1. Famille des normes ISO/IEC 27k
1.1. ISO/IEC 27000:2012
Technologies de l'information -- Techniques de sécurité -- Systèmes de management de la sécurité de l'information -- Vue d'ensemble et vocabulaire
1.2. ISO/IEC 27001:2005
Technologies de l'information -- Techniques de sécurité -- Systèmes de management de la sécurité de l'information -- Exigences
1.3. ISO/IEC 27002:2005
Technologies de l'information -- Techniques de sécurité -- Code de bonnes pratiques pour le management de la sécurité de l'information
1.4. ISO/IEC 27003:2010
Technologies de l'information -- Techniques de sécurité -- Lignes directrices pour la mise en œuvre du système de management de la sécurité de l'information
1.5. ISO/IEC 27004:2009
Technologies de l'information -- Techniques de sécurité -- Management de la sécurité de l'information – Mesurage (contrôles via des indicateurs)
1.6. ISO/IEC 27005:2011
Technologies de l'information -- Techniques de sécurité -- Gestion des risques liés à la sécurité de l'information
1.7. ISO/IEC 27006:2011
Technologies de l'information -- Techniques de sécurité -- Exigences pour les organismes procédant à l'audit et à la certification des systèmes de management de la sécurité de l'information
1.8. ISO/IEC 27007:2011
Technologies de l'information -- Techniques de sécurité -- Lignes directrices pour l'audit des systèmes de management de la sécurité de l'information
1.9. ISO/IEC 27008:2011
Technologies de l'information -- Techniques de sécurité -- Lignes directrices pour les auditeurs des contrôles de sécurité de l'information
(Source : Les métriques dans le cadre de la série 27000, Dossier technique CLUSIF, mai 2009)
2. Exemples de Normes 27k hors champ du Système de Management de la Sécurité de l’Information
2.1. ISO/IEC 27013:2012
Technologies de l'information -- Techniques de sécurité -- Guide sur la mise en œuvre intégrée d'ISO/IEC 27001 et ISO/IEC 20000-1
Remarque : Traitent respectivement de la sécurité de l’information et de la gestion des services
2.2. ISO/IEC 27031:2011
Technologies de l'information -- Techniques de sécurité -- Lignes directrices pour la préparation des technologies de la communication et de l'information pour la continuité d'activité
2.3. ISO/IEC 27035:2011
Technologies de l'information -- Techniques de sécurité -- Gestion des incidents de sécurité de l'information
2.4. ISO/IEC 27037:2012
Technologies de l'information -- Techniques de sécurité -- Lignes directrices pour l'identification, la collecte, l'acquisition et la préservation de preuves numériques
3. Focus sur les normes ISO/IEC 27001 et 27002
3.1. Historique des normes ISO/IEC 27001 et 27002
Approche strictement chronologique
1995 – Le British Standards Institution crée la norme BS 7799 : catalogue de bonnes pratiques en matière de sécurité de l’information.
1998 – Le British Standards Institution ajoute une seconde partie à cette norme, BS 7799 - 2 : exigences pour la mise en place d’un SMSI.
2000 – Cette seconde partie est récupérée par l’ISO qui la baptise ISO 17799
2002 – BSI publie une deuxième version de sa norme BS 7799, elle se nomme BS – 7799-2:2002
2005 (juin) – L’ISO publie une nouvelle version de sa norme ISO 17799
2005 (octobre) – L’ISO adopte la BS 7799-2 et la norme ISO/IEC 27001:2005 (elle sera modifiée dans le sens de se rapprocher le plus possible de la norme ISO 9001
2007 – L’ISO renomme sa norme ISO/IEC 17799 en norme ISO/IEC 27002
2013 – Nouvelle version des normes 27001 et 27002
Approche par norme
Pas de notion de SMSI (1ère partie de la norme):
BS 7799 1995
ISO 17799 2000
ISO/IEC 27002 2007
ISO/IEC 27002 2013
Notion de SMSI (2de partie de la norme):
BS 7799-2 1998
BS 7799-2 2002
ISO/IEC 27001 2005
ISO/IEC 27001 2013
3.2. 27001 versus 27002
3.2.1. Référence au SMSI
ISO/IEC 27001 campe les exigences pour la mise en place d’un SMSI
ISO/IEC 27002 ne traite pas de SMSI, il décrit les bonnes pratiques (133) et donne des conseils pour leur mise en œuvre
3.2.2. Certification
ISO/IEC 27001 permet une certification
ISO/IEC 27002 ne permet pas de certification (on parle plutôt de conformité)
3.2.3. PDCA
ISO/IEC 27001 se base sur la méthodologie Plan-Do-Check-Act
ISO/IEC 27002 pas de PDCA
3.2.4. 133 mesures
ISO/IEC 27001 définit 133 mesures dans son annexe A
ISO/IEC 27002 développe ces 133 contrôles dans le corps de son document
3.2.5. Volume
ISO/IEC 27001 fait 12 pages (sans les annexes)
ISO/IEC 27002 fait 105 pages (sans les annexes)
3.2.6. Shall - Should
ISO/IEC 27001 fait usage du « SHALL »
ISO/IEC 27002 fait usage du « SHOULD »
3.3. Focus sur la norme ISO/IEC 27001
3.3.1. La norme ISO/IEC 27001 est un « framework »
La norme ISO est un « framework » qui permet de construire les fondations d’un SMSI. Les chapitres 4 à 8 de la norme sont obligatoires.
