[Virtual Presenter] La norme ISO 27001 est une norme internationale sur la gestion de la sécurité de l'information. Elle fournit des directives claires et reconnues sur la manière de gérer et de protéger les informations confidentielles et sensibles. Elle définit des exigences pour instaurer, mettre en œuvre, maintenir et améliorer un système de gestion de la sécurité de l'information. Sa structure est basée sur une structure commune qui permet à tout type d'organisations de s'assurer que les exigences de sécurité de l'information sont correctement prises en compte et que le système de gestion est intégré dans la structure globale de la gestion de l'organisation. La norme ISO 27001 est donc un outil essentiel pour le traitement de la sécurité de l'information.. 

Scene 1

Il est important que le système de gestion de la sécurité de l’information fasse partie
des processus et de la structure de gestion globale de l’organisation et y soit intégré et
que la sécurité de l’information soit prise en compte dans la conception des processus,
des Systèmes d’information et des contrôles. On s’attend à ce que la mise en œuvre
d’un système de gestion de la sécurité de l’information soit mise à l’échelle en
fonction des besoins de l’organisation.

Ce document peut être utilisé par des parties internes et externes pour évaluer la
capacité de l’organisation à répondre aux exigences de sécurité de l’information de
l’organisation.

Dans sa version 2013, la norme est conforme à la nouvelle structure commune des
normes de management de l'ISO. Elle ne fait plus explicitement allusion au PDCA
ou roue de Deming mais utilise à la place la formulation « établir, implémenter,
maintenir, améliorer »

ISO27001––FORMITYS – 28/07/2023
47. Module 4: ISO 27001 - PDCA. 

Scene 2

Amélioration continue : W. Edwards DEMING a développé
une approche progressive de I'amélioration :
v' Planifier-organiser (Plan)
v' Faire-mettre en æuvre (Do)
Réf. syllabus : ITILFND03-42
Roue de Deming
Vérifier-mesurer (Check)
Agir-analyser (Act)
2
Roue de DEMING
Plan
Act
Itération des activités d'amélioration
du processus
34
Alignement
Métier/1T
Do
Check
Temps

[Audio] La norme ISO 27001 offre une structure commune à tous les systèmes de management de la sécurité de l'information. Il fournit un cadre cohérent pour la gestion des informations et des données sensibles. La norme définit des exigences claires pour l'évaluation et la mise en oeuvre d'un système de gestion de la sécurité de l'information. Elle aide à assurer que les processus et les procédures sont suffisamment robustes pour gérer les risques associés à l'utilisation des données. La norme ISO 27001 peut être utilisée aussi bien par une organisation interne que par des parties externes pour évaluer la capacité de l'organisation à répondre aux exigences de sécurité de l'information de l'organisation. Elle repose sur la nouvelle structure commune des normes de management de l'ISO pour établir, implémenter, maintenir et améliorer les systèmes de gestion de la sécurité de l'information.. 

Scene 3

Comment garder
l'impulsion ?
Quelle est la vision ?
0b en sommes-
nous actuellement ?
0b désirons-nous
parvenir ?
Comment y
parvenir ?
Passer å l'action
Y sommes-nous
arrivés ?
Vision, mission,
objectifs de
l'or anisation
Réaliser les
évaluations de
référence
Définir des cibles
mesurables
Définir le Planifier
d'action
Effectuer les
actions
d'amélioration
valuer les résultats
de l'action via
métri ues et KPI
Figure 4.3 : Le modéle d'amélioration continue

ISO27001––FORMITYS – 28/07/2023
49. Processus (Quelques rappels). 

Scene 4

LA GESTION
DES SERVICES IT
Contröle du processus
Propriétaire
mesures
Indicateurs
Processus
Activités
Entrées
Sorties
Objectifs
Activités
Sorties
Formityscgn
www.
Réf. syllabus : ITILFND01-9 ; ITILFNDOI-IO
Le Processus : un processus est un ensemble
structuré d'activités concues pour atteindre
un objectif spécifique. Un processus
prend une ou plusieurs entrées définies
et les transforme en résultats définis.
Les processus définissent des actions,
des dépendances et de la séquence. Des
processus bien définis peuvent améliorer
la productivité au sein des organisations et
des fonctions.
L'activité
. c'est un ensemble d'actions
permettant d'obtenir un résultat spécifique.
Les activités sont utilisées par les processus
et les fonctions. Le responsable d'une
activité est unique.
Ressources
Facilitateurs
Tåche : Ensemble d'actions
opérationnelles pour réaliser l'activité
Röles
Procédure (Work Instruction) :
Mode opératoire d'une tache
cze

[Audio] La norme ISO 27001 est une norme internationale qui fournit une structure commune pour la gestion de la sécurité de l'information. Il garantit que l'organisation se conforme aux exigences légales et réglementaires en matière de sécurité de l'information. Ce standard est applicable à toutes les organisations, qu'elles soient à but lucratif ou à but non lucratif, et qu’elles fonctionnent à l'intérieur ou à l'extérieur d'un État. En mettant en œuvre cette norme, l'organisation peut veiller à ce que ses processus et mesures de sécurité de l'information répondent aux exigences en matière de protection des informations. Cela garantit à l’organisation que sa capacité à sécuriser les informations est conforme aux normes de management de l'ISO et fournit aux parties externes des preuves de sa conformité aux exigences en matière de sécurité de l'information.. 

Scene 5

Le propriétaire de processus 
s’assure que le processus est:

•
Fournit l’aide nécessaire au 
gestionnaire

Propriétaire et gestionnaire de processus

•
Surveille l’exécution du processus

•
Propose les opportunités 
d’amélioration au propriétaire

[Audio] La norme ISO 27001 est un moyen efficace et fiable pour évaluer la capacité d'une organisation à s'assurer que ses informations sont protégées. Elle offre une structure commune des normes de gestion de l'ISO qui permet aux organisations de mettre en place, d'implémenter, de maintenir et d'améliorer leurs systèmes de sécurité de l'information, afin de répondre à des exigences, à des besoins et à des problèmes spécifiques. La norme ISO 27001 permet de mieux identifier les menaces et de mieux gérer les risques de sécurité de l'information.. 

