A qui s’adresse cet article ?
Cet article d’adresse aux professionnels (DSI, RSSI, Risk manager, ingénieur SI & SSI) et aux étudiants souhaitant comprendre la norme et voulant savoir concrètement comment mettre en place un système de management de la sécurité de l’information « SMSI » conforme aux exigences de la norme ISO 27001.
Qu’est-ce qu’un système de management ?
La norme ISO 9000 apporte une réponse à cette question en définissant les principes de la qualité. Il est dit qu’un système de management est un système permettant :
- d’établir une politique ;
- d’établir des objectifs ;
- d’atteindre ces objectifs.
Alors, nous pouvons dire qu’un système de management de la sécurité de l’information est un ensemble de mesures organisationnelles et techniques visant à atteindre des objectifs et une fois ceux-ci atteints, de les tenir. Ces objectifs sont préalablement définis par la direction en déclinaison de la politique de l’organisme.
La norme Iso 27001
L’iso 27001 s’est imposée comme référence en matière de système de management de la sécurité de l’information. C’est la norme internationale qui définit les grandes lignes spécifiques et nécessaires à la mise en place d’un SMSI capable de préserver les trois propriétés « confidentialité, intégrité et disponibilité » pour les informations les plus sensibles d’une entreprise ou d’une organisation.
La norme spécifie les exigences pour mettre en place, exploiter et améliorer un SMSI documenté, qui y sont formulées et exprimées de façon générique, de telle sorte que tous les organismes et les entreprises, quel que soit son type, sa taille « TPE, PME, ETI » et sa nature peuvent la mettre en œuvre. D’autre part la norme ISO 27001 est orientée processus et applique donc par logique d’une démarche d’amélioration continue de type PDCA « comme une grande roue PLAN, DO, CHECK, ACT »
La mise en œuvre d’un Système de management de la Sécurité de l’Information ne se déroulant pas en une seule et unique phase, l’implémentation de cette même démarche « PDCA » est nécessaire à son bon fonctionnement.
Voici quelques objectifs de mise en œuvre de la norme ISO 27001 :
- Remporter de nouvelles affaires et fidéliser une clientèle existante
- Éviter des pénalités financières associées aux violations des données
- Protéger et améliorer sa réputation
- Se conformer aux exigences légales, réglementaires et contractuelles
- Obtenir une opinion indépendante sur son niveau de sécurité
- Garantir la sécurité de l’information et des données sensibles
- Identifier les risques et mettre des contrôles en place pour gérer ou les éliminer
Pour être conforme à l’iso 27001, un SMSI doit impérativement répondre à toutes les exigences comprises entre les articles (chapitres) 4 à 10 de la norme, sans exception.
CHECK : tout ce que l’on peut faire pour contrôler l’efficacité et la conformité du SMSI est centralisé dans l’article 9 de la norme. Ce chapitre se résume dans 3 grands leviers de contrôle : - La mise en place d’indicateurs - La conduite régulière d’audits internes - La tenue de revues de direction
ACT : le chapitre 10 traite : - Tous les incidents - Anomalies - Non conformités - Opportunités d’amélioration
Certification ISO 27001 : 10 étapes-clé
Le départ évident est la norme elle-même. Familiarisez-vous avec ses exigences en achetant un exemplaire qui coûte à peu près 110€.
1. Obtenir le soutien et l’engagement de la direction Générale
Aucun projet ne peut réussir sans l’adhésion et le soutien des dirigeants de l’entreprise ou l’organisation.
De surcroît, la sécurité de l’information nécessite une approche descendante. Si les employés constatent que la direction ne prend pas la sécurité au sérieux, ils suivront son exemple.
Néanmoins, l’inverse est également vrai : si le personnel voit que la direction prend la sécurité au sérieux, il le fera aussi.
2. Analyse des écarts « gap analysis »
Une analyse des écarts, comparant les mesures existantes au sein du SI de l’organisation aux exigences de la norme ISO 27001, offre un bon point de départ pour tout projet de mise en œuvre. Concrètement, il s’agit d’un questionnaire d’auto-évaluation couvrant les exigences des articles 4 à 10 de la norme et 93 contrôles de l’annexe A.
Une fois que l’entreprise a identifié les plus grandes lacunes, elle peut élaborer un plan d’action priorisé.
3. Définir le contexte, le périmètre du SMSI et les objectifs
La norme demande à décrire le contexte de l’organisme. Elle demande aussi à tenir compte des éléments suivants :
- Problèmes internes et externes
- Les parties qui sont concernées par le SMSI « parties intéressées ou prenantes » et leurs besoins.
