Pages de ISO27001-FR-FORMITYS- 23072023

[Audio] Cette phase d'établissement du SMSI comprend 4 étapes : déterminer le périmètre et la politique du SMSI. Il est important de noter que le choix du périmètre et de la politique est libre et peut être ajusté afin de répondre aux exigences des clients en matière de sécurité. Il est également important de définir correctement et de manière appropriée le niveau de sécurité à atteindre en relation avec les risques évalués..

[Audio] La deuxième étape de la phase d'établissement en vertu de la norme ISO 27001 consiste à identifier et évaluer les risques liés à la sécurité et à élaborer la politique de sécurité. La norme ne prescrit pas de méthode d'évaluation des risques, mais une méthode commune et populaire est l'EBIOS, mise en place par l'ANSSI. L'évaluation des risques comprend sept étapes telles que l'identification des actifs, des personnes responsables, des vulnérabilités, des menaces, leurs impacts sur les actifs à protéger, l'évaluation de la probabilité du risque et la détermination des niveaux de risque. La deuxième étape de la phase d'établissement selon la norme ISO 27001 consiste à identifier et évaluer les risques liés à la sécurité et à élaborer la politique de sécurité. La norme ne fournit pas de méthode spécifique d'évaluation des risques, mais une méthode commune et populaire utilisée est l'EBIOS, mise en place par l'ANSSI. La méthode d'évaluation des risques comprend sept étapes, notamment l'identification des actifs, des personnes responsables, des vulnérabilités, des menaces, leurs impacts sur les actifs à protéger, l'évaluation de la probabilité du risque et la détermination des niveaux de risque..

[Audio] Il faut commencer par définir les objectifs de sécurité pour le Système de Management de la Sécurité de l'Information (SMSI) lors de la planification de la Phase d'établissement de l'ISO 27001. Pour cela, il convient de définir des critères d'évaluation, d'impact et d'acceptation des risques ainsi que l'ensemble des éléments qui composent le contexte du système d'information. Une fois cette étape réalisée, il est nécessaire d'identifier et de caractériser les menaces et les besoins de sécurité liés aux éléments essentiels pour pouvoir déterminer les risques. Ensuite, les risques doivent être analysés et évalués pour déterminer les priorités à prendre en compte..

[Audio] L'établissement de l'ISO 27001 est essentiel pour déterminer les objectifs du Système de Management de la Sécurité de l'Information (SMSI), sans imposer de politique ni de périmètre. Le traitement des risques proposé par la norme se décline en quatre étapes : refus ou évitement, transfert, réduction ou conservation. Ces possibilités doivent répondre aux objectifs de sécurité fixés et sont sélectionnées en fonction du niveau de risque et des frais engendrés pour le traiter..

[Audio] Salutations Mesdames et Messieurs, La phase d’établissement suivant ISO 27001 est cruciale car elle consiste à déterminer les objectifs du Système de Management de la Sécurité de l'Information (SMSI). Elle garantit aussi que les actions et décisions de la direction générale sont uniformes. Pour atteindre cet objectif, il faut accepter le risque et le communiquer à tous les intervenants concernés. Ce processus inclut aussi l’homologation de sécurité réalisée par une autorité désignée pour une période définie et l’examen d’un dossier de sécurité à contenu défini : objectifs de sécurité, cible de sécurité, politique de sécurité. La direction générale doit accepter les risques résiduels et l’ensemble du plan de gestion des risques..

[Audio] Afin de bien comprendre l'objectif de la phase d'établissement du cadre ISO 27001, il est important d'étudier les principes de gestion des risques définis par l'ISO 31000. Cette étape permet d'identifier les risques présents dans le périmètre du SMSI et de les évaluer. Pour cela, des outils comme la matrice des responsabilités de la gestion des risques, le provision pour risque et le registre des risques peuvent être utilisés. Des méthodes telles que l'analyse par phase, l'analyse par check list, le DELPHI, le brainstorming et l'analyse 7D peuvent aussi être utiles. Ces outils aideront l'organisation à prendre les décisions adéquates afin de protéger efficacement ses informations..

[Audio] Nous en sommes à l'étape N°4 de l'ISO 27001. Il s'agit d'utiliser des outils d'analyse qualitative et quantitative et d'évaluer les risques associés. Ensuite, aux étapes N°5 et N°6, nous nous attaquons aux risques et définissons des plans d'actions de prévention et de protection. Nous sommes maintenant préparés à déterminer les objectifs du SMSI, tout en étant libres de choisir la politique et le périmètre..