Scene 6

Management de la sécurité de l’information

Menaces
Assurer que
l'infomation est
accessible uniquement
par les personnes
autorisées y accder
Vulnérabilités
•O
Sécurité
Integrtté Confideauahte
Sécurité
Assurer que
I 'information est
accessible uniquement
par les utilisateurs
autorises å y acceder
Risques
Assurer que les
udlisateurs autorisés
ont acces aux
informations associes
au moment demandé

ISO27001––FORMITYS – 28/07/2023. Management de Ia securit Reporting Conformitée aux SLA de I'intormation Besoins des métiers Maintenance et améliorations : Apprentissage, plan d'améliorations et implémentation Processus Évaluations et révisions : Audits internes et externes, auto-contröles, incidents de sécurité Itératif de contröle Étre organisé, tableaux de suivi responsabiliser Implémenter : Négociation des SLA Client/foumisseur Planifier et organiser : les SLA, les contrats, les OLA, la politique de sécurité Sensibiliser, classifier et enregistrer Ies éléments, sécurité du personnel et des biens, management de la sécurité informatique, contröles des droits d'accés, gestion des incidents de sécurité. 

Scene 7

Management de Ia securit
Reporting
Conformitée aux SLA
de I'intormation
Besoins des métiers
Maintenance et améliorations :
Apprentissage, plan d'améliorations
et implémentation
Processus
Évaluations et révisions :
Audits internes et externes, auto-contröles,
incidents de sécurité
Itératif de contröle
Étre organisé,
tableaux de suivi
responsabiliser
Implémenter :
Négociation des SLA
Client/foumisseur
Planifier et organiser :
les SLA, les contrats,
les OLA, la politique de sécurité
Sensibiliser, classifier et enregistrer Ies
éléments, sécurité du personnel et des biens,
management de la sécurité informatique,
contröles des droits d'accés, gestion des
incidents de sécurité

[Audio] La norme ISO 27001 est un outil essentiel pour les entreprises, qui leur permet de mettre en œuvre un système de gestion de la sécurité de l'information (SMSI). Il définit une structure pour l'établissement, la mise en œuvre, l'examen, l'amélioration et le maintien d'un SMSI, et fournit aux organisations des méthodes normalisées pour répondre aux exigences de sécurité de l'information. La norme ISO 27001 établit également la politique de sécurité et le périmètre du système ainsi que le processus de mise en œuvre et de maintien du SMSI. Elle est donc une ressource précieuse pour la gestion et le maintien de la sécurité de l'information dans les organisaitions.. 

Scene 8

q Phase d'établissement (to Plan)
On y détermine les objectifs du SMSI. Cette phase d'établissement du SMSI comprend 4 
étapes :

•
Étape 1 : Définir la politique et le périmètre du SMSI

Périmètre : domaine d’application du SMSI. Son choix est libre, mais il est essentiel, car il 
figure ensuite le périmètre de certification. Il doit comprendre tous les actifs métiers (actifs 
primordiaux au sens de la norme ISO/CEI 27005) et les actifs support à ces activités qui sont 
impliquées dans le SMSI.

Politique : niveau de sécurité (intégrité, confidentialité, disponibilité de l’information) qui 
sera pratiqué au sein de l’entreprise. La norme n’impose pas de niveau minimum de sécurité 
à atteindre dans le SMSI. Son niveau devant être proportionné aux risques évalués.

Le choix du périmètre et de la politique étant libre, ces deux éléments sont des « leviers de 
souveraineté » pour l’entreprise. Ainsi, une entreprise peut être certifiée ISO 27001 tout en 
définissant un périmètre très réduit et une politique de sécurité peu stricte et sans répondre 
aux exigences de ses clients en matière de sécurité.

[Audio] ISO 27001 est une norme de référence de la famille des normes ISO pour la gestion de la sécurité de l'information. Elle fournit des exigences en matière d'identification et d'évaluation des risques liés à la sécurité informatique. Bien qu'elle ne définit pas de méthode précise d'évaluation des risques, la méthode EBIOS est couramment utilisée en France, qui se construit en sept points et englobe l'identification des actifs, des personnes concernées et des vulnérabilités, ainsi que l'évaluation de la probabilité ou du potentiel du risque et l'évaluation du niveau de risque.. 

Scene 9

Étape 2 : Identifier et évaluer les risques liés à la sécurité et élaborer la politique de 
sécurité
La norme ISO 27001 ne donne pas de directives sur la méthode d’appréciation des risques à 
adopter. Les entreprises peuvent donc en inventer une en veillant à bien respecter le cahier 
des charges ou en choisir une parmi les plus courantes notamment la méthode EBIOS 
(Expression des Besoins et Identification des Objectifs de Sécurité) mise en place en France 
par l'ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information). Le cahier des 
charges relatif à l’appréciation des risques se développe en 7 points :

2.
Identifier les personnes responsables;

5.
Identifier leurs impacts sur les actifs à défendre;

6.
Évaluer la vraisemblance ou potentialité du risque;

7.
Estimer les niveaux de risque, fonction de leur potentialité et de leur impact.

[Audio] ISO 27001 est un système de gestion de la sécurité de l'information qui fournit une méthode formelle et solide pour les entreprises pour gérer leurs systèmes d'information. Il peut être utilisé par des parties internes et externes pour évaluer la capacité de l'organisation à répondre aux exigences de sécurité de l'information de l'organisation. La norme ISO 27001 s'appuie sur la nouvelle structure commune des normes de management de l'ISO pour établir, implémenter, maintenir et améliorer un système de management de la sécurité de l'information. Ce module vise à expliquer ce qu'est ISO 27001 et à fournir des informations sur la façon de mettre en œuvre la norme dans les organisations.. 

Scene 10

Module 4: ISO 27001 -to PLAN
Identification des actifs
ISO/IEC 27005, article 8.2.2 Annexe B.l.l
Un actif désigne tout élément ayant de la valeur pour l'organisme et nécessitant,
par conséquent, une protection.
Deux types d'actifs
Actifs primordiaux
Information
Processus métier
et activités
IS027001—FORMITYS - 28/07/2023
Actifs en support
Matériel informatique
Logiciel
Réseau
Personnel
Site
Structure de l'organisme
55

[Audio] ISO 27001 peut être utilisé pour évaluer la capacité d'une organisation à satisfaire aux exigences en matière de sécurité de l'information. Cette norme est basée sur un nouveau cadre commun de normes de gestion de l'ISO pour établir, mettre en œuvre, maintenir et améliorer la sécurité des informations. Pour ce faire, l'ISO/CEI 27005 propose une approche qui comprend l'établissement du contexte, l'évaluation des risques et l'évaluation de ces risques. Il faut d'abord définir des critères d'évaluation, d'impact et d'acceptation des risques, qui peuvent être adaptés en fonction de la situation de l'organisation. Ensuite, il est nécessaire d'exprimer les besoins de sécurité des éléments clés et d'identifier, caractériser et évaluer les risques pour les ordonnancer et donner des priorités.. 