Le périmètre du SMSI peut varier de l’ensemble de l’organisation à des fonctions ou des sites spécifiques. C’est le domaine d’application du SMSI, il est important de bien le définir, car c’est au sein de celui-ci que vont porter les exigences de la norme.
Le but est d’inclure dans le périmètre toutes activités dont les parties prenantes exigent de la confiance.
4. Effectuer une appréciation des risques
L’appréciation des risques est fondamentale pour la norme et pour tout SMSI efficace. Après tout, comment l’organisme peut-il gérer ses risques s'il ne les a pas identifiés ?
Cela étant dit, la norme ISO 27001 ne prescrit pas de méthodologie spécifique d’appréciation des risques. Elle exige simplement de définir et appliquer un processus approprié.
Ce processus doit établir et maintenir des critères d’acceptation des risques, ainsi que des critères pour réaliser des évaluations des risques de sécurité de l’information.
De plus, il est essentiel de s'assurer que ces évaluations produisent des résultats cohérents, valides et comparables
5. Mettre en œuvre des contrôles pour atténuer les risques
Après avoir identifié les risques, il est nécessaire de décider comment ils seront gérés.
D’une manière générale, un risque identifié peut être :
- Accepté : décision de maintenir à son niveau sans aucune mesure de remédiation
- Partagé : le risque est partagé avec une autre partie qui est plus à même de gérer le risque de manière plus efficace
- Réduit : à un niveau acceptable en implémentant des mesures de remédiation
- Refusé : la source de risque (activité ou condition) qui donne lieu au risque n’est pas maintenue
Quelle que soit la réponse, il est nécessaire de documenter toutes les décisions avec leurs justifications car l’auditeur les examinera lors de l’audit de certification.
Il est également essentiel de produire une déclaration d’applicabilité « DdA » et un plan de traitement des risques comme preuve de l’appréciation des risques.
6. Déterminer les compétences
Les personnes qui assurent la maintenance du SMSI doivent avoir les compétences et les ressources nécessaires à l’établissement, le maintien, et l’amélioration continue du SMSI. Cela peut se faire par le biais d’une « éducation, d’une formation ou d’une expérience appropriée ».
Tout le personnel et les entrepreneurs de l’organisme ou l’entreprise doivent avoir connaissance :
- du SMSI et de ses avantages
- de la politique de sécurité de l’information « PSSI »
- des conséquences de non-respect des exigences du SMSI
Au-delà des exigences de la norme ISO 27001, disposer d’un personnel vigilant ne peut qu’aider à prévenir les violations de données et les dommages qui les accompagnent.
Le déploiement d’une formation en ligne de sensibilisation du personnel est un moyen rentable d’améliorer la sécurité et de répondre aux exigences de la norme.
7. Examiner et mettre à jour la documentation requise
La norme fait référence à plusieurs reprises aux « informations documentées ». Cela signifie que les documents exigés par la norme sont soumis à des exigences spécifiques :
- Celles stipulées dans la norme
- Ceux qui sont nécessaires pour que le SMSI soit efficace
La première exigence est évidente : lorsque la norme exige spécifiquement des informations documentées ; il est obligatoire de les produire. Il est également probable qu’un auditeur demande à voir ces preuves essentielles.
La deuxième décision revient à l’entreprise ou l’organisme, c’est à elle de déterminer la documentation supplémentaire nécessaire pour le SMSI, tout en gardant à l’esprit :
- Justifier les décisions lors d’un audit
- Produire des documents de base du SMSI, tels que la DdA et le plan de traitements des risques
8. Mesurer, surveiller et réviser
Un élément essentiel de tout SMSI est « l’amélioration continue ».
Voici le point de vue d’Alan Calder, pionnier de la norme ISO 27001 sur la question :
L’amélioration continue signifie obtenir de meilleurs résultats pour votre investissement. Cela signifie généralement l’une des deux choses suivantes :
- Obtenir les mêmes résultats tout en dépensant le moins d’argent
- Obtenir les meilleurs résultats tout en dépensant le même montant d’argent
En substance, l’entreprise ou l’organisme doit examiner les objectifs et mesurer les performances par rapport à ceux-ci. Ensuite, elle doit se demander dans quelle mesure le SMSI permet d’atteindre ses objectifs et apporte des changements, des améliorations, là où il ne répond pas aux attentes.
