Comprendre la norme ISO 27001 et la certification ISO 27001

La norme iso 27001 est une norme pour l'ensemble de l'entreprise et non pas uniquement pour les systèmes d'information. Il s'agit bien de la sécurité de l'information et pas de l'informatique. Toute entreprise est potentiellement concernée par cette norme. En fonction de ses clients, de son contexte concurrentiel, l'entreprise aura plus ou moins d'intérêt à mettre en oeuvre cette norme et aller jusqu'à la certification.

Qu'est-ce que la norme ISO 27001 - Exigences d'un système de management de la sécurité de l'information  ?


La norme ISO 27001 est une norme internationale sur le management de la sécurité de l'information. Elle définie un système de management de la sécurité de l'information (SMSI) à mettre en place dans l'entreprise. Le SMSI est l'organisation (processus, responsabilités, actions...) que l'entreprise doit mettre en place pour améliorer la sécurité de l'information.

Cette norme présente les exigences en matière d'organisation (système de management) pour s'assurer que la sécurité de l'information est bien maîtrisée :

  • La gouvernance liée à la sécurité de l'information et la stratégie,
  • Les processus nécessaires à la maîtrise de la sécurité de l'information,
  • Les méthodes pour analyser les risques et en rendre compte,
  • Les processus de mesure, de suivi et d'amélioration de la sécurité,
  • Les responsabilités liées à la sécurité de l'information.

L'entreprise peut obtenir la certification ISO 27001 délivrée par un organisme indépendant. L'organisme indépendant certifie le fait qu'elle a mis en place un système de management de la sécurité de l'information (SMSI) conforme à la norme ISO 27001. 

Qu'est-ce que la sécurité de l'information ?


L’objet de la norme iso 27001 est la sécurisation des informations métiers essentielles (asset) que l’on met sous contrôle à travers la maîtrise de 4 paramètres : 

  • La disponibilité des informations
  • L'intégrité : est-ce que les informations sont potentiellement corrompues ?
  • La confidentialité : est-ce que les informations peuvent être volées ?
  • La preuve 

Toute démarche débute par l’identification des besoins et enjeux en matière de protection concernant les informations métiers de l’entreprise. 

Les chapitres de la norme ISO 27001 et leur signification


Nous avons résumé ci-dessous les principales exigences de la norme ISO 27001 et de l'esprit de chaque chapitre sans être exhaustif.

Chapitre Attendus
 Chapitre 4 : Contexte de l'organisation  Elaborer une compréhension des enjeux de l'entreprise, une stratégie et une politique en matière de sécurité de l'information
Chapitre 5 : Leadership S'assurer du leadership (le projet est porté) et du management via la définition des rôles et responsabilités
Chapitre 6 : Planification Comment je planifie mon organisation sécurité et la priorisation des actions en matière de sécurité ? La mise en oeuvre de mon plan d'actions débute par une analyse des risques et un recensement exhaustif des actions sécurité en cours.
Chapitre 7 : Support S'assurer que les activités supports soutiennent le SMSI.
Chapitre 8 : Fonctionnement La sécurité doit être suivie par des contrôles mis en oeuvre régulièrement et une surveillance du risque.
Chapitre 9 : Evaluation des performance L'évaluation des résultats en matière de sécurité de l'information par le recueil d'indicateurs et la réalisation d'audits. La revue de direction qui permet de faire le point avec la direction sur les résultats et les décisions à prendre.
Chapitre 10 : Amélioration La mise en place d'un système d'amélioration via la traitement des non-conformités. L'amélioration continue est une démarche globale à laquelle chaque chapitre contribue.