Neuf étapes vers le succès
eBook - ePub

Neuf étapes vers le succès

Un aperçu de la mise en œuvre de la norme ISO 27001:2013

  1. 139 pages
  2. French
  3. ePUB (adapté aux mobiles)
  4. Disponible sur iOS et Android
eBook - ePub

Neuf étapes vers le succès

Un aperçu de la mise en œuvre de la norme ISO 27001:2013

Détails du livre
Aperçu du livre
Table des matières
Citations

À propos de ce livre

Guide étape par étape vers une mise en œuvre réussie de la norme ISO 27001

Rédigé dans un langage pratique et non technique, ce guide vous guidera au travers des étapes clés d'un projet ISO 27001 afin d'en assurer le succès - de la création à la certification:

  • Mandat du projet
  • Lancement du projet
  • Lancement du SMSI
  • Cadre de management
  • Critères de sécurité de base
  • Gestion du risque
  • Mise en œuvre
  • Mesures, surveillance et réexamen
  • Certification

Aujourd'hui dans sa troisième édition et conforme à l'ISO 27001: 2013, ce guide est idéal pour toute personne qui aborderait cette norme pour la première fois.

« C'est comme avoir un consultant à 300 $/heure sous la main lorsque vous abordez les différentes questions relatives à la planification, au domaine d'application, à la communication, à la façon d'obtenir l'appui de la direction, etc. »

Thomas F. Witwicki

Avec ce livre, vous découvrirez comment:

  • Obtenir le soutien de la direction et garder l'attention du conseil d'administration;
  • Créer un cadre de gestion et effectuer une analyse des manques, afin de pouvoir clairement comprendre les contrôles que vous avez déjà mis en place et identifier où concentrer vos efforts;
  • Structurer et mettre en valeur votre projet - y compris des conseils pour faire appel à des consultants ou le faire vous-même, et un examen des outils et des ressources disponibles qui faciliteront votre travail;
  • Mener une évaluation des risques en cinq étapes et établir une déclaration d'applicabilité ainsi qu'un plan de traitement des risques;
  • Intégrer votre SMSI ISO 27001 à un SGQ ISO 9001 et à d'autres systèmes de gestion;
  • Répondre aux défis que vous devrez relever en matière de documentation lorsque vous créez des politiques d'entreprise, des procédures, des instructions de travail et des enregistrements: dont des alternatives viables à une approche coûteuse par « essais et erreurs »;
  • Améliorer continuellement votre SMSI, y compris par des audits et des tests internes, et l'examen par la direction;

Cet ouvrage vous offrira les conseils dont vous avez besoin pour comprendre les exigences de la norme et vous assurer que votre projet de mise en œuvre est un succès. Il comprend six secrets pour une certification réussie.

Historique

L'obtention et le maintien d'une certification accréditée selon la norme ISO 27001, la norme internationale qui établit les exigences d'un SMSI, peut s'avérer une tâche compliquée, en particulier pour les responsables de la mise en œuvre qui découvrent la norme.

L'auteur, Alan Calder, connaît l'ISO 27001 de l'intérieur: il est le fondateur et le président exécutif de IT Governance et a dirigé la mise en œuvre du premier système de management pour l'obtention de la certification accréditée BS 7799 (le précurseur de l'ISO 27001), et a travaillé depuis avec la norme et celles qui l'ont suivie.

Des centaines d'organisations à travers le monde ont obtenu une certification accréditée ISO 27001 grâce aux conseils d'IT Governance (présentés tout au long de cet ouvrage).

