demande
de certification professionnelle.
Le certificat est valable trois ans. Pour maintenir sa certification, le candidat doit démontrer chaque année qu’il
satisfait aux exigences de la certification et qu'il adhère au Code de déontologie de PECB. Pour en savoir plus
sur la procédure de maintien et de renouvellement des certificats, veuillez consulter le site Web de PECB.

19/139
La certification est une reconnaissance formelle de votre compétence professionnelle à exercer des
responsabilités liées à l'emploi.
Une certification internationalement reconnue peut vous aider à maximiser le potentiel de votre carrière et
à atteindre vos objectifs professionnels.
Les recherches montrent que les auditeurs certifiés gagnent un salaire moyen considérablement plus
élevé que leurs homologues non certifiés.

20/139
21/139
Cette section présente l'Organisation internationale de normalisation (ISO) et la norme ISO/IEC 27001. Les
avantages de la mise en œuvre d'un SMSI sont également abordés.

22/139
L'ISO applique les principes suivants lors de l'élaboration de normes internationales :
1.Les normes ISO répondent à un besoin du marché.
ISO élabore uniquement des normes pour lesquelles il existe une demande du marché, en réponse à des
demandes officielles de secteurs industriels ou des parties prenantes (par ex. des groupes de consommateurs).
En général, la demande pour une norme est communiquée aux membres nationaux qui contactent ensuite l’ISO.
2.Les normes ISO sont élaborées à partir de l'avis d'experts mondiaux.
Les normes ISO sont élaborées par divers comités techniques (TC) composés d'experts du monde entier. Ces
experts négocient tous les aspects de la norme, y compris son domaine d’application, ses définitions et son
contenu.
3.Les normes ISO sont élaborées dans le cadre d'un processus multipartite.
Les comités techniques sont composés d'experts de l'industrie concernée, mais aussi d'associations de
consommateurs, d'universitaires, d'ONG et de gouvernements.
4.Les normes ISO sont le résultat d’un consensus.
L'élaboration des normes ISO repose sur une approche consensuelle et les commentaires de toutes les parties
prenantes sont pris en compte. Tous les pays membres de l'ISO, quelle que soit la taille ou la force de leur
économie, sont sur un pied d'égalité en matière d’influence dans l'élaboration de normes.
Pour plus d'informations, veuillez visiter: www.iso.org.

23/139
La famille de normes ISO/IEC 27000 est une série de normes de sécurité de l'information. Elle comprend les
normes suivantes :
ISO/IEC 27000: Présente les concepts de base et le vocabulaire qui s'appliquent lors de l'établissement
d'un système de management de la sécurité de l'information (Une copie gratuite de cette norme peut être
téléchargée sur le site Web de l'ISO).
ISO/IEC 27001: Définit les exigences d’un système de management de la sécurité de l'information (SMSI)
et fournit un ensemble de mesures de sécurité de référence dans son Annexe A.
ISO/IEC 27701: Spécifie les exigences et lignes directrices pour l'établissement, la mise en œuvre, la
maintenance et l'amélioration continue d'un système de management de l'information sur la vie privée
(PIMS) en tant qu'extension des normes ISO/IEC 27001 et ISO/IEC 27002 pour le management de la vie
privée (suite au traitement des IIP).
ISO/IEC 27002 (remplace ISO/IEC 17799): Code de pratique pour le management de la sécurité de
l'information (Cette norme fournit des objectifs et des lignes directrices pour la mise en œuvre des
mesures de sécurité. Elle est destinée à répondre aux besoins des organismes de tous types et de toutes
tailles.)
ISO/IEC 27003: Lignes directrices pour la mise en œuvre d'un SMSI
ISO/IEC 27004: Lignes directrices sur le suivi et la mesure des performances en matière de sécurité de
l'information et de l'efficacité du SMSI
ISO/IEC 27005: Lignes directrices sur la gestion des risques liés à la sécurité de l'information conforme
aux concepts, modèles et processus généraux spécifiés dans ISO/IEC 27001
ISO/IEC 27006: Exigences pour les organismes qui auditent et certifient les SMSI
ISO/IEC 27007: Lignes directrices pour l'audit des systèmes de management de la sécurité de
l'information
ISO/IEC TS 27008 : Lignes directrices pour les auditeurs des mesures de sécurité en sécurité de
l'information
ISO/IEC 27011: Lignes directrices pour l'utilisation d'ISO/IEC 27002 dans l'industrie des
télécommunications
ISO 27799: Lignes directrices pour l'utilisation d'ISO/IEC 27002 en informatique de la santé

24/139
L'histoire et le raisonnement derrière l'élaboration des normes de la famille ISO/IEC 27000 :
L’industrie a exprimé le besoin de bonnes pratiques et de mesures de sécurité pour soutenir les
entreprises et les gouvernements dans la mise en œuvre et l’amélioration de la sécurité de l’information.
Le Department of Trade and Industry (Royaume-Uni) a constitué un groupe de travail composé de
spécialistes de la sécurité de l'information.
Un «Code de bonne pratique», essentiellement un ensemble de mesures (BS 7799), a été publié.
Plusieurs de ces mesures sont reconnaissables dans ISO/IEC 27002.
Il a été suivi d'une «Spécification de sécurité de l'information» (BS7799-2, précédemment 7799 qui devient
7799-1).
Ces documents ont finalement été adoptés comme normes ISO, BS7799-2 devenant ISO/IEC 27001 et
7799-1 devenant 27002, ce qui place logiquement les Exigences en premier et le Code de bonne pratique
en deuxième (lignes directrices).
Ils ont ensuite été complétés par les normes ISO/IEC 27003, 27004, 27005 et diverses normes
d'interprétation sectorielles.
Les normes ISO font l'objet d'une révision tous les cinq ans afin de suivre l'évolution des différentes
industries. La dernière révision et confirmation de la norme ISO/IEC 27001 a eu lieu en 2019 ; cette
version reste donc d'actualité.

25/139
ISO/IEC 27001:
Un ensemble d'exigences normatives pour établir, mettre en œuvre, exploiter, surveiller et réviser un
système de management de la sécurité de l'information (SMSI)
Un ensemble d’exigences pour sélectionner les mesures de sécurité adaptées aux besoins de chaque
organisme en fonction des bonnes pratiques de l’industrie
Un système de management intégré dans le cadre global du risque de l'activité de l'organisme
Un processus internationalement reconnu, défini et structuré pour gérer la sécurité de l'information
Une norme internationale qui convient à tous les types d'organismes, quel que soit leur taille ou le secteur
dans lequel ils opèrent (par exemple les entreprises commerciales, les agences gouvernementales, les
organisations à but non lucratif)
ISO/IEC 27001, article 0.1 Généralités
La présente Norme internationale a été élaborée pour fournir des exigences en vue de l’établissement, de la mise
en œuvre, de la tenue à jour et de l’amélioration continue d’un système de management de la sécurité de
l’information. L’adoption d’un système de management de la sécurité de l’information relève d’une décision
stratégique de l’organisation. L’établissement et la mise en œuvre d’un système de management de la sécurité de
l’information d’une organisation tiennent compte des besoins et des objectifs de l’organisation, des exigences de
sécurité, des processus organisationnels mis en œuvre, ainsi que de la taille et de la structure de l’organisation.
Tous ces facteurs d’influence sont appelés à évoluer dans le temps.
Le système de management de la sécurité de l’information préserve la confidentialité, l’intégrité et la disponibilité
de l’information en appliquant un processus de gestion des risques et donne aux partiesintéressées l’assurance
que les risques sont gérés de manière adéquate.
Il est important que le système de management de la sécurité de l’information fasse partie intégrante des
processus et de la structure de management d’ensemble de l’organisation et que la sécurité del’information soit
prise en compte dans la conception des processus, des systèmes d’information et des mesures. Il est prévu qu’un
système de management de la sécurité de l’information évolue conformément aux besoins de l’organisation.
La présente Norme internationale peut être utilisée par les parties internes et externes pour évaluer la capacité de
l’organisation à répondre à ses propres exigences en matière de sécurité de l’information.

26/139
ISO/IEC 27701, article 1 Domaine d'application
Le présent document spécifie les exigences et fournit des recommandations pour la création, la mise en œuvre, le
maintien et l'amélioration continue d'un système de management de la protection de la vie privée (PIMS) sous la
forme d'une extension de l'ISO/IEC 27001 et l'ISO/IEC 27002 pour le management de la protection de la vie
privée dans le contexte de l'organisation.
Le présent document spécifie les exigences liées au PIMS et fournit des recommandations destinées aux
responsables de traitement de DCP et aux sous-traitants de DCP chargés de et responsables du traitement des
DCP.
Le présent document s'applique aux organisations de tous types et de toutes tailles, y compris les entreprises
publiques et privées, les entités gouvernementales et les organisations à but non lucratif, qui sont des
responsables de traitement de DCP et/ou des sous-traitants de DCP qui traitent les DCP à l'aide d'un SMSI.

27/139
ISO/IEC 27002:
ISO/IEC 27002 est un guide des mesures de management de la sécurité de l'information.
Cette Norme internationale fournit une liste des objectifs et des mesures de sécurité généralement utilisés
dans le secteur de la sécurité de l'information.
En particulier, les articles5 à 18 présentent des lignes directrices détaillées sur les bonnes pratiques à
l’appui des mesures de sécurité spécifiées à l’Annexe A de la norme ISO/IEC27001 (articlesA.5 à A.18).
ISO/IEC 27002, article 1 Domaine d’application
La présente Norme internationale donne des lignes directrices en matière de normes organisationnelles relatives
à la sécurité de l’information et des bonnes pratiques de management de la sécurité de l’information, incluant la
sélection, la mise en œuvre et la gestion de mesures de sécurité prenant en compte le ou les environnement(s)
de risques de sécurité de l’information de l’organisation.
La présente Norme internationale est élaborée à l’intention des organisations désireuses
a. de sélectionner les mesures nécessaires dans le cadre du processus de mise en œuvre d’un système de
management de la sécurité de l’information (SMSI) selon l’ISO/CEI 27001;
b. de mettre en œuvre des mesures de sécurité de l’information largement reconnues;
c. d’élaborer leurs propres lignes directrices de management de la sécurité de l’information.

28/139
Certaines de ces normes sont déjà publiées ou en cours d'élaboration :
ISO/IEC 27010: Gestion de la sécurité de l’information des communications intersectorielles et
interorganisationnelles
ISO/IEC 27011: Code de bonnes pratiques pour les mesures de la sécurité de l’information fondé sur
l’ISO/IEC 27002 dans l’industrie des télécommunications
ISO/IEC 27013: Guide pour la mise en œuvre intégrée d’ISO/IEC 27001 et ISO/IEC 20000-1
ISO/IEC 27014: Gouvernance de la sécurité de l'information
ISO/IEC TR 27015 : Lignes directrices pour le management de la sécurité de l’information pour les
services financiers
ISO/IEC TR 27016 : Sécurité de l’information lié à l'économie organisationnelle
ISO/IEC 27017: Code de pratique pour les mesures de la sécurité de l’information fondés sur ISO/IEC
27002 pour les services du nuage
ISO/IEC 27018: Code de bonnes pratiques pour la protection des informations d'identification personnelles
(IIP) dans l’informatique en nuage public agissant comme processeur d'IIP
ISO/IEC 27031: Lignes directrices pour la préparation des technologies de la communication et de
l'information pour la continuité d’activité
ISO/IEC 27032: Lignes directrices pour la cybersécurité
ISO/IEC 27033: Sécurité de réseau
ISO/IEC 27034: Sécurité des applications
ISO/IEC 27035: Gestion des incidents de sécurité de l’information
ISO/IEC 27036: Sécurité de l’information pour la relation avec le fournisseur
ISO/IEC 27037: Lignes directrices pour l’identification, la collecte, l’acquisition et la préservation de
preuves numériques
ISO/IEC 27038: Spécifications concernant l’expurgation numérique
ISO/IEC 27039: Sélection, déploiement et opérations des systèmes de détection et prévention d’intrusion
(IDPS)
ISO/IEC 27040: Sécurité de stockage
ISO/IEC 27041: Préconisations concernant la garantie d’aptitude à l’emploi et d’adéquation des méthodes
d’investigation sur incident
ISO/IEC 27042: Lignes directrices pour l’analyse et l’interprétation des preuves numériques
ISO/IEC 27043: Principes et processus d’investigation sur incident
ISO/IEC 29100: Cadre privé
29/139
30/139
Exercice1: Raisons d’adopter ISO/IEC27001
Après avoir lu la section de l'étude de cas intitulée « Contexte de l'entreprise », déterminez et expliquez les trois
avantages les plus significatifs que BankIT Solutions retirerait en mettant en œuvre un système de management
de la sécurité de l'information basé sur ISO/IEC 27001. En outre, expliquez comment l'organisme peut mesurer
ces avantages au moyen de mesures.
Quels sont les risques potentiels si BankIT Solutions décidait de ne pas se conformer à ISO/IEC 27001 ?
Durée de l’exercice : 30 minutes
Commentaires : 15 minutes

31/139
1. Amélioration de la sécurité :
Amélioration générale de l’efficacité de la sécurité de l’information
Meilleur management des mesures de sécurité de l'information
2. Bonne gouvernance:
Sensibilisation et responsabilisation du personnel quant à la sécurité de l’information
Augmentation de l’imputabilité de la direction quant à la sécurité de l'information
3. Reconnaissance internationale accrue :
Conformité aux normes de l'industrie
Conformité aux lois nationales et internationales
4. Satisfaction accrue de la clientèle :
Augmentation de la fidélité des clients
Augmentation de la confiance des clients
5. Avantage concurrentiel :
Respect des exigences et des attentes des clients et des parties intéressées
Renforcer la confiance des clients, des fournisseurs et des partenaires de l'organisme

32/139
ISO/IEC 27002, article 18.1 Conformité aux obligations légales et réglementaires
Objectif: Éviter toute violation des obligations légales, statutaires, réglementaires ou contractuelles relatives à la
sécurité de l’information, éviter toute violation des exigences de sécurité.
ISO/IEC 27002, article 18.1.1 Identification de la législation et des exigences contractuelles applicables
Mesure
Il convient, pour chaque système d’information et pour l’organisation elle-même, de définir, documenter et mettre
à jour explicitement toutes les exigences légales, réglementaires et contractuelles en vigueur, ainsi que
l’approche adoptée par l’organisation pour satisfaire à ces exigences.
Préconisations de mise en œuvre
De la même façon, il convient de définir et de documenter les mesures spécifiques et les responsabilités
individuelles mises en place pour répondre à ces exigences.
Il convient que les responsables identifient toutes les législations applicables à l’organisation afin de répondre aux
exigences liées à leur type d’activité. Si l’organisation mène des activités dans d’autres pays, il convient que les
responsables étudient la conformité aux règles des pays concernés.