Scene 11

Module 4: – to PLAN - ISO 27005 Gestion des risques liés à la 
sécurité de l’information

Démarche proposée par l’ISO/CEI 27005

Ø Établissement du contexte
Il faut tout d’abord définir des critères :

•
d’évaluation : seuil de traitement des risques, localement par actif menacé et globalement, pour 
toute l'organisation ;

•
d’impact : seuil de prise en compte des risques ;

•
d’acceptation : seuil d’acceptation des risques ;

Il n’existe pas d’échelles normalisées pour ces critères. L’entreprise doit déterminer une échelle 
pertinente en fonction de sa situation. Il faut également définir les champs, les limites et 
l’environnement du processus de gestion du risque.

Ø Appréciation des risques
La première étape consiste à définir le contexte de la certification et les éléments qui le composent 
tels que l’organisme, le système d’information, les éléments essentiels à protéger les entités qui en 
dépendent et les différentes contraintes qui peuvent se présenter.
Ensuite, il est nécessaire d’exprimer les besoins de sécurité des éléments essentiels et, identifier, 
caractériser en termes d’opportunités les menaces pesant sur le système d’information.
Enfin, les risques sont déterminés en confrontant les menaces aux besoins de sécurité. Ces risques 
seront analysés et évalués afin de donner des priorités et les ordonnancer par rapport à leurs critères 
d'évaluation.

[Audio] L'ISO 27001 peut être utilisée pour évaluer la capacité d'une organisation à satisfaire aux exigences de sécurité de l'information. La structure commune des normes de gestion de l'ISO fournit une approche pratique pour établir et maintenir cette capacité. Il prévoit des exigences de sécurité applicables à des contextes variés. En outre, ISO 27005 offre un cadre pour gérer les risques liés à la sécurité de l'information grâce à un processus d'identification des objectifs de sécurité, détermination des moyens de traitement et prise en compte du contexte. Cette procédure définit ensuite des exigences de sécurité et des options de traitement pour les risques, y compris le refus ou l'évitement, le transfert, la réduction et la conservation du risque.. 

Scene 12

Module 4: – to PLAN  - ISO 27005 Gestion des risques liés à la 
sécurité de l’information

Ø Traitement du risque
Il s’agit du processus de sélection et de mise en œuvre des mesures. Cela passera tout d’abord par 
l’identification des objectifs de sécurité : détermination des modes de traitement et prise en compte 
des éléments du contexte. Les objectifs ainsi identifiés constitueront le cahier des charges du 
processus de traitement des risques. Ensuite, des exigences de sécurité seront déterminées afin de 
satisfaire les objectifs de sécurités et décrire comment traiter les risques.

Pour définir les options de traitement, il faut mettre en adéquation le risque et le coût de traitement. Il 
existe quatre options du traitement du risque :

•
Le refus ou l’évitement : le risque considéré est trop élevé, l’activité amenant le risque doit être 
supprimée.

•
Le transfert : le risque sera partagé avec une autre entité (un assureur, un sous-traitant) capable 
de le gérer.

•
La réduction : le risque doit être diminué. Il s’agit d'en réduire l’impact et/ou la potentialité de 
manière que le risque soit acceptable.

•
Conservation du risque : le risque est maintenu tel quel.

[Audio] La sécurité de l'information étant un défi constant pour les organisations, répondre aux exigences de sécurité peut s'avérer difficile. La norme ISO 27001 peut être utilisée comme outil afin d'évaluer et de vérifier la capacité de l'organisation à répondre à ces exigences. Basée sur la structure commune des normes de management ISO, elle aborde les projets de sécurité de l'information selon quatre grands principes : planifier, accepter et gérer les risques, communiquer ces risques et améliorer constamment la gestion des risques. Avec cet outil, l'organisation peut analyser, évaluer et atténuer les risques et parvenir à des objectifs de sécurité plus élevés.. 

Scene 13

Ø Acceptation du risque
Il s’agit d’une homologation de sécurité effectuée par une autorité d’homologation désignée pour une 
durée déterminée. Cette homologation passe par l’examen d’un dossier de sécurité dont le contenu 
doit être défini : objectifs de sécurité, d'une cible de sécurité, politique de sécurité… La direction 
générale doit accepter les risques résiduels, donc accepter le plan de traitement du risque dans son 
ensemble.

Ø Communication du risque
Il s’agit d’un échange et un partage régulier d’informations sur les risques entre le gestionnaire des 
risques, les décisionnaires et les parties prenantes concernant la gestion du risque.

[Audio] Sans salutations, sans commencer par «Aujourd'hui» et sans remerciements : Je vais vous parler de la norme ISO 27001 et comment elle peut être utilisée par des tiers internes et externes pour évaluer la capacité d’une organisation à répondre aux exigences de sécurité de l’information. La norme ISO 27001 a été mise en place en utilisant une nouvelle structure commune des normes de management de l'ISO pour établir, implémenter, maintenir et améliorer la gestion des risques de sécurité. La planification de la gestion des risques est l’étape 1 et comprend un rôle que l'équipe de projet, une matrice des responsabilités de la gestion des risques et des dispositions pour les risques. L'étape 2 consiste à identifier les risques en utilisant des méthodologies telles que l’analyse par phase, l’analyse par checklist, DELPHI, le brainstorming et la méthode 7D. Enfin, la validation des risques et leur inclusion dans un registre de risques sont la phase 3.. 

