CHAPITRE 1 : LA FAMILLE ISO/CEI 27000 DES NORMES DE SECURITE DE L’INFORMATION
ISO27001, la norme internationale en Management de la sécurité de l’information, a été publiée en 2005 et mise à jour en 2013. Elle est à présent largement reconnue et suivie.
Elle fait à présent partie d’une famille bien plus nombreuse, mais l’ISO/CEI 27000 reste la base d’une série de normes internationales liées au management de la sécurité de l’information.
Élaborées par un sous-comité d’un comité technique mixte (ISO/CEI JTC SC27) de l’Organisation internationale de normalisation (ISO) basée à Genève, et la Commission électrotechnique internationale (CEI), ces normes fournissent à présent un cadre mondialement reconnu pour les meilleures pratiques en matière de management de la sécurité de l’information.
L’identification correcte pour la plupart de ces normes inclut le préfixe ISO/CEI et toutes doivent inclure un suffixe se composant de leur date de publication. Cependant, la plupart de ces normes tendent à être abrégées dans le langage courant. Par exemple, l’ISO/CEI 27001:2013 est le plus souvent appelée ISO27001.
La première norme de sécurité de l’information de la série ISO27000 a déjà été publiée.
ISO/CEI 27001:2013 (ISO27001)
Il s’agit de la version actuelle de la spécification liée à la norme internationale d’un système de management de la sécurité de l’information. Elle est indépendante du fournisseur et de la technologie. Elle est « prévue pour s’appliquer à toute organisation, quels que soient son type, sa taille et sa nature »1 et dans tout secteur (par exemple : les entreprises commerciales, les organismes gouvernementaux, ou sans but lucratif), de partout dans le monde. Il s’agit d’un système de management, pas d’une spécification technique, avec l’appellation officielle de « Technologies de l’information — Techniques de sécurité — Systèmes de management de la sécurité de l’information — Exigences ».
ISO/CEI 27002:2013 (ISO27002)
Cette norme s’intitule « Technologies de l’information — Techniques de sécurité — Code de bonne pratique pour le management de la sécurité de l’information ». La première édition a été publiée en juillet 2005, et était initialement référencée sous l’appellation ISO/CEI 17799. La dernière édition a été publiée en octobre 2013.
ISO/CEI 27003
Cette norme s’intitule « Technologies de l’information – Techniques de sécurité – Lignes directrices pour la mise en œuvre du système de management de la sécurité de l’information ». Elle a été publiée en janvier 2010.
ISO/CEI 27004
L’ISO/CEI 27004 s’intitule « Technologies de l’information – Techniques de sécurité – Management de la sécurité de l’information – Surveillance, mesurage, analyse et évaluation ». La présente norme vise à aider les organisations à mieux répondre aux exigences énoncées aux articles 9.1 à 9.3 de la norme ISO27001 afin de mesurer l’efficacité des contrôles. Elle a été publiée en décembre 2009.
ISO/CEI 27005:2011
La Gestion des risques en sécurité de l’information (basée sur la norme ISO/CEI 13335 MICTS Partie 2) a été publiée en juin 2008, et une édition plus récente en a été publiée en 2011.
ISO/CEI 27006:2011
Cette norme définit les exigences applicables aux organismes chargés de la vérification et de la certification des systèmes de management de la sécurité de l’information.
Définitions
Les définitions utilisées dans toutes ces normes sont prévues pour être cohérentes entre elles ainsi qu’avec celles utilisées dans le guide ISO/CEI 73:2009. L’ISO/CEI 27000:2016 est également disponible; elle s’intitule « Technologies de l’information – Techniques de sécurité – Systèmes de management de la sécurité de l’information – Vue d’ensemble et vocabulaire ».
_____________________
CHAPITRE 2 : HISTORIQUE DES NORMES
La première norme formelle en matière de sécurité de l’information, BS7799, a été initialement publiée au Royaume-Uni en avril 1999 en tant que norme en deux parties. Un code préalable de bonnes pratiques a été considérablement révisé et est devenu la première partie de la nouvelle norme (BS7799-1:1999) à la suite de quoi une seconde partie (BS7799-2: 1999) a été rédigée et ajoutée.
Le lien entre les deux normes a été créé sous la forme :
• La partie 1 en tant que code de bonnes pratiques
• La partie 2 en tant que spécification d’un SMSI ayant déployé des contrôles choisis dans le code de bonnes pratiques.