33/139
1.Protection des données
De nombreux pays ont mis en place des lois sur la protection des données qui visent à préserver la
confidentialité et l'intégrité des données. En tant que telle, l’information personnelle est sujette à une
gestion et à un enregistrement adéquats. Par conséquent, les organismes doivent mettre en œuvre des
mesures appropriées pour assurer la protection de la vie privée et des données personnelles.
2.Protection de la vie privée
Conformément aux législations applicables, beaucoup d’organismes choisissent d’établir une Politique de
protection de la vie privée, souvent conçue pour atteindre les objectifs suivants:
Augmenter la sensibilisation aux exigences réglementaires, légales et métier en ce qui concerne le
traitement et la protection de l’information personnelle
Établir une politique organisationnelle claire et complète pour le traitement de l’information
personnelle
Définir la responsabilité de toutes les personnes traitant l’information personnelle
Habiliter l’organisme à respecter sa responsabilité commerciale, légale et réglementaire en ce qui
concerne l’information personnelle
3.Cybercrimes
Les cybercrimes englobent les crimes qui visent les réseaux informatiques d'un organisme. Les
dommages causés par ces crimes peuvent être dévastateurs : pertes financières, atteinte à la réputation,
etc. L'organisme doit être conscient de ces crimes et mettre en œuvre les contre-mesures adéquates (qui
sont conformes aux lois applicables) afin de faire face à ces crimes. Les mesures de protection ne
peuvent pas être elles-mêmes des crimes (par exemple, répondre au spam par le dépassment de
mémoire [buffer overflow]).

34/139
4.Signature numérique
Aujourd'hui, la loi reconnaît la validité des signatures numériques, un outil technologique qui permet de
vérifier qui est l'auteur d'un document et de vérifier que son contenu n'a pas été modifié. Par conséquent,
un document électronique signé numériquement a la même validité juridique qu'un document papier signé
à la main, tant qu'il existe des règlements qui lui confèrent une pleine valeur juridique. Dans certains pays,
les enregistrements numériques doivent garantir la préservation de «traces» comme preuve d'intégrité
selon des procédures de sécurité élaborées sur la base de normes reconnues relatives à l'archivage
électronique (par exemple, en France, la norme AFNOR NF Z 42-013 ou, plus internationalement, la
norme ISO 14721 qui concerne les Systèmes de transfert des informations et données spatiales –
Système ouvert d’archivage de l’information – Modèle de référence).
5.Propriété intellectuelle
L'objectif des lois régissant les droits de propriété intellectuelle est de protéger certains actifs incorporels.
Les droits de propriété intellectuelle offrent une protection juridique et un avantage concurrentiel aux
petites et moyennes entreprises.
6.Commerce et paiement électronique
D’un point de vue légal, dans la plupart des pays, il est tout à fait essentiel de pouvoir prouver devant un
tribunal qu’un client a acheté le produit ou le service vendu par l’entreprise. Il devrait être également
possible de prouver à l’autorité fiscale à quelle période ont eu lieu les différentes transactions. La grande
différence entre le commerce électronique et le commerce papier est le support sur lequel les transactions
sont conservées. Il est beaucoup plus difficile d'apporter des modifications aux fichiers papier qu'aux
fichiers électroniques. Un autre aspect consiste en la possibilité qu’un concurrent offre les mêmes produits
depuis un serveur localisé dans un paradis fiscal. Enfin, quand un consommateur achète un produit sur un
site Web, il n’est pas toujours évident de définir quelle législation nationale s’applique.
7.Gestion des enregistrements
Certaines lois nationales exigent des organismes qu'ils tiennent et revoient régulièrement leurs registres.
Des exigences similaires existent au niveau gouvernemental. Dans certains pays, les organismes sont
légalement tenus de publier des rapports ou de fournir des enregistrements à des fins légales.
35/139
ISO/IEC 27001 et cadres réglementaires
Exemples
États-Unis:
Federal Information Security Management Act (2002) : FISMA (législation sur le management de la
sécurité de l'information) impose un ensemble de procédures à suivre pour tout système d'information
utilisé par le gouvernement fédéral américain, ses sous-traitants ou ses fournisseurs.
NIST 800-53 (2006) : NIST 800-53 (National Institute of Standards and Technology) fournit des lignes
directrices pour sécuriser les systèmes d'information au sein du gouvernement fédéral en choisissant et en
précisant les mesures de sécurité. Ces lignes directrices s'appliquent à toutes les parties d'un système
d'information qui traitent, stockent ou transmettent des informations de nature fédérale. Il est émis par le
département du Commerce des États-Unis.
Europe:
Règlement général sur la protection des données – RGPD: Ce règlement établit des règles relatives à
la protection des personnes physiques en ce qui concerne le traitement des données à caractère
personnel et les règles relatives à la libre circulation des données à caractère personnel.
Règlement (CE) n° 45/2001: Règlement relatif à la protection des personnes physiques à l'égard du
traitement des données à caractère personnel par les institutions et organes communautaires et à la libre
circulation de ces données. Le texte comprend des dispositions garantissant un niveau élevé de protection
des données personnelles. Il prévoit également la création d'un organe de surveillance indépendant
chargé de surveiller l'application de ces dispositions.
Référentiels internationaux et industriels:
Principes directeurs de l'OCDE (2002): L'OCDE (Organisation de coopération et de développement
économiques) a élaboré les Lignes directrices de l’OCDE régissant la sécurité des systèmes et réseaux
d'information sur la base de neuf principes: sensibilisation, responsabilité, réaction, éthique, démocratie,
appréciation des risques, conception et mise en œuvre de la sécurité, gestion de sécurité et
réappréciation.
COBIT (1994+): Développé par ISACA et l'ITGI, COBIT (Control Objectives for Information and related
36/139
Technology) est un cadre de référence pour gérer la gouvernance des systèmes d'information. COBIT
fournit aux responsables de la technologie de l'information, aux auditeurs et aux utilisateurs des
indicateurs, processus et bonnes pratiques pour les aider à maximiser les avantages découlant du recours
aux technologies de l'information et de l'élaboration de la gouvernance et du contrôle d'un organisme.

37/139
Résumé de la section
L'Organisation internationale de normalisation (ISO) est composée d'organismes nationaux de
normalisation qui publient des normes internationales en réponse à une demande du marché. Les normes
ISO sont basées sur l'opinion et le consensus d'experts mondiaux et sont élaborées dans le cadre d'un
processus multipartite.
La famille de normes ISO/IEC 27000 comprend des normes pour le management de la sécurité de
l'information par la mise en place d'un système de management de la sécurité de l'information (SMSI).
ISO/IEC 27001 est la principale norme de la famille qui spécifie les exigences d'un SMSI.
ISO/IEC 27701 spécifie les exigences d’un PIMS et fournit des lignes directrices aux contrôleurs et aux
processeurs d'IIP pour qu'ils assument la responsabilité et l'obligation de rendre compte du traitement des
IIP.
ISO/IEC 27002 est une norme de lignes directrices sur les meilleures pratiques de management de la
sécurité de l'information.
Dans une norme normative, les exigences (articles) sont rédigées en utilisant le verbe impératif «doit», et
dans une norme de lignes directrices (guidance), les articles sont rédigés en utilisant le verbe «devrait».
ISO/IEC 27001 peut aider les organismes à se conformer aux lois et règlements.

38/139
Cette section présente les étapes de l'obtention d'une certification, décrit brièvement les principales parties
impliquées dans le programme de certification et fournit des informations sur les organismes d'accréditation et
de certification, respectivement.

39/139
Note :
L'amélioration continue fait référence au processus continu qu'un organisme suit afin d'améliorer ses
procédures, ses processus et ses produits ou services.
L'audit de surveillance fait référence à l'activité qui est réalisée une fois par an (parfois plus) en fonction
des besoins de l'organisme pour s'assurer que son système de management est conforme à la norme du
système de management respectif.

40/139
Comme indiqué sur la diapositive, les parties suivantes sont impliquées dans le programme de certification :
Organismes d'accréditation : Organismes chargés de l'évaluation et de l'accréditation des organismes
de certification
Organismes de certification: Organisations réalisant des audits sur les systèmes de management de
leurs clients et délivrant des certifications
Organismes de certification de personnes : Organismes certifiant des personnes (non seulement des
auditeurs mais aussi des formateurs, des exécutants, etc.)
Audités : Organismes dont le système de management est soumis à un audit
Note importante : Les activités d'accréditation et de certification ne sont pas réalisées par l'ISO mais par des
organismes d'accréditation et de certification spécialisés et indépendants. La mission de l'ISO est d'élaborer des
normes internationales, et non de vérifier si les normes ISO sont mises en œuvre conformément aux exigences
définies dans ces normes.

41/139
ISO/IEC 17011 spécifie les exigences générales pour les organismes d'accréditation dans l’évaluation et
l'accréditation des organismes de certification. La conformité aux exigences de la norme ISO/IEC 17011 prouve
que les organismes d'accréditation sont compétents et fiables dans l'offre de services d'accréditation.
Généralement, il n'y a qu'une seule autorité d'accréditation dans chaque pays. Toutefois, aux États-Unis, il existe
plusieurs organismes d'accréditation : IAS et ANAB.
IAS (International Accreditation Service) accrédite des programmes de certifications de personnes, de
produits et de systèmes de management selon ISO/IEC 17024, ISO/IEC17065 et ISO/IEC 17021-1.
L'ANSI-ASQ National Accreditation Board (ANAB) supervise les organismes de certification accrédités
selon ISO/IEC 17021-1, ISO/IEC17065 et ISO/IEC 17024.
Groupes d'autorités d'accréditation :
L’European co-operation for Accreditation (EA) est le réseau européen des organismes d'accréditation basés
en Europe. Les membres comprennent l'UKAS, le COFRAC, le BNAC, l'ENAC, etc.
Source : www.european-accreditation.org
L’International Accreditation Forum (IAF) est l'association internationale des organismes d'accréditation de
systèmes de management, de produits, de services, de personnes et d'autres programmes. L'objectif de l'IAF est
de garantir que les organismes membres ne certifient que les organisations compétentes et d'établir des accords
de reconnaissance mutuelle entre ses membres.
Source : www.iaf.nu

42/139
Voici une liste des organismes d'accréditation pour plusieurs pays (voir la liste complète sur le site de l'IAF :
www.iaf.nu) :
Afrique du Sud: South African National Accreditation System (SANAS), www.sanas.co.za
Allemagne: Deutsche Akkreditierungsstelle GmbH (DAkkS), www.dakks.de
Argentine: Organismo Argentino de Acreditación (OAA), www.oaa.org.ar
Australie et Nouvelle-Zélande: Joint Accreditation System of Australia and New Zealand (JAS-ANZ), www.jas-
anz.org
Autriche: Federal Ministry of Economy, Family and Youth (BMWFJ), www.en.bmdw.gv.at
Belgique: Belgian Accreditation Body (BELAC), www.belac.fgov.be
Brésil: General Coordination for Accreditation (CGCRE), www.inmetro.gov.br
Canada: Conseil canadien des normes (SCC), www.scc.ca/fr
Chili: Instituto Nacional de Normalizacion (INN), www.inn.cl
Chine: China National Accreditation Service for Conformity Assessment (CNAS), www.cnas.org.cn/english
•Corée: Korea Accreditation System (KAS), www.iaf.nu/articles/IAF_MEM_Korea_Republic_of_/86
Égypte : Egyptian Accreditation Council (EGAC), www.egac.gov.eg
•Émirats arabes unis: Emirates International Accreditation Center (EIAC), www.eiac.gov.ae
•Espagne: Entidad Nacional de Acreditación (ENAC), www.enac.es
États-Unis: ANSI-ASQ National Accreditation Board (ANAB), www.anab.org
États-Unis: International Accreditation Service (IAS), www.iasonline.org
Finlande: Finnish Accreditation Service (FINAS), www.finas.fi
43/139
France: Comité Français d’Accréditation (COFRAC), www.cofrac.fr
Hong Kong, Chine : Hong Kong Accreditation Service (HKAS), www.itc.gov.hk/hkas
Inde: National Accreditation Board for Certification Bodies (NABCB), www.qcin.org
Iran : National Accreditation Center of Iran (NACI), http://isiri.gov.ir/en
Irlande: Irish National Accreditation Board (INAB), www.inab.ie
Japon: International Accreditation Japan (IAJapan), www.jab.or.jp/en
Malaisie: Standards Malaysia (DSM), www.jsm.gov.my
Mexique: Entidad Mexicana de Acreditación (EMA), www.ema.org.mx
Norvège: Norwegian Accreditation (NA), www.akkreditert.no
Pakistan : Pakistan National Accreditation Council (PNAC), www.pnac.org.pk
•Pays-Bas: Dutch Accreditation Council (Raad Voor Accreditatie) (RvA), www.rva.nl
Philippines: Philippine Accreditation Office (PAB), www.dti.gov.ph
Portugal: Instituto Português de Acreditação (IPAC), www.ipac.pt
Roumanie: Romanian Accreditation Association (RENAR), www.renar.ro
Royaume-Uni: United Kingdom Accreditation Service (UKAS), www.ukas.com
Russie: Scientific Technical Center on Industrial Safety (STC-IS), www.oaontc.ru/en/
Singapour: Singapore Accreditation Council (SAC), www.sac-accreditation.gov.sg
Slovénie: Slovenska Akreditacija (SA), www.slo-akreditacija.si
Suède: Swedish Board for Accreditation and Conformity Assessment (SWEDAC), www.swedac.se/?lang=en
Suisse: Service d’accréditation Suisse (SAS), www.sas.ch
Thaïlande: National Standardization Council of Thailand (NSC), www.tisi.go.th
Tunisie: Conseil National d'Accréditation (TUNAC), www.tunac.tn
Turquie: Turkish Accreditation Agency (TURKAK), www.turkak.org.tr
Uruguay: Organismo Uruguayo de Acreditación (OUA), www.organismouruguayodeacreditacion.org
Vietnam: Bureau of Accreditation (BoA), www.boa.gov.vn/en

44/139
45/139
ISO/IEC 17024, Introduction
La présente Norme internationale a été élaborée dans le but d'atteindre et de promouvoir un référentiel
mondialement accepté pour les organismes procédant à la certification de personnes. La certification de
personnes est un moyen de fournir l'assurance que la personne certifiée satisfait aux exigences du système de
certification.
Dans les deux cas, cette Norme internationale peut servir de base pour la reconnaissance des organismes de
certification de personnes et des programmes de certification dans le cadre desquels les personnes sont
certifiées, afin de faciliter leur reconnaissance aux niveaux national et international.
Note importante :
Seul un organisme de certification accrédité selon la norme ISO/IEC 17024 assure une reconnaissance
internationale. Il est donc important de valider le statut d'un organisme de certification auprès de l'autorité
d'accréditation associée, tel que l'IAS, l'ANSI ou l'UKAS. Pour plus d'informations sur l'accréditation de PECB,
veuillez visiter: www.pecb.com/fr/affiliations.
ISO/IEC17021-1 Introduction
La certification d’un système de management assure par une démonstration indépendante que le système de
management de l’organisme:
a. est conforme aux exigences spécifiées;
b. est capable de réaliser de manière fiable la politique et les objectifs qu’il a déclarés;
c. est mis en œuvre de manière efficace.

