Suite ISO/CEI 27000

La suite ISO/CEI 27000 (aussi connue sous le nom de Famille des standards SMSI ou ISO27k) comprend les normes de scurit de l'information publies conjointement par l'Organisation internationale de normalisation (ISO) et la Commission lectrotechnique internationale (CEI, ou IEC en anglais). La suite contient des recommandations des meilleures pratiques en management de la scurit de l'information, pour l'initialisation, l'implmentation ou le maintien de systmes de management de la scurit de l'information (SMSI, ou ISMS en anglais), ainsi qu'un nombre croissant de normes lies au SMSI.

Normes publies

ISO/CEI 27000 : Introduction et vue globale de la famille des normes, ainsi qu'un glossaire des termes communs (mai 2009) ISO/CEI 27001 : Norme de certification des SMSI (publie en 2005) ISO/CEI 27002 : Guide des bonnes pratiques en SMSI (prcdemment connu sous le nom de ISO/CEI 17799, et avant BS 7799 Partie 1 (dernire rvision en 2005, et renumrot en ISO/CEI 27002:2005 en juillet 2007) ISO/CEI 27003 : Guide d'implmentation d'un SMSI, publi le 3 fvrier 2010 (Lignes directrices pour la mise en uvre du systme de management de la scurit de l'information) ISO/CEI 27004 : Norme de mesures de management de la scurit de l'information (publie le 12 juillet 2009) ISO/CEI 27005 : Norme de gestion de risques lis la scurit de l'information (publie le 4 juin 2008, rvise le 19 mai 2011) ISO/CEI 27006 : Guide de processus de certification et d'enregistrement (publi (en) le 1er dcembre 2011) ISO/CEI 27007 : Guide directeur pour l'audit des SMSI (publi (en) le 14 novembre 2011) ISO/CEI 27008 : Lignes directrices de vrification en matire de mesures de scurit (publie (en) le 15 octobre 2011) ISO/CEI 27011 : Guide pour l'implmentation de ISO/CEI 27002 dans l'industrie des tlcommunications (publi le 15 dcembre 2008) ISO/CEI 27799 : Guide pour l'implmentation de ISO/CEI 27002 dans l'industrie de la sant (publi le 12 juin 2008), sera probablement renomm en 2701x

ISO/CEI 27001
L'ISO/CEI 27001 est une norme internationale de systme de gestion de la scurit de l'information, publie en octobre 2005 par l'ISO dont le titre est Technologies de l'information - Techniques de scurit - Systmes de gestion de scurit de l'information - Exigences.

Objectifs
La norme ISO 27001 publie en octobre 2005 succde la norme BS 7799-2 de BSI (British Standards Institution). Elle sadresse tous les types dorganismes (entreprises commerciales, ONG, administrations). La norme ISO/CEI 27001 dcrit les exigences pour la mise en place d'un Systme de Management de la Scurit de l'Information (SMSI). Le SMSI est destin choisir les mesures de scurit afin d'assurer la protection des biens sensibles d'une entreprise sur un primtre dfini. C'est le modle de qualit PDCA (Plan-Do-Check-Act) qui est recommand pour tablir un SMSI afin d'assurer une amlioration continue de la scurit du systme d'information. La norme dicte galement les exigences en matires de mesures de scurit propres chaque organisme, cest -dire que la mesure nest pas la mme dun organisme lautre. Les mesures doivent tre adquates et proportionnes lorganisme pour ne pas tre ni trop laxistes ni trop svres. La norme ISO 27001 intgre aussi le fait que la mise en place dun SMSI et doutils de mesures de scurit aient pour but de garantir la protection des actifs informationnels. Lobjectif est de protger les informations de toute perte ou intrusion. Cela apportera la confiance des parties prenantes. L'ISO/CEI 27001 dfinit l'ensemble des contrles effectuer pour s'assurer de la pertinence du SMSI, l'exploiter et le faire voluer. Plus prcisment, l'annexe A de la norme est compose des 133 mesures de scurit de la norme ISO/CEI 27002 (anciennement ISO/CEI 17799), classes dans 11 sections. Comme pour les normes ISO 9001 et ISO 14001, il est possible de se faire certifier ISO 27001. Un point a disparu par rapport la norme BS 7799-2. LISO 27001 nincorpore plus lamlioration de la comptitivit, des cash flow, de la profitabilit, le respect de la rglementation et limage de marque. En effet, la norme BS 7799-2 est issue dun organisme britannique o il nest pas incorrect dafficher ouvertement la volont de gagner de largent.

