Le management de la sécurité des SI enfin normalisé par l’AFNOR ! La norme NF ISO/CEI 27001 : 2007-12 homologuée par l’AFNOR le 14 novembre 2007 a été publiée pour prendre effet le 14 décembre 2007 (1).
Les exigences relatives au management de la sécurité
La norme spécifie les exigences relatives au management de la sécurité (établissement, mise en oeuvre, fonctionnement, surveillance, réexamen, mise à jour et amélioration d’un Système de Management de la Sécurité et de l’Information (SMSI) documenté, dans le contexte des risques globaux liés à l’activité de tout type d’organisme, public comme privé, y compris à but non lucratif.
Comme les normes ISO 9001 : 2000 et ISO 14001 : 2004, l’ISO 27001 : 2007 porte moins sur l’efficacité des dispositions mises en place que sur leur existence et la mise en place de facteurs d’amélioration selon le modèle PDCA (2).
Autrement dit, son objectif n’est pas de garantir un niveau de sécurité, mais de garantir que lorsqu’on l’a atteint, on le garde ! Elle encourage ainsi l’adoption d’une approche « processus » pour l’établissement, la mise en oeuvre, le fonctionnement, la surveillance et le réexamen, la mise à jour et l’amélioration d’un SMSI.
Elle applique les principes de la qualité à la sécurité de l’information et constitue un référentiel précis et auditable permettant d’apporter la confiance nécessaire au développement du commerce en ligne.
La norme 27001 : 2007 présente de nombreux avantages. Mais il en est un auquel on ne saurait rester insensible : sa valeur légale. La norme prévoit en effet, l’obligation pour l’entreprise de tenir compte non seulement des exigences liées à son activité mais également « des exigences légales ou réglementaires, ainsi que des obligations de sécurité contractuelles » [voir 4.2.1b)].
Management de la sécurité et méthodologie
Pour cela, l’entreprise doit identifier une méthodologie d’appréciation du risque adaptée à son SMSI, ainsi qu’à la sécurité de l’information identifiée et aux exigences légales et réglementaires [voir 4.2.1c)].
Ensuite, les objectifs de sécurité et les mesures de sécurité proprement dites doivent être sélectionnés et mis en oeuvre pour répondre aux exigences identifiées par le processus d’appréciation du risque et de traitement du risque.
Cette sélection doit tenir compte des critères d’acceptation des risques ainsi que des exigences légales, réglementaires et contractuelles [voir 4.2.1g)].
Enfin, la norme décrit des procédures de preuve et d’enregistrements formels permettant de faciliter la constitution des dossiers de preuves et de préjudice.
(1) NF ISO/CEI 27001 : 2007-12
(2) « Planifier-Déployer-Contrôler-Agir » ou roue de Deming
Paru dans la JTIT n°71/2007
(Mise en ligne Décembre 2007)
Autres brèves
(Mise en ligne Juillet 2007)
(Mise en ligne Mars 2006)