Présentation de la norme

Norme pdf

Ce document vous permettra de:

  • Vous familiariser avec la norme, son lexique et sensibiliser vos collaborateurs au sujet de la sécurité informatique.
  • Définir le niveau de sécurité dont vous avez besoin et identifier les points sensibles dans votre entreprise.
  • L'adapter à votre fonctionnement spécifique: certains points vous concerneront plus que d'autres.
  • Préparer le terrain en vue d'une future certification: vous profiterez alors pleinement de l'expertise des auditeurs et certificateurs en leur posant les questions pertinentes et concrètes pour votre cas de figure.

Cette norme a vu le jour en 2005 et son succès est grandissant car les partenaires (fournisseurs, clients, assureurs ou autres...) demandent de plus en plus de garanties concernant la protection des données ou des process informatiques.

Elle peut être achetée en ligne en version papier ou en PDF sur le site de l'AFNOR. La dernière version est la NF EN ISO/IEC 27001 de Mai 2017.

Les exigences de cette norme sont un cadre sécuritaire pour votre organisation. C’est un référentiel qui vous permettra de mettre en application des contrôles, une évaluation des risques et des mesures pour être en conformité.

L’implication de la direction et de l’encadrement constitue le moteur d’un management opérationnel mais rien ne peut être réalisé sans la participation des salariés de tous les services. L’annexe A de la norme aborde également « la responsabilité et le rôle des employés » qui est incontournable car dans ce domaine le maillon le plus faible de la chaîne est déterminant pour l’ensemble de l’organisation.

La direction doit donc impulser une politique de sensibilisation au risque dans chaque service utilisant l'informatique et développer les bonnes pratiques conformément aux exigences normatives.

Les étapes et le coût d'une certification


certification La décision d'entamer une démarche de certification ISO 27001 doit être entreprise dans le but réel de renforcer la sécurité informatique et non d'obtenir le certificat seul. En effet, cette démarche laisse la place à toute la personnalisation nécessaire à la spécificité de votre environnement de travail et à vos processus. Les métiers étant très différents, les systèmes d'information qui les accompagnent le sont également. Il s'agit donc d'une méthode d'amélioration permanente, sur le mode du PDCA (Plan, Do, Check, Act) ou dans l'esprit de la roue de Deming, que vous devez adapter à votre propre organisation.

Trois audits sont nécessaires pour la certification :

  • l’audit initial, qui diagnostique la situation et détermine les objectifs
  • l’audit de surveillance, qui vérifie le SMSI, la mise en place des actions correctives et le bon suivi de la méthode.
  • l’audit de renouvellement : l'audit final qui vérifie la correction des non-conformités relevées dans les audits précédents. S'il est validé, le certificat est délivré.

Les avantages d'être certifié

sécurité numérique

avantages L'investissement que représente le coût d'une certification est vite rentabilisé quand on considère ses avantages:

  • Pour les entreprises travaillant dans le numérique, qui sont de plus en plus nombreuses, et pour toutes les grandes entreprises et PME des autres secteurs d’activité, la certification ISO 27001 est un atout commercial majeur. En effet, le choix d’un prestataire ou d’un fournisseur, surtout quand il s’agit de sécurité et de confidentialité, se fait de moins en moins sur le prix. C’est maintenant l’aspect qualitatif et les garanties apportées qui sont les critères principaux. Lorsqu’on touche à des aspects aussi sensibles que la cyber-sécurité et, au final, l’image de marque, il n’est alors pas question de faire de petites économies.

  • La certification est le gage d’une démarche qualité durable, d’un professionnalisme rigoureux et donc du sérieux d’une entreprise. Dans certains secteurs, elle est déjà devenue un critère sine qua non pour l’attribution de marchés, et il est fort probable que ce mouvement se propage à toutes les activités B to B.

  • Au-delà de l'image qualitative, moderne et sérieuse qu’une certification peut apporter à une entreprise, c’est également et surtout la sécurité de votre entreprise qui est en jeu et donc sa pérennité. Il ne s’agit donc pas seulement d’un avantage concurrentiel mais aussi de vous prémunir contre les nouveaux dangers liés à l’informatisation globale.

  • Pendant le processus d’analyse du fonctionnement de votre entreprise il est courant de trouver des process, équipements ou logiciels inutiles, coûteux, redondants ou surdimensionnés… L’amélioration de la qualité, qui consiste notamment à repérer les non-conformités et à appliquer des actions correctives et préventives, n’engendre pas forcément de coût supplémentaire d’investissement et permet bien souvent de réaliser des économies en simplifiant les organisations. La simplicité, dans ce domaine, étant bien souvent synonyme de fiabilité, de lisibilité et de sécurité.

  • Les assurances professionnelles peuvent également demander ces certifications ou faire bénéficier les clients dotés d’une démarche qualité sécuritaire de tarifs préférentiels.

Formation

formation

Si vous n’avez pas la possibilité de mettre en place une procédure de certification à court ou moyen terme, par manque de temps ou de budget, vous pouvez choisir de sensibiliser vos collaborateurs, salariés ou vous-mêmes au sujet central et stratégique de la sécurité informatique.
Pour toutes les formations concernant les principes de l'audit interne sur les normes ISO en général, vous pouvez utiliser ce formulaire (demande de prix ou d'informations).