La structure de la norme
Les SMSI fonctionnent selon un modle cyclique en 4 tapes appel PDCA cest--dire Plan, Do, Check, Act.

1. Phase Plan : consiste planifier les actions que lentreprise va entreprendre en termes de scurit 2. Phase Do : lentreprise ralise ce quelle a planifi dans ce domaine 3. Phase Check : lentreprise vrifie quil nexiste pas dcart entre ce quelle a dit et ce quelle a fait 4. Phase Act : consiste entreprendre des actions correctives pour les carts qui ont t constats prcdemment
La norme 27001 comporte 9 chapitres dont 5 (les chapitres 4 8) doivent obligatoirement tre respects pour rpondre cette norme et obtenir une certification. Le chapitre 4 est au cur de la norme et est divis en plusieurs parties correspondant aux 4 phases du PDCA. Il dtermine la mise en place du SMSI, son implmentation et son exploitation, le contrle du SMSI et son amlioration. Le chapitre 5 dfinit les engagements et responsabilits de la e e direction, le chapitre 6 dveloppe les questions daudits internes du SMSI tandis que les 7 et 8 prcisent respectivement le rexamen du SMSI par la direction et son amlioration.

Phase Plan
Fixe les objectifs du SMSI La phase Plan du SMSI comprend 4 tapes :

tape 1 : Dfinir la politique et le primtre du SMSI

Primtre : domaine dapplication du SMSI. Son choix est libre mais doit tre bien dfini car il doit inclure toutes les activits pour lesquelles les parties prenantes exigent de la confiance. Politique : niveau de scurit (intgrit, confidentialit, disponibilit de linformation) qui sera pratiqu au sein de lentreprise. La norme nimpose pas de niveau minimum de scurit atteindre dans le SMSI. Le choix du primtre et de la politique tant libre, ces deux lments sont des leviers de souverainet pour lentreprise. Ainsi une entreprise peut tre certifie ISO 27001 tout en dfinissant un primtre trs rduit et une politique de scurit peu stricte et sans rpondre aux exigences de ses clients en termes de scurit.

tape 2 : Identifier et valuer les risques lis la scurit et laborer la politique de scurit
La norme ISO 27001 ne donne pas de directives sur la mthode dapprciation des risques adopter. Les entreprises peuvent donc en inventer une en veillant bien respecter le cahier des charges ou en choisir une parmi les plus courantes notamment la mthode EBIOS (Expression des Besoins et Identification des Objectifs de Scurit) mise en place en France par l'ANSSI (Agence Nationale de la Scurit des Systmes dInformation). Le cahier des charges relatif lapprciation des ris ques se dveloppe en 7 points :

1. Identifier les actifs 2. Identifier les personnes responsables 3. Identifier les vulnrabilits 4. Identifier les menaces 5. Identifier les impacts 6. valuer la vraisemblance 7. Estimer les niveaux de risque tape 3 : Traiter le risque et identifier le risque rsiduel par un plan de gestion
Il existe 4 traitements possibles de chacun des risques identifis :

1. Lacceptation : ne mettre en place aucune mesure de scurit supplmentaire car les consquences de cette attaque sont faibles (exemple : vol dun ordinateur portable ne comportant pas de donnes primordiales pour lentreprise, piratage de la vitrine web) Cette solution ne doit tre que ponctuelle pour viter la perte de confiance des parties prenantes. 2. Lvitement : politique mise en place si lincident est jug inacceptable 3. Le transfert : lorsque le risque ne peut pas tre vit et quelle ne peut pas mettre en place les mesures de scurit ncessaires elle transfre le risque par le biais de la souscription dune assurance ou de lappel la sous-traitance. 4. La rduction : le rendre un niveau acceptable par la mise en uvre de mesures techniques et organisationnelles, solution la plus utilise.
Lorsque la dcision de traitement du risque est prise lentreprise doit identifier les risques rsiduels cest--dire ceux qui persistent aprs la mise en place des mesures de scurit. S'ils sont jugs inacceptables, il faut dfinir des mesures de scurit supplmentaires.

tape 4 : Slection des mesures de scurit mettre en place

La norme ISO 27001 dispose dune annexe A qui propose 133 mesures de scurit classes en 11 catgories (politique de scurit, scurit du personnel, contrle des accs) et numrotes sur 3 niveaux. Toutefois cette annexe nest quune liste qui ne donne aucun conseil de mise en uvre au sein de lentreprise.

