© 2012 ISO27k Forum

Aperçu du processus de mise en

œuvre et de certification du SMSI
 © 2012 ISO27k Forum
ISO27001 - Feuille de route
 © 2012 ISO27k Forum
 La norme ISO27001 spécifie formellement
comment établir un système de management de
ISO27001 la sécurité de l'information (SMSI).
 L'adoption d'un SMSI est une décision stratégique.
 La conception et la mise en œuvre du SMSI d'une
organisation sont déterminées par ses objectifs
ISO27001 opérationnels et de sécurité, ses risques de
sécurité et ses exigences de contrôle, les
processus employés ainsi que la taille et la
structure de l'organisation : une situation simple
exige un SMSI simple.
 SMSI évoluera systématiquement en fonction de
l'évolution des risques.
 La conformité à ISO27001 peut être formellement
évaluée et certifiée. Un SMSI certifié renforce la
confiance des parties prenantes dans l'approche
de l'organisation en matière de gestion de la
sécurité de l'information.
 © 2012 ISO27k Forum
 ISO27002 est un " Manuel pratique " qui
recommande un grand nombre de mesures
ISO27002 de la sécurité de l'information.
 Les mesures de sécurité sont des énoncés

génériques qui ont pour objectifs la

sécurisation ou à la protection des actifs
ISO27002 informationnels.
 Les nombreuses mesures de la sécurité de

l'information recommandées par la norme

sont destinées à être mises en œuvre dans
le contexte d'un SMSI, afin de gérer les
risques et de satisfaire systématiquement
aux objectifs de sécurité.
 La conformité à la norme ISO27002

implique que l'organisation ait adopté une

approche globale et conforme aux bonnes
pratiques pour sécuriser les informations.
 © 2012 ISO27k Forum
Support de la direction
 La direction devrait appuyer activement la
sécurité de l'information en donnant une
Ce support
orientation claire (p. ex. politiques), en
est vital
démontrant l'engagement de l'organisation et en
attribuant explicitement les responsabilités en
matière de sécurité de l'information aux
personnes compétentes.
 La direction devrait approuver la politique de
sécurité de l'information, affecter les ressources,
attribuer les rôles en matière de sécurité et
coordonner et examiner la mise en œuvre de la
sécurité à l'échelle de l'organisation.
 Le soutien manifeste de la direction rend la
sécurité de l'information plus efficace dans
l'ensemble de l'organisation, notamment en
l'alignant sur les objectifs métier et stratégiques.
 © 2012 ISO27k Forum
Définir la portée du SMSI
 La direction devrait définir la portée du
SMSI en fonction de la nature de
Le périmètre du SMSI l'entreprise, de l'organisation, de son
emplacement, des actifs et des
technologies de l'information.
 Toute exclusion du champ d'application du
SMSI doit être justifiée et documentée.
◦ Les zones situées à l'extérieur du SMSI sont
intrinsèquement moins fiables, d'où la nécessité de
mesures de sécurité supplémentaires pour tout
processus métier transmettant des informations au-
delà des frontières.
 Si les mesures courantes sont jugés non
applicables, ils doivent être justifiés et
documentés dans l'énoncé d'applicabilité
(Déclaration d'applicabilité).
 Les auditeurs de certification vérifieront la
documentation.
 © 2012 ISO27k Forum
Inventaire des actifs
 Un inventaire de tous les actifs
Faire l’inventaire des d'information importants
actifs informationnels
devrait être dressé et tenu à
jour, avec des détails tels que :
◦ Type d'actif ;
◦ Format (c.-à-d. logiciel,
physique/imprimé, services, personnes,
biens incorporels)
◦ Emplacement ;
◦ Informations de sauvegarde ;
◦ Informations sur la licence ;
◦ Valeur commerciale (p. ex. quels
processus commerciaux en dépendent ?).
 © 2012 ISO27k Forum
Évaluation des risques
 Les évaluations des risques devraient identifier,
quantifier et classer par ordre de priorité les risques
pour la sécurité de l'information en fonction de critères
Évaluer des risques définis d'acceptation des risques et d'objectifs
pertinents pour l'organisation.
 Les résultats devraient déterminer les mesures de
gestion et les priorités appropriées pour gérer les
risques liés à la sécurité de l'information afin de mettre
en œuvre les mesures de sécurité pour se protéger les
actifs contre ces risques.
 L'évaluation des risques et la sélection des mesures de
sécurité peuvent devoir être effectuées de façon
répétées à intervalles de temps réguliers afin de
répondre et réagir aux changements.
 Le processus devrait systématiquement estimer le
niveau des risques (analyse des risques) et comparer les
risques par rapport aux critères de risque pour
déterminer leur importance (évaluation des risques).
 L'évaluation des risques en matière de sécurité de
l'information devrait avoir une portée clairement définie
et compléter les évaluations des risques.
 © 2012 ISO27k Forum
Déclaration d’applicabilité
 L'énoncé d'applicabilité (Déclaration
d'applicabilité) est un document clé du
Statement
SMSI qui énumère les objectifs des mesures
Of Applicability
de sécurité de l'information de
l'organisation.
 La déclaration d'applicabilité est établie à
partir des résultats de l'évaluation des
risques, où :
◦ Les traitements des risques ont été
sélectionnés ;
◦ Toutes les exigences légales et réglementaires
pertinentes ont été identifiées ;
◦ Les obligations contractuelles sont bien
comprises ;
◦ Un examen des besoins et des exigences
métiers de l'organisation a été effectué.
 © 2012 ISO27k Forum
Preparer le plan de traitement
des risques  L'organisation devrait formuler un plan de

