ISO/CEI 27002

Un article de Wikipédia, l'encyclopédie libre.
Aller à : navigation, rechercher

La norme ISO/CEI 27002 est une norme internationale concernant la sécurité de l'information, publiée en 2005 par l'ISO, dont le titre en français est Code de bonnes pratiques pour la gestion de la sécurité de l'information .

L'ISO/CEI 27002 est un ensemble de 133 mesures dites « best practices » (bonnes pratiques en français), destinées à être utilisées par tous ceux qui sont responsables de la mise en place ou du maintien d'un Système de Management de la Sécurité de l'Information (SMSI). La sécurité de l'information est définie au sein de la norme comme la « préservation de la confidentialité, de l'intégrité et de la disponibilité de l'information ».

Cette norme n'a pas de caractère obligatoire pour les entreprises. Son respect peut toutefois être mentionné dans un contrat : un prestataire de services pourrait ainsi s'engager à respecter les pratiques normalisées dans ses relations avec un client.

Historique[modifier | modifier le code]

  • En 1995, le standard britannique "BS 7799" qui fut créé par le "British Standard Institue" (BSI) définit des mesures de sécurité détaillées.
  • En 1998, le BSI scinde le premier document en deux tomes : le BS 7799-1 correspondant aux codes des bonnes pratiques, et le BS 7799-2 correspondant aux spécifications d'un système de gestion de la sécurité de l'information (SMSI).
  • En 2000, l'Organisation internationale de normalisation (ISO) édite la norme ISO/CEI 17799:2000 correspondant aux codes des bonnes pratiques issues de la BS 7799.
  • En 2005, deux normes sont éditées :
    • ISO/CEI 17799:2005 qui remanie les domaines et objectifs
    • ISO/CEI 27001:2005 qui introduit la notion de SMSI et offre la possibilité de certification.

En 2007, la norme ISO/CEI 17799:2005 étant obsolète, a été remplacée par la norme 27002 qui en reprend l'essentiel.

Objectifs[modifier | modifier le code]

ISO/CEI 27002 est plus un code de pratique, qu’une véritable norme ou qu’une spécification formelle telle que l’ISO/CEI 27001. Elle présente une série de contrôles (39 objectifs de contrôle) qui suggèrent de tenir compte des risques de sécurité des informations relatives à la confidentialité, l'intégrité et les aspects de disponibilité. Les entreprises qui adoptent l'ISO/CEI 27002 doivent évaluer leurs propres risques de sécurité de l'information et appliquer les contrôles appropriés, en utilisant la norme pour orienter l’entreprise.

La norme ISO 27002 n'est pas une norme au sens habituel du terme. En effet, ce n’est pas une norme de nature technique, technologique ou orientée produit, ou une méthodologie d'évaluation d'équipement telle que les critères communs CC/ISO 15408. Elle n’a pas de caractère d'obligation, elle n’amène pas de certification, ce domaine étant couvert par la norme ISO/CEI 27001.

Mise en oeuvre[modifier | modifier le code]

La norme ne fixe pas de niveaux ou d’objectifs de sécurité et rappelle dans les chapitres d'introduction, la nécessité de faire des analyses de risques périodiques mais ne précise aucune obligation quant à la méthode d’évaluation du risque, il suffit donc de choisir celle qui répond aux besoins. C’est à partir des résultats de l’analyse de risque que l’organisation « pioche » dans les différentes rubriques de la norme celles qu’elle doit mettre en œuvre pour répondre à ses besoins de sécurité. En 2002, plus de 80 000 entreprises se conformaient à cette norme à travers le monde.

Contenu de la norme[modifier | modifier le code]

La norme ISO/CEI 27002 est composé de 15 chapitres dont 4 premiers introduisent la norme et les 11 chapitres suivants couvrent le management de la sécurité aussi bien dans ses aspects stratégiques que dans ses aspects opérationnels.

Chapitre n° 1 : Champ d'application[modifier | modifier le code]

La norme donne des recommandations pour la gestion de la sécurité des informations pour ceux qui sont chargés de concevoir, mettre en œuvre ou maintenir la sécurité.