Phase Do
Met en place les objectifs Elle se dcoupe en plusieurs tapes :

1. tablir un plan de traitement des risques 2. Dployer les mesures de scurit 3. Gnrer des indicateurs

De performance pour savoir si les mesures de scurit sont efficaces

De conformit qui permettent de savoir si le SMSI est conforme ses spcifications 4. Former et sensibiliser le personnel

Phase Check
Consiste grer le SMSI au quotidien et dtecter les incidents en permanence pour y ragir rapidement 3 outils peuvent tre mis en place pour dtecter ces incidents :

1. Les audits internes qui vrifient la conformit et lefficacit du systme de management. Ces audits sont ponctuels et planifis. 2. Le contrle interne qui consiste sassurer en permanence que les processus fonctionnent normalement. 3. Les revues (ou rexamens) qui garantissent ladquation du SMSI avec son environnement.

Phase Act
Mettre en place des actions correctives, prventives ou damlioration pour les incidents et ca rts constats lors de la phase Check

Actions correctives : agir sur les effets pour corriger les carts puis sur les causes pour viter que les incidents ne se reproduisent Actions prventives : agir sur les causes avant que lincident ne se produise Actions damlioration : amliorer la performance dun processus du SMSI.

Processus de certification
La certification nest pas un but en soi, cest--dire que lorganisme qui dcide de mettre en place un SMSI en suivant les exigences de lISO 27001, na pas pour obligation de se faire certifier. Cependant, cest laboutissement logique de limplmentation dun SMSI puisque les parties prenantes nont confiance quen un systme certifi par un organisme indpendant. Lobtention du certificat ISO 27001 passe par trois audits : laudit initial, laudit de surveillance et laudit de renouvellement. Laudit initial porte sur lensemble du SMSI. Sa dure est dtermine dans lannexe C de la norme ISO 27006. Lauditeur ne donne pas la certification, il donne juste un avis qui sera tudi par un comit de validation technique, puis par un comit de certification. Ce nest quaprs cela quelle obtient le certificat pour une dure de trois ans. Dans le cas contraire, il y a un audit complmentaire dans le dlai maximum de trois mois. Lorganisme devra durant ce dlai corriger les problmes dcels lors de laudit initial pour obtenir l e certificat. Laudit de surveillance a lieu pendant la priode de validit du certificat (3 ans) afin de sassurer que le SMSI est toujours valable. Il y en a un par an. Laudit porte sur les non-conformits releves lors de laudit initial ainsi que sur dautres points :

Le traitement des plaintes Ltat davancement des activits planifies Lutilisation de la marque de lorganisation certificatrice La viabilit du SMSI Diffrentes clauses choisies par lauditeur.

Si lauditeur relve des non-conformits, le certificat sera suspendu voire annul. Lentreprise doit donc tre perptuellement mobilise. Laudit de renouvellement se droule lchance du certificat. Il porte sur les non -conformits du dernier audit de surveillance ainsi que sur la revue des rapports des audits de surveillance prcdents et la revue des performances du SMSI sur la priode.

Avantages

Une description pratique et dtaille de la mise en uvre des objectifs et mesures de scurit. Un audit rgulier qui permet le suivi entre les risques initialement identifis, les mesures prises et les risques nouveaux ou mis jour, afin de mesurer lefficacit des mesures prises. Scurit : 1. Processus d'amlioration continue de la scurit, donc le niveau de scurit a plutt tendance crotre. 2. Meilleure matrise des risques 3. Diminution de l'usage des mesures de scurit qui ne servent pas.

Une certification qui amliore la confiance avec les parties prenantes. Homognisation : cest un rfrentiel international. Cela facilite les changes, surtout pour les entreprises qui possdent plusieurs sites. Processus simple et peu coteux : rduction des cots grce la diminution d'usage de mesures de scurit inutiles et la mutualisation des audits (baisse du nombre et de la dure des audits quand on obtient la certification). La norme fournit des indicateurs clairs et fiables ainsi que des lments de pilotage financier aux directions gnrales. La norme permet d'identifier plus efficacement les risques et les cots associs.