46/139
PECB a développé un processus de certification en trois étapes que les organismes devraient suivre afin
d'obtenir la certification ISO/IEC 27001.
Les organismes de certification sont des tierces parties qui évaluent la conformité du système de
management d'un organisme à une certaine norme et délivrent une certification à la suite de cette
évaluation.

47/139
La présente section fournit des informations qui aideront le participant à acquérir des connaissances sur les
principes et concepts fondamentaux de la sécurité de l'information tels que la confidentialité, l'intégrité, la
disponibilité, la vulnérabilité, la menace, l'impact, le risque et les mesures de sécurité de l'information.

48/139
ISO/IEC27000, article 3.35Système d'information
ensemble d'applications, services, actifs informationnels ou autres composants permettant de gérer l'information
ISO/IEC 27001, Annexe A.8 définit les objectifs des mesures de sécurité liées à la gestion des actifs.
ISO/IEC 27001, AnnexeA.8.1 Responsabilités relatives aux actifs
Objectif: Identifier les actifs de l’organisation et définir les responsabilités pour une protection appropriée.
ISO/IEC 27001, AnnexeA.8.1.1 Inventaire des actifs
Mesure
Les actifs associés à l’information et aux moyens de traitement de l’information doivent être identifiés et un
inventaire de ces actifs doit être dressé et tenu à jour.
ISO/IEC 27001, AnnexeA.8.1.2 Propriété des actifs
Mesure
Les actifs figurant à l’inventaire doivent être attribués à un propriétaire.
ISO/IEC 27001, Annexe A.8.1.3 Utilisation correcte des actifs
Mesure
Les règles d’utilisation correcte de l’information, les actifs associés à l’information et les moyens de traitement de
l’information doivent être identifiés, documentés et mis en œuvre.
ISO/IEC 27001, AnnexeA.8.1.4 Restitution des actifs
Mesure
Tous les salariés et les utilisateurs tiers doivent restituer la totalité des actifs de l’organisation qu’ils ont en leur
possession au terme de la période d’emploi, du contrat ou de l’accord.
49/139
ISO9000, article3.8.5 Document (suite)
EXAMPLE [sic]: Enregistrement, spécification, document de procédure, plan, rapport, norme.
Note1 à l’article: Le support peut être papier, magnétique, électronique ou optique, photographie ou échantillon
étalon, ou une combinaison de ceux-ci.
Note2 à l’article: Un ensemble de documents, par exemple spécifications et enregistrements, est couramment
appelé « documentation ».
Il est important d’être capable de différencier les documents et les enregistrements. Dans les dictionnaires, un
enregistrement est un type de document, mais selon la terminologie de l'ISO, ce sont des concepts distincts. Un
enregistrement est l’élément de sortie d’un processus ou d’une mesure. Par exemple:
1. Une procédure d’audit est un document. La mise en œuvre de cette procédure (c.-à-d. l'exécution d'un
audit) génère un rapport d'audit et ces rapports d'audit deviennent des enregistrements.
2. Un processus documenté pour les revues de direction est un document. Ce processus génère des
enregistrements tels que les procès-verbaux des revues de direction.
3. Une procédure documentée pour l’amélioration continue est un document. Le formulaire d’une action
corrective classée est un enregistrement.

50/139
ISO/IEC 27001 s'applique à la protection de l'information, quels que soient son type et sa forme, qu'il
s'agisse d'une communication numérique, papier, électronique ou verbale.
ISO/IEC 27002, article 0.2 Exigences liées à la sécurité de l’information
Une organisation doit impérativement identifier ses exigences en matière de sécurité. Ces exigences proviennent
de trois sources principales:
a. l’appréciation du risque propre à l’organisation, prenant en compte sa stratégie et ses objectifs généraux.
L’appréciation du risque permet d’identifier les menaces pesant sur les actifs, d’analyser les vulnérabilités,
de mesurer la vraisemblance des attaques et d’en évaluer l’impact potentiel;
b. les exigences légales, statutaires, réglementaires et contractuelles auxquelles l’organisation et ses
partenaires commerciaux, contractants et prestataires de service, doivent répondre ainsi que leur
environnement socioculturel;
c. l’ensemble de principes, d’objectifs et d’exigences métier en matière de manipulation, de traitement, de
stockage, de communication et d’archivage de l’information que l’organisation s’est constitué pour mener à
bien ses activités.
Il est nécessaire de confronter les ressources mobilisées par la mise en œuvre des mesures avec les dommages
susceptibles de résulter de défaillances de la sécurité en l’absence de ces mesures. Les résultats d’une
appréciation du risque permettent de définir les actions de gestion appropriées et les priorités en matière de
gestion des risques liés à la sécurité de l’information, ainsi que de mettre en œuvre les mesures identifiées
destinées à contrer ces risques.
La norme ISO/IEC 27005 fournit des lignes directrices de gestion du risque lié à la sécurité de l’information, y
compris des conseils sur l’appréciation du risque, le traitement du risque, l’acceptation du risque, la
communication relative au risque, la surveillance du risque et la revue du risque.

51/139
Autres définitions liées à la sécurité de l'information :
ISO/IEC 27000, article 3.27 Moyens de traitement de l'information
tout système, service ou infrastructure de traitement de l'information, ou le local les abritant
ISO/IEC27000, article 3.30 Événement lié à la sécurité de l’information
occurrence identifiée de l’état d’un système, d’un service ou d’un réseau indiquant une faille possible dans la
politique de sécurité de l’information ou un échec des mesures de sécurité, ou encore une situation inconnue
jusqu’alors et pouvant relever de la sécurité
ISO/IEC27000, article 3.31 Incident lié à la sécurité de l’information
un ou plusieurs événements liés à la sécurité de l’information, indésirables ou inattendus, présentant une
probabilité forte de compromettre les opérations liées à l’activité de l’organisme et de menacer la sécurité de
l’information
ISO/IEC27000, article 3.32 Gestion des incidents liés à la sécurité de l’information
ensemble de processus visant à détecter, rapporter, apprécier, gérer et résoudre les incidents liés à la sécurité de
l’information, ainsi qu’à en tirer des enseignements
ISO/IEC27000, article 3.35Système d'information
ensemble d'applications, services, actifs informationnels ou autres composants permettant de gérer l'information
ISO/IEC 27000, article3.48 Non-répudiation
capacité à prouver l'occurrence d'un événement ou d'une action donnée(e) et des entités qui en sont à l'origine
ISO/IEC 27000, article 3.55 Fiabilité
propriété relative à un comportement et à des résultats prévus et cohérents
L’Annexe A inclut des objectifs relatifs à la classification de l’information:
52/139
ISO/IEC 27001, AnnexeA.8.2 Classification de l’information
Objectif: S’assurer que l’information bénéficie d’un niveau de protection approprié conforme à son importance
pour l’organisation.
ISO/IEC 27001, AnnexeA.8.2.1 Classification de l’information
Mesure
Les informations doivent être classifiées en termes d’exigences légales, de valeur, de caractère critique et de
sensibilité au regard d’une divulgation ou modification non autorisée.
ISO/IEC 27001, AnnexeA.8.2.2 Marquage des informations
Mesure
Un ensemble approprié de procédures pour le marquage de l’information doit être élaboré et mis en œuvre
conformément au plan de classification adopté par l’organisation.
ISO/IEC 27001, AnnexeA.8.2.3 Manipulation des actifs
Mesure
Des procédures de traitement des actifs doivent être élaborées et mises en œuvre conformément au plan de
classification de l’information adopté par l’organisation.

53/139
54/139
Par exemple, les données personnelles d’employés salariés ne doivent être accessibles qu’au personnel autorisé
du Service des ressources humaines.
Plusieurs types de contrôles d’accès peuvent assurer la confidentialité de l’information. Le chiffrement représente
un exemple d'un tel contrôle d'accès.
Les contrôles d’accès peuvent être appliqués à différents aspects d’un système de management de la sécurité
de l’information:
Aspect physique (p. ex. verrous sur les portes, cabinets de classeurs qui se verrouillent, coffrets de sûreté,
etc.)
Aspect logique (p. ex. contrôles d’accès à l’information)

55/139
Par exemple : Les données comptables doivent être authentiques (complètes et exactes). L'exactitude des
informations est assurée en évitant toute modification injustifiée de ces informations.
De nombreux dispositifs manipulant des données, y compris les lecteurs de disques et autres supports ainsi que
les systèmes de télécommunications, contiennent des dispositifs de vérification automatique de l'intégrité des
données. Les contrôles d'intégrité des données sont essentiels dans les systèmes d'exploitation, les logiciels et
les applications. Ils permettent d'éviter la corruption intentionnelle ou involontaire des programmes et des
données.
Des contrôles d'intégrité doivent être inclus dans les procédures de l’organisme. Ils contribuent à réduire le risque
d'erreur, de vol et de fraude. Les contrôles de validation des données, la formation des utilisateurs ainsi que
certaines mesures opérationnelles en sont de bons exemples.
L'intégrité doit être analysée sous trois angles:
Empêcher un utilisateur autorisé de modifier les données, soit en faisant une erreur et en modifiant les
données de manière incorrecte
Empêcher un utilisateur sans autorisation de modification d'apporter des modifications
Empêcher tout programme ou application qui interagit directement avec l'information «cible» d'effectuer
des changements non autorisés
Les données précédemment enregistrées doivent rester inchangées pendant le transport des données.

56/139
La disponibilité implique que les informations doivent être facilement accessibles aux personnes autorisées qui
en ont besoin. Par exemple, les données relatives aux clients doivent être accessibles au Service de marketing.
En pratique, la disponibilité de l’information exige un système de contrôle comme la sauvegarde des données, la
planification de la capacité, l’entretien et le test des équipements, les procédures de gestion des incidents, les
procédures de traitement de l’information, de même que les procédures de contrôle de l’utilisation des systèmes.

57/139
Chaque bloc sur la gauche montre un facteur qui influence la disponibilité de l'information.
Sécurité physique
Si la sécurité physique n'est pas assurée dans un organisme, l'accès de personnes non autorisées est assuré.
Cela signifie que, si l’information n’est pas protégée par la sécurité physique, l'organisme serait exposé à la
menace de vol, de catastrophes naturelles ou d'autres incidents. D'autre part, la sécurité physique du matériel et
des canaux de communication est importante pour assurer la disponibilité du système, car les personnes qui
veulent nuire à la sécurité de l’information d'un organisme peuvent également le faire physiquement. La sécurité
physique concerne la fiabilité et l'accessibilité.
Évaluation de l’audit et de l'efficacité du système
L'audit est une enquête systématique et indépendante des processus d'un organisme pour vérifier si les mesures
existantes sont mises en œuvre avec succès. Un type d'audit très important pour la disponibilité est l'évaluation
de l'efficacité du système, qui montre dans quelle mesure le système répond aux besoins de l'organisme.
L'évaluation de l’audit et de l'efficacité du système porte sur la fiabilité et la rapidité de réponse.
Politique de sécurité
La politique de sécurité d'un système devrait définir les privilèges des utilisateurs. Les décisions actuelles et
futures devraient être basées sur la politique de sécurité de l'organisme. La politique de sécurité porte sur la
fiabilité, la promptitude et l'accessibilité.
Surveillance du système et mesures opérationnelles
Les mesures opérationnelles sont les règles qui doivent être mises en œuvre et régulièrement vérifiées afin de
protéger l’information. Elles contribuent à la mise en œuvre de la politique de sécurité et fournissent ainsi un
moyen d'appliquer la politique de sécurité. Cette application peut être réalisée si la surveillance du système et les
mesures opérationnelles fonctionnent ensemble. La surveillance du système et les mesures opérationnelles
portent sur la fiabilité, la promptitude et l'accessibilité.

58/139
Continuité d'activité
La continuité d'activité est un élément très important pour le maintien des opérations en cas d'attaque du réseau
ou d’une catastrophe naturelle. Sans un plan de continuité d'activité testé, l'organisme ne sera pas certain que les
données perdues pourront être restaurées. La continuité d'activité concerne la promptitude et l'accessibilité.
Sauvegardes
Une sauvegarde est une copie des données, applications ou paramètres du système d'exploitation qui sont
stockés sur un ordinateur. Les sauvegardes réduisent le niveau de perte et fournissent à l'organisme une
capacité maximale de restauration. Elles portent sur la promptitude et l'accessibilité.
Fiabilité
La fiabilité est un attribut logiciel ou matériel qui permet aux composants du système de l'organisme de
fonctionner selon ses spécifications. Les utilisateurs ne peuvent se fier à un système qui n'est pas fiable pour
exécuter leurs demandes. Par exemple, un organisme peut aborder la question de la fiabilité en combinant les
spécifications du système, la planification du réseau, la sécurité de l’information et les plans de reprise après
sinistre.
Accessibilité
L'accessibilité est la mesure dans laquelle un système est utilisable par le plus grand nombre de personnes
possible sans modification. Par exemple, un organisme peut traiter l'accessibilité par des mesures d'accès
(mesure d'accès basée sur les rôles) et un système de management de l'information (SMI) de premier plan.
Promptitude (timeliness)
La promptitude fait référence à la réactivité d'un système ou d'une ressource à la demande d'un utilisateur. Par
exemple, un organisme peut aborder la question de la promptitude en mesurant le délai entre la demande
d'information ou de ressource d'un utilisateur et le moment où elles sont disponibles pour être utilisées.
Source : Martin, Andrew et Deepak Khazanchi. Information Availability and Security Policy. Omaha: University of
Nebraska, 2006.

