ISO 27002 : Bonnes pratiques pour la gestion de la sécurité de l'information

La norme ISO 27002 constitue un code de bonnes pratiques. Elle est composée de 114 mesures de sécurité réparties en 14 chapitres couvrant les domaines organisationnels et techniques ci-dessous.

 

C’est en adressant l’ensemble de ces domaines que l’on peut avoir une approche globale de la sécurité des SI.

Politiques de sécurité

Les politiques de sécurité de l’information apportent une orientation et un soutien de la part de la direction, conformément aux exigences métier et aux lois et règlements en vigueur. Il s’agit de définir les orientations de la direction en matière de sécurité de l’information. Des normes reconnues proposent des bonnes pratiques pour installer, utiliser et gérer une politique de sécurité informatique, des systèmes d'information, en particulier les normes de la famille ISO 27000,  les normes de la famille ISO 27000, parmi lesquelles on peut citer :

ISO/CEI 27001 (2013): définit les exigences organisationnelles requises pour mettre en place un système de management de la sécurité de l'information.

ISO/CEI 27002 (2013): code de bonne pratique pour le management de la sécurité de l’information, une série de préconisations concrètes, abordant les aspects tant organisationnels que techniques, qui permettent de mener à bien les différentes actions dans la mise en place d’un SMSI.

ISO / CEI 27017 (2015): code de bonne pratique pour les contrôles de sécurité de l’information basé sur la norme ISO / CEI 27002 pour les services en nuage.

ISO/CEI 27018 (2014): s’inscrit dans le prolongement des normes existantes en matière de sécurité de l’information, telles que les normes ISO 27001 et ISO 27002, elle est destinée pour la protection des données personnelles pour le Cloud. D’une façon générale, Elle augmente le nombre de contrôles prévus déjà par la norme ISO 27002.

ISO/ CEI 27799 (2016): définit toutes les précautions à prendre et règles de bonnes pratiques concernant la gestion des informations médicales

Organisation de la sécurité

L’organisation de la sécurité de l’information permet d’établir un cadre de gestion pour engager et vérifier la mise en œuvre et le fonctionnement de la sécurité de l’information au sein de l’organisation. Elle permet également d’assurer la sécurité les activités nomades hors du périmètre physique de l’organisation telles le télétravail et l’utilisation d’appareils mobiles.

La sécurité des ressources humaines

La sécurité des ressources humaines consiste à s’assurer que les collaborateurs comprennent leurs responsabilités en matière de sécurité de l’information, qu’ils en sont conscients et qu’ils les assument. Les intérêts de l’organisation demeurent protégés dans le cadre du processus de modification, de rupture ou de terme d’un contrat de travail.

  • Avant l’embauche, l’objectif est de s’assurer que les salariés et les contractants comprennent leurs responsabilités et qu’ils sont compétents pour remplir les fonctions que l’organisation envisage de leur confier.
  • Lors du mandat de l’individu, l’objectif est de s’assurer que les salariés et les contractants sont conscients de leurs responsabilités en matière de sécurité de l’information et qu’ils assument ces responsabilités.
  • A la fin du contrat ou en cas de changement d’emploi, le but est de s’assurer que les signataires concernés quittent l’organisation ou changent d’emploi de manière organisée. En cas de départ de l’organisation, on vérifie que tout l’équipement est retourné et que les droits d’accès ont été effacés.

Gestion des actifs

La gestion des actifs informationnels est primordiale. L’organisation doit identifier ses actifs et définir les responsabilités afin de s’assurer qu’ils bénéficient d’un niveau de protection adéquat conforme à son importance pour l’activité. La divulgation, la modification, la destruction non autorisée d’information stockée sur tout support doivent être empêchées.

Ces actifs peuvent être :

  • Des biens physiques (serveurs, réseau, imprimantes, baies de stockage, poste de travail, des matériels non IT)
  • Des informations (database, fichiers, archives)
  • Des logiciels (application ou dispositif)
  • Des services
  • De la documentation (politiques, procédures, plans)

Contrôle d'accès

Le contrôle d’accès limite l’accès à l’information et aux moyens de traitement de l’information, maîtrise l’accès utilisateur par le biais d’autorisations et empêche les accès non autorisés aux systèmes, aux applications et aux services d’information. Les utilisateurs sont responsables de la protection de leurs informations d’authentification.

Cryptographie

La cryptographie permet de protéger la confidentialité, l’authenticité et/ou l’intégrité de l’information mais il faut obtenir la garantie de son utilisation correcte et efficace.

Sécurité physique et environnementale

La sécurité physique et environnementale prévient tout accès physique non autorisé, tout dommage ou intrusion portant sur l’information et les moyens de traitement de l’information de l’organisation. Elle vise à empêcher la perte, l’endommagement, le vol ou la compromission des actifs et l’interruption des activités de l’organisation.

Sécurité liée à l'exploitation

La sécurité de l’exploitation permet de s’assurer que l’information et les moyens de traitement de l’information sont protégés contre les logiciels malveillants. Elle garantit l’intégrité des systèmes en exploitation et empêche toute exploitation des vulnérabilités techniques.

Sécurité des communications

La sécurité des communications protège l’information qui transite via les réseaux et à travers les infrastructures informatiques utilisées pour assurer cette sécurité. Elle maintient la sécurité de l’information circulant à l’intérieur et à l’extérieur de l’organisation.

Acquisition, développement et maintenance des systèmes d'information

Pour que la sécurité de l’information soit mise en œuvre efficacement, les exigences de sécurité à satisfaire lors de l’acquisition, du développement, de la mise en place et de la maintenance d’un actif informationnel doivent être déterminées. Les exigences de sécurité doivent tenir compte de l’évolution des technologies et des nouveaux enjeux.

Relations avec les fournisseurs

La sécurité liée aux relations avec les fournisseurs vise à garantir la protection des actifs de l’organisation accessibles aux fournisseurs. Elle assure également le maintien du niveau convenu de sécurité de l’information et de prestation de services, conformément aux accords conclus avec les fournisseurs.

Gestion des incidents liés à la sécurité

La gestion des incidents de sécurité de l’information doit s’appuyer sur une méthode cohérente et efficace, incluant la communication des événements et des failles de sécurité.

Gestion de la continuité de l’activité

La continuité de la sécurité de l’information doit faire partie intégrante des systèmes de gestion de la continuité de l’activité. Elle vise à garantir la disponibilité des moyens informatiques.

Conformité

La conformité a pour but d’éviter toute violation des exigences et obligations légales, statutaires, réglementaires ou contractuelles relatives à la sécurité de l’information. Elle doit garantir une sécurité mise en œuvre et appliquée conformément aux politiques et procédures organisationnelles.

Commandez la norme ISO/IEC 27002


Dernière modification : le 4 décembre 2018 à 18 h 21 min.