Comme la norme ISO 27002 et toutes les normes qui vont suivre, il s'agit d'un guide et non d'exigence. L'idée principale est de mettre en place un SMSI en construisant un projet. Il s'agit en effet de déterminer les tâches à réaliser et de les synchroniser correctement dans le temps et d'impliquer les ressources nécessaires pour chacune d'entre elles.
Nous allons parcourir cette norme à travers ses clauses 5 à 9 qui nous fournissent les lignes directrices pour le démarrer un projet de SMSI en 5 phases donc qui suivent un ordre logique. Cependant, la norme ne fournira pas d'indication pour faire vivre le système de management en question une fois lancé.
Ce que raconte la norme ...
Clause 5 : Obtenir l'accord de la direction pour initier le projet de SMSI
L'objectif de cette clause est double : obtenir l'accord de la direction et rédiger une première version de la planification du projet de SMSI. Plus précisément, cette clause a pour vocation de définir les besoins en termes de sécurité et de business afin de déterminer les objectifs de la direction et le périmètre qui sera impliqué dans le SMSI. Ceci sera réalisé à travers 3 sous-étapes :
Clause 6 : Définir le périmètre du SMSI, ses limites et la politique du SMSI
Pour ceux qui se sont intéresser à la norme ISO 27001, nous retrouvons ici deux documents requis par celle-ci. Rappelons que la certification ISO 27001 est attribuée à un périmètre précis. Il s'agit donc d'une composante importante. Quant à la politique du SMSI, elle représentera le vecteur de développement tout au long du projet. Cinq sous-étapes sont nécessaires cette fois :
Clause 7 : Analyser les pré-requis sécurité
Tout simplement, il s'agit ici d'établir un état des lieux du périmètre en termes de sécurité. Les résultats de cette analyse nous permettront de mieux appréhender les actions à mener par la suite. Pour obtenir ces informations, 3 sous-étapes sont proposées :
Clause 8 : Réaliser une analyse de risque et rédiger un plan de traitement du risque
Ces éléments sont exigés par la norme ISO 27001, dans la phase PLAN. Pour mener à bien cette partie du projet, nous pourrons nous appuyer sur la norme ISO 27005 que nous verrons dans l'épisode 5 de notre étude. Voici les principales sous étapes de notre projet pour cette 8e clause :
C'est la dernière étape pour que notre SMSI soit prêt et de pouvoir ainsi rentrer dans la phase DO de notre modèle PDCA. 4 sous-étapes sont à prendre en compte cette fois :
Pour être plus précis ...
La norme fournit dans ses annexes des informations utiles pour préciser les sujets abordés dans le corps de la norme et surtout aider l'implémenteur. Voici la liste des annexes et le but de chacune :
Nous allons parcourir cette norme à travers ses clauses 5 à 9 qui nous fournissent les lignes directrices pour le démarrer un projet de SMSI en 5 phases donc qui suivent un ordre logique. Cependant, la norme ne fournira pas d'indication pour faire vivre le système de management en question une fois lancé.
Ce que raconte la norme ...
Clause 5 : Obtenir l'accord de la direction pour initier le projet de SMSI
L'objectif de cette clause est double : obtenir l'accord de la direction et rédiger une première version de la planification du projet de SMSI. Plus précisément, cette clause a pour vocation de définir les besoins en termes de sécurité et de business afin de déterminer les objectifs de la direction et le périmètre qui sera impliqué dans le SMSI. Ceci sera réalisé à travers 3 sous-étapes :
- Clarifier les priorités qui amènent au déploiement du SMSI ;
- Définir le périmètre préliminaire du futur SMSI ;
- Réaliser un plan business et le planning du projet pour approbation.