Scene 14

Module 4: – to PLAN - ISO 27001, ISO 27005, ISO 31000

q La Gestion des Risques de Sécurité peut s’intégrer à la Gestion des Risques ISO 31000

ETAPE N°1 : 
Planification de la gestion des risques
Matrice des Responsabilités de la gestion des risques
Rôle que l'équipe de projet
Provision pour risque

ETAPE N°2 : Identifier les risques
démarche générale
L’analyse par phase
L’analyse par check list
DELPHI, Brainstorming
Identifier les risques avec "7D"

ETAPE N°3 : 
Valider les risques
le Registre de risques

[Audio] L'ISO 27001 est une norme internationale qui fournit des directives sur la façon dont les systèmes de management de la sécurité de l'information peuvent être mis en œuvre au sein d'une organisation. Cette norme définit les procédures à suivre pour assurer le respect des exigences de sécurité de l'information. La norme propose une nouvelle structure commune des normes de management de l'ISO, qui peut être utilisée par des parties internes et externes pour évaluer la capacité de l'organisation à répondre aux exigences de sécurité de l'information de l'organisation. Les outils de l'analyse qualitative et quantitative sont utilisés pour évaluer et autoriser les risques. Enfin, des plans d'action de prévention et de protection sont définis. Le module 4 de l'ISO 27001 permet aux organisations de planifier leurs systèmes de management de la sécurité de l'information.. 

Scene 15

ETAPE N°4 : 
Les outils de l’analyse qualitative et  quantitative 
Evaluer, l’analyse qualitative des risques
Evaluer, analyses qualitative et quantitative des risques
Evaluer, l’analyse quantitative des risques

ETAPE N°6 : 
Définir des plans d’actions
Définir des plans d’action de Prévention
Définir des plans d’action de Protection

[Audio] La norme ISO 27001 est un outil permettant d'évaluer la capacité de l'organisation à protéger la sécurité de l'information. Elle établit une structure commune pour le management de la sécurité qui aide à identifier, implémenter, examiner et améliorer les mesures de sécurité et de contrôle. Les normes ISO 27005 et ISO 31000 complètent le cadre pour fournir des méthodes et des outils spécifiques pour planifier, évaluer et gérer les risques liés à la sécurité des informations dans l'organisation. La prise en compte des risques liés à la sécurité des informations est essentielle pour assurer le maintien et la protection des informations sensibles. La norme ISO 27001 peut être utile pour évaluer et améliorer la sécurité des informations de l'organisation.. 

Scene 16

Étape 3 : Traiter le risque et identifier le risque résiduel par un plan de gestion

Il existe quatre traitements possibles de chacun des risques identifiés, présentés par ordre 
décroissant d'intérêt pour l'organisme :

1.
L’évitement : politique mise en place si l’incident est jugé inacceptable ou si les

mesures sont aisément accessibles. Il s'agit de réorganiser le système d'information à 
protéger de façon à éliminer totalement la potentialité du risque.

2.
La réduction : on ramène la potentialité et/ou l'impact du risque à un niveau

acceptable par la mise en œuvre de mesures techniques et organisationnelles. C'est la 
solution la plus utilisée.

3.
Le transfert (ou partage) : la part de risque qui ne peut pas être évitée ou réduite

est dénommée risque résiduel. L'organisme peut transférer la responsabilité technique de tout 
ou partie de ce risque résiduel en recourant à une solution d'externalisation de sécurité. Il 
peut aussi souscrire une assurance pour diminuer l'impact financier du risque.

[Audio] La norme ISO 27001 peut être utilisée pour évaluer la capacité d'une organisation à répondre aux exigences de sécurité de l'information. Elle est fondée sur une structure commune des normes de management de l'ISO, permettant d'élaborer, de mettre en œuvre, de maintenir et de perfectionner un système de gestion de la sécurité de l'information. Le processus ISO 27001 vise à aborder le risque résiduel non transférable, en s'attaquant aux principes de l'acceptation et de l'intégrité. Si une organisation juge que le risque résiduel est inacceptable, elle doit alors prendre des mesures supplémentaires de sécurité. Une fois le système validé, les conséquences du risque résiduel non transférable sont intégrées à l'accord global de l'organisation.. 

Scene 17

4.
L’acceptation (ou maintien) : ne mettre en place aucune mesure de sécurité

supplémentaire car les conséquences du risque résiduel non transférable sont acceptables. 
Par exemple, le vol d’un ordinateur portable ne comportant pas de données primordiales 
pour l’entreprise est sans grand impact. Cette solution peut n'être que ponctuelle.

Lorsque la décision de traitement du risque est prise, l’entreprise doit identifier les risques 
résiduels c’est-à-dire ceux qui persistent après la mise en place des mesures de sécurité. S'ils 
sont jugés inacceptables, il faut définir des mesures de sécurité supplémentaires. Cette phase 
d'acceptation formelle des risques résiduels s'inscrit souvent dans un processus 
d'homologation. Le système étant homologué en tenant compte de ces risques résiduels.

[Audio] La norme ISO 27001 fournit une structure commune pour évaluer la capacité d'une organisation à gérer les risques liés à la sécurité de l'information. Elle définit les étapes requises pour évaluer les risques, les processus de gestion des risques et les mesures pratiques pour réduire ou supprimer ces risques. Ces étapes comprennent l'identification des risques, la planification de la gestion des risques, l'analyse quantitative et qualitative des risques, la planification de la réponse aux risques et le suivi et le contrôle des risques. En utilisant cette norme, les parties internes et externes peuvent évaluer la capacité de l'organisation à satisfaire aux exigences de sécurité de l'information.. 

Scene 18

Étape 
Planification de la gestion des risques

Étape 
Planification de la réponse aux risques

[Audio] La norme ISO 27001 est un cadre international pour la gestion de la sécurité des informations. Il fournit une méthodologie pour gérer et réduire les risques liés à la sécurité de l'information afin de protéger les ressources informatiques et les informations associées sous la responsabilité d'une organisation. Les exigences de la norme ISO 27001 permettent à l'organisation de développer une méthodologie pour l'évaluation des risques et l'amélioration de la sécurité de l'information. La deuxième étape consiste à identifier les risques. Cela comprend l'identification des systèmes, processus, entités et activités à risque, ainsi que l'analyse des risques potentiels et des vulnérabilités.. 