Foire aux questions

Il vous suffit de vous rendre dans la section compte dans paramètres et de cliquer sur « Résilier l’abonnement ». C’est aussi simple que cela ! Une fois que vous aurez résilié votre abonnement, il restera actif pour le reste de la période pour laquelle vous avez payé. Découvrez-en plus ici.
Pour le moment, tous nos livres en format ePub adaptés aux mobiles peuvent être téléchargés via l’application. La plupart de nos PDF sont également disponibles en téléchargement et les autres seront téléchargeables très prochainement. Découvrez-en plus ici.
Les deux abonnements vous donnent un accès complet à la bibliothèque et à toutes les fonctionnalités de Perlego. Les seules différences sont les tarifs ainsi que la période d’abonnement : avec l’abonnement annuel, vous économiserez environ 30 % par rapport à 12 mois d’abonnement mensuel.
Nous sommes un service d’abonnement à des ouvrages universitaires en ligne, où vous pouvez accéder à toute une bibliothèque pour un prix inférieur à celui d’un seul livre par mois. Avec plus d’un million de livres sur plus de 1 000 sujets, nous avons ce qu’il vous faut ! Découvrez-en plus ici.
Recherchez le symbole Écouter sur votre prochain livre pour voir si vous pouvez l’écouter. L’outil Écouter lit le texte à haute voix pour vous, en surlignant le passage qui est en cours de lecture. Vous pouvez le mettre sur pause, l’accélérer ou le ralentir. Découvrez-en plus ici.
Oui, vous pouvez accéder à Neuf étapes vers le succès par Alan Calder en format PDF et/ou ePUB ainsi qu’à d’autres livres populaires dans Computer Science et Cyber Security. Nous disposons de plus d’un million d’ouvrages à découvrir dans notre catalogue.

Informations

Éditeur
ITGP
Année
2017
ISBN
9781849289221
Sujet
Computer Science
Sous-sujet
Cyber Security

CHAPITRE 1 : MANDAT DU PROJET

Cela fait peut-être un peu cliché mais, pour les projets de systèmes de management de la sécurité de l'information (SMSI), il est certainement vrai de dire que « ce qui est bien commencé est déjà à moitié fait ». La personne en charge de la direction d'un projet de SMSI ISO/CEI 27001:2013 doit résumer quelque chose qui semble potentiellement complexe, difficile et coûteux en termes de temps et de ressources, à quelque chose que tout un chacun pense pouvoir être réalisable dans le temps alloué et avec les ressources disponibles. Puis elle devra s'assurer que tout cela a bien été accompli !
Ce que cela signifie en réalité, c'est que le chef de projet du SMSI doit mettre en place le projet de manière à ce qu'il dispose des ressources suffisantes, de suffisamment de temps (y compris pour tout ce qui pourrait mal tourner) et que chacun comprenne les risques du projet et accepte les contrôles déployés pour les minimiser.
La plupart des gens n'aiment pas le changement. Très peu de personnes apprécient de devoir composer avec l'inconnu. La plupart des gens verront un projet de SMSI comme un élément apportant à la fois le changement et l'inconnu dans leur vie professionnelle, et tous ne verrons pas cela d'un bon œil. C'est normal ; ils nous emboîteront le pas à la fin.
Le chef de projet, dans la première phase du projet, est la personne vers qui tout le monde se tourne dans l'organisation pour des questions d'éclaircissement, de confort et de soutien. Vous devez être celui qui génère l'enthousiasme, la certitude et une compréhension des enjeux.
Cela signifie que l'apprentissage « sur le tas » d'une manière transparente n'est pas conseillé. Je ne veux pas dire pour autant que vous devez connaître toutes les réponses dès le départ, ce ne serait pas réaliste. Tant que vous avez une compréhension claire des questions stratégiques et des connaissances pratiques nécessaires à l'obtention de conseils et de lignes directrices, vous pouvez être efficace (même si vos connaissances détaillées nécessaires au projet ne datent que de quelques jours avant les autres).
Vous serez surpris du nombre de fois où quelqu'un a lancé un projet SMSI sans préparation adéquate, n'a pas su répondre de la bonne façon à une série de questions ou de défis sur des problèmes spécifiques, et a été tout surpris que le projet perde assez rapidement de sa crédibilité.
Le soutien de votre Directeur général pour ce projet est encore plus important que votre propre compréhension de ce que vous essayez d'atteindre. La sécurité de l'information est à la fois une question de management et de gouvernance. La mise en œuvre réussie d'un SMSI dépend absolument du fait que le projet bénéficie d'un soutien réel de la part du sommet de l'organisation. Avec lui, vous avez une vraie chance de succès ; sans lui, aucun espoir. Obtenir l'appui réel de la haute direction (pas seulement du bout des lèvres) est la clé du succès pour la norme ISO 27001. Dans ce contexte, je ne parle pas nécessairement du Directeur général d'une grande organisation multi-filiale ; je parle de la personne responsable de la réussite de l'entreprise ou de l'échec de l'entité commerciale qui a la charge de l'ISO 27001. Il pourrait s'agir d'une division commerciale, d'une filiale, d'une unité autonome ou d'une organisation virtuelle.
Il est important d'être très clair sur le sens de « responsable » dans ce contexte. Je parle de la personne dont le travail et la carrière dépendent en fin de compte de la réussite de l'entité commerciale qui a la charge de l'ISO 27001 ; cette personne n'occupe pas toujours le rôle formel de « responsable ultime ». Toute organisation sait très exactement qui est la personne en charge de la responsabilité ultime, et c'est cette personne que je désigne en tant que Directeur général dans ce chapitre.

