La norme ISO 27001 est une norme internationale sur le management de la sécurité de l’information.
Elle définie un système de management de la sécurité de l’information (SMSI) à mettre en place dans l’entreprise.
Cette certification permet de :
- Renforcer la confiance vis-à-vis des clients et gagner des marchés
- Se différencier de la concurrence
- Mieux maîtriser les risques liés à la protection des données et la continuité des services
- Maîtriser l’accès à l’information
- Assurer le respect de la réglementation en matière d’information (ex : RGPD)
La préparation préalable peut se résumer en un parcours en 9 étapes majeures :
Etape 1 : Définir le périmètre à certifier, structurer l’organisation SSI en charge de préparer la certification et motiver les acteurs.
La communication et la pédagogie sont essentielles pour amener les acteurs à comprendre et accepter les changements.
Identifier des relais, des correspondants sécurité SI qui vous aideront à détecter des risques et à convaincre de l’application des mesures de sécurité.
Etape 2 : Mettre en place un processus de gestion de crise du système d’information afin d’être prêt à gérer des situations complexes (cyberattaques, incidents, …).
Le RSSI doit être un facilitateur pour permettre aux équipes de communiquer entre elles et avec les directions dans un langage commun. La préparation en effectuant des tests est la garantie qu’au moment critique chacun sera conscient de son rôle.
Etape 3 : Analyser les risques : c‘est le point de départ à la justification des mesures à mettre en place pour garantir la sécurité du SI.
Le recours à une méthode de gestion du risque en sécurité de l’information (ISO 27005) est indispensable : EBIOS est bien adaptée car elle permet une démarche par agrégation de périmètre.
Etape 4 : Intégrer le processus de gestion des risques dans la pratique de la DSI (cf. ITIL).
Les processus de gestion des projets et des changements en amont, des incidents en aval, sont trois piliers permettant de garantir la pérennité du management de la sécurité dans les pratiques de la DSI.
Etape 5 : Relier la gestion de la sécurité à la réalité.
Associer toutes les procédures et les composants de sécurité à la Déclaration d’Applicabilité (DDA[1]), corréler les mesures manquantes avec le plan de traitement des risques et construire la base de référence de questionnement pour l’audit interne.
Etape 6 : Déployer l’audit interne : former des auditeurs internes parmi les équipes de la DSI et de la Qualité.
Etape 7 : Rédiger une Politique de Sécurité de l’Information (PSI).
Elle doit formaliser les parties prenantes internes et externes, leurs exigences et leurs attentes et identifier les propriétaires des risques qui devront mettre en place les moyens de maitrises.
Etape 8 : Retour à la réalité : rédiger les politiques opérationnelles en cohérence avec la PSI et correspondant aux périmètres techniques (postes de travail, serveurs, réseau, …) et aux activités principales (installer un serveur, déployer une application, etc.).
Etape 9 : Intégrer la gestion des risques dans le schéma directeur Cyber.
Le traitement des risques devient une source d’orientation stratégique.
[1] la Déclaration d’Applicabilité (ISO 27001, clause 6.1.3 d) est le lien fondamental entre l’appréciation et le traitement des risques, d’un côté et la mise en œuvre de votre sécurité de l’information de l’autre – son but est de définir lesquels des 114 contrôles (mesures de sécurité) de l’annexe A de la norme ISO 27001 vous allez appliquer et, pour celles qui sont applicables, comment vous les allez les appliquer
Commentaires récents