AGENCEE CyberSecurity
Norme ISO
Début des années 2000, les normes ISO 27000 (sécurité des systèmes d’information) n’ont cessé de s’agrandir.
Celles-ci cherchent à répondre aux questions que peut se poser un RSSI (responsable de la sécurité des systèmes d’information) :
• 27000 Présentation, glossaire de la norme
• 27001 La norme internationale SMSI
• 27002 Sécurité de l'information, les 133 bonnes pratiques
• 27004 Les indicateurs de sécurité, la mesure et la métrique pour le suivi du SMSI
• 27005 La gestion des risques
Un projet de mise place de la gestion de la sécurité est un projet transversal.
Si le service informatique est, de fait, concerné, plusieurs autres directions peuvent être impactées.
Le projet concerne toute l’échelle hiérarchique de l’organisme.
La réussite du projet dépend essentiellement de l’implication de toutes les personnes concernées dans l’entreprise, de la direction générale au plus bas de l’échelle.
Le projet de mise en place de la sécurité des systèmes d’information suit la logique de la roue de Deming.
Une phase PLAN, qui revient à fixer les objectifs, est composée de quatre grandes étapes :
• Définition du périmètre et de la politique,
• Appréciation des risques,
• Traitement du risque,
• Sélection des mesures de sécurité.
Une phase DO qui comprend les étapes suivantes :
• planification du traitement des risques,
• génération d’indicateurs significatifs,
• formation et sensibilisation du personnel,
• gestion quotidienne du SMSI,
• détection et réaction aux incidents.
La suite de normes ISO 2700x impose de mettre en place des moyens de contrôle, c’est la phase CHECK (qui s’appuiera sur des audits, un contrôle, des revues) ; si des écarts sont constatés par rapport aux objectifs, la phase ACT permettra de mener des actions correctives, préventives et d’amélioration.
L’implémentation d’un système de management de la sécurité est la garantie de l’adoption de bonnes pratiques, de l’augmentation de la fiabilité et la certification par un organisme indépendant assurera l’apport de la confiance des parties prenantes de l’entreprise (clients, fournisseurs, actionnaires, banques, autorités…).