Certification ISO 27001

Mettre en œuvre un système de management de la sécurité de l’information (SMSI) certifié ISO 27001 est décidé par de plus en plus d’entreprises privées et publiques. Pour répondre à une exigence légale, par exemple pour le cas des hébergeurs de données de santé ou bien prouver à des clients potentiels qu’un cadre de cybersécurité est en place, par exemple pour les fournisseurs de service Cloud. Le travail pour être certifié dépend de plusieurs facteurs : maturité en cybersécurité, taille et complexité de l’entité, niveau de formalisation des processus, implication de la direction et des métiers, documentation existante. Plusieurs démarches de conformité s’inspirent de l’ISO 27001 comme la qualification SecNumCloud de l’ANSSI en France.

 

Les exigences pour être certifié

Pour être certifié ISO 27001, Un SMSI doit respecter les exigences indiquées dans la norme. Ces exigences, décrites dans une dizaine de pages sont regroupées dans les clauses suivantes :

  • Contexte de l’organisation : compréhension de l’organisation et de son contexte, compréhension des besoins des attentes des parties intéressées, détermination du domaine d’application et SMSI.
  • Leadership: leadership et engagement, politique, rôles, responsabilités et autorité au sein de l’organisation.
  • Planification : actions liées aux risques et opportunités, objectifs de sécurité de l’information et plan pour les atteindre.
  • Support : ressources, compétences, sensibilisation, communication, informations documentées.
  • Fonctionnement : planification et contrôle opérationnels, appréciation et traitement des risques de cybersécurité.
  • Évaluation des performances : surveillance, mesures, analyse et évaluation, audit interne, revue de direction.
  • Amélioration : non-conformités et actions correctives, amélioration continue.
La norme requiert une déclaration d’applicabilité (Statement of Applicability – SOA). Cette déclaration s’appuie sur le catalogue des mesures de sécurité référencé dans l’ISO 27002. L’intitulé de ces mesures est repris dans l’annexe A de la norme ISO 27001. Ces mesures sont catégorisée de la manière suivante: politique de sécurité, organisation, sécurité des ressources humaines, gestion des actifs, contrôle des accès, cryptographie, sécurité physique et environnementale, sécurité liée à l’exploitation, sécurité des communications, acquisitions, développement et maintenance des systèmes d’information, relations avec les fournisseurs, gestion des incidents de sécurité, aspects de la sécurité de l’information dans la gestion de la continuité des activités, conformité.

Points clés de réussite

Les éléments ci-dessous sont donnés à titre indicatif , issus de l’expérience de nombreuses mises en œuvre et d’audits de SMSI.

Contexte :

  1. Bien définir le périmètre en faisant ressortir les processus métiers. La mise en oeuvre d'une cartographie des SI orientée cybersécurité facilite cette étape.
  2. Mettre en lumière les missions de l’organisme.
  3. Disposer d’une cartographie fonctionnelle et technique du système d’information.
  4. Identifier toutes les interfaces du SMSI, notamment en cas d’appel à la sous-traitance.
  5. Formaliser les attentes des parties prenantes et les traduire en exigences de sécurité.

Leadership :

  1. Rassembler les preuves d’engagement de la direction et de gouvernance.
  2. Rédiger une politique de sécurité pragmatique, adaptée à l’entité et la communiquer aux collaborateurs.
  3. Être le plus précis possible dans la définition des rôles et des responsabilités au sein de l’organisation.
  4. Être en mesure de rendre compte d’affectation des ressources en particulier budgétaires.

Planification :

  1. Choisir une méthode d’analyse et de traitement des risques conforme aux exigences de la norme, par exemple EBIOS Risk Manager. L’ISO 27005 propose un cadre et des bonnes pratiques pour formaliser ses cyber-risques.
  2. Identifier les propriétaires des risques.
  3. Prioriser les plans d’action en établissant le lien avec les risques.
  4. Définir des objectifs de sécurité mesurable et cohérents avec les plans d’action.
  5. Penser à traiter les opportunités.

Support :

  1. Définir et appliquer un plan de formation.
  2. Évaluer les besoins de montée en compétence.
  3. Sensibiliser les collaborateurs.
  4. Préciser les canaux et les modes de communication avec les parties prenantes du SMSI.
  5. Définir un cycle de vie de la documentation en évitant toute complexité ou longueur inutile dans les procédures et standards, qui ne manqueraient pas d’être épinglées lors des audits de certification ou de surveillance.

Fonctionnement :

  1. Définir et suivre les plans d’action.
  2. Faire le lien avec la gestion des changements.
  3. Contrôler les processus externalisés.
  4. Intégrer la sécurité dans les projets en termes de risques.

Evaluation des performances :

  1. Mettre en place des indicateurs pour mesurer la sécurité.
  2. Fixer les modalités de prise de décision.
  3. Définir un plan d’audit interne.
  4. Prendre en compte les non-conformités.
  5. Utiliser les résultats des audits et des analyses de risques.
  6. Formaliser les plans de remédiation.

Amélioration :

  1. Préciser les modalités de traitement des non-conformités.
  2. Traiter les causes profondes.
  3. Démontrer la recherche d’amélioration continue.

Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :

ISO 27001, Conformité