Les autres normes 27k constituent des aides à la mise en œuvre de dispositifs spécifiques comme la gestion des risques : ISO/IEC 27005.
“To conclude, one could say that without the details provided in ISO/IEC 27002, controls defined in Annex A of ISO/IEC 27001 could not be implemented; however, without the management framework from ISO/IEC 27001, ISO/IEC 27002 would remain just an isolated effort of a few information security enthusiasts, with no acceptance from the top management and therefore with no real impact on the organization.”
Dejan Kosutic
(Source: http://blog.iso27001standard.com/2010/09/13/iso-27001-vs-iso-27002)
3.3.2. Le noyau dur de la norme ISO/IEC 27001
Le chapitre 4 de la norme ISO/IEC 27001 constitue le noyau dur et est articulé autour du modèle PDCA.
Chapitre 4.2.1 : Mise en place du SMSI Plan
Chapitre 4.2.2 : Implémentation et exploitation du SMSI Do
Chapitre 4.2.3 : Contrôle et revue du SMSI Check
Chapitre 4.2.4 : Amélioration du SMSI Act
Phase « Plan » du SMSI
Définition du périmètre et de la politique du SMSI
Analyse des risques (identification des actifs et de leurs responsables respectifs, traitement du risque et justification de l’acceptation des risques résiduels)
Sélection des mesures de sécurité et rédaction du SoA (Statement of Applicability)
Phase « Do » du SMSI
Déploiement des mesures de sécurité (liste d’actions, liste de moyens, établir des responsabilités et des priorités)
Identifier des indicateurs
Former et sensibiliser le personnel
Gérer le SMSI au quotidien
Gestion des incidents
Phase « Check » du SMSI
Audit interne :
définir le champ de l’audit : prendre un sous-ensemble des clauses de la norme ISO/IEC 27001
se faire succéder les audits de manière à recouvrir au final l’ensemble des clauses
Contrôle interne :
il pourrait s’agir de contrôles inopinés
le contrôle interne n’est pas explicitement exigé par la norme
Revues :
résultat des audits
retour des parties prenantes
actions en cours
menaces mal ou pas identifiées
nouvelles priorités, changements survenus
prise de décision
Cfr : « Management de la Sécurité de l’Information » Alexandre FERNANDEZ-TORO p 39
Phase « Act » du SMSI
Constat des erreurs et des dysfonctionnements
Actions correctives (agir sur les effets et ensuite sur les causes)
Actions préventives (agir sur les causes)
Actions d’amélioration (agir sur les performances des processus)
3.3.3. Chapitres de l’ISO/IEC 27001
Chapitre 4 : Établissement et management du SMSI pour les 4 étapes du PDCA
Chapitre 5 : Responsabilité de la direction
Chapitre 6 : Audits internes du SMSI
Chapitre 7 : Revue de direction du SMSI
Chapitre 8 : Amélioration du SMSI
Remarque : les chapitres 1, 2 et 3 traitent de notions générales telles : « scope », références normatives, termes et définitions.
3.4. Focus sur l’ISO/IEC 27002
3.4.1. Structure de la norme
Structure :
11 chapitres importants
composés de sous-chapitres
composés de mesures
133 Mesures de Sécurité
« …, il ne s’agit que d’un code de bonnes pratiques devant être considéré comme un ouvrage de référence, à consulter en cas de doute sur la mise en application d’une mesure de sécurité. La norme propose, l’implémenteur dispose, en fonction du contexte auquel il est confronté. »
Management de la sécurité de l’information, d’Alexandre Fernandez Toro aux éditions Eyrolles
3.4.2. Liste des chapitres de la norme ISO/IEC 27002
Chapitre n° 1 : Champ d'application
Chapitre n° 2 : Termes et définitions
Chapitre n° 3 : Structure de la présente norme
Chapitre n° 4 : Évaluation des risques et de traitement
Chapitre n° 5 : Politique de sécurité de l'information
Chapitre n° 6 : Organisation de la sécurité de l'information
Chapitre n° 7 : Gestion des actifs
Chapitre n° 8 : Sécurité liée aux ressources humaines
Chapitre n° 9 : Sécurités physiques et environnementales
Chapitre n° 10 : Exploitation et gestion des communications
Chapitre n° 11 : Contrôle d'accès
Chapitre n° 12 : Acquisition, développement et maintenance des systèmes d'informations
Chapitre n° 13 : Gestion des incidents
Chapitre n° 14 : Gestion de la continuité d'activité
Chapitre n° 15 : Conformité
Les trois premiers chapitres traitent de généralités de la norme. Ce n’est que du 4ème au 15ème chapitre qu’il est véritablement question de bonnes pratiques.
(Source : http://www.techr2.com/iso-270012005/)