ISO/CEI 27002 - Définition

Les avantages

• Organisation : image positive auprès des actionnaires lorsque l'entreprise tend à maîtriser ses risques pour maximiser ses profits
• Conformité : la norme insiste sur la nécessité d'identifier toutes les lois et réglementations s'appliquant à l'entreprise et la mise en œuvre de processus adaptés pour identifier et suivre les obligations permet de prouver au moins la volonté de conformité, ce qui tend à diminuer les amendes en cas de non-conformité
• Gestion des risques : la norme insiste dans ses chapitres d’introduction sur la nécessité de réaliser une analyse de risques périodiquement et définit dans les domaines « politique de sécurité » et « organisation de la sécurité » les pratiques à mettre en œuvre pour gérer les risques mis en lumière par l’analyse de risque. Ceci permet une meilleure connaissance des risques et donc une meilleure allocation des ressources permettant d’améliorer la fiabilité du système.
• Finances : associant une meilleure maîtrise des risques, une meilleure gestion des incidents et une meilleure allocation des ressources, la mise en place d’un SMSSI s’appuyant sur les normes ISO 27001 et 27002 permet une meilleure maîtrise des coûts de la sécurité des systèmes d’information.
• Crédibilité et confiance : la mise en place d'une politique de sécurité et des moyens associés donne une image rassurante pour les partenaires et les clients, notamment sur la protection des données personnelles (sujet très médiatique, avec le syndrome du « big brother »).
• Ressources humaines : s'appuyer sur une norme permet de mieux faire passer les messages de sensibilisation, notamment auprès des populations techniques.

Contenu de la norme

La norme ISO/CEI 27002 est composé de 15 chapitres dont 4 premiers introduisent la norme et les 11 chapitres suivants couvrent le management de la sécurité aussi bien dans ses aspects stratégiques que dans ses aspects opérationnels.

Chapitre n°1: Champ d'application

La norme donne des recommandations pour la gestion de la sécurité des informations pour ceux qui sont chargés de concevoir, mettre en œuvre ou maintenir la sécurité.

Chapitre n°2: Termes et définitions

« Sécurité de l'information » est explicitement définie comme la «préservation de la confidentialité, l'intégrité et la disponibilité de l'information». Ceux-ci et d'autres termes connexes sont définies plus loin.

Chapitre n°3: Structure de la présente norme

Cette page explique que la norme contient des objectifs de contrôle.

Chapitre n°4: Évaluation des risques et de traitement

ISO / CEI 27002 couvre le sujet de la gestion des risques. Elle donne des directives générales sur la sélection et l'utilisation de méthodes appropriées pour analyser les risques pour la sécurité des informations ; elle ne prescrit pas une méthode spécifique, puisque celle-ci doit être appropriée selon le contexte.

Chapitre n°5: Politique de sécurité de l'information

Il mentionne la nécessité pour l’organisme de disposer d’une politique de sécurité de l’information et de la réexaminer régulièrement.

Chapitre n°6: Organisation de sécurité de l'information

Il décrit les mesures nécessaires pour l’établissement d’un cadre de gestion de la sécurité en interne et traite de tous les aspects contractuels liés à la sécurisation de l’accès par des tiers (clients, sous-traitants, …) au système d’information.

Chapitre n°7: Gestion des actifs

Il montre l’importance d’inventorier et de classifier les actifs de l’organisme afin de maintenir un niveau de protection adapté. Ces actifs peuvent être :

• des biens physiques (serveurs, réseau, imprimantes, baies de stockage, poste de travail, des matériels non IT),
• des informations (database, fichiers, archives)
• des logiciels (application ou système)
• des services
• de la documentation (politiques, procédures, plans)

Chapitre n°8: Sécurité liée aux ressources humaines

Il donne les recommandations destinées à réduire le risque d’erreur ou de fraude en favorisant la formation et la sensibilisation des utilisateurs sur les risques et les menaces pesant sur les informations.

Chapitre n°9: Sécurités physiques et environnementales

Il décrit les mesures pour protéger les locaux de l’organisme contre les accès non autorisés et les menaces extérieures et environnementales ainsi que protéger les matériels (emplacement, maintenance, alimentation électrique …).

Chapitre n°10: Exploitation et gestion des communications

Il décrit les mesures permettant :

• d’assurer une exploitation correcte et sécurisée des moyens de traitement de l’information ;
• de gérer les prestations de service assurées par des tiers ;
• de réduire les risques de panne ;
• de protéger l’intégrité des informations et des logiciels ;
• de maintenir l’intégrité, la confidentialité et la disponibilité des informations et des moyens de traitement de l’information ;
• d’assurer la protection des informations sur les réseaux et la protection de l’infrastructure sur laquelle ils s’appuient ;
• de maintenir la sécurité des informations et des logiciels échangés au sein de l’organisme et avec une entité extérieure ;
• et enfin de détecter les traitements non autorisés de l’information.

Chapitre n°11: Contrôle d'accès

Il décrit les mesures pour gérer et contrôler les accès logiques aux informations, pour assurer la protection des systèmes en réseau, et pour détecter les activités non autorisées. Ce thème couvre aussi la sécurité de l’information lors de l’utilisation d’appareils informatiques mobiles et d’équipements de télétravail.

Chapitre n°12: Acquisition, développement et maintenance des systèmes d'informations

Il propose les mesures pour veiller à ce que la sécurité fasse partie intégrante des systèmes d’information. Ce thème traite aussi des mesures visant à prévenir la perte, la modification ou la mauvaise utilisation des informations dans les systèmes d'exploitation et les logiciels d'application et enfin à protéger la confidentialité, l’authenticité ou l’intégrité de l’information par des moyens cryptographiques.

Chapitre n°13: Gestion des incidents

Il souligne la nécessité de mettre en place des procédures pour la détection et le traitement des incidents de sécurité.

Chapitre n°14: Gestion de la continuité d'activité.

Il décrit des mesures pour la gestion d’un plan de continuité de l’activité visant à réduire le plus possible l’impact sur l’organisme et à récupérer les actifs informationnels perdus notamment à la suite de catastrophes naturelles, d’accidents, de pannes de matériel et d’actes délibérés.

Chapitre n°15: Conformité

Il traite :

• du respect des lois et des réglementations ;
• de la conformité des procédures en place au regard de la politique de sécurité
• et enfin de l'efficacité des dispositifs de traçabilité et de suivi des procédures, notamment les journaux d'activités, les audits et les enregistrements de transactions.

Cette norme est de plus en plus utilisée par les entreprises du secteur privé comme un référentiel d'audit et de contrôle, en complément de la politique de sécurité de l'information de l'entreprise. Le fait de respecter cette norme permet de viser, à moyen terme, la mise en place d'un Système de Management de la Sécurité de l'Information, et à long terme, une éventuelle certification ISO/CEI 27001.