Limites
Faible exprience des organismes d'accrditation par rapport aux spcificits des enjeux en scurit des systmes d'information.

Relations commerciales prpondrantes (achat de certification, de conseil, de produits, de services), ce qui conduit une dvalorisation du processus daccrditation. Dure des audits courte. Mlange des genres : les socits de conseil sont galement des organismes de certification et vice-versa. La dfinition et la mise en place d'une mthodologie sont des tches lourdes. Les normes informatiques ne rduisent pas le risque en matire de piratage et de vols d'informations confidentielles. Les intervenants effectuant du piratage ne respectent pas les rgles tablies et cherchent systmatiquement les contourner (exemple: Affaire Herv Falciani). Les normes sont inoprentes dans ce domaine.

Autour de la norme
Il existe toute une srie de normes associe l'ISO 27001, qui aide l'implmentation d'un SMSI. ISO/CEI 27001 est issue du standard britannique BS7799:2002 - Part 2.

ISO/CEI 27002
La norme ISO/CEI 27002 est une norme internationale concernant la scurit de l'information, publie en 2005 par l'ISO, dont le titre en franais est Code de bonnes pratiques pour la gestion de la scurit de l'information .

L'ISO/CEI 27002 est un ensemble de 133 mesures dites best practices (bonnes pratiques en franais), destines tre utilises par tous ceux qui sont responsables de la mise en place ou du maintien d'un Systme de Management de la Scurit de l'Information (SMSI). La scurit de l'information est dfinie au sein de la norme comme la prservation de la confidentialit, de l'intgrit et de la disponibilit de l'information . Cette norme n'a pas de caractre obligatoire pour les entreprises. Son respect peut toutefois tre mentionn dans un contrat : un prestataire de services pourrait ainsi s'engager respecter les pratiques normalises dans ses relations avec un client.

Historique

En 1995, le standard britannique "BS 7799" qui fut cr par le "British Standard Institue" (BSI) dfinit des mesures de scurit dtailles. En 1998, le BSI scinde le premier document en deux tomes : le BS 7799-1 correspondant aux codes des bonnes pratiques, et le BS 7799-2 correspondant aux spcifications d'un systme de gestion de la scurit de l'information (SMSI). En 2000, l'Organisation internationale de normalisation (ISO) dite la norme ISO/CEI 17799:2000 correspondant aux codes des bonnes pratiques issues de la BS 7799. En 2005, deux normes sont dites :

ISO/CEI 17799:2005 qui remanie les domaines et objectifs ISO/CEI 27001:2005 qui introduit la notion de SMSI et offre la possibilit de certification.

En 2007, la norme ISO/CEI 17799:2005 tant obsolte, a t remplace par la norme 27002 qui en reprend l'essentiel.

Objectifs
ISO/IEC 27002 est plus un code de pratique, quune vritable norme ou quune spcification formelle telle que lISO/IEC 27001. Elle prsente une srie de contrles (39 objectifs de contrle) qui suggrent de tenir compte des risques de scurit des informations relatives la confidentialit, l'intgrit et les aspects de disponibilit. Les entreprises qui adoptent l'ISO/CEI 27002 doivent valuer leurs propres risques de scurit de l'information et appliquer les contrles appropris, en utilisant la norme pour orienter lentreprise. La norme ISO 27002 n'est pas une norme au sens habituel du terme. En effet, ce nest pas une norme de nature technique, technologique ou oriente produit, ou une mthodologie d'valuation d'quipement telle que les critres communs CC/ISO 15408. Elle na pas de caractre d'obligation, elle namne pas de certification, ce domaine tant couvert par la norme ISO/IEC 27001.

Mise en uvre
La norme ne fixe pas de niveaux ou dobjectifs de scurit et rappelle dans les chapitres d'int roduction, la ncessit de faire des analyses de risques priodiques mais ne prcise aucune obligation quant la mthode dvaluation du risque, il suffit donc de choisir celle qui rpond aux besoins. Cest partir des rsultats de lanalyse de risque que lorganisation pioche dans les diffrentes rubriques de la norme celles quelle doit mettre en uvre pour rpondre ses besoins de scurit. En 2002, plus de 80 000 entreprises se conformaient cette norme travers le monde.

Contenu de la norme
La norme ISO/CEI 27002 est compos de 15 chapitres dont 4 premiers introduisent la norme et les 11 chapitres suivants couvrent le management de la scurit aussi bien dans ses aspects stratgiques que dans ses aspects oprationnels.