traitement des risques (PTR) identifiant les

mesures, les ressources, les responsabilités
Risk et les priorités appropriées pour faire face
Treatment Plan aux risques liés à la sécurité des
informations.
 Le PTR devrait être établi dans le contexte
de la politique de sécurité de l'information
de l'organisation et devrait clairement
identifier l'approche du risque et les
critères d'acceptation du risque.
 Le PTR est le document clé qui relie les
quatre phases du cycle PDCA pour le SMSI
(2 prochaines diapositives).
 © 2012 ISO27k Forum
Modèle PDCA
Plan, Do,  Le modèle "Planifier, faire, vérifier,
Check and Act agir" (PDCA) s'applique à
différents niveaux du SMSI.
 La même approche est utilisée
pour le management de la qualité
dans d'autres normes ISO
(ISO9000).
 Le diagramme illustre comment
un SMSI prend en compte les
exigences et les attentes en
matière de sécurité de
l'information et produit, tout au
long du cycle PDCA, des résultats
en matière de sécurité de
l'information qui satisfont ces
exigences et attentes.
 © 2012 ISO27k Forum
Modèle PDCA
 Plan (Établir le SMSI)
◦ Établir la politique, les objectifs, les processus et les procédures du SMSI
relatifs à la gestion des risques et à l'amélioration de la sécurité de
l'information afin d'obtenir des résultats conformes aux politiques et aux
objectifs généraux d'une organisation.
 Do (Mettre en oeuvre et opérer le SMSI)
◦ Mettre en œuvre et appliquer la politique, les mesures de sécurité, les
processus et les procédures du SMSI.
 Check (Mesurer et évaluer le SMSI)
◦ Évaluer, mesurer la performance du processus par rapport à la
politique, aux objectifs et à l'expérience pratique du SMSI et produire
un rapports des résultats à l'intention de la direction pour examen.
 Act (Maintenir et améliorer le SMSI)
◦ Prendre des mesures correctives et préventives, sur la base des résultats de
l'audit interne du SMSI et de la revue de direction ou d'autres informations
pertinentes, pour parvenir à une amélioration continue du SMSI.
 © 2012 ISO27k Forum
Programme de mise en oeuvre du ISMS
Implementation
 Élaborer le plan de traitement des risques
afin d'identifier les objectifs de sécurité à
Implement the atteindre, ce qui comprend l'examen du
programme financement et la répartition des rôles et
des responsabilités.
 Mettre en œuvre les mesures de sécurité
choisies au cours de l'établissement du
SMSI.
 Définir comment mesurer l'efficacité des
mesures de sécurité pour permettre aux
gestionnaires et au personnel de
déterminer dans quelle mesure les mesures
de contrôle permettent d'atteindre les
objectifs de la politique sécurité de la
société.
 Mettre en œuvre des programmes de
formation et de sensibilisation à la sécurité.
 © 2012 ISO27k Forum
Le SMSI  Il est important de pouvoir démontrer la relation entre
les mesures de sécurité choisies et le processus
d'évaluation des risques et de traitement des risques,
Information Security puis la politique et les objectifs du SMSI.
Management  La documentation du SMSI devrait comprendre :
System (ISMS)  Énoncés documentés de la politique et des objectifs
du SMSI ;
 La portée du SMSI ;
 Procédures et autres mesures de sécurité à l'appui du
SMSI ;
 Une description de la méthodologie d'évaluation des
risques ;
 Un rapport d'évaluation des risques et un plan de
traitement des risques (PTR) ;
 Procédures de planification, de fonctionnement et de
contrôle efficaces des processus de sécurité de
l'information, décrivant comment mesurer l'efficacité
des mesures de sécurité de l'information ;
 Documents exigés spécifiquement par la norme ;
 La déclaration d'applicabilité (SOA).
 © 2012 ISO27k Forum
Examen de la conformité
et mesures correctives
 La direction doit examiner le SMSI de
l'organisation au moins une fois par année
pour s'assurer qu'il est toujours adéquat et
efficace.
 Ils doivent évaluer les possibilités