La Partie 2 initiale spécifiait, dans la partie principale de la norme, le même ensemble de contrôles que dans la Partie 1, mais décrits de façon beaucoup plus détaillée (en particulier en ce qui concerne la mise en œuvre). Ces contrôles ont par la suite été retirés du corps de la Partie 2 et énumérés dans une annexe, l’Annexe A.
Cette relation se poursuit aujourd’hui entre les spécifications du SMSI, qui sont contenus dans une norme, et les lignes directrices détaillées sur les contrôles de sécurité de l’information devant être prises en compte dans l’élaboration et la mise en œuvre du SMSI, qui sont contenues dans l’autre partie de la norme combinée.
L’Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (IEC)1 ont alors collaboré à l’adoption et à l’internationalisation de la BS7799-1 en tant qu’ISO/CEI 17799:2000 en décembre 2000. L’ISO17799 a été largement utilisée au niveau mondial pour fournir des lignes directrices sur les meilleures pratiques en matière de contrôles de sécurité de l’information.
L’ISO 17799 a été révisée, améliorée et mise à jour en grande partie cinq ans plus tard (en 2005) et a également été reclassifiée dans la série ISO27000.
BS7799-2
BS7799-2:1999 a été révisée et rééditée en tant que BS7799-2:2002. Des modifications y ont alors été apportées, dont :
• l’alignement de la numérotation des articles dans les deux parties de la norme
• l’ajout du modèle PDCA (voir le Chapitre 15) à la norme
• l’ajout d’une exigence d’amélioration continue du SMSI
• l’alignement de la norme et de ses clauses détaillées avec l’ISO9001:2000 et l’ISO14001:1996, afin de faciliter le développement des systèmes de management intégrés.
ISO27001:2005
Bien qu’un certain nombre de pays aient adopté la norme BS7799-2, elle n’était toujours qu’une norme britannique en juin 2005, date à laquelle l’ISO/CEI 17799:2005 va être publiée. La décision a été prise à l’époque de mettre la BS7799-2 sur la « voie rapide » à l’internationalisation, et le projet final de Norme internationale (FDIS) a été publié en juin 2005. La BS7799-2:2005 (ISO/CEI 27001:2005) a finalement été publiée en octobre 2005.
ISO27001:2013
Après une consultation approfondie des organisations membres de l’ISO/CEI, la dernière édition de l’ISO27001 a été publiée en octobre 2013. Elle a mis l’accent sur la création d’un SMSI qui complète l’organisation et ses processus, et réduit la redondance au sein de la spécification et des contrôles.
Similarités entre l’ISO27001 et l’ISO27002
L’Annexe A de la norme ISO/CEI 27001:2013 énumère les 114 contrôles qui se trouvent dans l’ISO/CEI 27002:2013, suit le même système de numérotation et utilise les mêmes mots en ce qui concerne les contrôles et leurs objectifs.
La préface de l’annexe stipule : « les contrôles et leurs objectifs [mentionnés dans cette édition] sont directement dérivés et alignés sur ceux énumérés dans la norme ISO/CEI 27002:2013 ». L’ISO/CEI 27001 exige que l’organisation « détermine tous les contrôles nécessaires à la mise en œuvre de la ou des options de traitement des risques de sécurité de l’information choisi(e)s »2.
L’ISO27002 fournit également des directives de mise en œuvre substantielles sur la façon dont les contrôles individuels doivent être abordés. Quiconque implémente un SMSI ISO27001 devra acquérir et étudier des copies de chacune des deux normes ISO27001 et ISO27002.
Bien que l’ISO27001 impose en effet l’utilisation de l’ISO27002 en tant qu’orientation en matière de contrôles, de leur sélection et de leur mise en œuvre, elle ne limite pas le choix des contrôles de l’organisation. La spécification précise : « Les contrôles et leurs objectifs énumérés à l’annexe A ne sont pas exhaustifs et des contrôles et leurs objectifs additionnels peuvent s’avérer nécessaires ».3
Utilisation des normes
Ces deux normes reconnaissent que la sécurité de l’information ne peut être menée à bien au moyen des seuls interventions technologiques, et ne devrait jamais être mise en œuvre en inadéquation avec l’approche du risque de l’organisation, ou d’une façon qui nuise ou génère des difficultés dans la conduite de ses activités.
Une sécurité de l’information efficace est définie dans la norme ISO27000 comme la « préservation de la confidentialité, de l’intégrité et de la disponibilité de l’information ».
_____________________