[Audio] La phase d'établissement selon la norme ISO 27001 consiste à définir les objectifs du Système de Management de la Sécurité de l'Information (SMSI) en fonction des objectifs stratégiques de l'organisme et de l'environnement dans lequel il opère. Une des principales étapes de cette phase est la gestion des risques. Nous pouvons identifier et aborder nos risques à travers quatre options possibles : l'évitement, la réduction, le transfert et le partage. L'évitement est la solution la plus intéressante car elle consiste à éliminer le risque avant qu'il ne se produise. La réduction est la solution la plus utilisée pour ramener le niveau de risque à un niveau acceptable. Pour le risque résiduel, qui ne peut pas être évité ou réduit, il est possible de le transférer en sous-traitant des services de sécurité ou par une forme d'assurance..

[Audio] Lors de la phase d'établissement de l'ISO 27001, il est possible de définir les objectifs du Système de Management de la Sécurité des Informations, ainsi que de choisir la politique et le périmètre du SMSI. Une fois que la décision de gestion des risques est prise, il est nécessaire de détecter les risques résiduels et vérifier qu'ils sont acceptables. Dans le cas où ils ne le sont pas, des mesures supplémentaires doivent être mises en place. Le système ISO 27001 est alors homologué en tenant compte de ces risques résiduels..

[Audio] Pour respecter l'ISO 27001, la Planification de la Phase d'Etablissement se focalise sur la détermination des objectifs et des politiques du Système de Management de la Sécurité de l'Information (SMSI). Cette étape se concentre également sur l'identification et l'évaluation des menaces et des vulnérabilités, et leur exploitation ou réduction à travers la mise en œuvre des contrôles appropriés. Lors de cette étape, les risques liés à la sécurité de l'information sont identifiés et des stratégies sont développées pour les gérer de façon adéquate. Également, des procédures et des contrôles sont établis pour garantir le respect des normes et des législations en vigueur. L'observation et la vérification des résultats obtenus sont également nécessaires..

[Audio] Pendant la Phase d'établissement, nous devons identifier les risques affectant le Système de Management de la Sécurité de l'Information (SMSI) et la sécurité de l'information. Cela est nécessaire pour assurer la protection et l'intégrité de l'information par le biais de mesures appropriées. Nous devons concevoir une méthodologie de gestion des risques qui nous permettra de déterminer les risques associés à l'information et de développer des moyens pour les traiter. Nous devons également définir une portée pour le SMSI et sélectionner une politique qui définit les objectifs, les responsabilités et les procédures à suivre..

[Audio] Pour cette étape, nous devons tout d'abord évaluer les risques et leurs effets sur le système de management de la sécurité de l'information (SMSI). Pour ce faire, nous utiliserons la matrice de criticité-probabilité-impact, afin de déterminer le niveau de risque de chaque élément. Cette matrice nous donnera une image claire des risques que nous devons tenter de minimiser. Étape par étape, cette matrice nous permettra d'établir des objectifs de sécurité de l'information à atteindre. Ensuite, nous sélectionnerons les mesures pour réduire les risques identifiés et parvenir à ces objectifs..

[Audio] Pour la sixième étape du Plan, il est important de définir des plans d'action de protection pour réduire la gravité des risques identifiés. Il est nécessaire de prendre des mesures pour limiter les conséquences potentielles des risques à un niveau acceptable. Ces actions s'appliquent afin de réduire ou éliminer les menaces et les vulnérabilités identifiées durant l'analyse des risques. En agissant ainsi, le Plan pourra être mis en œuvre de manière efficace et rentable..

[Audio] À la sixième étape, nous devons élaborer des plans d'action et/ou de prévention. Ces plans précisent les mesures à prendre pour éviter les dangers repérés lors des étapes précédentes. Par ailleurs, nous devons décider des six mesures préventives qui sont nécessaires pour garantir la sécurité de votre SMSI. La sixième étape nous permet de vérifier que nous avons mis en place toutes les mesures nécessaires pour prévenir et gérer adéquatement les risques identifiés..

[Audio] Pour définir le SMSI, il est nécessaire de déterminer ses objectifs. ISO 27001 laisse la liberté de définir les politiques, le périmètre et les objectifs à atteindre. Il faut également vérifier et évaluer les contrôles qui sont déjà mis en place et déterminer les mesures à prendre pour garantir que les objectifs du SMSI sont atteints. Lors de la phase d'établissement, il est nécessaire d'identifier et d'évaluer les 6 actions de protection qui assurent la sécurité des informations..