Chapitre n 1 : Champ d'application

La norme donne des recommandations pour la gestion de la scurit des informations pour ceux qui sont chargs de concevoir, mettre en uvre ou maintenir la scurit.

Chapitre n 2 : Termes et dfinitions

Scurit de l'information est explicitement dfinie comme la prservation de la confidentialit, l'intgrit et la disponibilit de l'information. Ceux-ci et d'autres termes connexes sont dfinies plus loin.

Chapitre n 3 : Structure de la prsente norme

Cette page explique que la norme contient des objectifs de contrle.

Chapitre n 4 : valuation des risques et de traitement

ISO / CEI 27002 couvre le sujet de la gestion des risques. Elle donne des directives gnrales sur la slection et l'utilisation de mthodes appropries pour analyser les risques pour la scurit des informations ; elle ne prescrit pas une mthode spcifique, puisque celle-ci doit tre approprie selon le contexte.

Chapitre n 5 : Politique de scurit de l'information

Article dtaill : Politique de scurit.

Il mentionne la ncessit pour lorganisme de disposer dune politique de scurit de linformation et de la rexaminer rgulirement.

Chapitre n 6 : Organisation de la scurit de l'information

Article dtaill : Scurit de l'information.

Il dcrit les mesures ncessaires pour ltablissement dun cadre de gestion de la scurit en interne et traite de tous les aspects contractuels lis la scurisation de laccs par des tiers (clients, sous -traitants, ) au systme dinformation.

Chapitre n 7 : Gestion des actifs

Il montre limportance dinventorier et de classifier les actifs de lorganisme afin de maintenir un niveau de protection adapt. Ces actifs peuvent tre :

des biens physiques (serveurs, rseau, imprimantes, baies de stockage, poste de travail, des matriels non IT), des informations (base de donnes, fichiers, archives) des logiciels (application ou systme) des services de la documentation (politiques, procdures, plans)

Chapitre n 8 : Scurit lie aux ressources humaines

Il donne les recommandations destines rduire le risque derreur ou de fraude en favorisant la formation et la sensibilisation des utilisateurs sur les risques et les menaces pesant sur les informations.

Chapitre n 9 : Scurits physiques et environnementales

Il dcrit les mesures pour protger les locaux de lorganisme contre les accs non autoriss et les menaces extrieures et environnementales ainsi que protger les matriels (emplacement, maintenance, alimentation lectrique ).

Chapitre n 10 : Exploitation et gestion des communications

Il dcrit les mesures permettant :

dassurer une exploitation correcte et scurise des moyens de traitement de linformation ; de grer les prestations de service assures par des tiers ; de rduire les risques de panne ; de protger lintgrit des informations et des logiciels ; de maintenir lintgrit, la confidentialit et la disponibilit des informations et des moyens de traitement de linformation ; dassurer la protection des informations sur les rseaux et la protection de linfrastructure sur laquelle ils sappuient ; de maintenir la scurit des informations et des logiciels changs au sein de lorganisme et avec une entit extrieure ; et enfin de dtecter les traitements non autoriss de linformation.

Chapitre n 11 : Contrle d'accs

Article dtaill : Contrle d'accs.

Il dcrit les mesures pour grer et contrler les accs logiques aux informations, pour assurer la protection des systmes en rseau, et pour dtecter les activits non autorises. Ce thme couvre aussi la scurit de linformation lors de lutilisation dappareils informatiques mobiles et dquipements de tltravail.

Chapitre n 12 : Acquisition, dveloppement et maintenance des systmes d'informations

Il propose les mesures pour veiller ce que la scurit fasse partie intgrante des systmes dinformation. Ce thme traite aussi des mesures visant prvenir la perte, la modification ou la mauvaise utilisation des informations dans les systmes d'exploitation et les logiciels d'application et enfin protger la confidentialit, lauthenticit ou lintgrit de linformation par des moyens cryptographiques.

Chapitre n 13 : Gestion des incidents

Il souligne la ncessit de mettre en place des procdures pour la dtection et le traitement des incidents de scurit.

Chapitre n 14 : Gestion de la continuit d'activit

Article dtaill : continuit d'activit.