59/139
L'appréciation des vulnérabilités peut être compliquée par une perception erronée courante selon laquelle les
faiblesses ou les lacunes sont toujours associées à des caractéristiques négatives. Plusieurs vulnérabilités
présentent vraiment des caractéristiques négatives, comme dans un système d‘information où les correctifs
(patchs) ne sont pas à jour.
Nous pouvons accepter certaines vulnérabilités en raison des résultats positifs associés aux risques que nous
prenons. Par exemple, l'achat d'ordinateurs portables peut être un bon exemple par opposition aux ordinateurs
de bureau; ils améliorent la mobilité des travailleurs mais augmentent les risques de vol.
Les vulnérabilités peuvent être divisées en deux groupes : intrinsèque et extrinsèque. Les vulnérabilités
intrinsèques sont liées aux caractéristiques de l’actif. Les vulnérabilités extrinsèques, quant à elles, sont les
facteurs externes qui peuvent avoir un impact sur l'actif.
Exemple: Un serveur situé dans une zone sujette aux inondations saisonnières est considéré comme une
vulnérabilité extrinsèque. L'incapacité d'un serveur à traiter des données est considérée comme une vulnérabilité
intrinsèque.

60/139
L’Annexe D d’ISO/IEC 27005 fournit une typologie pour la classification des vulnérabilités que nous pourrions
utiliser, en principe. Cependant, cette liste des vulnérabilités devrait être utilisée avec prudence. Cette liste n’est
pas exhaustive, car de nouvelles vulnérabilités se produisent régulièrement à cause, entre autres, de l’évolution
de la technologie.
On doit utiliser l’Annexe D comme guide ou rappel pour aider à organiser et à structurer la collecte des données
pertinentes sur les vulnérabilités plutôt que comme une liste de contrôle à suivre aveuglément.

61/139
ISO/IEC 27005, Annexe D.2 Méthodes d'appréciation des vulnérabilités techniques
Il est également possible d'utiliser une autre technique, celle des tests et de l'évaluation de sécurité (STE), en
identifiant les vulnérabilités d'un système TIC lors du processus d'appréciation des risques. Cette méthode inclut
l'élaboration et l'exécution d'un protocole de test (à titre d'exemples, script de test, procédures de test et résultats
attendus). L'objectif des tests de sécurité du système est de mettre à l’épreuve l'efficacité des mesures de
sécurité d'un système TIC telles qu'elles ont été mises en œuvre dans un environnement opérationnel. Le but est
de garantir que les mesures de sécurité appliquées répondent aux spécifications de sécurité validées en termes
de matériel et de logiciel, de mettre en œuvre la politique de sécurité de l'organisme ou d'assurer la conformité
aux normes de l'industrie.

62/139
ISO/IEC 27005, Annexe D.2 Méthodes d'appréciation des vulnérabilités techniques (suite)
Les tests d'intrusion peuvent être utilisés pour compléter la revue des mesures de sécurité et garantir que les
différents aspects du système TIC sont sécurisés. Lorsqu'ils sont utilisés au cours du processus d'appréciation
des risques, les tests d'intrusion peuvent être utilisés pour évaluer la capacité d'un système TIC à résister aux
tentatives volontaires de contourner la sécurité du système. Leur objectif est de mettre le système TIC à l’épreuve
du point de vue de la source de menace et d'identifier les défaillances potentielles des schémas de protection du
système TIC.
La revue de code est la manière la plus minutieuse (mais également la plus onéreuse) d'apprécier les
vulnérabilités.
Les résultats de ce type de tests de sécurité contribuent à identifier les vulnérabilités d'un système.
Il est important de noter que les outils et techniques d'intrusion peuvent donner des résultats erronés, à moins que
la vulnérabilité soit exploitée avec succès. Pour exploiter des vulnérabilités spécifiques, il est nécessaire de
connaître les correctifs logiciels déployés sur le système/l'application testés. Si ces données ne sont pas connues
au moment des tests, il peut s'avérer impossible d'exploiter avec succès une vulnérabilité spécifique (par
exemple, en obtenant un accès à distance non autorisé à une console); toutefois, il est toujours possible d'écraser
ou de redémarrer un processus ou un système testé. Dans ce cas, il convient de considérer également comme
vulnérable l'objet testé.
Les méthodes peuvent inclure les activités suivantes:
entretiens avec des utilisateurs et autres personnes;
questionnaires;
inspections physiques;
analyse de documents.

63/139
ISO/IEC 27005, article 8.2.3 (suite)
Une menace peut survenir de l’intérieur ou de l’extérieur de l’organisme. Il convient aussi d’identifier les menaces
de manière générique et par type (à titre d’exemples: des actions non autorisées, des dommages physiques, des
défaillances techniques) puis, lorsque cela est pertinent, des menaces individuelles particulières peuvent être
identifiées au sein d’une classe générique. Cela signifie qu'aucune menace n'est négligée, même une menace
imprévue, mais que le volume de travail requis reste limité.
Par définition, une menace est susceptible d’endommager les actifs tels que l’information, des processus et des
systèmes et, par conséquent, de nuire à l’organisme. Les menaces sont associées à l'aspect négatif du risque et,
à ce titre, font référence à des événements indésirables.
Dans les entretiens, il convient qu'un langage simple soit utilisé pour faciliter la discussion sur les menaces. Par
exemple, on peut demander aux parties intéressées pour quels événements elles souhaitent préserver les
ressources de l'organisme et leur demander de fournir à cette fin une liste d'exemples.

64/139
L’Annexe C d’ISO/IEC 27005 fournit une typologie pour la classification des menaces. Cette liste n’est pas
complète et ne peut se prétendre exhaustive, puisque de nouvelles menaces apparaissent régulièrement.

65/139
En soi, la présence d’une vulnérabilité ne produit pas de dommage ; une menace doit exister pour
l’exploiter. Une vulnérabilité qui ne correspond pas à une menace ne requiert pas d’implanter une mesure de
sécurité, mais elle doit être identifiée et surveillée en cas de changements.
Notez que la mise en œuvre incorrecte, la mauvaise utilisation ou la défaillance d’une mesure pourrait, en soi,
représenter une menace. Une mesure peut être efficace ou non selon l’environnement dans lequel elle opère.

66/139
Voici une liste de plusieurs impacts potentiels (voir ISO/IEC 27005, AnnexeB.2) qui peuvent affecter la
disponibilité, l’intégrité, la confidentialité de l’information, ou une combinaison de celles-ci:
1. Pertes financières
2. Pertes d’actifs ou de leur valeur
3. Perte de clients et fournisseurs
4. Procédures et peines judiciaires
5. Perte d'avantage concurrentiel
6. Perte d'avantage technologique
7. Perte d'efficience ou d'efficacité
8. Atteinte à la vie privée des utilisateurs ou des clients
9. Interruption du service
10. Incapacité à fournir le service
11. Perte de réputation
12. Interruption des opérations
13. Perturbation des opérations des tiers (fournisseurs, clients, etc.)
14. Incapacité de remplir les obligations légales
15. Incapacité de remplir les obligations contractuelles
16. Mise en danger de la sécurité du personnel ou des utilisateurs

67/139
68/139
ISO/IEC 27000, article 3.57 Risque résiduel
risque subsistant après le traitement du risque
Note1 à l’article: Un risque résiduel peut inclure un risque non identifié.
Note2 à l’article: Un risque résiduel peut également être appelé «risque conservé».
ISO/IEC 27000, article 3.61 Risque (suite)
effet de l’incertitude sur les objectifs
Note1 à l’article: Un effet est un écart, positif ou négatif, par rapport à une attente.
Note2 à l’article: L'incertitude est l'état, même partiel, de défaut d'information concernant la compréhension ou la
connaissance d’un événement, de ses conséquences ou de sa vraisemblance.
Note3 à l’article: Un risque est souvent caractérisé en référence à des «événements» potentiels et des
«conséquences» potentielles et des «conséquences» potentielles, ou à une combinaison des deux.
ISO/IEC 27000, article 3.62 Acceptation du risque
décision argumentée en faveur de la prise d’un risque particulier
Note1 à l’article: L'acceptation du risque peut avoir lieu sans traitement du risque ou lors du processus de
traitement du risque.
Note2 à l’article: Les risques acceptés font l'objet d'une surveillance et d'une revue.
ISO/IEC 27000, article 3.63 Analyse du risque
processus mis en œuvre pour comprendre la nature d'un risque et pour déterminer le niveau de risque
Note1 à l’article: L'analyse du risque fournit la base de l'évaluation du risque et des décisions relatives au
traitement du risque.

69/139
Note2 à l’article: L'analyse du risque inclut l'estimation du risque.
ISO/IEC 27000, article 3.64 Appréciation du risque
ensemble du processus d'identification du risque, d'analyse du risque et d'évaluation du risque

70/139
ISO/IEC 27000, article 3.66 Critères de risque
termes de référence vis-à-vis desquels l'importance d'un risque est évaluée
Note1 à l’article: Les critères de risque sont fondés sur les objectifs de l'organisme et sur le contexte externe et le
contexte interne.
Note2 à l’article: Les critères de risque peuvent être issus de normes, de lois, de politiques et d'autres exigences.
ISO/IEC 27000, article 3.67 Évaluation du risque
processus de comparaison des résultats de l'analyse du risque avec les critères du risque afin de déterminer si le
risque et/ou son importance sont acceptables ou tolérables
Note1 à l’article: L'évaluation du risque aide à la prise de décision relative au traitement du risque.
ISO/IEC 27000, article 3.68 Identification des risques
processus de recherche, de reconnaissance et de description des risques
Note1 à l’article: L'identification du risque comprend l'identification des sources de risque, des événements, de
leurs causes et de leurs conséquences potentielles.
Note2 à l’article: L'identification du risque peut faire appel à des données historiques, des analyses théoriques et
des avis d'experts et autres personnes compétentes, et tenir compte des besoins (3.37) des parties prenantes.
ISO/IEC 27000, article 3.69 Gestion des risques
activités coordonnées visant à diriger et contrôler un organisme vis-à-vis du risque
ISO/IEC 27000, article 3.70 Processus de management du risque
application systématique de politiques, procédures et pratiques de management aux activités de communication,
de concertation, d'établissement du contexte, ainsi qu'aux activités d'identification, d'analyse, d'évaluation, de
traitement, de surveillance et de revue des risques

71/139
Note1 à l’article: L'ISO/IEC 27005 emploie le terme « processus » pour décrire le management du risque dans sa
globalité. Les éléments qui composent le processus de management du risque sont appelés « activités ».
ISO/IEC 27000, article 3.71 Propriétaire du risque
personne ou entité ayant la responsabilité du risque et ayant autorité pour le gérer
ISO/IEC 27000, article 3.72 Traitement du risque
processus destiné à modifier un risque
Note1 à l’article: Le traitement du risque peut inclure:
un refus du risque en décidant de ne pas démarrer ou poursuivre l’activité porteuse du risque,
la prise ou l’augmentation d’un risque afin de saisir une opportunité,
l'élimination de la source de risque;
une modification de la vraisemblance;
une modification des conséquences;
un partage du risque avec une ou plusieurs autres parties (incluant des contrats et un financement du
risque);
un maintien du risque fondé sur un choix argumenté.

72/139
Exercice2: Identification des menaces, des vulnérabilités et des impacts
Après avoir lu les sections de l'étude de cas intitulées «Historique de l'entreprise» et «Faits et événements
récents», déterminez les menaces et les vulnérabilités associées aux scénarios suivants et indiquez les impacts
possibles. Indiquez ensuite si les impacts affecteraient la confidentialité, l'intégrité ou la disponibilité des données
de l'organisme.
1. Ian Kovalev et Katie Harper ont été engagés par le concurrent de BankIT, EverNet.
2. Le logiciel livré aux clients de BankIT au Brésil présentait de graves défauts et rendait les clients
vulnérables aux attaques extérieures.
3. Julia Robinson, la conceptrice du site Web, a été malade pendant un mois.
4. L’information des clients (noms, adresses et numéros de carte de crédit) est conservée dans une base de
données qui ne dispose pas d'un cryptage ou d'un contrôle d'accès appropriés.
Remplissez la matrice ci-dessous et préparez-vous à discuter de vos réponses.

73/139
ISO/IEC 27000, article 3.14 Mesure de sécurité
mesure qui modifie un risque
ISO/IEC 27000, 3.15 Objectif d'une mesure de sécurité
déclaration décrivant ce qui est attendu de la mise en œuvre des mesures de sécurité
Les mesures de sécurité de l'information comprennent tout processus, politique, procédure, ligne directrice,
pratique ou structure organisationnelle, qui peuvent être de nature administrative, technique, de gestion ou
légale, qui peuvent modifier les risques liés à la sécurité de l'information.
Note :
Une mesure administrative est plus liée à la structure de l’organisme comme un tout sans être appliquée
par une personne en particulier, tandis que la mesure managériale doit être appliquée par les directeurs.
Les différences entre les types de mesures de sécurité ne sont expliquées que pour une meilleure
compréhension. Un organisme n’a pas besoin de qualifier la nature des différentes mesures mises en
œuvre.

74/139
Les mesures de sécurité peuvent être classées en trois catégories: préventives, détectives et correctives.
Plusieurs structures de référence en sécurité de l’information définissent une classification avec plus de
catégories.
Note importante : Ces différents types de mesures sont liés entre eux. Par exemple, l’établissement d’un
antivirus est une mesure préventive, car elle protège l’information contre les programmes malveillants. En même
temps, elle constitue une mesure détective quand elle détecte un virus potentiel. Elle offre également une
mesure corrective quand un dossier «suspect» est mis en quarantaine ou éradiqué.