Chapitre n° 2 : Termes et définitions[modifier | modifier le code]

« Sécurité de l'information » est explicitement définie comme la «préservation de la confidentialité, l'intégrité et la disponibilité de l'information». Ceux-ci et d'autres termes connexes sont définies plus loin.

Chapitre n° 3 : Structure de la présente norme[modifier | modifier le code]

Cette page explique que la norme contient des objectifs de contrôle.

Chapitre n° 4 : Évaluation des risques et de traitement[modifier | modifier le code]

ISO / CEI 27002 couvre le sujet de la gestion des risques. Elle donne des directives générales sur la sélection et l'utilisation de méthodes appropriées pour analyser les risques pour la sécurité des informations ; elle ne prescrit pas une méthode spécifique, puisque celle-ci doit être appropriée selon le contexte.

Chapitre n° 5 : Politique de sécurité de l'information[modifier | modifier le code]

Article détaillé : Politique de sécurité.

Il mentionne la nécessité pour l’organisme de disposer d’une politique de sécurité de l’information et de la réexaminer régulièrement.

Chapitre n° 6 : Organisation de la sécurité de l'information[modifier | modifier le code]

Article détaillé : Sécurité de l'information.

Il décrit les mesures nécessaires pour l’établissement d’un cadre de gestion de la sécurité en interne et traite de tous les aspects contractuels liés à la sécurisation de l’accès par des tiers (clients, sous-traitants, …) au système d’information.

Chapitre n° 7 : Gestion des actifs[modifier | modifier le code]

Il montre l’importance d’inventorier et de classifier les actifs de l’organisme afin de maintenir un niveau de protection adapté. Ces actifs peuvent être :

  • des biens physiques (serveurs, réseau, imprimantes, baies de stockage, poste de travail, des matériels non IT),
  • des informations (base de données, fichiers, archives)
  • des logiciels (application ou système)
  • des services
  • de la documentation (politiques, procédures, plans)

Chapitre n° 8 : Sécurité liée aux ressources humaines[modifier | modifier le code]

Il donne les recommandations destinées à réduire le risque d’erreur ou de fraude en favorisant la formation et la sensibilisation des utilisateurs sur les risques et les menaces pesant sur les informations.

Chapitre n° 9 : Sécurités physiques et environnementales[modifier | modifier le code]

Il décrit les mesures pour protéger les locaux de l’organisme contre les accès non autorisés et les menaces extérieures et environnementales ainsi que protéger les matériels (emplacement, maintenance, alimentation électrique …).

Chapitre n° 10 : Exploitation et gestion des communications[modifier | modifier le code]

Il décrit les mesures permettant :

  • d’assurer une exploitation correcte et sécurisée des moyens de traitement de l’information ;
  • de gérer les prestations de service assurées par des tiers ;
  • de réduire les risques de panne ;
  • de protéger l’intégrité des informations et des logiciels ;
  • de maintenir l’intégrité, la confidentialité et la disponibilité des informations et des moyens de traitement de l’information ;
  • d’assurer la protection des informations sur les réseaux et la protection de l’infrastructure sur laquelle ils s’appuient ;
  • de maintenir la sécurité des informations et des logiciels échangés au sein de l’organisme et avec une entité extérieure ;
  • et enfin de détecter les traitements non autorisés de l’information.

Chapitre n° 11 : Contrôle d'accès[modifier | modifier le code]

Article détaillé : Contrôle d'accès.

Il décrit les mesures pour gérer et contrôler les accès logiques aux informations, pour assurer la protection des systèmes en réseau, et pour détecter les activités non autorisées. Ce thème couvre aussi la sécurité de l’information lors de l’utilisation d’appareils informatiques mobiles et d’équipements de télétravail.

Chapitre n° 12 : Acquisition, développement et maintenance des systèmes d'informations[modifier | modifier le code]

Il propose les mesures pour veiller à ce que la sécurité fasse partie intégrante des systèmes d’information. Ce thème traite aussi des mesures visant à prévenir la perte, la modification ou la mauvaise utilisation des informations dans les systèmes d'exploitation et les logiciels d'application et enfin à protéger la confidentialité, l’authenticité ou l’intégrité de l’information par des moyens cryptographiques.