Il dcrit des mesures pour la gestion dun plan de continuit de lactivit visant rduire le plus possible limpact sur lorganisme et rcuprer les actifs informationnels perdus notamment la suite de catastrophes naturelles, daccidents, de pannes de matriel et dactes dlibrs.

Chapitre n 15 : Conformit
Il traite :

du respect des lois et des rglementations ; de la conformit des procdures en place au regard de la politique de scurit et enfin de l'efficacit des dispositifs de traabilit et de suivi des procdures, notamment les journaux d'activits, les audits et les enregistrements de transactions.

Cette norme est de plus en plus utilise par les entreprises du secteur priv comme un rfrentiel d'audit et de contrle, en complment de la politique de scurit de l'information de l'entreprise. Le fait de respecter cette norme permet de viser, moyen terme, la mise en place d'un Systme de Management de la Scurit de l'Information, et long terme, une ventuelle certification ISO/CEI 27001.

Les avantages

Organisation : image positive auprs des actionnaires lorsque l'entreprise tend matriser ses risques pour maximiser ses profits Conformit : la norme insiste sur la ncessit d'identifier toutes les lois et rglementations s'appliquant l'entreprise et la mise en uvre de processus adapts pour identifier et suivre les obligations permet de prouver au moins la volont de conformit, ce qui tend diminuer les amendes en cas de non-conformit Gestion des risques : la norme insiste dans ses chapitres dintroduction sur la ncessit de raliser une analyse de risques priodiquement et dfinit dans les domaines politique de scurit et organisation de la scurit les pratiques mettre en uvre pour grer les risques mis en lumire par lanalyse de risque. Ceci permet une meilleure connaissance des risques et donc une meilleure allocation des ressources permettant damliorer la fiabi lit du systme. Finances : associant une meilleure matrise des risques, une meilleure gestion des incidents et une meilleure allocation des ressources, la mise en place dun SMSSI sappuyant sur les normes ISO 27001 et 27002 permet une meilleure matrise des cots de la scurit des systmes dinformation. Crdibilit et confiance : la mise en place d'une politique de scurit et des moyens associs donne une image rassurante pour les partenaires et les clients, notamment sur la protection des donnes personnelles (sujet trs mdiatique, avec le syndrome du big brother ). Ressources humaines : s'appuyer sur une norme permet de mieux faire passer les messages de sensibilisation, notamment auprs des populations techniques.

ISO/CEI 27005
L'ISO (Organisation internationale de normalisation) a publi, le 4 juin 2008, la premire norme de gestion des risques de la Scurit des Systmes d'Information : l'ISO/CEI 27005:2008. Cette norme est un standard international qui dcrit le Systme de Management des risques lis la Scurit de l'information.

Objectifs
La norme ISO 27005 explique en dtail comment conduire l'apprciation des risques et le traitement des risques, dans le cadre de la scurit de l'information. La norme ISO 27005 propose une mthodologie de gestion des risques en matire d'information dans l'entreprise conforme la norme ISO/CEI 27001. La nouvelle norme a donc pour but daider mettre en uvre lISO/CEI 27001, la norme relative aux systmes de management de la scurit de linformation (SMSI), qui est fonde sur une approche de gestion du risque. Nanmoins, la norme ISO 27005 peut tre utilise de manire autonome dans diffrentes situations. La norme ISO 27005 applique la gestion de risques le cycle d'amlioration continue PDCA (Plan, Do, Check, Act) utilis dans toutes les normes de systmes de management.

PLAN : Identification des risques, valuation des risques et dfinition des actions de rduction des risques DO : Excution de ces actions CHECK : Contrle du rsultat ACT : Modification du traitement des risques selon les rsultats

Contenu de la norme
La norme ISO 27005 dtaille le processus de gestion de risque dans les chapitres 6 12. Elle est complte de 6 annexes de rfrence A F, ncessaires la mise en uvre de la mthode.

Chapitre 6 : le processus de gestion de risque est expliqu dans son ensemble Chapitre 7 : tablir le contexte de lanalyse des risques Chapitre 8 : dfinition de lapprciation des risques Chapitre 9 : quatre choix du traitement du risque sont proposs Chapitre 10 : acceptation du risque Chapitre 11 : communication du risque Chapitre 12 : surveillance et rexamen des risques

Dmarche propose par lISO/CEI 27005

tablissement du contexte
Il faut tout dabord dfinir des critres :

Dvaluation : seuil de traitement des risques Dimpact : seuil de prise en compte des risques Dacceptation : seuil dacceptation des risques

Il nexiste pas dchelles normalises pour ces critres. Lentreprise doit dterminer une chelle pertinente en fonction de la situation. Il faut galement dfinir les champs, les limites et lenvironnement du processus de gestion du risque.