Scene 19

Risque ident*ié
Réalisation d 'un produit incohérent
avec Ies attentes et Ies besoins
Dépassernent de budget
Irnpossibilité de faire évoluer le budget
en cours de projet
Irnpossibilité de rnodifier Ies échéances
des
Dépassernent de l'objectif Délais
Ralentissernent de la production en
phase de finalisation
Manque de réactivité sur Ie traiternent
des anornalies apres MEP
Défaut de contröle de Ia production
rnobile
Freins dans le pilotage opérationnel
Mauvaise identification d'un validateur
Allongernent des délais de validation
Anornalies techniques dans Ies
transferts d • inforrnations
Réalisation non cornpatible avec
I' environnernent cible
Absence de référen niques en
cas de difficulté
Réalisation d'un produit non fonctionnel
In cornpréhensions sur des
spécifications techniques
Clirnat conflictuel dans uipe projet
Mauvaise perception des résultats du
CYigine du
nsques
Conséquences possibles
env isa geab les

[Audio] Mesdames et Messieurs, La norme ISO 27001 permet aux organisations d'évaluer leurs capacités à répondre aux exigences de sécurité de l'information, grâce à sa structure commune de normes de management. L'annexe A de cette norme décrit 114 mesures de sécurité réparties sur 14 catégories, mais ne précise pas comment ces mesures doivent être appliquées. Pour plus de précisions à ce sujet, ISO 27002 peut être consulté.. 

Scene 20

Ø Choisir les mesures de sécurité à mettre en place

La norme ISO 27001 contient une annexe A qui propose 114 mesures de sécurité 
classées en 14 catégories (politique de sécurité, sécurité du personnel, contrôle des 
accès…) Cette annexe normative, n'est qu’une liste qui ne donne aucun conseil de 
mise en œuvre au sein de l’entreprise. Les mesures sont présentées dans la norme 
ISO 27002.

[Audio] La norme ISO 27001 est une norme internationale de sécurité de l'information qui permet aux organisations de s'assurer qu'elles sont en mesure de gérer adéquatement les risques liés à l'information. Elle définit les exigences pour la mise en œuvre d'un système de gestion de la sécurité de l'information et fournit une structure commune des normes de gestion de l'ISO. Ce système est conçu pour établir, implémenter, maintenir et améliorer le système de gestion de la sécurité de l'information. La norme ISO 27001 permet aux organisations de parties internes et externes de se fier à une organisation pour prendre des mesures adéquates pour protéger les données. Elle peut également être utilisée par ces parties pour évaluer la capacité de l'organisation à répondre aux exigences de sécurité de l'information et à respecter les exigences de ses partenaires, fournisseurs et clients. En résumé, cette norme offre une structure commune et un cadre pour l'élaboration, la mise en œuvre, le maintien et le perfectionnement du système de gestion de la sécurité. Elle se base sur une évaluation des risques et leur mise en œuvre afin de garantir la sécurité des données et des informations.. 

Scene 21

4
Evaluer les risques - Étape 4 --
Réf. syllabus : ITILFND03-7 ; ITILFND05-46
Chaque méthodologie de gestion de projet aura une approche pour identifier et gérer Ies risques. En général, il
est de la responsabilité du chef de projet afin de s'assurer que les risques sont identifiés et que des mesures
sont mises en place pour les atténuer. II s'agit d'identifier et d'analyser les risques.
Exemple de méthode d'identification et d'analyse des risques :
Evaluer les actifs critiques et les priorités métier » de leur restauration en cas de désastre.
> Évaluer les menaces possibles.
Pour chaque menace possible identifiée, évaluer Ia vulnérabilité, c'est-å-dire Ia probabilité de Ia menace.
> Calculer le niveau de risque : Risque X = Valeur (actif) x Probabilité (menace).
> En fonction des risques calculés, déterminer des contre-mesures préventives et correctives.
Analyse des
risques
Actifs
Gestion des
risques
CRAMMC)
Menaces
Ris ues
Contre-mesures
Vulnérabilités
(t) CCTA (Central Computing and Telecommunications Agency)
Risk Analysis and Management Method

[Audio] La norme ISO 27001 est un moyen pour les entreprises de prouver leur engagement en matière de sécurité de l'information. Elle standardise les processus et méthodes utilisés pour évaluer et gérer les risques liés à la sécurité de l'information. Elle permet aux entreprises d'évaluer les risques et de mettre en œuvre des mesures pour protéger leurs actifs. La norme ISO 27001 inclut une matrice de criticité qui fournit une méthode pour classer les risques selon leur probabilité et leur gravité. Cette matrice peut alors être utilisée pour adapter leurs stratégies de sécurité de l'information et prévenir les problèmes liés à la sécurité. La norme ISO 27001 est donc un outil essentiel pour les entreprises pour évaluer et gérer les risques liés à la sécurité de l'information.. 

Scene 22

Evaluer les risques – Étape 4 – Matrice de CRITICITE

PROBABILITE (MENACE x VULNERABILITE) / IMPACT ou GRAVITE

RISQUE - DIAGRAMME PROBABILITE 1 IMPACT 4 X 4
Tres
forte
Forte
Modérée
Faible
PROBABILITE
Faible
11
Modérée Forte
IMPACT
10
Tres forte

RISQUES PERTURBATEURS
PROBLÉMES RÉSOUDRE
RISQUES ICNORER
QISQUES NECLIGEABLES
CRAVITÉ
RISQUES INTOLERABLES
GAAV•TC
CHANCER DE/LE PROJET
VIVRE AVECm
DE CRAVITÉ

[Audio] La norme ISO 27001 offre aux organisations un outil précieux pour évaluer leur capacité à satisfaire aux exigences en matière de sécurité de l'information. Elle fournit une structure commune de normes de gestion pour la mise en place, l'exploitation, la maintenance et l'amélioration des systèmes numériques de sûreté. Dans le cadre de l'étape 6, la norme spécifie qu'il faut établir des plans de protection afin de limiter les risques et leurs conséquences. Une fois ces plans mis en œuvre, des mesures peuvent être prises pour réduire les effets négatifs qu'un risque pourrait avoir sur le projet. La norme ISO 27001 est un élément essentiel pour garantir la sécurité des biens et des données numériques des organisations.. 

Scene 23

ETAPE N°6 : Définir des plans d’action de Protection

Définir des plans d’actions de Protection – Étape 6
6

Réduire Ies irnpacts
potentiels sur le
déroulernent du projet
'DEALE
Action en
PROTECTION
Risque traiter
RISQUE
Action en
ANTICIPATION
Agir sur Ies deux facteurs en
rnérne tern ps
Risque acceptable
GRAVITÉ
IS027001—FORMITYS - 28/07/2023
Lirrliter Ia probabilité
que Ie risque devienne un
probleme
68

B. Réduisez la gravité d'un risque avec des actions en protection

Agir en protection, c’est chercher à atténuer les conséquences d’un 
risque avéré sur le projet. On tente ici de réduire l’impact-gravité du 
risque.

