L’ISO 27001 est la norme internationale pour les Systèmes de management de la sécurité de information (SMSI). Cette norme , étroitement liée à la famille 27x en général et à la norme ISO 27002 en particulier, accompagne les organisations à respecter leurs objectifs de conformité réglementaire en matière sécurisation du S.I. (S.I. Système d’Information c’est-à-dire l’informatique) et les aider à se préparer et à se positionner pour les réglementations nouvelles et émergentes liées à l’informatique ou à d’autres sujets de la société (RSE par exemple)
Patrimoine informationnel
Un actif peut être défini comme « tout ce qui a de la valeur pour une organisation ». Les actifs informationnels et immatériels sont soumis aux menaces variées, tant externes qu’internes. Les risques comprennent les catastrophes naturelles (salle informatique noyée), la fraude et autres activités criminelles (ransonware), les erreurs de l’utilisateur et les défaillances du système.
La norme ISO27000 défini la sécurité de l’information efficace par la « préservation de la confidentialité , l’intégrité et de la disponibilité de l’information »
- Confidentialité : «la propriété selon laquelle l’information n’est pas diffusée ni divulguée à des personnes, des entités ou des processus non autorisés ».
- Intégrité : « la propriété de protection de l’exactitude et de la complétude des actifs ».
- Disponibilité : «la propriété d’être accessible et utilisable à la demande par une entité autorisée », qui donne la possibilité à l’information d’être accessible par des périphériques informatiques (logiciels, matériel, objets connectés, etc…) aussi bien que par des utilisateurs humains.
Mise en oeuvre d’un SMSI
Un SMSI, dont la norme est clairement définie, s’entend par « la structure organisationnelle, les politiques, les activités de planification, les responsabilités, les pratiques, les procédures, les processus et les ressources » . On y retrouve les 3 composants structurants :
- P : People : le comportement de l’utilisateur;
- P : Process : le processus (ou procédure);
- P : Product : la technologie (ou produit).
Comme tous projets, il est recommandé de produire une note de cadrage sous la responsabilité du management et inscription aux objectifs stratégiques, ayant ainsi le soutien de la direction. Eiwler vous accompagne dans toutes les étapes du projet de sécurisation de votre Système d’Information.
ISO 27002, 17 chapitres à prendre en considération dans le projet SMSI

◈ Domaine d’application
◈ Références normatives
◈ Termes et définitions
◈ Structure de la présente norme
◈ Politiques de sécurité de l’information
◈ Organisation de la sécurité de l’information
◈ Sécurité des ressources humaines
◈ Gestion des actifs
◈ Contrôle d’accès
◈ Cryptographie
◈ Sécurité physique et environnementale
◈ Sécurité liée à l’exploitation
◈ Sécurité des communications
◈ Acquisition, développement et maintenance des systèmes d’information
◈ Relations avec les fournisseurs
◈ Gestion des incidents liés à la sécurité de l’information
◈ Aspects de la sécurité de l’information dans la gestion de la continuité de l’activité
◈ Conformité
Contenu de la documentation SMSI

La documentation doit être complète, exhaustive, en conformité avec les exigences de la norme et adaptée aux besoins de chaque organisation. L’ISO27001 décrit la documentation minimale devant être incluse dans le SMSI et notamment la production du document intitulé Déclaration d’Applicabilité ou DDA dont la définition est « Déclaration documentée décrivant les objectifs de sécurité, ainsi que les mesures appropriées et applicables au SMSI d’un organisme. »
Cycle PDCA et mise en oeuvre d’un SMSI
Planifier (établir le SMSI) :
- Définir l’organisation et son contexte;
- Déterminer le domaine d’application du SMSI;
- Définir la politique en matière de sécurité de l’information;
- Déterminer une approche systémique pour l’évaluation des risques;
- Procéder à une évaluation des risques afin d’identifier, dans le cadre de la politique et du SMSI, les actifs d’information importants de l’organisation et les risques qui en découlent;
- Cartographier les risques;
- Identifier et évaluer les options liées au traitement de ces risques;
- Sélectionner, pour chaque décision de traitement des risques, les objectifs de contrôle et les contrôles à mettre en œuvre ;
- Préparer une déclaration d’applicabilité (DdA) : c’est le document décrivant les objectifs de sécurité, ainsi que les mesures appropriées et applicables au SMSI d’un organisme.
Déployer (mettre en œuvre et exploiter le SMSI) :
- Formuler le plan de traitement des risques et sa documentation, dont les processus prévus et les procédures détaillées.
- Mettre en œuvre le plan de traitement des risques et les contrôles prévus.
- Fournir une formation appropriée au personnel concerné, ainsi que des programmes de sensibilisation.
- Gérer les opérations et les ressources conformément au SMSI
- Mettre en œuvre des procédures permettant la détection rapide des incidents de sécurité et la réponse à y apporter.
Contrôler (surveiller et mesurer le SMSI) :
- Le suivi, le réexamen, les tests et l’audit constituent un processus continu devant couvrir l’ensemble du système.
Agir (maintenir et améliorer le SMSI) :
- Recadrage : les résultats des tests, des contrôles internes et des vérifications devraient être réexaminés par la direction, de même que le SMSI, en fonction de l’évolution de l’environnement du risque, de la technologie ou de toute autre circonstance; les améliorations au SMSI devraient être identifiées, documentées et mises en œuvre par itérations.
- Processus « amélioration continue ».
Processus d’évaluation des risques

Les sept étapes à suivre pour effectuer une évaluation des risques :
1) Identifier les risques associés à la perte de la confidentialité, de la disponibilité et de l’intégrité de la chaîne de valeur;
2) Identifier les responsables du suivi des risques;
3) Evaluer les conséquences pouvant résulter de la matérialisation d’un risque identifié;
4) Evaluer la probabilité que ce risque se produise;
5) Déterminer les niveaux de risque;
6) Comparer les résultats de l’analyse aux critères de risque;
7) Prioriser le traitement des risques.
ProRSE Luxembourg Parlement Européen Entreprises ERUDITE Interreg Europe