75/139
1.Mesure préventive
But: Décourager ou prévenir l’apparition de problèmes
Détecter les problèmes avant qu’ils ne se produisent
Contrôler les opérations
Prévenir une erreur, une omission ou des actes malveillants
Exemples :
Séparer le développement des équipements, des essais et de l’exploitation
Sécuriser les bureaux, les salles et l’équipement
Utiliser des procédures clairement définies (pour éviter les erreurs)
Utiliser la cryptographie
Utiliser un logiciel de contrôle d’accès qui permet uniquement au personnel autorisé d’accéder aux fichiers
sensibles

76/139
2.Les mesures de détection visent à rechercher et à identifier les problèmes et les incidents par :
Utiliser les mesures qui détectent et rapportent la possibilité d’une erreur, d’une omission ou d’un acte
malveillant.
Exemples :
Intégrer des points de contrôle dans les applications en cours d’élaboration
Contrôler l’écho dans les télécommunications
Détecter par les alarmes la fumée, le feu ou les risques liés à l’eau
Vérifier les doublons de calculs dans le traitement des données
Détecter les pannes au moyen de caméras vidéo
Détecter les intrusions potentielles sur les réseaux avec un système de détection d’intrusion (IDS)
Revoir les droits d’accès utilisateurs
Faire une revue technique des applications après une modification du système d’exploitation
3.Les mesures correctives visent à surmonter les problèmes découverts et à éviter qu'ils ne se
reproduisent par :
Minimiser l’impact d’une menace
Remédier aux problèmes découverts par les mesures de détection
Identifier les causes du problème
Corriger les erreurs résultant d’un problème
Modifier le système de traitement pour réduire au minimum la présence de problèmes futurs
Exemples :
Revoir la politique de sécurité après l'intégration d'une nouvelle division à l'organisme
En appeler aux autorités pour signaler un crime informatique
Changer tous les mots de passe de tous les systèmes lorsqu’une intrusion réussie sur le réseau a été
détectée
Récupérer les transactions grâce à la procédure de sauvegarde après la découverte que des données ont
été corrompues
Installer des correctifs après l’identification de vulnérabilités techniques
77/139
Les mesures stratégiques sont sous la responsabilité de la direction de l'organisme. Elles comprennent
l'élaboration et le suivi de stratégies, la gestion des risques, le développement de structures organisationnelles,
la surveillance et revue du SMSI, la revue de direction, l'amélioration continue, etc. Ces mesures ont pour
fonction principale d'aligner la stratégie et le système de management de la sécurité de l'information sur la
stratégie globale de l'organisme. Il s'agit essentiellement des mesures liées aux articles 4 à 8 de la norme
ISO/IEC 27001. Plusieurs organismes utilisent COBIT pour mettre en œuvre et gérer leurs mesures stratégiques.
Les mesures générales définissent les mécanismes de sécurité génériques (non liés à un système ou à une
technologie spécifique) grâce auxquels un organisme garantit la prestation de ses services. Il s'agit des mesures
de l'Annexe A d'ISO/IEC 27001. Les mesures générales peuvent être sélectionnées dans d'autres guides et
normes, ou peuvent être définies par l'organisme lui-même pour répondre à ses exigences.
Les mesures spécifiques liées aux applications sont des mesures automatisées incluses dans un système
d'information spécifique (p. ex. logiciel de comptabilité, de logistique ou de vente). Ces mesures sont spécifiques
à chaque système ou processus et constituent des sous-mesures des mesures générales. Par exemple, un
contrôle d'authentification des utilisateurs à l'ouverture d'une session sur un logiciel SAP fait partie des contrôles
d'accès.
Exemples :
1. Définir une politique de contrôle d'accès est une mesure stratégique.
2. Réaliser une revue annuelle des privilèges des droits d'accès des utilisateurs est une mesure générale de
sécurité.
3. Mettre en place d'un mécanisme d'authentification sur le portail Internet de l'organisme est une mesure
spécifique.

78/139
La gestion et le maintien d'un cadre de gouvernance sont assurés par plusieurs niveaux de contrôles successifs :
1. Gestion de la conformité : Les principaux acteurs qui peuvent garantir l'efficacité des processus et des
mesures liées au système de management sont les utilisateurs qui effectuent les opérations quotidiennes.
2. Contrôles internes : Les contrôles internes représentent l'ensemble des processus, mécanismes, cadres
et lignes directrices établis par la direction pour assurer la réalisation des objectifs et des plans
stratégiques, tactiques et opérationnels de l'organisme. Les contrôles internes relèvent de la responsabilité
de la direction et font partie intégrante de la bonne gestion de l'organisme.
3. Audits internes : Les audits internes examinent et contribuent à l'efficacité du système de contrôle interne
grâce aux appréciations et aux recommandations qui en découlent et jouent un rôle important dans
l'efficacité des contrôles internes. Toutefois, ils n'assument pas (et ne devraient pas, afin de conserver leur
indépendance en matière d'audit) la responsabilité fondamentale (qui appartient à la direction) de la
conception, de la mise en œuvre, de la maintenance et de la documentation des contrôles internes.
4. Audits externes : Les audits externes apprécient la mise en œuvre et l'efficacité du système de
management, les contrôles internes en place et l'efficacité des audits internes au moyen d'audits
indépendants réalisés par des tiers.
5. Associations professionnelles : Il s'agit de différentes associations d'auditeurs. PECB évalue la
compétence des auditeurs et assure, par le biais de comités d'éthique, le respect des pratiques
professionnelles.
6. Cadre légal : Chaque juridiction a des lois qui définissent l'exigence en matière de conformité légale.

79/139
1. Les actifs et les mesures peuvent présenter des vulnérabilités qui pourraient être exploitées par des
menaces.
2. La combinaison des menaces et des vulnérabilités peut augmenter l’effet potentiel du risque.
3. Les mesures de sécurité permettent de réduire les vulnérabilités. Un organisme a peu d'options pour agir
contre les menaces. Par exemple, les mesures de sécurité peuvent être mises en œuvre pour protéger
contre les intrusions du système, mais il est difficile pour un organisme de réduire le nombre de pirates sur
Internet.
Note : Les descripteurs de relations sont valables pour les deux composantes auxquelles ils s’interconnectent –
ils ne sont pas destinés à être lus comme une «histoire» de bout en bout ou à travers une séquence de
composantes et de relations.

80/139
Exercice3: Sélection des mesures
Pour chaque risque identifié lors de l'exercice précédent, sélectionnez les mesures (en indiquant le numéro
d'article ou d'annexe) qui permettent à BankIT de réduire, de partager ou de refuser le risque.
Référez-vous à la matrice de la feuille d'exercice.

81/139
Questions de discussion et quiz :
1. Quelle est la différence entre un document, une spécification et un enregistrement ?
2. Qu'est-ce que la sécurité de l'information selon ISO/IEC 27000 ?
3. Une violation possible de la politique de sécurité de l'information, une défaillance des mesures ou une
situation inconnue qui peut être liée à la sécurité de l'information s’appelle _______________.
A. Un incident lié à la sécurité de l'information
B. Un événement lié à la sécurité de l'information
C. Un système d'information
D. Une gestion des incidents liés à la sécurité de l'information
4. Quelles mesures un organisme doit-il prendre pour garantir la confidentialité des informations ?
5. Quels sont les facteurs qui influent sur la disponibilité de l'information ?
6. Le test de pénétration est une appréciation des _______________.
A. Vulnérabilités
B. Menaces
C. Mesures existantes
D. Sources de risques
7. Lequel des éléments suivants n'est pas un type de mesure de sécurité de l'information ?
A. Technique
B. Réglementaire
C. Managériale
D. Administrative
8. Si l'organisme surveille les ressources utilisées par les systèmes, laquelle des mesures de sécurité
suivantes utilise-t-il ?
A. Mesure préventive
B. Mesure détective
C. Mesure corrective
9. Expliquez la relation entre les vulnérabilités, les menaces et les risques.
10. Comment les mesures affectent-elles les vulnérabilités ?

82/139
Selon ISO 9000, l'information est une donnée porteuse de sens, tandis que l'actif est un item, une chose ou
une entité qui a une valeur potentielle ou réelle pour un organisme. Il existe de nombreux types d'actifs,
notamment des informations, des logiciels, des actifs physiques, des services, etc.
ISO/IEC 27000, article 3.28, définit la sécurité de l'information comme étant la «protection de la
confidentialité, de l’intégrité et de la disponibilité de l’information».
La confidentialité exige que seuls les utilisateurs autorisés aient accès aux données sensibles et
confidentielles.
Le concept d'intégrité est expliqué comme un attribut qui garantit que les informations ne sont pas
modifiées lorsqu'elles sont stockées ou en transit, que seules des modifications autorisées sont apportées
et que les données sont exactes, authentiques et protégées contre tout accès non autorisé.
La disponibilité de l'information est cruciale pour la sécurité de l'information moderne. C'est l'information
qui est accessible : comme requis, quand c’est requis, là où c'est requis, pour qui c’est requis.
ISO/IEC 27000, article 3.77, définit la vulnérabilité comme la «faille dans un actif ou dans une mesure de
sécurité qui peut être exploitée par une ou plusieurs menaces.»
La classification par type de mesures de sécurité comprend les mesures techniques, légales,
administratives et managériales.
La classification par fonction des mesures de sécurité comprend les mesures préventives, détectives et
correctives.

83/139
Cette section présente les principales étapes de la mise en œuvre d'un système de management de la sécurité
de l'information (SMSI) et les articles obligatoires liés à ces étapes. Un SMSI vise à assurer une sélection
adéquate et équilibrée de mesures de sécurité qui protègent les actifs et réduisent les vulnérabilités.
Un auditeur doit avoir une connaissance générale du fonctionnement d'un système de management, ainsi que de
l'approche processus, pour être en mesure de réaliser efficacement un audit ISO/IEC 27001.

84/139
Les organismes mettent en œuvre des systèmes de management pour améliorer leurs opérations et renforcer
leurs performances d’affaires, tout en augmentant la satisfaction des clients. Un organisme peut avoir plusieurs
systèmes de management en place, tels qu'un système de management de la qualité, un système de
management de la sécurité de l'information, un système de management de la continuité d'activité, etc.
Note : Ce qui est mis en œuvre doit être contrôlé et mesuré, et ce qui est contrôlé et mesuré doit être
géré. L'article « Évaluation des performances » (ISO/IEC 27001, article9.1) est une composante essentielle d'un
système de management, car, sans l'évaluation de l'efficacité des processus et des mesures de sécurité en
place, il est impossible de vérifier si l'organisme a atteint ses objectifs.
Directives ISO/IEC, Partie 1, Annexe L.2.2 Norme de système de management
NSM
norme relative à des systèmes de management
Note1 à l’article: Pour les besoins du présent document, cette définition s'applique également à d’autres livrables
ISO et IEC (TS, PAS).

85/139
Les publications de l’ISO vont des activités traditionnelles, telles que l’agriculture et la construction, aux
développements les plus récents des technologies de l’information, tels que le codage numérique des signaux
audiovisuels pour les applications multimédias.
Les familles ISO 9000 et ISO 14000 sont parmi les normes les plus connues. La norme ISO 9001 est devenue
une référence internationale en matière de qualité. ISO 14001, pour sa part, aide les organismes à améliorer
leurs performances environnementales. Ces deux normes sont génériques et applicables à tout organisme,
quelle que soit leur taille ou la complexité de leurs processus.
Pour des informations détaillées sur chaque norme pertinente, veuillez consulter www.pecb.com ou
www.iso.org.

86/139
Comme les organismes gèrent souvent plusieurs cadres de conformité simultanément, il est recommandé de
mettre en œuvre un système de management intégré. Un SMI est un système de management qui intègre toutes
les composantes d'une entreprise en un système cohérent afin de permettre la réalisation de son objectif et de sa
mission. Le tableau de la diapositive présente les exigences communes à tous les systèmes de management qui
permettent l'intégration.
Il y a plusieurs bonnes raisons pour l’intégration, notamment:
Harmoniser et optimiser les pratiques
Formaliser les systèmes informels
Réduire la duplication et donc les coûts
Réduire les risques et augmenter la rentabilité
Se concentrer sur les objectifs de l'entreprise
Créer et maintenir la cohérence
Améliorer la communication

87/139
Directives ISO/IEC, Partie 1, Annexe L.1 Généralités
Chaque fois qu’est émise une proposition d’élaborer une nouvelle norme de système de management (NSM), y
compris une NSM sectorielle, une étude de justification doit être effectuée conformément à l’Appendice 1 à la
présente Annexe L.
NOTE La révision d’une NSM existante dont l’élaboration a déjà été approuvée, et à condition que le domaine
d’application soit confirmé, ne nécessite pas d’étude de justification (sauf s’il n’en a pas été fourni lors de
l’élaboration initiale).
Dans la mesure du possible, l’auteur de la proposition s’efforcera d’établir la gamme complète des livrables que
comptera la famille de NSM inédite ou révisée, et une étude justificative sera préparée pour chacun de ces
livrables.
Directives ISO/IEC, Partie 1, Appendice 1 Généralités
Il convient de tenir dûment compte de chacun des principes généraux et idéalement, que l’auteur de la proposition
fournisse, lorsqu’il prépare l’étude de justification, une explication générale de chaque principe, avant de répondre
aux questions correspondantes.
Les principes auxquels il convient que l’auteur de la proposition de norme de système de management prête
dûment attention lorsqu’il prépare l’étude de justification sont les suivants:
1. Pertinence pour le marché
2. Compatibilité
3. Couverture du sujet
4. Flexibilité
5. Libre échange
6. Applicabilité de l'évaluation de conformité
7. Exclusions

88/139
89/139
Comme défini dans la norme ISO/IEC 27001, l'établissement et la mise en œuvre du système de management
de la sécurité de l'information d'un organisme tiennent compte des besoins et des objectifs de l’organisation, des
exigences de sécurité, des processus organisationnels mis en œuvre, ainsi que de la taille et de la structure de
l’organisation.

90/139
91/139
Les mesures de sécurité servent à s’assurer que la conduite des processus d’affaires est effectuée de
manière sécurisée en termes de traitement de l'information. Les processus et les mesures de sécurité sont
dépendants des processus d’affaires parce qu’ils s’y intègrent.
Par exemple, les mesures de sécurité relatives aux ressources humaines devraient s’intégrer aux processus
existants de gestion des ressources humaines d’un organisme. Cela permettra aux processus de management
des ressources humaines d'être plus fiables en s'assurant que:
Les responsabilités de chacun en termes de sécurité de l’information sont clairement définies
Une vérification des antécédents des postulants est effectuée selon la criticité des informations qu’ils
devront traiter
L’organisme définit un processus disciplinaire formel en cas de brèche de la sécurité de l’information
L’organisme définit un processus formel de retrait des droits d’accès des utilisateurs lors de la fin de
contrat
ISO 19011, Annexe A.2 Approche processus pour l’audit
L’utilisation d’une « approche processus » est une exigence pour toutes les normes ISO de système de
management, conformément aux Directives ISO/IEC, Partie 1, Annexe SL. Il convient que les auditeurs
comprennent qu’auditer un système de management consiste à auditer les processus d’un organisme et leurs
interactions par rapport à une ou plusieurs normes de système de management. Des résultats cohérents et
prévisibles sont obtenus de manière plus efficace et efficiente lorsque les activités sont comprises et gérées
comme des processus corrélés fonctionnant comme un système cohérent.

92/139
Tout organisme qui souhaite obtenir la certification ISO/IEC 27001 doit se conformer aux exigences énoncées
dans les articles 4 à 10 de la présente norme.