[Audio] "ISO 27001 est un moyen pratique d'organiser le système de gestion des informations. Cela permet aux entreprises de développer, d'entretenir et d'améliorer leur capacité à répondre aux exigences en matière de sécurité des informations qu'elles détiennent. ISO 27001 fournit une structure commune et un vocabulaire normalisé pour faciliter la mise en œuvre et la gestion de la sécurité des informations. Étape 6 de cette norme consiste à définir des plans d'action et de prévention pour les 6 mesures de prévention. En suivant les étapes de la norme ISO 27001, les organisations peuvent à la fois améliorer leurs pratiques de sécurité des informations et bénéficier des avantages de la normalisation commune de gestion des informations.. 

Scene 24

ETAPE N°6 : Définir des plans d’action

Définir des plans d’actions (et/ou de prévention) – Étape 6
6

RISQUE
PLAN DE PRÉVENTION
RISQUE
c
RESPONSABLE
10
PRÉVENTION
10
Actions prévues en
prévention suite å
l'analyse des risques
CRITICITÉ
5
IS027001—FORMITYS - 28/07/2023

[Audio] ISO 27001 est une norme internationale établie par l'Organisation internationale de normalisation qui définit les exigences et lignes directrices pour le développement et la mise en œuvre d'un Système de gestion de la sécurité de l’information (SGSI). Elle peut servir de point de référence à l'internes et externes pour évaluer l'aptitude de l'entreprise à respecter les exigences relatives à la sécurité de l'information. La norme ISO 27001 offre un cadre pour établir et maintenir un SGSI. Les étapes clés pour atteindre la conformité à la norme ISO 27001 comprennent la définition des plans d'actions. Il est essentiel d'établir ce point de départ pour mettre en place et maintenir des pratiques de sécurité adéquates. Ces plans d'action doivent couvrir six domaines distincts afin de veiller à la sécurité des données de l'organisation. La norme ISO 27001 est un excellent outil pour les organisations qui veulent s'assurer que leurs pratiques de sécurité sont à la hauteur des exigences.. 

Scene 25

PLAN DE PRÉVENTION
RISQUE
p
c
RESPONSABLE
PRÉVENTION
ACTIONS PRÉVUES
Sl LE RISQUE
DEVIENT PROBLÉME
RÉPARATION
ASSURE LA SURVEILLANCE
DU RISQUE EN COURS
DE PROJET

[Audio] La norme ISO 27001 est un cadre complet pour un système de gestion de la sécurité de l'information (SGSI). Il couvre l'ensemble des exigences de sécurité de l'information requises par les organisations internes et externes, comme la protection des données, l'intégrité des données, la disponibilité des données et la confidentialité des données. Elle peut être utilisée pour évaluer la capacité de l'organisation à répondre aux exigences de sécurité de l'information de l'organisation en utilisant la nouvelle structure commune des normes de management de l'ISO. Cette norme internationale fournit aux organisations des lignes directrices pour la gestion de la sécurité de l'information, ainsi que des principes de base pour un système de sécurité de l'information et des exigences et pratiques pour le développement, l'implémentation, l'entretien et l'amélioration de la sécurité de l'information. Les organisations peuvent l'utiliser pour évaluer et améliorer leur capacité à gérer la sécurité de l'information.. 

Scene 26

[Audio] ISO 27001 offre aux entreprises une structure commune pour établir, implémenter, maintenir et améliorer leurs initiatives de sécurité de l'information. Elle fournit des directives pour évaluer la capacité de l'entreprise à répondre aux exigences de sécurité de l'information de l'organisation. La norme ISO 27001 est un cadre juridique et technique applicables aux entreprises souhaitant implémenter un système de management de la sécurité de l'information (SMSI). Ce cadre comprend plusieurs étapes, notamment l'établissement d'un plan de traitement des risques, le déploiement de mesures de sécurité et la génération d'indicateurs de performance et de conformité. Enfin, le personnel doit être formé et sensibilisé.. 

Scene 27

Met en place les objectifs. Elle comporte plusieurs étapes :

1.
Établir un plan de traitement des risques

•
De performance pour savoir si les mesures de sécurité sont efficaces

•
De conformité qui permettent de savoir si le SMSI est conforme à ses spécifications

[Audio] La norme ISO 27001 fournit une structure commune pour évaluer la capacité d'une organisation à répondre aux exigences de sécurité de l'information. Elle peut être mise en œuvre par des parties internes et externes et s'applique aux services, processus et technologies de l'organisation. Elle contient des critères de mesure et des exigences qui sont appliqués à la planification, à l'implémentation et à la surveillance du système de gestion de la sécurité de l'information de l'organisation. Cela inclut la détermination des risques et des contrôles à mettre en œuvre, ainsi que des exigences supplémentaires concernant l'éducation et la formation du personnel, l'audit interne et les mesures correctives. Enfin, cela vise à s'assurer que les activités et les ressources de l'organisation soient correctement gérées et que l'information demeure confidentielle, intègre et disponible.. 

Scene 28

•
Module 4: – to DO - ISO 27001 et ISO 20000

q •
Une organisation qui envisage de mettre en œuvre un système de gestion

intégré devrait tenir compte au moins de :

a) autre(s) système(s) de management déjà utilisé(s) (par exemple, systèmes de    gestion de 
la qualité) ;
b) tous les services, processus et leurs interdépendances dans le contexte du système de 
gestion intégrée ;
c) les éléments de chaque norme qui peuvent être fusionnés et comment ils peuvent l’être ; 
d) les éléments qui doivent rester séparés ;
e) l’impact du système de gestion intégré sur les clients, les fournisseurs et les autres 
parties ; 
f) l’impact sur la technologie utilisée ;
g) l’impact ou le risque sur les services et la gestion des services ;
h) Impact ou risque sur la sécurité de l’information et la gestion de la sécurité de 
l’information  
i) l’éducation et la formation au système de gestion intégrée ;
•j) les phases de transition et la séquence des activités de mise en œuvre.

