solutions concrètes et personnalisées PRÉSERVEZ VOTRE PATRIMOINE NUMÉRIQUE Plan de Continuité/Reprise Informatique. Système de Management de la Sécurité de l'Information.

OFFRE DE SERVICE « RETEX »

Eiwler Conseil vous accompagne dans la coordination des retours d'expériences des parties prenantes, afin de produire une synthèse. Une mesure des écarts avec votre SMSI existant valorisera des ajustements.

Contactez-nous
✉ contact [at] eiwler.lu

OFFRE DE SERVICE « SMSI »

Eiwler Conseil accompagne les acteurs économiques pour la mise en place, revue et amélioration de votre système de management de la sécurité de l'information (SMSI) par une approche collaborative.

Contactez-nous
☎ +352 691 370 092

OFFRE DE SERVICE « DIAGNOSTIC »

Aux côtés des acteurs économiques, Eiwler Conseil organise et rend compte des exercices de votre PCI/PRI existant afin de le rendre vivant et de l'intégrer dans votre démarche d'amélioration continue, mesurable.

Contactez-nous
WhatsApp

Eiwler Conseil ISO27x ISO27001 ISO27002 PCI PRI information technology continuity Luxembourg

Préservez votre environnement informatique

L’ISO 27001 est la norme internationale pour les Systèmes de management de la sécurité de information (SMSI). Cette norme , étroitement liée à la famille 27x en général et à la norme ISO 27002 en particulier, accompagne les organisations à respecter leurs objectifs de conformité réglementaire en matière sécurisation du S.I. (S.I. Système d’Information c’est-à-dire l’informatique) et les aider à se préparer et à se positionner pour les réglementations nouvelles et émergentes liées à l’informatique ou à d’autres sujets de la société (RSE par exemple)

Patrimoine informationnel

Un actif peut être défini comme « tout ce qui a de la valeur pour une organisation ». Les actifs informationnels et immatériels sont soumis aux menaces variées, tant externes qu’internes. Les risques comprennent les catastrophes naturelles (salle informatique noyée), la fraude et autres activités criminelles (ransonware), les erreurs de l’utilisateur et les défaillances du système.

La norme ISO27000 défini la sécurité de l’information efficace par la « préservation de la confidentialité , l’intégrité et de la disponibilité de l’information »

  • Confidentialité : «la propriété selon laquelle l’information n’est pas diffusée ni divulguée à des personnes, des entités ou des processus non autorisés ».
  • Intégrité : « la propriété de protection de l’exactitude et de la complétude des actifs ».
  • Disponibilité : «la propriété d’être accessible et utilisable à la demande par une entité autorisée », qui donne la possibilité à l’information d’être accessible par des périphériques informatiques (logiciels, matériel, objets connectés, etc…) aussi bien que par des utilisateurs humains.
  • Eiwler SMSI ISO 27002 27000 PCI PRI DDA IT Risk Informatique Risques Luxembourg
  • Eiwler ISO 27002 27000 SMSI PCI PRI DDA IT Risk Informatique Risques Luxembourg
  • Eiwler PCI PRI Risk Informatique Risques SMSI IT ISO 27002 27000 DDA Luxembourg

Mise en oeuvre d’un SMSI

Un SMSI, dont la norme est clairement définie, s’entend par « la structure organisationnelle, les politiques, les activités de planification, les responsabilités, les pratiques, les procédures, les processus et les ressources » . On y retrouve les 3 composants structurants :

  • P : People : le comportement de l’utilisateur;
  • P : Process : le processus (ou procédure);
  • P : Product : la technologie (ou produit).

Comme tous projets, il est recommandé de produire une note de cadrage sous la responsabilité du management et inscription aux objectifs stratégiques, ayant ainsi le soutien de la direction. Eiwler vous accompagne dans toutes les étapes du projet de sécurisation de votre Système d’Information.

ISO 27002, 17 chapitres à prendre en considération dans le projet SMSI

Eiwler IT Risk Informatique Risques SMSI ISO 27002 27000 PCI PRI DDA Luxembourg

◈ Domaine d’application
◈ Références normatives
◈ Termes et définitions
◈ Structure de la présente norme
◈ Politiques de sécurité de l’information
◈ Organisation de la sécurité de l’information
◈ Sécurité des ressources humaines
◈ Gestion des actifs
◈ Contrôle d’accès
◈ Cryptographie
◈ Sécurité physique et environnementale
◈ Sécurité liée à l’exploitation
◈ Sécurité des communications
◈ Acquisition, développement et maintenance des systèmes d’information
◈ Relations avec les fournisseurs
◈ Gestion des incidents liés à la sécurité de l’information
◈ Aspects de la sécurité de l’information dans la gestion de la continuité de l’activité
◈ Conformité