d'améliorer et la nécessité de modifier le

Compliance SMSI, y compris la politique et les objectifs
Review en matière de sécurité de l'information.
 Les résultats de ces examens doivent être

clairement documentés et tenus à jour ("

Corrective actions
dossiers ").
 Les examens font partie de la phase de "

vérification " du cycle PDCA : toute action

corrective qui en découle doit être gérée en
conséquence.
 © 2012 ISO27k Forum
Évaluation préalable à la certification
 Avant la certification, l'organisation devrait
procéder à un examen complet du SMSI et
Pre-Certification
de la déclaration d'applicabilité.
Assessment
 L'organisation devra démontrer qu'elle se
conforme à la fois au cycle complet du
PDCA et à l'article 8 de la norme ISO27001,
l'exigence d'amélioration continue.
 Les auditeurs de certification chercheront
des preuves (sous la forme de dossiers de
processus tels que les évaluations des
risques, les revues de direction, les
rapports d'incidents, les actions
correctives, etc.
 Le SMSI a donc besoin d'un certain temps
pour se stabiliser, fonctionner
normalement et générer les documents
après sa mise en œuvre.
 © 2012 ISO27k Forum
Audit de certification
 La certification implique que le SMSI de
Certification
Audit l'organisation fasse l'objet d'une évaluation de
conformité à la norme ISO27001.
 L'organisme de certification doit obtenir
l'assurance que l'évaluation des risques pour la
sécurité de l'information de l'organisation reflète
correctement ses activités commerciales pour
toute la portée du SMSI.
 Lesévaluateurs vérifieront que l'organisation a
correctement analysé et traité les risques liés à la
sécurité de l'information et qu'elle continue de
gérer systématiquement ces risques.
 Uncertificat de conformité délivré par un
organisme de certification accrédité est reconnu
par d'autres organisations.
 © 2012 ISO27k Forum
Audit de certification
 L'organisation doit
Amélioration continuellement améliorer
continue
l'efficacité du SMSI par
l'utilisation de :
◦ La politique de sécurité de l'information ;
◦ Objectifs de sécurité de l'information ;
◦ Résultats d'audits ;
◦ Analyse des événements observés en
matière de sécurité;
◦ Actions correctives et préventives ;
◦ Revue de direction.