93/139
SO/IEC 27001 article 4.1 Compréhension de l'organisme et de son contexte
L’organisation doit déterminer les enjeux externes et internes pertinents compte tenu de sa mission et qui influent
sur sa capacité à obtenir le(s) résultat(s) attendu(s) de son système de management de la sécurité de
l’information.
ISO/IEC 27001, article 4.2 Compréhension des besoins et des attentes des parties intéressées
L’organisation doit déterminer:
a. les parties intéressées concernées par le système de management de la sécurité de l’information; et
b. les exigences de ces parties intéressées concernant la sécurité de l’information.
NOTE Les exigences des parties intéressées peuvent inclure des exigences légales et réglementaires et des
obligations contractuelles.
ISO/IEC 27001, article 4.3 Détermination du domaine d’application du système de management de la
sécurité
Pour établir le domaine d’application du système de management de la sécurité de l’information, l’organisation
doit en déterminer les limites et l’applicabilité.
Lorsqu’elle établit ce domaine d’application, l’organisation doit prendre en compte:
a. les enjeux externes et internes auxquels il est fait référence en 4.1;
b. les exigences auxquelles il est fait référence en 4.2; et
c. les interfaces et les dépendances existant entre les activités réalisées par l’organisation et celles réalisées
par d’autres organisations.
Le domaine d’application doit être disponible sous forme d’information documentée.
ISO/IEC 27001, article 4.4 Système de management de la sécurité de l’information
L’organisation doit établir, mettre en œuvre, tenir à jour et améliorer continuellement un système de management
de la sécurité de l’information, conformément aux exigences de la présente Norme internationale.
94/139
Le processus de gestion des risques de sécurité de l'information peut être appliqué à l'ensemble de l'organisme
ou à un sous-ensemble défini en termes de
1. Unités organisationnelles : Service, bureau, projet, branche, etc.
2. Processus : Management des ventes, achats, processus d'embauche, etc.
3. Site : Siège social, salle de serveurs, ou tout endroit géographiquement défini par un périmètre spécifique
4. Actifs : Dossier client, base de données, paie, marque, mobilier, etc.
5. Technologies : Serveur, application, réseau, Internet sans fil, etc.

95/139
ISO/IEC 27001, article 5.1 Leadership et engagement
La direction doit faire preuve de leadership et affirmer son engagement en faveur du système de management de
la sécurité de l’information en:
a. s’assurant qu’une politique et des objectifs sont établis en matière de sécurité de l’information et qu’ils sont
compatibles avec l’orientation stratégique de l’organisation;
b. s’assurant que les exigences liées au système de management de la sécurité de l’information sont
intégrées aux processus métiers de l’organisation;
c. s’assurant que les ressources nécessaires pour le système de management de la sécurité de l’information
sont disponibles;
d. communiquant sur l’importance de disposer d’un management de la sécurité de l’information efficace et de
se conformer aux exigences du système de management de la sécurité de l’information;
e. s’assurant que le système de management de la sécurité de l’information produit le ou les résultats
escomptés;
f. orientant et soutenant les personnes pour qu’elles contribuent à l’efficacité du système de management de
la sécurité de l’information;
g. promouvant l’amélioration continue; et
h. aidant les autres managers concernés à faire également preuve de leadership dès lors que cela s’applique
à leurs domaines de responsabilités.

96/139
Par son leadership et ses actions, la direction peut créer un environnement au sein duquel tous les acteurs sont
totalement impliqués et le système de management peut agir efficacement en synergie avec les objectifs de
l’organisme. La direction peut démontrer son leadership à travers les actions suivantes :
a. Établir les lignes directrices et les objectifs de l'organisme
b. Promouvoir les politiques et les objectifs à tous les niveaux de l’organisme pour augmenter la
sensibilisation, la motivation et la participation
c. S’assurer que les exigences des parties intéressées (clients, partenaires, actionnaires, législateurs, etc.)
demeurent une priorité à tous les niveaux de l’organisme
d. Mettre en œuvre les processus et les mesures appropriés pour se conformer aux exigences
e. Établir, mettre en œuvre et maintenir un système de management efficace et efficient
f. Fournir les ressources nécessaires
g. S’assurer que les audits internes sont effectués
h. Réaliser la revue de direction au moins une fois l’an
i. Décider des actions concernant la politique et les objectifs
j. Décider des actions visant à améliorer le système de management

97/139
ISO/IEC 27001, article 5.3 Rôles, responsabilités et autorités au sein de l’organisme
La direction doit s’assurer que les responsabilités et autorités des rôles concernés par la sécurité de l’information
sont attribuées et communiquées au sein de l’organisation.
La direction doit désigner qui a la responsabilité et l’autorité de:
a. s’assurer que le système de management de la sécurité de l’information est conforme aux exigences de la
présente Norme internationale; et
b. rendre compte à la direction des performances du système de management de la sécurité de l’information.
NOTE La direction peut également attribuer des responsabilités et autorités pour rendre compte des
performances du système de management de la sécurité de l’information au sein de l’organisation.

98/139
ISO/IEC 27005, article 8.1 Description générale de l'appréciation des risques en sécurité de l'information
(suite)
L'appréciation des risques est souvent réalisée en deux itérations (ou plus). Une appréciation de haut niveau est
d'abord effectuée afin d'identifier les risques potentiels majeurs qui justifient une appréciation supplémentaire.
L'itération suivante peut impliquer une étude détaillée des risques potentiels majeurs mis en lumière par l'itération
initiale. Lorsque cette démarche ne fournit pas suffisamment d'informations pour apprécier les risques, d'autres
analyses détaillées peuvent être réalisées, probablement sur des sous-ensembles du domaine d'application et,
éventuellement, à l'aide d'une méthode différente.
Il incombe à l'organisme de choisir sa propre approche d'appréciation des risques en se basant sur les objectifs et
le but de l'appréciation des risques.

99/139
ISO/IEC 27001, article 6.1.2 Appréciation des risques de sécurité de l’information
L’organisme doit définir et appliquer un processus d’appréciation des risques de sécurité de l’information qui :
a. établit et tient à jour les critères de risque de sécurité de l’information incluant:
1. les critères d’acceptation des risques;
2. les critères de réalisation des appréciations des risques de sécurité de l’information;
b. s’assure que la répétition de ces appréciations des risques produit des résultats cohérents, valides et
comparables;
c. identifie les risques de sécurité de l’information:
1. applique le processus d’appréciation des risques de sécurité de l’information pour identifier les
risques liés à la perte de confidentialité, d’intégrité et de disponibilité des informations entrant dans le
domaine d’application du système de management de la sécurité de l’information; et
2. identifie les propriétaires des risques;
d. analyse les risques de sécurité de l’information:
1. apprécie les conséquences potentielles dans le cas où les risques identifiés en 6.1.2 c) 1) se
concrétisaient;
2. procède à une évaluation réaliste de la vraisemblance d’apparition des risques identifiés en 6.1.2 c)
1); et
3. détermine les niveaux des risques;
e. évalue les risques de sécurité de l’information:
1. compare les résultats d’analyse des risques avec les critères de risque déterminés en 6.1.2 a); et
2. priorise les risques analysés pour le traitement des risques.
L’organisation doit conserver des informations documentées sur le processus d’appréciation des risques de
sécurité de l’information.

100/139
Toute méthodologie d'appréciation des risques conforme aux critères minimaux d'ISO/IEC 27001 est acceptable,
même une méthodologie développée en interne. Voici une liste de méthodes d'appréciation des risques
reconnues :
OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) (Évaluation de menace
sévère et de vulnérabilités opérationnelles) permet d’évaluer les actifs menacés, les risques les plus
importants, de même que la vulnérabilité de la défense en s’appuyant sur une base de connaissances
normalisées (catalogue d’information de la norme) comprise dans la méthode. À partir de ces résultats, la
méthode permet d'élaborer et de mettre en œuvre une stratégie de réduction des risques. OCTAVE est
structuré en trois phases : profil des besoins de sécurité concernant les valeurs de l'organisme, étude des
vulnérabilités, et élaboration de la stratégie et du plan de sécurité.
CRAMM (CCTA Risk Analysis and Management Method) a été créée en 1987 par l’Agence Centrale de
l’Informatique et des Télécommunications (CCTA) du gouvernement du Royaume-Uni. CRAMM est une
structure en trois phases : définition des valeurs menacées, analyse des risques et des vulnérabilités,
définition et sélection des mesures de sécurité.
MICROSOFT a également publié un guide de gestion des risques de sécurité, basé sur plusieurs normes
reconnues par l'industrie, qui est accompagné d'outils permettant de réaliser une appréciation complète
des risques. Le processus global de gestion des risques comporte quatre phases principales :
l'appréciation des risques, l'aide à la décision, la mise en œuvre des mesures de sécurité et la mesure de
l'efficacité des programmes.
TRA (Harmonized Threat and Risk Assessment Methodology) EMR (Méthodologie harmonisée
d’évaluation des menaces et des risques) est une publication publiée avec l’autorisation du chef,
Communications Security Establishment Canada (CSEC) et du commissaire de la Gendarmerie royale du
Canada (GRC). Cette méthodologie comporte quatre étapes :
1. Définir le périmètre de l'appréciation et identifier les employés et les actifs à protéger
2. Déterminer les menaces pesant sur les employés et les actifs et apprécier la vraisemblance et
l'impact de leur occurrence
3. Apprécier les vulnérabilités en fonction de l'adéquation des protections et calculer le risque
4. Mettre en œuvre des protections supplémentaires, si nécessaire, pour réduire le risque à un niveau
acceptable

101/139
EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) permet d'évaluer et d'agir
sur les risques liés à la sécurité des systèmes d'information et propose une politique de sécurité adaptée
aux besoins d'un organisme. Cette méthode a été créée par l'ANSSI (Agence nationale de la sécurité des
systèmes d'information) (anciennement DCSSI). Cette agence est placée sous l'autorité du Premier
ministre et est rattachée au secrétaire général de la défense et de la sécurité nationale Les cinq ateliers de
la méthode EBIOS sont les suivants : étude du contexte, expression des besoins de sécurité, étude des
menaces, identification des objectifs de sécurité et détermination des exigences de sécurité.
MÉHARI (Méthode harmonisée d'analyse des risques) est développée par le CLUSIF en 1995 et dérive
des méthodes Melissa et Marion. L'approche globale de MÉHARI consiste en l'analyse des questions de
sécurité et la classification préliminaire des entités de sécurité de l'information sur la base de trois critères
de sécurité de base (confidentialité, intégrité et disponibilité). Ces questions expriment les
dysfonctionnements ayant un impact direct sur l'activité de l'organisme. Les audits identifient les
vulnérabilités de sécurité de l'information et l'analyse des risques est ensuite effectuée.
Note : ENISA (European Network and Information Security Agency) a établi un inventaire de plusieurs méthodes
de gestion et d'appréciation des risques disponibles sur le marché, y compris une comparaison par 22 attributs.
Voir http://rm-inv.enisa.europa.eu/rm_ra_tools.html

102/139
Le but de l'identification des risques est de définir les objectifs de l'organisme et d'analyser les principaux
facteurs métier afin d'atteindre le but souhaité et de traiter efficacement les menaces auxquelles il est confronté.

103/139
ISO/IEC 27005, article 8.2.2 Identification des actifs (suite)
Il convient de réaliser l’identification des actifs à un niveau de détail adapté qui fournisse suffisamment
d’informations pour l’appréciation des risques. Le niveau de détail utilisé pour l’identification des actifs influence la
quantité totale d’informations réunies pendant l’appréciation des risques. Le niveau peut être affiné lors
d’itérations ultérieures de l’appréciation des risques.
ISO/IEC 27005, article 8.2.3 Identification des menaces (suite)
Une menace peut survenir de l’intérieur ou de l’extérieur de l’organisme. Il convient aussi d’identifier les menaces
de manière générique et par type (à titre d’exemples: des actions non autorisées, des dommages physiques, des
défaillances techniques) puis, lorsque cela est pertinent, des menaces individuelles particulières peuvent être
identifiées au sein d’une classe générique. Cela signifie qu'aucune menace n'est négligée, même une menace
imprévue, mais que le volume de travail requis reste limité.
ISO/IEC 27005, article 8.2.4 Identification des mesures de sécurité existantes (suite)
Il convient de procéder à une identification des mesures de sécurité existantes pour éviter des travaux ou des
coûts inutiles dus, par exemple, à une redondance des mesures de sécurité. En outre, tout en identifiant les
mesures de sécurité existantes, il convient d'effectuer un contrôle afin de garantir que les mesures de sécurité
fonctionnent correctement – il convient qu’une référence aux rapports d'audit du SMSI déjà existants limite le
temps dédié à cette tâche.
ISO/IEC 27005, article 8.2.5 Identification des vulnérabilités (suite)
Les vulnérabilités peuvent être liées à des propriétés de l'actif susceptibles d'être utilisées d'une manière, ou à
des fins différentes de celles prévues lorsque l'actif a été acheté ou élaboré. Les vulnérabilités dues à différentes
sources nécessitent d'être prises en compte, par exemple celles qui sont intrinsèques ou extrinsèques à l'actif.

104/139
ISO/IEC 27005, article 8.2.6 Identification des conséquences (suite)
Cette activité identifie les dommages ou les conséquences pour l'organisme, susceptibles d'être dus à un
scénario d'incident. Un scénario d'incident est la description d'une menace exploitant une certaine vulnérabilité,
ou un ensemble de vulnérabilités, lors d'un incident de sécurité de l'information. Les conséquences des scénarios
d'incident doivent être déterminées en tenant compte des critères d'impact définis lors de l'activité d'établissement
du contexte. Un ou plusieurs actifs ou une partie d'un actif peuvent être affectés. Les actifs peuvent donc se voir
attribuer des valeurs, à la fois, selon leur coût financier et selon les conséquences sur l'activité métier s'ils sont
endommagés ou compromis.

105/139
ISO/IEC 27005, article 8.3.2 Appréciation des conséquences (suite)
Une fois tous les actifs concernés identifiés, il convient de prendre en compte les valeurs attribuées à ces actifs
lors de l'appréciation des conséquences.
Un concept d’impact sur l’activité est utilisé pour mesurer les conséquences. La valeur d’un impact sur l’activité
métier peut être exprimée de manière qualitative et quantitative, cependant une méthode d’attribution d’une valeur
financière peut, en général, fournir davantage d’informations pour la prise de décision et permettre, ainsi, un
processus de décision plus efficace.
ISO/IEC 27005, article 8.3.3 Appréciation de la vraisemblance d'un incident (suite)
Une fois les scénarios d'incident identifiés, il est nécessaire d'apprécier la vraisemblance de la réalisation d'un
scénario et de son impact, à l'aide de techniques d'analyse qualitatives et quantitatives. Il convient de tenir
compte de la fréquence de survenance des menaces et de la facilité d'exploitation des vulnérabilités.
ISO/IEC 27005, article 8.3.4 Estimation du niveau des risques (suite)
L’analyse des risques attribue des valeurs à la vraisemblance et aux conséquences d’un risque. Ces valeurs
peuvent être quantitatives ou qualitatives. L’analyse des risques est basée sur l’appréciation des conséquences
et de la vraisemblance. De plus, elle peut prendre en compte les bénéfices en termes de coût, les préoccupations
des parties prenantes et d’autres variables en vue de l’évaluation du risque. Le risque estimé est une
combinaison de la vraisemblance d’un scénario d’incident et de ses conséquences.
ISO/IEC 27005, article 8.4 Évaluation des risques (suite)
La nature des décisions relatives à l’évaluation du risque et aux critères d’évaluation du risque utilisés pour
prendre ces décisions est définie lors de l’établissement du contexte. À cette étape, il convient que ces décisions
et le contexte soient revus en détail au regard des risques identifiés.

