• (0)
    ISO-27001-ISO-22301-blog

    Blog ISO 27001 et ISO 22301

    Sécurité de l’information ou sécurité informatique?

    Mis à jour le 11 aout 2014. Le nombre de contrôles a été mis à jour pour correspondre à la version 2013 de la norme ISO27001.

    On pourrait croire que ces termes sont synonymes – après tout, la sécurité de l’information ne concerne-t-elle pas surtout les ordinateurs?

    Pas exactement. Le fait fondamental est le suivant : vous pouvez avoir des mesures de sécurité informatiques parfaites mais un seul acte malveillant réalisé, par exemple par un administrateur système, peut mettre tout le système informatique en panne. Ce risque n’a rien à voir avec les ordinateurs, mais avec les personnes, les processus, la supervision, etc.

    De plus, les informations importantespourraient bien ne pas se trouver sous une forme digitale. Elles peuvent être sur papier : un contrat important signé avec votre plus gros client, des notes personnelles du directeur général, le mot de passe administrateur mis à l’abri dans un coffre (1).

    Donc, comme je le dis toujours à mes clients : la sécurité informatique c’est 50% de sécurité de l’information parce que la sécurité de l’information comprend également la sécurité physique, ma gestion des ressources humaines, la protection légale et juridique, l’organisation, les processus etc. L’objet de la sécurité de l’information est de construire un système qui tienne compte de tous les risques possibles pour la sécurité de l’information (liés à l’informatique ou non) et de mettre en œuvre des contrôles exhaustifs qui réduisent toutes les sortes de risques inacceptables.

    Cette approche intégrée de la sécurité de l’information est bien définie dans la norme ISO 27001, la norme internationale majeure pour le management (2) de la sécurité de l’information. En bref, la norme exige une évaluation des risques sur tous les actifs de l’organisation (y compris matériel, logiciel, documentation, personnel, fournisseurs, partenaires, etc.) et de choisir les contrôles acceptables pour réduire ces risques.

    ISO27001 propose 114 contrôles dans son annexe A. J’ai réalisé une brève analyse des contrôles et les résultats sont les suivants :

    • contrôles liés à l’informatique : 36.84%
    • contrôles liés à l’organisation et à la documentation : 35.96%
    • contrôles de sécurité physique (et environnementale) : 13.16%
    • protection légale : 4.39%
    • contrôles relatifs aux relations avec les fournisseurs et les clients : 4.39%
    • contrôles portant sur la gestion des ressources humaines : 5.26%

    Qu’est-ce que cela signifie en termes de mise en œuvre de la sécurité de l’information / ISO27001 ? Ce genre de projet ne devrait pas être vu comme un projet informatique, car toutes les parties de l’organisation pourraient ne pas vouloir participer (ou se sentir concernées). Il faut le voir comme un projet d’entreprise dans lequel les personnes concernées des différents départements devraient être impliquées – direction générale, personnel informatique, experts légaux, responsables des ressources humaines, personnel responsable de la sécurité physique, le ‘métier’ de l’organisation, etc. Sans cette approche vous resterez focalisé sur la sécurité informatique et cela ne vous protègera pas contre les plus grands risques.

    Vous pouvez également suivre notre webinaire ISO 27001 Foundations Part 3 : Annex A overview.

    Nous remercions Jean-Luc Allard pour la traduction française.

    (1) Sans oublier la forme ‘orale’

    (2) Je préfère traduire ‘management’ par ‘management’ car le terme ‘gestion’ est trop souvent pris dans un sens restrictif.

    Advisera Dejan Kosutic
    Auteur
    Dejan Kosutic
    Leading expert on cybersecurity/information security and author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become certified against ISO 27001 and other ISO standards. He believes that making ISO standards easy-to-understand and simple-to-use creates a competitive advantage for Advisera's clients.

    As an ISO 27001 expert, Dejan is sought out to help companies find the best way to obtain certification by eliminating overhead and adapting the implementation to the specifics of their size and industry.
    Connect with Dejan:
    Tags: #mesures