[Audio] La phase de Planification d'ISO 27001 est indispensable pour l'élaboration d'un Système de Management de la Sécurité de l'Information (SMSI). Elle fournit un cadre qui peut être ajusté selon les besoins spécifiques. Cette étape permet de déterminer les buts du SMSI sur la base des risques détectés. Elle aide à trouver l'équilibre adéquat entre la possibilité de choisir la politique et le périmètre de sûreté ainsi que le niveau de sûreté demandé par l'organisation. La norme ISO 27001 donne 114 mesures de sûreté réparties selon 14 catégories. La liste fournie par la norme ne doit être considérée que comme un guide : pour appliquer correctement les mesures de sûreté choisies, il est important de se référer à la norme ISO 27002..

[Audio] Phase d'établissement de l'ISO 27001 est une étape cruciale du Système de management de la sécurité de l'information (SMSI). Elle permet déterminer les objectifs du SMSI et de sélectionner librement la politique et le champ d'application du SMSI. Cette étape comprend également le plan de traitement des risques, l'implémentation des mesures de sécurité, la création des indicateurs de performance et de conformité, ainsi que la formation et la sensibilisation du personnel..

[Audio] Dans cette diapositive, nous allons examiner comment la phase de planification d'un système de gestion de la sécurité de l'information (SMSI) permet de définir ses objectifs, ainsi que le choix de sa politique et son périmètre. Cette phase nécessite de prendre en compte différents facteurs comme les systèmes de gestion en place, les services, les processus et leur interdépendance avec le système de gestion, les éléments qui peuvent être fusionnés et ceux qui doivent rester séparés, ainsi que leurs répercussions sur le client, le fournisseur et autres parties, la technologie utilisée, les services et la sécurité de l'information et la formation. La phase de planification doit également définir les étapes de transition et la séquence des activités de mise en œuvre..

[Audio] Dans cette étape, nous examinerons l'ISO 27001, un standard international qui fournit un cadre pour l'établissement, la mise en œuvre, le contrôle et la gestion continue du Système de Management de la Sécurité de l'Information (SMSI). La phase d'établissement permet de définir les objectifs des SMSI tout en offrant la liberté de définir la politique et le périmètre du SMSI. Pour ce module, nous examinerons les concepts clés de l'ISO 27001 et comment ils peuvent être utilisés pour aider les organisations à satisfaire leurs obligations en matière de sécurité de l'information. Nous apprendrons également comment les principes de l'ISO 27001 peuvent être appliqués à votre organisation afin d'améliorer la sécurité de l'information..

[Audio] La phase de planification de l'ISO27001 permet à la Direction de déterminer les objectifs et les exigences du système de management des services (SMSI). Ces processus comprennent la gestion des relations, les processus de résolution et les processus de fourniture de services. Cette étape d'établissement permet également à la Direction de définir la politique et le périmètre du SMSI ainsi que de décider des modalités de mise en œuvre..

[Audio] La phase de maintien de la norme ISO 27001 implique la mise en place et la gestion du système de management de la sécurité de l'information (SMSI). Pour ce faire, trois outils sont indispensables : le contrôle interne, les audits internes et les revues, qui assurent la conformité avec l'environnement et l'efficacité du système. Ces outils permettent d'administrer les événements et les incidents de sécurité et de réagir rapidement si nécessaire..

[Audio] Phase d'amélioration de l'ISO 27001 permettant de mettre en place des mesures correctives, préventives et d'amélioration pour les écarts constatés lors de la phase Check. Les mesures correctives sont destinées à corriger les écarts et à empêcher leur récurrence, les mesures préventives visent à agir sur les causes avant qu'un incident ne survienne et les mesures d'amélioration peuvent améliorer le rendement de la politique et du périmètre du système de management de la sécurité de l'information. Cette phase est essentielle pour définir les objectifs et assurer la liberté de choisir la politique et le périmètre du SMSI..

[Audio] Mesdames et Messieurs, nous sommes à la vingt-troisième et dernière diapositive de cette présentation. Notre diapo concerne la revue et le suivi des risques selon la norme ISO 27001. Une bonne pratique pour le SMSI consiste à passer les risques en revue et à mettre les stratégies de sécurité à jour. Cependant, l'objectif principal de cette étape est de déterminer les objectifs du SMSI et de rester libre de choisir la politique et le périmètre du SMSI. Je vous remercie de m'avoir écoutée et je vous remercie de votre attention. Au revoir..