Contenu de la documentation SMSI

Eiwler ISO 27002 27000 SMSI PCI PRI DDA IT Luxembourg PDCA Deming

La documentation doit être complète, exhaustive, en conformité avec les exigences de la norme et adaptée aux besoins de chaque organisation. L’ISO27001 décrit la documentation minimale devant être incluse dans le SMSI et notamment la production du document intitulé Déclaration d’Applicabilité ou DDA  dont la définition est « Déclaration documentée décrivant les objectifs de sécurité, ainsi que les mesures appropriées et applicables au SMSI d’un organisme. »

Cycle PDCA et mise en oeuvre d’un SMSI

Planifier (établir le SMSI) :

  • Définir l’organisation et son contexte;
  • Déterminer le domaine d’application du SMSI;
  • Définir la politique en matière de sécurité de l’information;
  • Déterminer une approche systémique pour l’évaluation des risques;
  • Procéder à une évaluation des risques afin d’identifier, dans le cadre de la politique et du SMSI, les actifs d’information importants de l’organisation et les risques qui en découlent;
  • Cartographier les risques;
  • Identifier et évaluer les options liées au traitement de ces risques;
  • Sélectionner, pour chaque décision de traitement des risques, les objectifs de contrôle et les contrôles à mettre en œuvre ;
  • Préparer une déclaration d’applicabilité (DdA) : c’est le document décrivant les objectifs de sécurité, ainsi que les mesures appropriées et applicables au SMSI d’un organisme.

Déployer (mettre en œuvre et exploiter le SMSI) :

  • Formuler le plan de traitement des risques et sa documentation, dont les processus prévus et les procédures détaillées.
  • Mettre en œuvre le plan de traitement des risques et les contrôles prévus.
  • Fournir une formation appropriée au personnel concerné, ainsi que des programmes de sensibilisation.
  • Gérer les opérations et les ressources conformément au SMSI
  • Mettre en œuvre des procédures permettant la détection rapide des incidents de sécurité et la réponse à y apporter.

Contrôler (surveiller et mesurer le SMSI) :

  • Le suivi, le réexamen, les tests et l’audit constituent un processus continu devant couvrir l’ensemble du système.

Agir (maintenir et améliorer le SMSI) :

  • Recadrage : les résultats des tests, des contrôles internes et des vérifications devraient être réexaminés par la direction, de même que le SMSI, en fonction de l’évolution de l’environnement du risque, de la technologie ou de toute autre circonstance; les améliorations au SMSI devraient être identifiées, documentées et mises en œuvre par itérations.
  • Processus « amélioration continue ».
  • Eiwler SMSI IT Risk Informatique Risques ISO 27002 27000 PCI PRI DDA Luxembourg
  • Eiwler Risk Informatique Risques SMSI IT ISO 27002 27000 PCI PRI DDA Luxembourg

Processus d’évaluation des risques

Eiwler IT Risk matrice des Risques SMSI ISO 27002 27000 PCI PRI DDA Luxembourg

Les sept étapes à suivre pour effectuer une évaluation des risques :
1) Identifier les risques associés à la perte de la confidentialité, de la disponibilité et de l’intégrité de la chaîne de valeur;
2) Identifier les responsables du suivi des risques;
3) Evaluer les conséquences pouvant résulter de la matérialisation d’un risque identifié;
4) Evaluer la probabilité que ce risque se produise;
5) Déterminer les niveaux de risque;
6) Comparer les résultats de l’analyse aux critères de risque;
7) Prioriser le traitement des risques.

  • logo ProRSE Luxembourg Eiwler Conseil RSE ESR CSR
    ProRSE Luxembourg
  • logo Parlement Européen Entreprises Luxembourg Eiwler Conseil
    Parlement Européen Entreprises
  • logo ERUDITE Europe Interreg Luxembourg Eiwler Conseil IT Informatique
    ERUDITE Interreg Europe
error: Content is protected !!
fr_FRFR
en_GBEN fr_FRFR

En continuant à utiliser le site, vous acceptez l’utilisation des cookies. Plus d’informations

Les paramètres des cookies sur ce site sont définis sur « accepter les cookies » pour vous offrir la meilleure expérience de navigation possible. Si vous continuez à utiliser ce site sans changer vos paramètres de cookies ou si vous cliquez sur "Accepter" ci-dessous, vous consentez à cela.

Fermer