La famille des normes ISO 2700x (3ème partie)
Date : 02 Janvier 2008
Le premier article de cette série (voir le Bulletin Sécurité n°117 - Juin 2007) présentait la famille des normes ISO 2700X et décrivait plus en détail les normes ISO/IEC 27001 et ISO/IEC 27002.
Pour rappel, la norme ISO/IEC 27001 définit les règles de mise en place d’un SMSI (Système de Management de Sécurité de l’Information). Il s'appuie pour cela sur le modèle de la roue de Deming (illustration de la méthode qualité PDCA - Plan / Do / Check / Act). La norme ISO/IEC 27002 est un guide de bonnes pratiques pour la mise en œuvre de mesures sur la sécurité de l’information.
Le deuxième article (voir le Bulletin Sécurité n°118 - Juillet 2007) détaillait ce "PDCA", puis présentait le processus de certification.
Aujourd’hui, notre 3ème article explique comment la norme ISO 27001 se positionne par rapport aux nombreux autres référentiels existants.
Les référentiels autour de la norme ISO 27001
Il existe un nombre important de référentiels pour une organisation, que l'on peut classer en quatre catégories :
- Les référentiels qui décrivent des guides de bonnes pratiques,
- Les référentiels utilisés pour obtenir des certifications complémentaires,
- Les référentiels détaillant certains points techniques relatifs à la sécurité,
- Les référentiels imposés par des besoins réglementaires.
Les guides de bonnes pratiques
Il s'agit typiquement des COBIT, ITIL, CMMI et ISO 27002. Ils permettent de couvrir tous les domaines relatifs à l’Information Technology :
- la gouvernance grâce à COBIT,
- les opérations grâce à ITIL,
- la qualité grâce à CMMI
- et la sécurité grâce à l’ISO 27002.
COBIT (Control OBjectives for Information & related Technology) est un ensemble de bonnes pratiques qui vise à aider à optimiser les investissements informatiques, à assurer la fourniture des services, et à fournir des métriques auxquelles se référer pour évaluer les dysfonctionnements.
ITIL (Information Technology Infrastructure Library) est un ensemble de bonnes pratiques pour l’exploitation d'un système d'information (informatique).
CMMI (Capability Maturity Model Integration) est un ensemble de bonnes pratiques liées à la gestion, au développement et à la maintenance d'applications et de systèmes.
Les référentiels de certification
Les normes ISO 9001 et 14001 permettent d’obtenir respectivement les certifications des systèmes de management de la qualité et de l’environnement.
Les trois systèmes de management (ISO 9001, 14001 et 27001) sont souvent intégrés dans une même organisation.
Mais il ne faut pas oublier l'ISO 20000 constituant l'unique référentiel de reconnaissance des systèmes de management des services informatiques des organismes et s’intégrant aussi aux Systèmes de Management cités ci-dessus.
Les référentiels techniques de sécurité
Il s'agit ici d’autres normes ISO/IEC plus techniques, et associées aux normes ISO 2700x comme par exemple :
- ISO/IEC 13335 IT Security Management;
- ISO/IEC 15947 Intrusion Detection Framework;
- ISO/IEC 15408 IT Security Common Criteria;
- ISO/IEC 18028 IT Network Security (ex X.805)
- ISO/IEC 18044 Incident Security Management.
Les référentiels imposés par les besoins réglementaires.
Les référentiels réglementaires les plus connus sont : SoX, Bâle II, SAS 70 et LSF.
La mise en œuvre des guides de bonnes pratiques et des normes permettent de répondre aux exigences réglementaires définies par ces référentiels.
SoX (Sarbanes-Oxley) est une loi américaine sur la réforme de la comptabilité des sociétés cotées et la protection des investisseurs.
Les normes Bâle II (le Nouvel Accord de Bâle) constituent un dispositif prudentiel destiné à mieux appréhender les risques bancaires et principalement le risque de crédit ou de contrepartie et les exigences en fonds propres.
LSF (Loi de Sécurité Financière) est une loi française, équivalente à SoX, permettant de renforcer les dispositions légales en matière de gouvernance d'entreprise.
SAS 70 (Statement on Auditing Standard) est une norme créée par l'AICPA (American Institute of Certified Public Accountants) pour définir les méthodes des organismes chargés du contrôle interne et des audits financiers sur les sociétés.
En conclusion, il n’est pas aisé de se retrouver parmi ces normes techniques ou de certifications, bonnes pratiques et cadres règlementaires. Malheureusement pour les entreprises, leur nombre est en constante augmentation…