L’AFNOR propose la formation suivante intitulée : « Comprendre le référentiel de management de la sécurité de l'information »

Cette formation est ouverte à tous, elle ne nécessite pas de connaissances particulières. Les personnes concernées en premier lieu sont les responsables de la sécurité informatique, dirigeants, cadres et DSI, mais chaque personne intervenant dans la chaîne du système d’information de votre entreprise peut également en être informée.

La durée de cette formation est de 2 journées de 7 heures et son coût est de 1220 euros ht.

L’objectif est de vous familiariser avec l’ensemble de la norme, son vocabulaire et les procédures qui vous permettront d’assurer la sécurité et l’intégrité de vos données et de votre système informatique. A terme vous serez capable d’évaluer et de maîtriser les risques pour vous prémunir contre toutes attaques, malveillances, pertes ou fuites accidentelles d’informations et autres erreurs humaines.


Vous serez sensibilisés notamment à des cas concrets, rencontrés quotidiennement dans la vie de l'entreprise et notamment, les risques liés :

  • aux échanges de données sur internet
  • aux supports extérieurs apportés dans l’enceinte d’une entreprise (type clé USB)
  • à l’utilisation de l’email en réception et émission
  • à la gestion des mots de passe sur internet ou intranet
  • à la gestion des comptes utilisateurs, de leur droit d'accès et de leur niveau de confidentialité
  • à l’installation de logiciels, à leur utilisation et à leur mises à jour de sécurité
  • au stockage de données en cloud ou en local
  • à l’utilisation des protections : antivirus, anti-malware, anti-spyware…
  • à l’utilisation des logiciels de sauvegarde automatique, des hébergement sécurisés, archivage numérique et coffres-forts électronique

En dehors de l’aspect sécuritaire, vous pourrez également mettre à plat, simplifier, formaliser et mieux contrôler votre système d’information, ce qui contribue largement à l’amélioration des performances de l’entreprise. L’aspect humain est aussi à prendre en compte : beaucoup de stress et de perte de temps peuvent être évités à ce niveau.

Si vous souhaitez devenir auditeur certifié iso 27001, l’afnor propose également une formation certifiante d’une durée de 3 jours pour 1300 euros ht. Celle-ci est ouverte aux personnes ayant au moins 5 ans d’expériences dans le Système de Management de la Qualité, ou BAC +2, ainsi qu’une connaissance préalable de la norme.

La famille iso 27000

les normes iso 27000

La famille des normes ISO 27000 correspond aux différentes étapes de la démarche qualité

Toutes les normes ISO fonctionnent sur le principe du PDCA (plan, do, check, act), un cycle d’amélioration permanente de la qualité. Il s'agit donc de planifier, faire, vérifier et corriger, puis de recommencer cette boucle. Pour ce faire, il est nécessaire de mettre en place un tableau de bord, comportant des indicateurs choisis avec soin.

  • ISO 27000 présente le vocabulaire associé au SMSI, il s’agit d’un glossaire et de définitions permettant de cerner l’objet de la norme et de normaliser les termes employés pour celle-ci.
  • ISO 27002 - Mesures de sécurité : il s’agit d’un ensemble de 113 bonnes pratiques réparties sur 18 chapitres, une liste complète des éléments de sécurité informatique, qui concernent aussi bien le matériel, les procédures, le chiffrement, les sauvegardes… (plan)
  • ISO 27003 – Implémentation, c'est-à-dire la procédure de réalisation et de mise en œuvre (do)
  • ISO 27004 - Indicateurs SMSI : L’ISO 27004 est la partie de la méthode de certification qui vise à doter la grille d’évaluation d’indicateurs fiables pour mesurer le niveau d’efficacité du SMSI. (check)
  • ISO 27005 - Gestion de risque (Act)
  • ISO 27006 - Certification de SMSI
  • ISO 27007 - Audit de SMSI : un auditeur externe, d'un organisme de certification agréé teste la procédure du SMSI point par point et détermine si la certification est accordée ou si des interventions restent à mettre en oeuvre.

La méthodologie

méthode Les audits porteront aussi bien sur la gestion des risques, des ressources humaines, des actifs (biens matériels, équipements), des process et des incidents. Au sujet des incidents qui sont les conséquences réelles de la présence de non-conformités, il est important d'en faire la consignation systématique pour établir un historique et d'utiliser les outils d'analyse comme l'arbre des causes, diagramme listant et reliant les causes et les effets pour chaque événement.

Là encore, la méthodologie mise en œuvre est celle du PDCA (Plan, Do, Check, Act) qui constitue un cycle permanent.

  • Planification (Plan) : On définit les objectifs : Après avoir analysé les causes des non-conformités détectées il s’agit d’élaborer les solutions et de déterminer leur pertinence pour l’entreprise (« est-ce que l’entreprise a besoin d’un tel niveau d’exigence ? » il arrive que ça ne soit pas le cas.)

  • Action (Do) : Mise en place des actions correctives en fonction des objectifs ciblés.

  • Vérification (Check) : On mesure les résultats des actions, en utilisant un tableau de bord et des indicateurs chiffrables qui constituent le référentiel.

  • Correction (Act) : En fonction de la mesure des nouveaux résultats, on repère le niveau des non-conformités qu’on compare aux objectifs, puis on repart sur la partie planification, et ainsi de suite.

Cette méthodologie est commune à toute les normes ISO, le PDCA fait partie des outils qualité utilisés dans le management de la qualité détaillé dans la norme ISO 9001.

qualite.pro - 2024
Mentions légales