Alignement stratégique

La première raison pour laquelle le Directeur général doit vous soutenir pleinement, vous et le projet SMSI, est qu'il s'agit d'un projet d'entreprise, et non d'un projet informatique. Il doit être entièrement aligné sur le modèle d'entreprise, la stratégie et les objectifs commerciaux, et doit être une priorité pour l'entreprise et se voir attribuer un niveau approprié de ressources. Alors que le Directeur général est peu susceptible d'être le chef de projet SMSI, il n'en demeure pas moins la seule personne pouvant effectivement donner la priorité à la cyber-sécurité. Aucun chef de projet agissant seul n'est en mesure de définir clairement les besoins et les objectifs stratégiques de l'organisation mais, puisqu'il s'agit d'un projet stratégique qui touche tout le monde, vous devez faire partie de « la boucle » afin de pouvoir adapter vos propres plans aux priorités opérationnelles de l'organisation.
Vous devez également appréhender les risques stratégiques auxquels l'organisation est confrontée et la façon dont ces risques sont reflétés et priorisés en matière de sécurité de l'information. Le nombre de questions potentielles est important, les réponses apportées seront essentielles à votre approche et aux détails de votre plan. À titre d'exemple, le risque de vol de propriété intellectuelle est-il plus important (avec un impact potentiel plus important) que, par exemple, le risque d'une cessation d'activité de trois jours ? La conformité aux règlementations est-elle plus ou moins importante que la réduction du coût des ventes ? La sécurité de l'information et la conformité aux réglementations vont-elles jouer un rôle important dans les solutions d'externalisation (ou, lorsqu'elles sont confrontées à un choix entre un coût moins élevé mais moins sûr, et une option d'externalisation plus sûre mais plus coûteuse). Comment doit-on résoudre un conflit entre les exigences réglementaires de deux juridictions différentes au sein desquelles intervient l'organisation ? Quel est le compromis acceptable entre la flexibilité opérationnelle accordée aux organisations filiales et la mise en place d'un niveau minimum et cohérent de sécurité de l'information et de fiabilité des services informatiques ? Quels sont les plans à long terme concernant les services d'assistance spécifiques ? (s'ils doivent être externalisés, au lieu de rester en interne, vous allez devoir aborder différemment la mise en œuvre du SMSI). Il existe beaucoup d'autres questions de ce genre, dont vous devez connaître les réponses avant même de pouvoir débuter l'élaboration d'un plan, et bien d'autres qui surviendront tout au long du projet.

Priorisation et approbation

La seconde raison pour laquelle ce niveau de soutien vous est indispensable est qu'il ne pourra tout simplement pas exister sans. Il ne suffit pas que le Directeur général et la haute direction reconnaissent simplement que le projet est important. Il ne suffit pas qu'ils se contentent d'en parler. Il ne suffit pas que vous connaissiez les priorités stratégiques de l'organisation et que vous soyez en mesure d'aligner le projet sur le plan opérationnel.
Pour qu'il soit réalisable, les cadres supérieurs doivent s'y impliquer de façon certaine et déterminée. L'engagement de la haute direction signifie que le projet obtient les ressources financières et humaines dont il a besoin. Qu'il lui est octroyé la supervision, les contacts directs et le rôle principal dans la communication interne dont il a besoin. À moins de disposer de ce type d'engagement, beaucoup de choses, au sein de l'organisation, seront perçues comme bien plus importantes que votre projet. Bien sûr, d'autres priorités plus importantes existeront ; ce dont vous avez besoin est d'une priorisation claire qui soit comprise par l'ensemble de l'entreprise et continuellement soutenue par le Directeur général.
La priorité relative de votre projet doit être clairement comprise. Dans un tel contexte, celui-ci doit disposer de l'appui ferme et sans compromis du Directeur général. Par « approbation », je veux dire que, lorsque des obstacles occasionnels et inutiles apparaissent, les termes : « Il s'agit d'un projet approuvé/mandaté par le Directeur général » devraient facilement permettre de les surmonter.

