La famille des normes ISO 2700x (2ème partie)
Date : 02 Août 2007
Le premier article de cette série (voir le Bulletin Sécurité n°117 - Juin 2007) présentait la famille et décrivait les normes ISO/IEC 27001 et ISO/IEC 27002.
Ce deuxième article présente en détail ce "PDCA",
puis présente le processus de certification.
2 - Processus de mise en œuvre d’un SMSI en utilisant le modèle PDCA
Le modèle PDCA est constitué de quatre phases :
L’application de ce modèle à la mise en œuvre d’un SMSI est détaillée comme suit.
La première activité consiste à définir le périmètre du
SMSI. Il est important de bien délimiter le périmètre vis à vis de
l’organisme et de justifier les exclusions.
La deuxième activité est l’établissement d’un document de
politique du SMSI formulée par la Direction donnant les grandes
orientations en matière de sécurité et fixant les objectifs.
La troisième activité permet de choisir une méthode
d’appréciation des risques, de décrire les critères d’acceptation des
risques et d’identifier les niveaux acceptables des risques. Aucune méthode
n’est imposée, mais la démarche suivante doit être suivie :
- Tâche 1 : Identifier les biens dans le cadre du SMSI et leur propriétaire
- Tâche 2 : Identifier les vulnérabilités puis les menaces sur ces biens
- Tâche 3 : Identifier les impacts d’une perte de confidentialité, intégrité et disponibilité
- Tâche 4 : Evaluer la probabilité d’occurrence de la menace
- Tâche 5 : Estimer le niveau de risque
La quatrième activité consiste à dérouler la méthode d’appréciation des risques et à traiter les risques identifiés. Traiter le risque signifie choisir une des quatre options suivantes proposées :
- Accepter le risque en toute connaissance de cause et de façon objective (ce risque va devenir un risque résiduel)
- Refuser le risque : décision visant à ne pas être impliqué dans une situation à risque, ou à se retirer d'une situation à risque. On peut par exemple éviter le risque en supprimant l’activité.
- Transférer le risque : partager avec un tiers une autre partie de la charge, de la perte, ou du bénéfice induit par la réalisation d'un risque.
- Réduire le risque: réaliser des actions
préventives permettant de diminuer la probabilité, les conséquences négatives,
ou les deux, associées à un risque.
Afin de réduire les risques à un niveau acceptable, La
démarche propose de sélectionner dans l’annexe A de la norme 27001 (annexe qui
correspond à l’ISO 27002) les mesures de sécurité que l’on souhaite mettre en
place et de remplir une matrice d’applicabilité (appelé SoA –
"Statement Of Applicability").
Cette matrice contient :
- les mesures de sécurité retenues et la raison de leur sélection;
- les mesures de sécurité déjà mises en place;
- les mesures de sécurité non retenues et la raison de leur mise à l’écart.
Le cas échéant, il est possible aussi de rajouter des
mesures n’existant pas dans cette annexe.
La Direction a ici un rôle important, car elle doit approuver les risques résiduels identifiés (par défaut tout risque accepté devient un risque résiduel).
Cette phase permet de répondre aux
clauses 4 et 5 de
Phase 2 : Production (Do)
La première activité consiste à gérer l’allocation des
ressources (humaines, financières, matérielles). La Direction montre ainsi
son engagement.
La seconde activité consiste à rédiger, puis implémenter, un
plan de réduction des risques. Ce plan contient toutes les actions /
mesures à mettre en œuvre ainsi que les ressources affectées, les
responsabilités, les délais…
La troisième activité est la définition d’indicateurs
permettant de mesurer l’efficacité des mesures mises en place.
La quatrième activité, qui n'est pas la moindre, permet de former
ou sensibiliser l’ensemble du personnel.
La cinquième activité correspond à la rédaction et à la
gestion de toute la documentation du SMSI (dont par exemple la procédure
pour la détection et la résolution des incidents liés à la sécurité ou
la procédure de gestion des traces).