[Audio] La norme ISO 27001 est une norme internationale pour la gestion de la sécurité de l'information qui définit les exigences pour la mise en œuvre et le maintien d'un système de gestion de la sécurité de l'information. Elle fournit une structure commune aux normes de management de l'ISO et peut être utilisée par des parties internes et externes pour évaluer la capacité de l'organisation à répondre aux exigences de sécurité de l'information de l'organisation. La norme permet également à l'organisation de documenter, mettre en œuvre, maintenir et améliorer un système de gestion de la sécurité de l'information. Bien que La norme ISO 27001 est une norme volontaire et que son adoption n'est pas obligatoire, de nombreuses organisations choisissent d'adopter la norme pour mettre en place des contrôles pour garantir que les informations qu'elles traitent sont sécurisées et conformes aux dispositions légales. La norme ISO 27001 peut être un excellent outil pour les organisations cherchant à gérer leurs informations et à offrir une sécurité renforcée. Elle définit les exigences en matière de gestion de la sécurité de l'information, fournit une structure commune aux normes de gestion de l'ISO et peut être utilisée par des parties internes et externes pour évaluer la capacité de l'organisation à répondre aux exigences de sécurité de l'information. Il est important de noter que, bien que la norme ISO 27001 est volontaire, de nombreuses organisations choisissent de l'adopter pour garantir que les informations traitées sont sécurisées et conformes aux dispositions légales.. 

Scene 29

Focus
Control/ContCOIS
ISO/IEC 27001
Specific to ISO/JEC
27001
Classifica t Of
information
I nformation a s set
management
Target
organization
Ccntent tool box
Shared parts (some ap. some differences)
Incident management
Risk assessment
Capacity management
Cha m an agement
Configu ra tion managem ent
Problem ma naeem ent
Release and de»€rnent management
R esource m anagement
Roles and responsibilities
Security management
Service continuity and availability management
Common parts I identical between standards)
Fecuscn It
sery«s
Processes
ISO/IEC 20000
Specific to ISO/IEC
20000-1
Service catalogue
gudgettng and
accounting for services
Business relationship
management
New and changed
services
SLAs and contracts
Suppl ier m anagernen t
Management review
P DCA
Continual improvement
Lee al and regulatory compliance
Trainmg and awareness

[Audio] La norme ISO 27001 offre une structure commune et une démarche structurée permettant de mettre en place un système de management de la sécurité de l'information qui peut être appliqué à l'ensemble des parties internes et externes de l'organisation. Elle comprend des exigences pour la conception et la transition des services nouveaux et modifiés, pour les processus de résolution, ainsi que pour la gestion des relations avec les fournisseurs et le contrôle des processus. Grâce à cette norme, nous pouvons renforcer la sécurité de l'information au sein de notre organisation de manière plus structurée et cohérente. Elle fournit une structure commune pour le management de la sécurité de l'information et met en place des exigences pour la conception et la transition des services, des processus de résolution et de contrôle, ainsi que le management des relations avec les fournisseurs. En appliquant ces principes et en respectant les exigences définies, nous pouvons nous assurer de répondre aux exigences en matière de sécurité de l'information.. 

Scene 30

Système de Management des Services (SMS)
ISO 20000

Responsabilité de la direction :
• Établir Ie SMS
• Gouvernance des processus
opérés par d'autres parties
• Management de la
documentation
Management des ressources
CONCEPTION ET TRANSITION DE SERVICES NOUVEAUX ET MODIFIÉS
PROCESSUS DE FOURNITURE DES SERVICES
Gestion de la capacité
Gestion des la continuité
et de la disponibilité des
services
Gestion des niveaux de serviceManagement de la sécurité de
Fourniture des rapports de l'information
services
PROCESSUS DE CONTROLE
Budgétisation et
comptabilisation des services
Gestion des configurations
Gestion des changements
Gestion des mises en production et de leur déploiement
PROCESSUS DE RÉSOLUTION
Gestion des incidents et des demandes de
services
Gestion des problémes
PROCESSUS DE GESTION DES
RELATIONS
Gestion des relations commerciales
Gestion des fournisseurs
IS027001—FORMITYS - 28/07/2023

Responsabilité de la direction :
• Établir le SMS
• Gouvernance des processus

CONCEPTION ET TRANSITION DE SERVICES NOUVEAUX ET MODIFIÉS
PROCESSUS DE FOURNITURE DES SERVICES
Gestion de la capacité
Gestion des la continuité
et de la disponibilité des
services
Gestion des niveaux de serviceManagement de la sécurité de
Fourniture des rapports de l'information
services
PROCESSUS DE CONTROLE
Budgétisation et
comptabilisation des services
Gestion des configurations
Gestion des changements
Gestion des mises en production et de leur déploiement
PROCESSUS DE RÉSOLUTION
Gestion des incidents et des demandes de
services
Gestion des problémes
PROCESSUS DE GESTION DES
RELATIONS
Gestion des relations commerciales
Gestion des fournisseurs
IS027001—FORMITYS - 28/07/2023

CONCEPTION ET TRANSITION DE SERVICES NOUVEAUX ET MODIFIÉS

PROCESSUS DE FOURNITURE DES SERVICES
Gestion de la capacité
Gestion des la continuité
et de la disponibilité des
services
Gestion des niveaux de serviceManagement de la sécurité de
Fourniture des rapports de l'information
services
PROCESSUS DE CONTROLE
Budgétisation et
comptabilisation des services
Gestion des configurations

Gestion de la capacité
Gestion des la continuité 
et de la disponibilité des 
services

Gestion des niveaux de service
Fourniture des rapports de 
services

Management de la sécurité de 
l’information
Budgétisation et 
comptabilisation des services

Gestion des incidents et des demandes de 
services
Gestion des problèmes

Gestion des relations commerciales
Gestion des fournisseurs

PROCESSUS DE CONTROLE
Gestion des configurations
Gestion des changements
Gestion des mises en production et de leur déploiement
'ROCESSUS DE RÉSOWTION
PROCESSUS DE GESTION DES

Gestion des mises en production et de leur  déploiement

[Audio] La norme ISO 27001 est une norme internationale reconnue pour mesurer et évaluer la capacité d'une organisation à répondre aux exigences de sécurité de l'information. Elle fournit une structure commune aux normes de gestion de l'ISO afin d'aider les organisations à définir, mettre en œuvre, maintenir et améliorer leur système de sécurité de l'information. Elle fournit les ressources, les compétences et la sensibilisation nécessaires pour assurer le bon fonctionnement du système de gestion de la sécurité de l'information.. 