Gestion des changements

La troisième raison pour laquelle vous avez besoin du soutien du Directeur général est qu'un projet SMSI est susceptible d'être un projet de gestion du changement. La mise en œuvre d'un SMSI n'est pas une activité à faible impact. Il peut s'avérer nécessaire de modifier la façon dont les utilisateurs d'ordinateurs réalisent un certain nombre de choses, et cela affecte également certains aspects des activités quotidiennes des gestionnaires. En d'autres termes, un projet de SMSI efficace est un projet de gestion du changement discret, mais néanmoins de grande envergure, et la façon dont vous allez l'approcher doit bénéficier des leçons de l'expérience réussie de programmes de gestion du changement.
De nombreux livres ont été écrits sur la gestion du changement. Beaucoup de ces projets ne parviennent pas à produire les bénéfices escomptés annoncés pour justifier des frais d'initiation et de mise en œuvre. La mise en œuvre réussie d'un SMSI n'exige pas de programme détaillé et stratégique en matière de gestion du changement, en particulier pour ceux sous-traités et gérés par des consultants externes. Ce qu'elle exige, en revanche, c'est une implication totale de la haute direction, des personnes chargées de faire avancer le projet et de ceux dont les pratiques professionnelles vont s'en trouver affectées, et pour lesquelles des changements sont nécessaires, desquels le résultat final doit être positif, et dont ce résultat est essentiel. Les aspects liés à la gestion du changement sont la troisième raison pour laquelle le soutien et l'aval du Directeur général sont essentiels : vous attendez de lui qu'il donne l'exemple et fasse lui-même tout ce que vous attendez que les autres fassent.
Le fait est que la norme elle-même exige ce niveau de soutien. Aucun organisme de certification ne pourra certifier de SMSI sans obtenir les preuves solides que la haute direction est engagée. La raison en est simple : si l'engagement fait défaut, le SMSI ne sera pas adéquat ; les risques pour l'organisation n'auront pas été convenablement reconnus ni entièrement pris en compte ; et il est peu probable que les objectifs commerciaux stratégiques, et les exigences futures en découlant en matière de sécurité de l'information, aient été pris en considération.

Le rôle du Directeur général

Idéalement, le Directeur général devrait être la force motrice à l'initiative du programme, et la réalisation de la certification ISO 27001 devrait être un objectif clairement indiqué dans le plan d'entreprise en vigueur. Le Directeur général doit parfaitement comprendre les enjeux stratégiques associés à la gouvernance informatique et à la sécurité de l'information, ainsi que la valeur ajoutée que procurerait à la société une certification réussie. Le Directeur général doit être en mesure d'expliquer clairement cela au conseil d'administration et à la haute direction, et de traiter les objections et les questions pouvant se poser. Par-dessus tout, il doit suffisamment maîtriser cette partie du plan d'entreprise afin d'être en mesure de le maintenir sur ses objectifs stratégiques.
Le président et le conseil d'administration devraient accorder autant d'attention au suivi des progrès relatifs au plan de mise en œuvre de la norme ISO 27001 qu'à la surveillance de tous les autres objectifs clés de l'entreprise. L'article 5.1 de la norme exige tout spécialement des preuves de l'implication de la direction : « La haute direction doit faire preuve de leadership et d'engagement en ce qui concerne le système de management de la sécurité de l'information ». Si le Directeur général, le Président et les membres du conseil d'administration ne sont pas porteurs de ce projet, la procédure n'a que peu de chance d'aboutir ; il n'y aura pas de certification sans preuve claire d'un tel engagement. Ce principe de leadership par le haut est, bien évidemment, également essentiel pour tous les grands projets liés au changement.
Si vous êtes déjà le Directeur général de l'organisation, vous faites alors très exactement ce qu'il faut en lisant ce livre et en vous préparant à conduire vous-même le projet de sécurité de l'information. Si vous n'êtes pas le Directeur général, vous allez alors devoir obtenir le type d'engagement et de soutien que j'ai décrit ci-dessus.
Le chef de projet SMSI idéal est un chef d'entreprise - un Directeur opérationnel (COO) ou un responsable de ce secteur d'activité ; se lancer dans un SMSI est un projet d'entreprise et le leadership d'entreprise est donc fondamental pour son succès. Il arrive souvent qu'un projet SMSI échoue parce qu'il a apparemment été mis en place en tant que projet technologique, et qu'il est donc considéré et traité comme un projet restreint qui ne mérite pas un engagement total de l'entreprise. « Encore un autre projet informatique » est le mauvais message pour intégrer un SMSI au sein de la culture de l'organisation.
Il existe bien entendu des organisations dans lesquelles le Directeur des systèmes d'information (DSI) fait partie de la haute direction, et est responsable d'une fonction intégrant la sécurité de l'information, en ayant donc déjà la pleine confiance et le soutien du Directeur général et du conseil d'administration. Dans une telle organisation, le DSI pourrait être le moteur du projet, mais il aura toujours besoin de l'engagement et du soutien du Directeur général, notamment pour que tous dans l'organisation comprennent que la reconnaissance de la sécurité est une priorité d'entreprise. Le DSI devra également créer d'urgence une équipe de projet intra-entreprise ; j'y reviendrai plus tard.