106/139
ISO/IEC 27005, article 9.2 Réduction du risque
Il convient de choisir des mesures de sécurité adaptées et justifiées afin de répondre aux exigences identifiées
par l’appréciation et le traitement des risques. Il convient qu’il tienne également compte du coût et du délai de
mise en œuvre des mesures de sécurité ou des aspects techniques, environnementaux et culturels. Il est souvent
possible de diminuer le coût total de maintenance d’un système grâce à des mesures de sécurité de l’information
correctement choisies.
ISO/IEC 27005, article 9.3 Maintien des risques
Si le niveau des risques répond aux critères d’acceptation des risques, il n’est pas nécessaire de mettre en
œuvre d’autres mesures de sécurité, le risque peut alors être conservé.
Il est possible qu'il y ait certains risques pour lesquels l'organisme ne sera pas en mesure d'identifier des
mesures de sécurité ou que le coût de ces mesures soit plus élevé que la perte potentielle due à la
matérialisation des risques. Dans ce cas, l’organisme peut décider qu’il vaut mieux vivre avec les conséquences
des risques. L’organisme devra documenter cette décision afin que les propriétaires de risques soient informés
des risques et en acceptent les conséquences.
ISO/IEC 27005, article 9.4 Refus des risques
Lorsque les risques identifiés sont jugés trop élevés ou lorsque les coûts de mise en œuvre d’autres options de
traitement des risques dépassent les bénéfices attendus, il est possible de prendre la décision d’éviter
complètement le risque, en abandonnant une ou plusieurs activités prévues ou existantes, ou en modifiant les
conditions dans lesquelles l’activité est effectuée. Par exemple, pour les risques découlant d’incidents naturels, il
peut être plus rentable de déplacer physiquement les moyens de traitement de l’information à un endroit où le
risque n’existe pas ou est maîtrisé.
ISO/IEC 27005, article 9.5 Partage des risques
Le partage du risque implique la décision de partager certains risques avec des parties externes. Il peut créer de
nouveaux risques ou modifier les risques identifiés existants. Par conséquent, un autre traitement des risques
peut s’avérer nécessaire. Le partage peut être effectué à l’aide d’une assurance qui couvre les conséquences ou
en sous-traitant à un partenaire dont le rôle consiste à surveiller le système d’information et à entreprendre des
107/139
actions immédiates destinées à arrêter une attaque avant qu’un niveau de dommages défini ne soit atteint.

108/139
L'organisme doit appliquer des mesures appropriées pour :
Être en conformité avec les exigences légales, réglementaires et contractuelles
Réduire la vraisemblance des menaces et des vulnérabilités
Réduire les impacts en cas de risques
Prévenir ou détecter, réagir et corriger les événements indésirables
Les objectifs de sécurité et les mesures de sécurité doivent eux-mêmes être sélectionnés et mis en place afin de
répondre aux exigences identifiées par les processus d'appréciation et de traitement des risques.
Les objectifs et mesures de sécurité définis à l'Annexe A peuvent être utilisés comme source de mesures (en tant
que partie intégrante du processus). Toutefois, des objectifs et des mesures de sécurité supplémentaires
peuvent être sélectionnés à partir d'autres sources, y compris de l'organisme lui-même.

109/139
ISO/IEC 27005, article 9.2 Réduction du risque (suite)
Il convient de choisir des mesures de sécurité adaptées et justifiées afin de répondre aux exigences identifiées
par l’appréciation et le traitement des risques. Il convient qu’il tienne également compte du coût et du délai de
mise en œuvre des mesures de sécurité ou des aspects techniques, environnementaux et culturels. Il est souvent
possible de diminuer le coût total de maintenance d’un système grâce à des mesures de sécurité de l’information
correctement choisies.
En général, les mesures de sécurité peuvent fournir un ou plusieurs types de protection: la correction,
l'élimination, la prévention, l'atténuation des impacts, la dissuasion, la détection, la récupération, la surveillance et
la sensibilisation. Lors de la sélection des mesures de sécurité, il est important d'évaluer le coût d'acquisition, de
mise en œuvre, d'administration, d'exploitation, de surveillance et de maintenance des mesures de sécurité par
rapport à la valeur des actifs protégés. En outre, il convient de considérer le retour sur investissement en termes
de réduction du risque et de nouvelles opportunités offertes par certaines mesures de sécurité. De plus, il
convient de prendre en compte les compétences spécifiques susceptibles d‘être nécessaires pour définir et
mettre en œuvre de nouvelles mesures de sécurité ou pour modifier les mesures existantes.

110/139
111/139
Les objectifs et mesures de sécurité énumérés à l'Annexe A (A.5 à A.18) d'ISO/IEC 27001 sont étayés par les
lignes directrices fournies dans ISO/IEC 27002, articles 5 à 18.

112/139
La Déclaration d'applicabilité (Statement of Applicability – SoA) doit inclure toutes les mesures de sécurité mises
en œuvre et toutes les mesures de sécurité prévues mais pas encore mises en œuvre, quelle que soit leur
source, et doit également mentionner toutes les mesures de sécurité de l'Annexe A d'ISO/IEC 27001 que
l'organisme a décidé d'exclure. Il doit y avoir une justification pour l'inclusion ou l'exclusion de chaque mesure.
L'exigence de justifier les exclusions de l'Annexe A existe pour assurer que l'organisme examine au moins un
ensemble de mesures généralement reconnues comme une forme de « contrôle d'équilibre mental » contre tout
contrôle valable ou utile qui serait négligé.

113/139
Les organismes devraient d'abord procéder à une appréciation des risques afin de déterminer la nécessité de
mesures de sécurité. Après les avoir identifiés, ils devraient ensuite sélectionner les mesures parmi les plus
efficaces, qui pourraient être une seule mesure ou une combinaison de mesures. Les organismes doivent inclure
les mesures sélectionnées dans leur Déclaration d'applicabilité, dans laquelle l'inclusion des mesures est justifiée
et expliquée.
Outre les normes, ils peuvent sélectionner dans d'autres sources des mesures qui pourraient s’appliquer à leur
contexte. Plusieurs sources sont disponibles : COBIT, PCI DSS, HIPAA (USA), NIST SP 800-53 (USA), etc.
Dans certains contextes particuliers, d'autres sources peuvent être utiles aux organismes qui sélectionnent des
mesures. Dans des contextes généraux, l'Annexe A d'ISO/IEC 27001 peut suffire à elle seule pour traiter tous les
scénarios de risque que les organismes ont identifiés.
Il convient de mentionner que la sélection de la majorité des mesures de sécurité de l'Annexe A d'ISO/IEC 27001
n'est pas obligatoire. La norme exige seulement qu'une vérification croisée soit effectuée afin de voir si une
mesure de l'Annexe A qui a été exclue pourrait en fait avoir une valeur dans le contexte de l'organisme et de son
SMSI.
Les organismes devraient tenir compte des coûts et bénéfices lors du choix des mesures de sécurité. Ils
devraient trouver un équilibre entre la sélection d'une mesure qui leur est nécessaire et la sélection d'une mesure
qui ne répond peut-être pas du tout à un besoin réel. En conclusion, les organismes devraient sélectionner des
mesures applicables à leur SMSI et conformes à leurs activités et aux risques perçus, et non l'inverse.

114/139
Voici quelques exemples de justifications liées à des mesures sélectionnées :
ISO/IEC 27001, Annexe A.12.1.2 Gestion des changements Les changements apportés à l’organisation, aux
processus métier, aux systèmes et moyens de traitement de l’information ayant une incidence sur la sécurité de
l’information doivent être contrôlés.
Justification de la sélection : Assurer la confidentialité, l’intégrité et la disponibilité de l’information et des
moyens de traitement de l’information appartenant à l’organisme lorsqu’il y a des changements aux systèmes et
aux méthodes de traitement de l’information.
ISO/IEC 27001, Annexe A.17.1.2 Mise en œuvre de la continuité de la sécurité de l’information
L’organisation doit établir, documenter, mettre en œuvre et tenir à jour des processus, des procédures et des
mesures permettant de fournir le niveau requis de continuité de sécurité de l’information au cours d’une situation
défavorable.
Justification de la sélection : Assurer la disponibilité de l’information en temps voulu lorsqu’une interruption ou
une panne affecte les processus métier critiques.

115/139
Il y a plusieurs raisons pour lesquelles un organisme peut exclure certaines mesures de sécurité. Voici quelques
exemples :
ISO/IEC 27001, AnnexeA.7.1.1 Sélection des candidats
Des vérifications doivent être effectuées sur tous les candidats à l’embauche conformément aux lois, aux
règlements et à l’éthique et être proportionnées aux exigences métier, à la classification des informations
accessibles et aux risques identifiés.
Justification de l’exclusion : Conformément à la convention collective conclue avec les employés, aucun
contrôle de sécurité ne sera effectué.
ISO/IEC 27001, AnnexeA.6.2.2 Télétravail
Une politique et des mesures de sécurité complémentaires doivent être mises en œuvre pour protéger les
informations consultées, traitées ou stockées sur des sites de télétravail.
Justification de l’exclusion : Le télétravail est interdit dans l’organisme.
Notes importantes :
Dans la plupart des cas, un organisme peut déclarer une mesure applicable et expliquer ce qu’elle couvre
et ses limites. Si l'on prend l'exemple de la Sélection des candidats (Annexe A.7.1.1), la mesure n'oblige
pas l'organisme à utiliser tous les moyens nécessaires pour mener une enquête approfondie sur chaque
personne : validation du casier judiciaire, vérification des qualifications, etc. Un organisme pourrait
simplement demander deux références à chaque candidat. L'organisme doit cependant être en mesure de
justifier les mesures qu'il prend, en particulier lorsque l'utilisation de la mesure est minimale.
Un organisme ne devrait pas déclarer une mesure comme étant inapplicable si aucune justification
n'existe pour son exclusion. Il n'est pas possible d'exclure une mesure pour des raisons commerciales ou
de convenance. Si un organisme choisit de ne pas mettre en œuvre une mesure qui est applicable, il doit
déclarer que l'organisme décide d'accepter les risques de ne pas la mettre en œuvre. La mesure est donc
documentée comme étant applicable mais non mise en œuvre.

116/139
ISO/IEC 27001 n’indique pas la forme que doit prendre la Déclaration d’applicabilité. Elle exige simplement une
liste précise des mesures de sécurité, sélectionnées et non sélectionnées, les raisons de ces choix et les
mesures prises pour appliquer les mesures choisies. Les mesures supplémentaires mises en place doivent
aussi apparaître dans la Déclaration d’applicabilité.
Il est considéré comme une bonne pratique d'inclure dans la Déclaration d'applicabilité : le titre ou la fonction du
responsable de la mesure de sécurité ainsi que la liste des documents ou des enregistrements s’y rattachant. Le
modèle proposé par PECB comporte les sections suivantes :
1. Mesure de sécurité : Cette colonne indique la mesure de sécurité.
2. Applicable : Indique si la mesure de sécurité est applicable ou non.
3. Description : Décrit brièvement la mesure et sa mise en œuvre dans l’organisme. Une manière simple de
le faire est d’utiliser la méthode des 5 W et 1 H (Who, What, When, Where, Why, How – Qui, Quoi,
Quand, Où, Pourquoi, Comment). Il est à noter que le «pourquoi» se trouve dans la colonne «justification».
Par exemple : Une politique de sécurité de l’information (quoi), approuvée par la direction (qui), est
en vigueur depuis le mardi 21 mai 2019 (quand). Une copie a été transmise (comment) à tous les
employés et les parties intéressées concernées (qui). La version officielle est disponible sur
l’intranet (où).
4. Justification: Cette colonne indique les raisons pour lesquelles une mesure de sécurité a été incluse ou
exclue.
5. Documentation : Indique les documents (politiques et procédures) ou les enregistrements liés à cette
mesure de sécurité.
6. Responsable : Le propriétaire de la mesure est la personne responsable. Son nom et sa fonction dans
l’organisme doivent être inscrits dans le document. Si la mesure de sécurité n'est pas applicable, indiquez
qui est en mesure de justifier pourquoi elle ne l'est pas afin de faciliter le travail des auditeurs (internes et
externes) et de savoir à qui s'adresser pour obtenir des informations lors des révisions ultérieures de la
Déclaration d'applicabilité.

117/139
118/139
Une fois que les décisions relatives aux options de traitement des risques ont été prises, les activités visant à
mettre en œuvre ces décisions doivent être planifiées. Les activités devraient être classées en fonction de leur
priorité. Les ressources nécessaires doivent être allouées au plan de traitement. Les actions prioritaires sont
généralement déterminées de manière à ce que les activités soient axées sur le risque le plus élevé, bien que
d'autres processus puissent influencer les actions prioritaires, tels que la nécessité de démontrer des résultats à
la direction de l'organisme ou le besoin de profits rapides.

119/139
La notion de risque résiduel peut être définie comme étant le risque qui demeure après la mise en œuvre de
mesures visant à traiter et réduire le risque inhérent et peut être résumée comme suit :
Risque résiduel = risque inhérent – risque traité
Il y a toujours des risques résiduels après la mise en œuvre d'un plan de traitement des risques. La valeur de la
réduction des risques suivant le traitement des risques devrait être évaluée, calculée et documentée. Le
risque résiduel peut être difficile à évaluer, mais une estimation devrait être faite pour assurer que la valeur du
risque résiduel respecte les critères d’acceptation du risque de l’organisme. En outre, l'organisme doit veiller à
mettre en place des mécanismes de surveillance du risque résiduel. À tout moment, le risque résiduel doit être
accepté par la direction pour que le SMSI reste conforme.
Si le risque résiduel reste inacceptable après la mise en œuvre des mesures, une décision doit être prise sur la
manière de traiter le risque entièrement. Une option est d’identifier d’autres options de traitement des risques
comme le partage des risques (assurance ou externalisation) pour réduire le risque à un niveau acceptable. Une
autre option consiste à accepter le risque volontairement et objectivement. Même s’il est de bonne pratique de ne
tolérer aucun risque dont le niveau est supérieur aux critères de risque définis par l'organisation, il n'est pas
toujours possible de réduire tous les risques à un niveau acceptable.
En toutes circonstances, les risques résiduels doivent être compris et acceptés par leur propriétaire.

