ISO 27001
L'ISO 27001 (anciennement ISO/IEC 27001:2005) est une norme liée au système de management de la sécurité de l'information (SMSI ou ISMS, Information Security Management System). Un SMSI est un ensemble de règles et de procédures qui couvre tous les contrôles juridiques, physiques et techniques impliqués dans les processus de gestion des risques pesant sur les informations d'une entreprise.
Selon sa documentation, l'ISO 27001 a été mise au point pour « spécifier les exigences relatives à l'établissement, à la mise en oeuvre, au fonctionnement, à la surveillance, au réexamen, à la mise à jour et à l'amélioration d'un SMSI ».
L'ISO 27001 utilise une approche descendante fondée sur le risque et indépendante de toute technologie. La spécification définit un processus de planification en six volets :
- Définition d'une politique de sécurité.
- Définition du périmètre du SMSI.
- Réalisation d'une analyse des risques.
- Gestion des risques identifiés.
- Sélection des objectifs de contrôle et des contrôles à mettre en oeuvre.
- Préparation d'une déclaration d'applicabilité.
La spécification détaille les exigences à respecter pour la documentation, la responsabilité de la gestion, les audits internes, l'amélioration continue et les mesures correctives et préventives. La norme exige la coopération de tous les services d'une entreprise.
La norme 27001 n'impose pas de contrôles spécifiques de la sécurité de l'information, mais fournit une liste des contrôles jugés utiles dans le cadre du code de bonnes pratiques, ISO/IEC 27002:2005. Cette deuxième norme présente les principaux objectifs à atteindre en matière de sécurité de l'information et décrit un ensemble de bonnes pratiques généralement admises pour la mise en place des contrôles de sécurité.
L'ISO 27002 se compose de 12 sections principales :
- Evaluation du risque
2. Politiques de sécurité de l'information
3. Organisation de la sécurité de l'information
4. Gestion des actifs
5. La sécurité des ressources humaines
6. Sécurité physique et environnementale
7. Gestion des communications et des opérations
8. Contrôle des accès
9. Acquisition, développement et maintenance des systèmes d'information
10. Gestion des incidents liés à la sécurité de l'information
11. Gestion du plan de continuité de l'activité
12. Conformité
Il appartient aux entreprises de trouver les meilleurs moyens d'appliquer ces contrôles compte tenu des risques spécifiques qu'elles encourent. Une certification accréditée par des tiers est recommandée pour attester de la conformité à l'ISO 27001.
D'autres normes ont été élaborées dans la suite 27000, à savoir :
- 27003 – Lignes directrices pour la mise en oeuvre.
- 27004 - Norme précisant les mesures à adopter pour améliorer l'efficacité d'un SMSI.
- 27005 – Norme définissant les techniques de gestion des risques liés à la sécurité de l'information (publiée en 2008).
- 27006 - Guide du processus de certification que doivent suivre les organismes de certification de SMSI pour obtenir l'accréditation (publiée en 2007).
- 27007 – Lignes directrices pour l'audit des SMSI.