Le mandat du projet

Le mandat de projet consiste à saisir la preuve initiale de cet engagement sous un format utilisable. Un mandat de projet (ou DIP - document d'initialisation de projet) est un document largement utilisé pour saisir les éléments clés de tout projet complexe. Il garantit qu'il existe un point de référence unique et original qui définit les trois clés du succès d'un projet : les résultats attendus, le calendrier et le budget.
Des projets complexes échouent parce qu'une ou plusieurs de ces trois variables du projet sont mal identifiées et/ou gérées. « L'écart d'objectif » est une des origines les plus fréquentes à l'échec d'un projet. Les mandats de projets visent donc à définir clairement le domaine d'application du projet ainsi que les trois variables afin de soutenir un processus efficace de gouvernance du projet.
Le mandat de votre projet devrait aborder ces quatre points :
1. Les résultats attendus : identifier l'objectif en tant qu'obtention de la certification ISO 27001 pour une partie spécifique ou l'ensemble de l'organisation et, si possible, identifier pourquoi la sécurité de l'information est importante pour votre organisation.
2. Le calendrier : créer un plan-cadre du projet et cibler une date de réalisation sur la base des neuf étapes du succès.
3. Le budget : identifier les ressources, internes et externes, ainsi que la formation, les logiciels et les outils dont vous aurez besoin pour le projet.
4. L'autorisation de procéder : le mandat doit comprendre l'approbation du projet par la direction et l'autorisation de procéder, afin de parvenir aux objectifs identifiés en utilisant les ressources budgétisées.

Les résultats attendus et l'objectif du projet

Bien que les résultats attendus du projet soient relativement faciles à définir (par exemple, obtenir la certification ISO 27001 dans les quatre mois), vous devez toujours être très clair sur les raisons de poursuivre cet objectif tout en précisant les différences entre l'objectif du projet et les objectifs de sécurité de l'information.
L'objectif d'un système de management de la sécurité de l'information est, bien évidemment, de réduire et de contrôler les risques liés à vos informations. Le ou les objectifs réels de votre projet SMSI peuvent être différents des objectifs du SMSI lui-même et vous devriez être précis en ce qui concerne ces différences, si vous souhaitez faire converger de façon appropriée le projet et le SMSI. L'objectif du projet peut être, par exemple, d'obtenir la certification ISO 27001 dans un délai donné afin de satisfaire à une exigenc...

Table des matières

  1. Couverture
  2. Titre
  3. Droits D'Auteur
  4. Concernant L'Auteur
  5. Sommaire
  6. Introduction
  7. Chapitre 1 : Mandat du projet
  8. Chapitre 2 : Lancement du projet
  9. Chapitre 3 : Lancement du SMSI
  10. Chapitre 4 : Cadre de management
  11. Chapitre 5 : Critères de sécurité de base
  12. Chapitre 6 : Gestion du risque
  13. Chapitre 7 : Mise en œuvre
  14. Chapitre 8 : Mesurer, surveiller et examiner
  15. Chapitre 9 : Certification
  16. Ressources ISO 27001
  17. Ressources ITG