Apprciation des risques

La premire tape consiste dfinir le contexte de la certification et les lments qui le composent tels que lorganisme, le systme dinformation, les lments essentiels protger les entits qui en dpendent et les diffrentes contraintes qui peuvent se prsenter. Ensuite, il est ncessaire dexprimer les besoins de scurit des lments essentiels et, identifier, caractriser en termes dopportunits les menaces pesant sur le systme

dinformation. Enfin, les risques sont dtermins en confrontant les menaces aux besoins de scurit. Ces risques seront analyss et valus afin de donner des priorits et les ordonnancer par rapport leurs critres d'valuation.

Traitement du risque
Il sagit du processus de slection et de mise en uvre des mesures. Cela passera tout dabord par lidentification des objectifs de scurit : dtermination des modes de traitement et prise en compte des lments du contexte. Les objectifs ainsi identifis constitueront le cahier des charges du processus de traitement des risques. Ensuite, des exigences de scurit seront dtermines afin de satisfaire les objectifs de scurits et dcrire comment traiter les risques. Pour dfinir les options de traitement, il faut mettre en adquation le risque et le cot de traitement. Il existe quatre options du traitement du risque :

Le refus o lvitement : le risque considr est trop lev, lactivit amenant le risque doit tre supprime. Le transfert : le risque sera transfr une autre entit (un assureur, un sous-traitant) capable de le grer. La rduction : le risque doit tre diminu. Il sagit de rduire limpact du risque de manire ce que le risque soit acceptable. Conservation du risque : le risque est maintenu tel quel.

Acceptation du risque
Il sagit dune homologation de scurit effectue par une autorit dhomologation dsigne pour une dure dtermine. Cette homologation passe par lexamen dun dossier de scurit dont le contenu doit tre dfini : objectifs de scurit, d'une cible de scurit, politique de scurit La direction gnrale doit accepter les risques rsiduels, donc accepter le plan de traitement du risque dans son ensemble.

Communication du risque
Il sagit dun change et un partage rgulier dinformations sur les risques entre le gestionnaire d es risques, les dcisionnaires et les parties prenantes concernant la gestion du risque. Cette communication du risque permet de :

Rduire les incomprhensions avec les dcisionnaires Obtenir de nouvelles connaissances en scurit Impliquer la responsabilit des dcisionnaires

Surveillance et rexamen du risque

Il faut s'assurer que le processus reste pertinent et adapt aux objectifs de scurit des mtiers de l'organisme. Il faut galement identifier les changements ncessitant une rvaluation du risque ainsi que les nouvelles menaces et vulnrabilits.

Avantages

Souplesse et pragmatisme : la norme ISO 27005 pour tre utilise en toutes circonstances et notamment dans des entreprises y compris celles soumises de frquents changements. La norme ISO 27005 est utilisable de manire autonome.

Limites

L'ISO 27005 ne donne aucune mthodologie spcifique pour la gestion du risque en scurit de l'information. Il appartient l'organisation de dfinir son approche, selon par exemple le domaine d'application du SMSI, en fonction du contexte de gestion du risque ou du secteur industriel. La norme ISO 27005 est rcente et manque dexpriences pratiques en France. La norme ISO 27005 est un savant mlange de l'ISO 27001 et l'ISO 31000. qui matrise ou souhaite matriser ces deux normes voire les mthodes de matrise de risque (EBIOS, MEHARI, etc.), la valeur ajoute de l'ISO 27005 reste faible

ISO/CEI 27006
ISO/CEI 27006 est un standard de scurit de l'information publi conjointement par l'Organisation internationale de normalisation (ISO) et la Commission lectrotechnique internationale (CEI, ou IEC en anglais), faisant partie de la suite ISO/CEI 27000. Son titre anglais est IT Security techniques: Requirements for bodies providing audit and certification of Information Security Management Systems (ISMS). Son objet est de fournir les pr-requis pour les organismes d'audit et de certification la norme ISO 27001 pour les Systmes de Management de la Scurit de l'Information. Cette norme a t remise jour en 2011 et porte la rfrence ISO/IEC 27006:2011.