Une fois mis en place, il ne reste plus qu’à exploiter ce
SMSI au quotidien.
Cette phase permet de compléter les clauses 4 et 5 de
La première activité correspond à la surveillance au quotidien; celle-ci permet de :
- détecter rapidement des erreurs de traitements;
- identifier des failles de sécurité ou des incidents de sécurité;
- permettre au management de s’assurer que les mesures de sécurité sont implémentées comme il se doit ; etc.
La seconde activité consiste en la tenue de revues.
Ces revues doivent avoir lieu régulièrement pour vérifier l’efficacité du SMSI
et voir dans quelle mesure il est possible d’améliorer ce SMSI. Il faut au minimum
une revue par an. Ces revues utilisent en entrée les résultats des audits,
les incidents ayant eu lieu, les suggestions ou "feed-back" des
différentes parties prenantes… Les risques doivent être aussi réévalués à
intervalles réguliers ou à chaque changement dans l’organisation, de
technologie, d’objectif… En sortie de ces revues, il faut lister les
améliorations et changements, à implémenter dans la phase "Act".
La dernière activité est la programmation et la mise en
place d’audits internes du SMSI. Ces audits doivent être planifiés à
intervalle régulier pour s’assurer que les objectifs, les mesures de sécurité,
les processus et les procédures du SMSI soient conformes à l’ISO 27001 et à la
législation ou régulation applicables, conformes aux besoins de sécurité identifiés,
et implémentés, maintenus et exploités comme il se doit.
Cette phase permet
de répondre aux clauses 6 et 7 de la norme 27001.
Phase 4 : Assurance ou amélioration (Act)
Cette phase permet d’implémenter les améliorations et les
changements décidés lors de
Pour cela deux types d’actions sont considérées :
- Les actions correctives qui éliminent les causes de non-conformité.
- Les actions préventives qui éliminent les causes de non-conformité potentielle.
Cette phase permet de répondre à la clause 8 de la norme 27001.
3 - Processus de certification ISO/IEC 27001 pour les organismes
La certification est un engagement dans
- 1 - L’audit initial complet porte sur tout le SMSI et sur le respect de
toutes les clauses.
- 2 - L’audit partiel (audit de surveillance) est effectué ensuite
régulièrement (tous les six mois ou deux fois par an). Il porte sur une partie
du SMSI et s'intéresse en priorité à la correction des causes des
non-conformités mineures et à la prise en compte des remarques.
L’audit initial débute par une revue de la documentation qui
permet de s’assurer que l’organisme a écrit tout ce qu’il devait faire; de
vérifier que ce qui est écrit est conforme aux clauses 4 à 8 de
Les certificats
ISO27001
- peuvent exclusivement être attribués par une institution de certification accréditée,
- sont reconnus sur le plan international,
- sont valables trois ans, à l’issue desquels une nouvelle certification a lieu dans un souci de développement continu. Pendant leur validité, des vérifications annuelles de suivi sont réalisées.
4 – Les certificats en France
A l’heure actuelle, peu de sociétés françaises sont certifiées ISO 27001 (moins de 5) alors que d’autres pays en comptent plusieurs centaines. Pour les attributions pays par pays des certifications ISO 27001 vous pouvez consulter le site web : www.iso27001certificates.com
5 - Processus de certification ISO/IEC 27001 pour les individus
La certification " ISO/IEC 27001 Lead Auditor " atteste que la personne certifiée :
- possède, ou a acquis, les connaissances
et les compétences nécessaires pour mener un audit selon
- possède le savoir-faire et les qualités
personnelles nécessaires à la conduite d’un audit, définies dans
Une nouvelle certification vient de
naître en France, il s’agit de la certification « ISO/IEC 27001 Lead
Implementer », Cette certification atteste la compétence d'une
personne à mettre en place un système de management de la sécurité de
l'information selon
6 - Conclusion : A suivre …
Dans un prochain article nous essaierons de positionner