Scene 31

L’organisme doit déterminer et fournir les ressources nécessaires à l’établissement, à la mise en œuvre, à la maintenance et à
l’amélioration continue du système de gestion de la sécurité de l’information.

•
déterminer la compétence nécessaire de la ou des personnes effectuant des travaux sous son contrôle qui ont une 
incidence sur leur rendement en matière de sécurité de l’information ;

•
veiller à ce que ces personnes soient compétentes sur la base d’une éducation, d’une formation ou d’une expérience 
appropriées ;

•
le cas échéant, prendre des mesures pour acquérir la compétence nécessaire et évaluer l’efficacité des mesures prises ; et

•
conserver les informations documentées appropriées comme preuve de compétence.

NOTE Les mesures applicables peuvent inclure, par exemple : la formation, le mentorat ou la réaffectation des employés actuels ; ou l’embauche
ou l’embauche ou l’embauche de personnes compétentes.

Les personnes qui effectuent des travaux sous le contrôle de l’organisation doivent connaître :

•
la politique de sécurité de l’information ;

•
leur contribution à l’efficacité du système de gestion de la sécurité de l’information, y compris les avantages d’une 
amélioration du rendement en matière de sécurité de l’information ; et

•
les conséquences de la non-conformité aux exigences du système de gestion de la sécurité de l’information.

[Audio] La norme ISO 27001 est une norme internationale élaborée par l'Organisation internationale de normalisation qui peut servir à améliorer systématiquement la sécurité des informations et la confidentialité des données au sein d'une organisation. Elle définit les politiques, les procédures et les contrôles à mettre en place pour protéger les données lors de leur transfert vers des tiers, ainsi que le cadre pour évaluer la capacité de l'organisation à répondre aux exigences de sécurité de la gestion de l'information. Cette norme est valide aussi bien pour les informations internes qu'externes de l'organisation, et permet de définir une structure spécifique pour les exigences en matière de sécurité de l'information.. 

Scene 32

L’organisme doit déterminer le besoin de communications internes et externes pertinentes pour le système de gestion de la
sécurité de l’information, y compris :

Le système de gestion de la sécurité de l’information de l’organisation doit comprendre :

•
les informations documentées requises par le présent document ; et

•
les informations documentées jugées nécessaires par l’organisation à l’efficacité du système de gestion de la sécurité de 
l’information.

NOTE L’étendue des informations documentées pour un système de gestion de la sécurité de l’information peut varier d’une organisation
à l’autre en raison de :

•
la taille de l’organisation et son type d’activités, de processus, de produits et de services ;

•
la complexité des processus et de leurs interactions ; et

[Audio] La norme ISO 27001 est un outil puissant permettant d'évaluer la capacité d'une organisation à se conformer aux exigences de sécurité de l'information, à travers une structure commune de normes de gestion. En se basant sur ces normes, les organisations peuvent définir, mettre en œuvre et améliorer leurs systèmes de gestion de la sécurité des informations. Pour ce faire, elles doivent identifier et documenter les besoins en matière de création et d'utilisation des informations, en contrôlant la distribution et l'accès aux informations, et en assurant la sauvegarde et la protection adéquates.. 

Scene 33

Lors de la création et de la mise à jour d’informations documentées, l’organisation doit s’assurer   que :

•
l’identification et la description (p. ex. titre, date, auteur ou numéro de référence) ;

•
format (p. ex. langue, version du logiciel, graphiques) et support (p. ex. papier, électronique) ; et

•
Examen et approbation de la pertinence.

•
Contrôle des informations documentées

Les informations documentées requises par le système de management de la sécurité de l’information et par le présent document
doivent être contrôlées afin de garantir que :

•
il est disponible et adapté à une utilisation, où et quand il est nécessaire ;  et

•
il est adéquatement protégé (p. ex. contre la perte de confidentialité, l’utilisation inappropriée ou la perte d’intégrité).

Pour le contrôle de l’information documentée, l’organisme doit s’occuper des activités suivantes, le cas échéant :

•
la distribution, l’accès, la récupération et l’utilisation ;

•
l’entreposage et la conservation, y compris la préservation de la lisibilité ;

•
contrôle des modifications (p. ex. contrôle de version)

Les informations documentées d’origine externe, jugées nécessaires par l’organisation à la planification et au fonctionnement du
système de management de la sécurité de l’information, doivent être identifiées comme appropriées et contrôlées.

NOTE L’accès peut impliquer une décision concernant l’autorisation de consulter uniquement les informations documentées, ou l’autorisation et 
l’autorité de visualiser et de modifier les informations documentées, etc.

[Audio] ISO 27001 est une norme internationale qui offre une structure commune pour l'établissement, l'implémentation, l'exécution et l'amélioration du système de management de la sécurité de l'information (SMSI). Elle peut être employée conjointement par des parties internes et externes pour vérifier la capacité de l'organisation à satisfaire à ses exigences relatives à la sécurité des informations. Elle fournit des outils pour évaluer, mettre en place et surveiller les procédures et les processus de sécurité de l'information. Lorsque vous implémentez ISO 27001, vous pouvez vous assurer que votre système est conforme aux normes élevées et est assez flexible pour s'adapter à votre environnement et à vos besoins en matière de sécurité de l'information. La norme ISO 27001 permet de surveiller et d’améliorer la qualité des processus de sécurité de l'information, de l’implémentation initiale à la maintenance et à la surveillance continuelle. Elle garantit que toutes les mesures de sécurité nécessaires sont en place pour protéger les informations critiques de l’organisation et les accessoires requis pour les traiter. Elle peut être appliquée à la sécurité physique, à la sécurité des communications et à la sécurité des systèmes d'information. En bref, ISO 27001 est un outil précieux pour garantir l'efficacité et la sécurité de l'organisation et de ses systèmes. Il fournit une structure et des procédures pour mettre en place et maintenir un système de management de la sécurité de l'information réglementé et efficace. En utilisant la norme ISO 27001, l'organisation peut veiller à ce que ses systèmes sont suffisamment sécurisés pour protéger ses informations et ses ressources.. 

Scene 34

q Phase de maintien (to Check / Opération)
Consiste à gérer le SMSI au quotidien, à mesurer et à détecter des évènements de sécurité et 
des incidents en permanence pour y réagir rapidement. Trois outils peuvent être mis en place 
pour les détecter :

Pages de ISO27001-FR-FORMITYS- 23072023