Sachant que toutes les améliorations ne sont pas forcément coûteuses. Souvent, il ne faut pas ajouter des éléments, mais en supprimer ; par exemple en supprimant une étape inutile d’un processus ou en automatisant certaines tâches manuelles.
9. Réaliser un audit interne
Pour garantir l’exploitation et la maintenance efficaces du SMSI, l’organisme ou l’entreprise doit effectuer des audits internes réguliers.
Ils examinent le SMSI pour vérifier qu’il répond aux exigences de la norme ISO 27001, ainsi qu’à ses propres objectifs.
La norme définit un audit comme un processus systématique, indépendant et documenté permettant d’obtenir des preuves d’audit et de les évaluer de manière objective afin de déterminer dans quelle mesure les critères d’audit sont remplis.
Bien que la norme n’exige pas explicitement que le processus d’audit soit traité comme une information documentée, la définition implique que l’entreprise doit le faire. En outre, les audits sont certainement nécessaires à l’efficacité du SMSI.
D’autre part, la norme exige également l’élaboration d’un programme d’audit. Celui-ci doit couvrir toutes les exigences du SMSI, c’est-à-dire celles de la norme et toutes les exigences supplémentaires.
10. Audits de certification
Un audit de certification adopte une approche similaire à celle d’un audit interne, mais est mené par un organisme indépendant, lui-même accrédité par un organisme national ou international d’accréditation.
Dans cette phase l’auditeur recherchera des preuves que le SMSI est mis en œuvre, fonctionnel et efficace. Cela impliquera d’examiner des preuves telles que :
- Rapport d’audit interne
- Politiques et procédures
- Contrôles de sécurité de l’information
- Résultats de surveillance et de mesure
- Les objectifs et la politique de sécurité de l’information
La certification est généralement un processus en deux étapes.
L’audit initial vise à déterminer si l’entreprise a mis en œuvre le SMSI correctement et conformément à la norme.
Il arrive régulièrement que l’auditeur découvre des non-conformités à ce stade : c’est courant et l’auditeur les utilisera comme une opportunité pour aider à mieux comprendre les exigences de la norme et comment les appliquer.
Après le premier audit, l’entreprise aura une idée claire de l’ensemble des points forts et faibles. Elle pourra alors élaborer un plan d’action pour mettre en œuvre les changements nécessaires en vue de l’audit de certification.
L’audit de certification suit un processus similaire à celui de l’audit initial. Cela dit, l’organisme doit commencer l’audit de certification avec la certitude que le SMSI ne présente aucune non-conformité majeure.
Les problèmes mineurs détectés peuvent généralement être résolus grâce aux procédures de mesures correctives. Cependant, toute non-conformité majeure identifiée entraînera probablement le refus de l’organisme de certification de délivrer la certification jusqu'à ce que ces problèmes soient résolus à la satisfaction de l'auditeur.
Combien de temps faudra-t-il pour obtenir la certification ?
Le processus de mise en œuvre de la norme ISO 27001 dépend de la taille et de la complexité du SMSI. Le délai dépend également de la quantité de ressources que l'organisation consacre au projet. Dans de nombreux cas, les petites et moyennes entreprises peuvent espérer mener à bien le processus dans un délai de 6 à 12 mois.
À propos : Le blog d'AlgoSecure est un espace sur lequel notre équipe toute entière peut s'exprimer. Notre personnel marketing et commercial vous donne des informations sur la vie et l'évolution de notre société spécialisée en sécurité sur Lyon. Nos consultants techniques, entre deux tests d'intrusion ou analyses de risque, vous donnent leur avis ainsi que des détails techniques sur l'exploitation d'une faille de sécurité informatique. Ils vous expliqueront également comment sécuriser votre système d'informations ou vos usages informatiques particuliers, avec autant de méthodologie et de pédagogie que possible. Vous souhaitez retrouver sur ce blog des informations spécifiques sur certains sujets techniques ? N'hésitez pas à nous en faire part via notre formulaire de contact, nous lirons vos idées avec attention. Laissez-vous guider par nos rédacteurs : Alexandre, Amine, Anas, Arnaud, Benjamin, Damien, Enzo, Eugénie, Fabien, Françoise, Gilles, Jean-Charles, Jean-Philippe, Jonathan, Joël, Joëlie, Julien, Jéromine, Lucas, Ludovic, Lyse, Nancy, Natacha, Nicolas, Pierre, PierreG, Quentin, Sébastien, Tristan, Yann, et bonne visite !