120/139
Pour obtenir l’autorisation de la direction de mettre en œuvre le SMSI, quelques informations documentées
doivent avoir été préparées, dont:
1. Rapport d’analyse des risques
2. Plan de traitement des risques (y compris l'identification des risques résiduels et leur acceptation par les
propriétaires des risques)
3. Déclaration d'applicabilité
Ces documents sont généralement présentés lors d'une revue de direction avec un rapport d'avancement. Après
la revue de direction, il convient d'obtenir de la direction les éléments suivants :
1. Approbation de la Déclaration d’applicabilité
2. Acceptation du plan de traitement des risques (y compris l'acceptation des risques résiduels par les
propriétaires des risques) et autorisation de mettre en œuvre le SMSI
3. Autorisation écrite de la direction de mettre en œuvre le SMSI
À la suite de l’autorisation initiale de mise en œuvre du SMSI, il est de bonne pratique de faire une annonce
officielle. Cela peut se faire par l'envoi d'une note de service officielle aux employés ou par une réunion de
lancement.
Il est important de veiller à ce que l'appréciation des risques soit régulièrement revue et que le risque résiduel
continue d'être souscrit (c'est-à-dire accepté) par les propriétaires du risque (c'est-à-dire la direction et les
personnes auxquelles est déléguée la responsabilité quotidienne de la gestion du risque).

121/139
122/139
123/139
ISO/IEC 27001, article7.2 Compétence
L’organisation doit:
a. déterminer les compétences nécessaires de la ou des personnes effectuant, sous son contrôle, un travail
qui a une incidence sur les performances de la sécurité de l’information;
b. s’assurer que ces personnes sont compétentes sur la base d’une formation initiale ou continue ou d’une
expérience appropriée;
c. le cas échéant, mener des actions pour acquérir les compétences nécessaires et évaluer l’efficacité des
actions entreprises; et
d. conserver des informations documentées appropriées comme preuves de ces compétences.
NOTE Les actions envisageables peuvent notamment inclure la formation, l’encadrement ou la réaffectation du
personnel actuellement employé ou le recrutement, direct ou en sous-traitance, de personnes compétentes.
ISO/IEC 27001, article7.3 Sensibilisation
Les personnes effectuant un travail sous le contrôle de l’organisation doivent:
a. être sensibilisées à la politique de sécurité de l’information;
b. avoir conscience de leur contribution à l’efficacité du système de management de la sécurité de
l’information, y compris aux effets positifs d’une amélioration des performances de la sécurité de
l’information; et
c. avoir conscience des implications de toute non-conformité aux exigences requises par le système de
management de la sécurité de l’information.

124/139
ISO/CIE 27001, article7.4 Communication
L’organisation doit déterminer les besoins de communication interne et externe pertinents pour le système de
management de la sécurité de l’information, et notamment:
a. sur quels sujets communiquer;
b. à quels moments communiquer;
c. avec qui communiquer;
d. qui doit communiquer; et
e. les processus par lesquels la communication doit s’effectuer.
ISO/IEC 27001, article 7.5.1 Généralités
Le système de management de la sécurité de l’information de l’organisation doit inclure:
a. les informations documentées exigées par la présente Norme internationale; et
b. les informations documentées que l’organisation juge nécessaires à l’efficacité du système de management
de la sécurité de l’information.
NOTE L’étendue des informations documentées dans le cadre d’un système de management de la sécurité de
l’information peut différer selon l’organisation en fonction de:
1. la taille de l’organisation, ses domaines d’activité et ses processus, produits et services;
2. la complexité des processus et de leurs interactions; et
3. la compétence des personnes.

125/139
ISO/IEC 27001, article 7.5.2 Création et mise à jour
Quand elle crée et met à jour ses informations documentées, l’organisation doit s’assurer que les éléments
suivants sont appropriés:
a. identification et description (par exemple titre, date, auteur, numéro de référence);
b. format (par exemple langue, version logicielle, graphiques) et support (par exemple, papier, électronique);
et
c. examen et approbation du caractère approprié et pertinent des informations.
ISO/IEC 27001, article 7.5.3 Maîtrise des informations documentées
Les informations documentées exigées par le système de management de la sécurité de l’information et par la
présente Norme internationale doivent être contrôlées pour s’assurer:
a. qu’elles sont disponibles et conviennent à l’utilisation, où et quand elles sont nécessaires; et
b. qu’elles sont correctement protégées (par exemple, de toute perte de confidentialité, utilisation inappropriée
ou perte d’intégrité).
Pour contrôler les informations documentées, l’organisation doit traiter des activités suivantes, quand elles lui sont
applicables:
c.distribution, accès, récupération et utilisation;
d.stockage et conservation, y compris préservation de la lisibilité;
e.contrôle des modifications (par exemple, contrôle des versions); et
f.durée de conservation et suppression.
Les informations documentées d’origine externe que l’organisation juge nécessaires à la planification et au
fonctionnement du système de management de la sécurité de l’information doivent être identifiées comme il
convient et maîtrisées.
NOTE L’accès implique une décision concernant l’autorisation de consulter les informations documentées
uniquement, ou l’autorisation et l’autorité de consulter et modifier les informations documentées, etc.

126/139
127/139
ISO/IEC 27001, article 8.2 Acceptation des risques en sécurité de l’information (suite)
L’organisation doit conserver des informations documentées sur les résultats des processus d’appréciation des
risques de sécurité de l’information.
ISO/IEC 27001, article 8.3 Traitement des risques de sécurité de l’information (suite)
L’organisation doit conserver des informations documentées sur les résultats du traitement des risques de
sécurité de l’information.

128/139
ISO/IEC27001, article 9.1Surveillance, mesure, analyse et évaluation
L’organisation doit évaluer les performances de sécurité de l’information, ainsi que l’efficacité du système de
management de la sécurité de l’information.
L’organisation doit déterminer:
a. ce qu’il est nécessaire de surveiller et de mesurer, y compris les processus et les mesures de sécurité de
l’information;
b. les méthodes de surveillance, de mesurage, d’analyse et d’évaluation, selon le cas, pour assurer la validité
des résultats;
NOTE Il convient que les méthodes choisies donnent des résultats comparables et reproductibles
pour être considérées comme valables.
c. quand la surveillance et les mesures doivent être effectuées;
d. qui doit effectuer la surveillance et les mesures;
e. quand les résultats de la surveillance et des mesures doivent être analysés et évalués; et
f. qui doit analyser et évaluer ces résultats.
L’organisation doit conserver les informations documentées appropriées comme preuves des résultats de la
surveillance et des mesures.

129/139
Des activités régulières d’audit interne permettent l'évaluation continue de l'efficacité du système de
management et l'identification des opportunités d'amélioration.
L’organisme doit mettre en œuvre un programme d’audit interne afin de déterminer si le système de
management atteint les objectifs de l’organisme, demeure conforme à la norme de même qu’aux autres
exigences internes, juridiques, réglementaires et contractuelles et s’il est tenu à jour.
Le programme d’audit doit contenir, au minimum:
1. La définition des critères, le périmètre, la fréquence, les méthodes et les procédures d’audit
2. La définition des rôles et des responsabilités des auditeurs internes
3. L’information documentée qui assure l'objectivité et l'impartialité du processus d'audit (p. ex. charte d’audit,
contrat de travail, code de déontologie des auditeurs internes, etc.)
4. La planification des activités d’audit
5. Les activités de suivi pour auditer les actions prises à la suite de la détection des non-conformités
6. Procédure de maintien des enregistrements d'audit
Note : La mise en œuvre et le management d’un programme d’audit interne seront expliqués lors du jour 4 de la
formation.

130/139
Les revues de direction permettent à la direction de l’organisme de revoir périodiquement le niveau de
performance (pertinence, efficacité et efficience) du système de management en place. Ces revues permettent à
l’organisme de s’adapter ou de recentrer rapidement le système de management vers des changements internes
ou externes. Une revue de direction doit être organisée au moins une fois par année.
Les revues de direction doivent être enregistrées. Les rapports de ces revues devraient être distribués à tous les
participants à la revue et aux parties intéressées.

131/139
132/139
Une action corrective est une action entreprise pour éliminer les causes fondamentales d’une non-conformité
ou de tout autre événement indésirable existant et pour empêcher sa récurrence. Une action corrective est
donc un terme qui englobe les réactions à un problème, à des incidents de sécurité, à des écarts sur l’atteinte
d’objectifs, à des non-conformités, etc.
Le processus d’action corrective devrait inclure:
1. Identification et documentation de la non-conformité : L’étape initiale dans le processus est de définir
et de documenter la non-conformité ainsi que d’analyser ses impacts sur l’organisme.
2. Analyse des causes fondamentales: Cette étape consiste à déterminer la source du problème et à en
analyser les causes fondamentales.
3. Évaluation des options : Une liste d'actions correctives possibles est élaborée et les plans d'action sont
évalués. À ce stade, si le problème est important ou si la vraisemblance de récurrence est élevée, des
actions correctives temporaires peuvent être mises en place.
4. Sélection des solutions: Une ou plusieurs actions correctives sont sélectionnées pour corriger la
situation et les objectifs d’amélioration envisagés sont déterminés. La solution retenue doit corriger le
problème et devrait également contribuer à éviter la récurrence.
5. Mise en œuvre des actions correctives: Le plan d’actions correctives qui a été approuvé est mis en
œuvre et toutes les actions décrites dans le plan sont documentées.
6. Suivi des actions correctives : L’organisme doit vérifier que les nouvelles mesures correctives sont en
place et effectives. Le suivi est habituellement effectué par le responsable de projet et par le service
d’audit.
7. Revue des actions correctives: Afin d’évaluer l’efficacité des actions correctives, on évalue
périodiquement si l’organisme atteint ses objectifs de sécurité grâce à ces actions correctives et si elles
demeurent efficaces dans le temps.

133/139
Une action préventive est toute action entreprise pour éliminer les causes d’une non-conformité ou de tout
autre événement potentiellement indésirable et pour empêcher leur récurrence.
Un organisme devrait viser l’équilibre coût-efficacité entre la mise en œuvre d’actions correctives et d’actions
préventives.
En établissant un processus continu de gestion des risques, l’organisme est, en général, plus susceptible de
détecter un changement dans les facteurs de risque qui la concernent parce que les risques ne sont pas
statiques. Les menaces, les vulnérabilités, la probabilité ou les conséquences peuvent changer brusquement.
Par conséquent, une surveillance constante est nécessaire pour détecter ces changements et déployer des
actions préventives avant qu’un risque ne se produise.
L’organisme peut assurer, par exemple, que les éléments suivants sont surveillés:
Nouveaux actifs qui ont été inclus dans le SMSI
Modifications de la valeur des actifs, par exemple, en raison de l’évolution des besoins opérationnels
Nouvelles menaces (internes ou externes) identifiées qui n’ont pas été évaluées
Nouvelles vulnérabilités identifiées qui n’ont pas été évaluées
Vulnérabilités identifiées pour déterminer ceux qui sont exposés à de nouvelles menaces
Incidents de sécurité
Le processus des actions préventives est similaire au processus des actions correctives: identification d’un
problème potentiel, évaluation des solutions, sélection des solutions, mise en œuvre des actions préventives,
suivi et revue des actions préventives.

134/139
Exercice4: Mesures de sécurité de l'information
Déterminez comment vous vérifieriez la conformité de l'organisme aux mesures suivantes de l'Annexe A
d'ISO/IEC 27001. Indiquez au moins deux actions que vous prendriez pour vérifier que l'organisme se conforme
à chaque mesure.
1. Politiques de sécurité de l’information (A.5.1.1)
2. Suppression ou adaptation des droits d’accès (A.9.2.6)
3. Mesures contre les logiciels malveillants (A.12.2.1)
4. Revue des droits d’accès utilisateurs (A.9.2.5)

135/139
La mise en œuvre du SMSI réduira les risques de sécurité de l'information dans un organisme.
Les exigences d'ISO/IEC 27001 sont incluses dans les articles 4 à 10 et dans l'Annexe A. Les organismes
doivent donc se conformer aux exigences des articles 4 à 10 pour obtenir la certification ISO/IEC 27001.
La mise en œuvre du SMSI nécessite l'établissement d'une politique de sécurité de l'information qui doit
être alignée sur le contexte et les activités de l'organisme Cette politique devra être communiquée au sein
de l'organisme.
La mise en œuvre du SMSI exige de l'organisme qu'il définisse et applique un processus d'appréciation
des risques afin d'établir et de maintenir des critères de risque pour la sécurité de l'information, d'analyser
et d'évaluer les risques de sécurité de l'information et de s'assurer que l'appréciation des risques génère
des résultats comparables et reproductibles.
Il existe quatre options de traitement des risques définies dans ISO/IEC 27005, article 9 : la réduction du
risque, le maintien des risques, le refus des risques et le partage des risques.
La Déclaration d'applicabilité est un document requis par ISO/IEC 27001 et qui doit inclure toutes les
mesures de sécurité mises en œuvre avec les justifications de leur inclusion.
L'organisme devra surveiller et revoir continuellement le SMSI afin d'être conforme à l'article 9 d'ISO/IEC
27001.
L'amélioration continue du SMSI signifie que l'organisme améliore continuellement l'adéquation, la
pertinence et l'efficacité de son SMSI.

136/139
Résumé du Jour 1
Les sujets suivants ont été abordés lors du jour 2 de cette formation :
Objectifs et structure de la formation ISO/IEC 27001
Normes de systèmes de management et la famille de normes ISO/IEC 27000
Avantages d’ISO/IEC 27001
Processus de certification
Concepts et principes fondamentaux de la sécurité de l’information
Confidentialité, intégrité et disponibilité
Vulnérabilités, menaces et impacts
Risque de sécurité de l'information
Objectifs et mesures de sécurité et leur classification
Définition et mise en œuvre du SMSI
Vue d'ensemble des articles 4 à 10 et de l'Annexe A d'ISO/IEC 27001
Déclaration d'applicabilité (SoA)

137/139
138/139
139/139

LA27001 FR Day1

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

LA27001 FR Day1

Transféré par

Droits d'auteur :

Formats disponibles

© PECB, 2020. Tous droits réservés.

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()