Présentation de la famille ISO 27000
Dans cet article, nous souhaitons aborder le terme ISO 27000 et décrire cette famille de normes en présentant les normes qui sont les plus utilisées, leur utilité et pourquoi, nous entendons de plus en plus parler de cette norme de nos jours.
Entamons déjà de définir ce que c’est que l’ISO ?
L’ISO pour International Organization for Standardization ou Organisation Internationale de Standardisation en français est un organisme de normalisation international, comme son nom l’indique, qui est composé de représentants de 167 pays d’organisations nationales de normalisation. L’organisme est maintenant vieux de 75 ans (étant créé le 23 février 1947) et a son siège social à Génève en Suisse. Depuis 1947, plus de 22000 normes ont été publiées par l’ISO.
Mais pourquoi penser à mettre en place un tel type d’organisme ? Quels sont les principes clés derrière l’élaboration des normes ?
Premièrement, les normes ISO sont réalisées afin de répondre aux besoins du marché. En effet, qu’il s’agisse de demandes officielles industrielles ou officieuses, à travers les parties prenantes ou les utilisateurs, il n’est décidé de mettre en place une norme que suite à des demandes du marché. Ensuite, comme évoqué dans la définition, l’ISO est composé d’experts qui sont à l’origine de ces différentes normes. Organisés en divers comités techniques, ces experts mondiaux élaborent les normes de bout en bout en guise de réponse aux demandes du marché. Les comités techniques, bien que composés d’experts, intègrent de même les principaux acteurs liés au secteur d’activité cible tels que les associations, les consommateurs, les gouvernements, etc. Enfin, il est important de rappeler que ces normes représentent le résultat d’un consensus car l’ensemble des pays membre de l’ISO, quelque soit leur statut géopolitique et économique, possèdent la même influence dans l’élaboration des normes.
Pour finir avec cette partie, nous souhaitons évoquer quelques familles de normes connues telles que les familles ISO 9000 et ISO 14000 qui correspondent respectivement aux références internationales en matière de management de la qualité et de l’environnement pour les organismes. Mais pour revenir à notre sujet, nous allons parler de la famille des normes ISO 27000 qui, elle, attraie à la sécurité de l’information.
Pourquoi avons nous décidé d’en parler ?
Il faut dire déjà qu’au vu de notre contexte cyber actuel, de plus en plus d’entreprises, d’organismes sont à la recherche de solutions afin de garantir la sécurité de leurs informations. Dans notre ère actuelle caractérisée par une recrudescence des attaques de cybermalveillance, de Hacking, de fuite et de vol de données, toutes les entreprises se ruent vers les moyens susceptibles de les aider à mettre en oeuvre une sécurité aboutie vis à vis de leurs informations. Comme vous avez pu l’observer dans la partie précédente, qui dit norme ISO dit besoin industriel et c’est le besoin ci-dessus indiqué qui a suscité la mise en place de la famille des normes ISO 27000. CyberLinks, dans sa démarche de vous accompagner dans votre montée en compétence en sécurité, vous présente donc assez suscintement cette norme, prisée par l’industrie de nos jours.
La famille ISO 27000 a été créé en 2005 et est dédiée à la sécurité de l’information à travers la mise en place d’un Système de Management de la Sécurité de l’Information (SMSI). Dans la famille de normes ISO27000, il existe différents types de document. On dénombre entre autres:
-
Un document qui porte sur le vocabulaire associé à la norme;
-
Les exigences qui, lorsqu’elles sont respectées, permettent à une entreprise de se conformer à des règles établies dans ces recueils d’exigences;
-
Les lignes directrices vis à vis du SMSI qui donnent les caractéristiques et les bonnes pratiques à suivre pour sa mise en place;
-
Les lignes directrices propres à un secteur en particulier vis à vis du SMSI. Elles évoquent les bonnes pratiques par secteur d’activité dans la mise en place du SMSI pour garantir la sécurité.
Dans la norme ISO 27000, il existe trois normes, c’est à dire trois documents qui sont relatifs à des exigences dont la norme ISO/IEC27001 qui est la seule qui permet à un organisme d’obtenir une certification. La famille des normes se décline comme suit:
-
ISO/IEC27000qui introduit le vocabulaire et les concepts clés qui s’appliquent lors de la mise en place du SMSI;
-
ISO/IEC27001 qui définit les exigences du SMSI et propose un ensemble de mesures de sécurité dans son annexe A;
-
ISO/IEC27002 qui représente le code de bonne pratique pour le management de la sécurité de l’information. Il donne des détails sur la mise en oeuvre des mesures se trouvant au niveau de l’annexe A de la norme ISO27001;
-
ISO/IEC27003 qui représente les lignes directrices pour la mise en oeuvre ou la mise en place d’un SMSI;
-
ISO/IEC27004 qui représente les lignes directrices pour la définition des objectifs de mise en oeuvre et les critères d’efficacité, de surveillance, mesurage, analyse et évaluation du processus de mise en place du SMSI;
-
ISO/IEC27005 qui représente les directives pour la gestion des risques liés à la sécurité de l’information;
-
ISO/IEC27006 qui représente les exigences pour les organismes qui auditent et certifient les SMSI;
-
ISO/IEC27007 qui représente les lignes directrices pour l’audit des SMSI;
-
ISO/IEC27008 qui représente les lignes directrices pour les auditeurs des contrôles de sécurité de l’information;
-
ISO/IEC27009 qui représente les exigences pour les rédacteurs de lignes directrices de mise en oeuvre de l'ISO/IEC27001 spécifiques à un secteur;
-
ISO/IEC27011 qui représente les lignes directrices pour l’utilisation de l’ISO/IEC27002 dans le domaine des télécommunications;
-
ISO/IEC27031 qui représente les lignes directrices pour la préparation des TIC (Technologies de l’Information et de la Communication) dans le domaine de la continuité de l’activité ;
-
ISO/IEC27799 qui représente les lignes directrices pour l’utilisation de l’ISO/IEC 27002 dans le domaine de la santé;
-
ISO/IEC27701 qui décrit la gouvernance et les mesures de sécurité à mettre en place pour le traitement des données personnelles.
Dépendant de votre métier et de votre secteur d’activité, vous pourrez être amené à utiliser des normes en dépit de certaines. Pour illustrer mes propos, en tant qu’auditeur, vous serez amené à utiliser plus les normes ISO27007 & ISO27008 plutôt qu’un DSI qui lui, pour mieux gouverner et améliorer son SMSI, pourra s’orienter vers la mise en place d’un SMSI et sera plus interessé par les normes ISO27001, ISO27002 & ISO27003.
Notre société actuelle caractérisée de même par de grands flux de données personnelles a suscité la création de la norme ISO/IEC27701 qui, comme décrit ci-dessus, porte sur les données personnelles. Dans la suite de nos articles, nous ferons un focus sur certaines normes de la famille notamment la norme certifiante, la norme ISO/IEC27001, la norme ISO/IEC27005 & la norme ISO/IEC27701.