Clause 6 : Définir le périmètre du SMSI, ses limites et la politique du SMSI
Pour ceux qui se sont intéresser à la norme ISO 27001, nous retrouvons ici deux documents requis par celle-ci. Rappelons que la certification ISO 27001 est attribuée à un périmètre précis. Il s'agit donc d'une composante importante. Quant à la politique du SMSI, elle représentera le vecteur de développement tout au long du projet. Cinq sous-étapes sont nécessaires cette fois :
- Définir le périmètre d'organisation et ses limites en termes (ex : responsables et personnes impliqués dans le projet) ;
- Définir le périmètre IT et ses limites (ex : logiciels, serveurs, technologies, ...) ;
- Définir le périmètre physique et ses limites (ex : les sites qui feront partie du périmètre) ;
- Synthétiser les 3 étapes précédentes pour définir le périmètre global et final avec ses limites (attention : toute exclusion doit être justifiée) ;
- Rédiger la politique du SMSI et la faire valider.
Clause 7 : Analyser les pré-requis sécurité
Tout simplement, il s'agit ici d'établir un état des lieux du périmètre en termes de sécurité. Les résultats de cette analyse nous permettront de mieux appréhender les actions à mener par la suite. Pour obtenir ces informations, 3 sous-étapes sont proposées :
- Définir les pré-requis sécurité pour les process relatif au SMSI (processus critiques ? contraintes légales ? biens prioritaires ? vulnérabilités impliquées ? besoin de sensibilisation et de formation ?) ;
- Définir les biens dans le périmètre du SMSI (classification des biens et besoins à partir de l'étape précédente) ;
- Évaluer le niveau de sécurité (à l'aide d'un audit de conformité (ex: ISO 27002) et des résultats d'audits précédents).
Clause 8 : Réaliser une analyse de risque et rédiger un plan de traitement du risque
Ces éléments sont exigés par la norme ISO 27001, dans la phase PLAN. Pour mener à bien cette partie du projet, nous pourrons nous appuyer sur la norme ISO 27005 que nous verrons dans l'épisode 5 de notre étude. Voici les principales sous étapes de notre projet pour cette 8e clause :
- Réaliser une analyse de risque (Décrire la méthodologie et fournir les résultats) ;
- Sélectionner les objectifs de contrôle et les contrôles eux-mêmes (rédaction de la déclaration d'applicabilité et du plan de traitement des risques, cf. Annexe A de la norme ISO 27001) ;
- Obtenir l'autorisation de la direction pour l'implémentation et la maintenance du SMSI (doit contenir le niveau d'acceptation pour les risques résiduels).
C'est la dernière étape pour que notre SMSI soit prêt et de pouvoir ainsi rentrer dans la phase DO de notre modèle PDCA. 4 sous-étapes sont à prendre en compte cette fois :
- Concevoir l'organisation sécurité finale (rôles et responsabilités impliqués, gestion de la documentation du SMSI, Politique de sécurité) ;
- Concevoir les opérations IT et physiques (mise en place et contrôles des mesures de sécurité en définissant chaque tâche et en les assignant à un responsable) ;
- Concevoir les tâches spécifiques à un SMSI (gestion du SMSI comme la planification de la revue de direction, la formation et la sensibilisation des utilisateurs, enregistrements en vue du contrôle et de l'amélioration du SMSI) ;
- Produire le planning final du projet de SMSI (décrire l'ensemble des tâches et des méthodes associées en attribuant un responsable (1ère sous étape) de chaque tâche identifiées (2e et 3e sous-étapes).
Pour être plus précis ...
La norme fournit dans ses annexes des informations utiles pour préciser les sujets abordés dans le corps de la norme et surtout aider l'implémenteur. Voici la liste des annexes et le but de chacune :
- Annexe A : check-list des tâches à réaliser avec la correspondances ISO 27003 / ISO 27001 ;
- Annexe B : les rôles et responsabilités de la sécurité de l'information (pour aider à l'organisation) ;
- Annexe C : Informations concernant l'audit interne (rappel : clause 6 de l'ISO 27001) ;
- Annexe D : Structure des politiques (hiérarchie des politiques et des procédures et exemple de politique) ;
- Annexe E : Surveillance du SMSI (mise en place et exploitation d'indicateurs, cf. ISO 27004).
Aucun commentaire:
Enregistrer un commentaire