Chapitre n° 13 : Gestion des incidents[modifier | modifier le code]

Il souligne la nécessité de mettre en place des procédures pour la détection et le traitement des incidents de sécurité.

Chapitre n° 14 : Gestion de la continuité d'activité[modifier | modifier le code]

Article détaillé : continuité d'activité.

Il décrit des mesures pour la gestion d’un plan de continuité de l’activité visant à réduire le plus possible l’impact sur l’organisme et à récupérer les actifs informationnels perdus notamment à la suite de catastrophes naturelles, d’accidents, de pannes de matériel et d’actes délibérés.

Chapitre n° 15 : Conformité[modifier | modifier le code]

Il traite :

  • du respect des lois et des réglementations ;
  • de la conformité des procédures en place au regard de la politique de sécurité
  • et enfin de l'efficacité des dispositifs de traçabilité et de suivi des procédures, notamment les journaux d'activités, les audits et les enregistrements de transactions.

Cette norme est de plus en plus utilisée par les entreprises du secteur privé comme un référentiel d'audit et de contrôle, en complément de la politique de sécurité de l'information de l'entreprise. Le fait de respecter cette norme permet de viser, à moyen terme, la mise en place d'un Système de Management de la Sécurité de l'Information, et à long terme, une éventuelle certification ISO/CEI 27001.

Les avantages[modifier | modifier le code]

  • Organisation : image positive auprès des actionnaires lorsque l'entreprise tend à maîtriser ses risques pour maximiser ses profits
  • Conformité : la norme insiste sur la nécessité d'identifier toutes les lois et réglementations s'appliquant à l'entreprise et la mise en œuvre de processus adaptés pour identifier et suivre les obligations permet de prouver au moins la volonté de conformité, ce qui tend à diminuer les amendes en cas de non-conformité
  • Gestion des risques : la norme insiste dans ses chapitres d’introduction sur la nécessité de réaliser une analyse de risques périodiquement et définit dans les domaines « politique de sécurité » et « organisation de la sécurité » les pratiques à mettre en œuvre pour gérer les risques mis en lumière par l’analyse de risque. Ceci permet une meilleure connaissance des risques et donc une meilleure allocation des ressources permettant d’améliorer la fiabilité du système.
  • Finances : associant une meilleure maîtrise des risques, une meilleure gestion des incidents et une meilleure allocation des ressources, la mise en place d’un SMSSI s’appuyant sur les normes ISO 27001 et 27002 permet une meilleure maîtrise des coûts de la sécurité des systèmes d’information.
  • Crédibilité et confiance : la mise en place d'une politique de sécurité et des moyens associés donne une image rassurante pour les partenaires et les clients, notamment sur la protection des données personnelles (sujet très médiatique, avec le syndrome du « big brother »).
  • Ressources humaines : s'appuyer sur une norme permet de mieux faire passer les messages de sensibilisation, notamment auprès des populations techniques.

Normes nationales apparentées[modifier | modifier le code]

Australie/Nouvelle-Zélande AS/NZS ISO/IEC 27002:2006
Brésil ISO/IEC NBR 17799/2007 - 27002
République Tchèque ČSN ISO/IEC 27002:2006
Danemark DS484:2005
Estonie EVS-ISO/IEC 17799:2003, 2005
Japon JIS Q 27002
Lituanie LST ISO/IEC 17799:2005
Pays-Bas NEN-ISO/IEC 17799:2002 nl, 2005
Pologne PN-ISO/IEC 17799:2007, based on ISO/IEC 17799:2005
Pérou NTP-ISO/IEC 17799:2007
Afrique du Sud SANS 17799:2005
Espagne UNE 71501
Suède SS 627799
Turquie TS ISO/IEC 27002
Royaume-Uni BS ISO/IEC 27002:2005
Uruguay UNIT/ISO 17799:2005
Russie ГОСТ/Р ИСО МЭК 17799-2005
Chine GB/T 22081-2008v

Références[modifier | modifier le code]

Annexes[modifier | modifier le code]

Voir aussi[modifier | modifier le code]

Liens externes[modifier | modifier le code]