Module 1: Introduction, Historique des normes ISO La famille des normes ISO 27000 (ISO 27001, 2, 3, 4, 5, 6, 7, 8)

[Virtual Presenter] "Bonsoir à tous. Nous allons aujourd'hui étudier ce qu'est l'ISO et comment ses normes sont développées et utilisées pour soutenir l'innovation et apporter des solutions aux enjeux mondiaux..

[Audio] Mise en application des normes ISO/IEC 27000, la norme ISO/IEC 27001:2013 joue un rôle clé. Elle fournit un ensemble complet d'exigences pour l'établissement, l'implémentation, le maintien et l'amélioration d'un système de gestion de la sécurité de l'information, qui permet à l'organisation de protéger ses actifs informationnels. Elle offre aux organisations la possibilité de choisir des contrôles de sécurité appropriés en fonction de leurs besoins. La norme ISO/IEC 27001:2013 comprend une annexe A qui définit des objectifs de contrôle et des contrôles visant à réduire les risques liés aux actifs informationnels, et qui peuvent être mis en œuvre afin de se conformer aux exigences. Ces objectifs de contrôle et ces contrôles sont directement dérivés et alignés sur les articles 5 à 18 de la norme ISO/IEC 27002:2013..

[Audio] Les normes ISO/CEI 27002 et 27003 offrent aux organisations des lignes directrices et des conseils quant à la meilleure façon de sécuriser leurs informations. La norme ISO/CEI 27002 fournit une liste d'objectifs de contrôle communément acceptés et des contrôles de meilleures pratiques à utiliser. La norme ISO/CEI 27003, quant à elle, fournit un cadre pour le déploiement réussi d'un Système de Management de la Sécurité de l'Information. Ces normes peuvent aider les organisations à protéger leurs systèmes et à assurer l'intégrité de leurs données..

[Audio] La norme ISO/CEI 27004 fournit une méthodologie pratique pour surveiller, mesurer, analyser et évaluer la performance et l'efficacité des systèmes de gestion de la sécurité de l'information. Les organisations peuvent s'en servir pour surveiller et évaluer les performances et l'efficacité de leur système de management de la sécurité de l'information (SMSI). La norme propose des lignes directrices pour aider les organisations à évaluer comment leurs systèmes se conforment aux normes ISO/IEC 27001:2013, 9.1. Elle traite aussi bien de la surveillance et de la mesure du rendement en matière de sécurité de l'information, que du suivi et de la mesure de l'efficacité d'un système de management de la sécurité et de l'analyse et de l'évaluation des résultats de la surveillance et de la mesure..

[Audio] La norme ISO/CEI 27005 fournit des lignes directrices sur la mise en œuvre d’une approche de gestion des risques axée sur les processus. Cette approche, couverte par la norme ISO/IEC 27001, prend en compte la gestion des risques liés à la sécurité de l’information. Elle définit des instructions de base sur l’élaboration et l’utilisation de processus de gestion des risques permettant de développer une politique et une structure organisationnelle appropriées pour la sécurité de l’information. La norme précise également des critères pour la vérification des processus et des mesures pour assurer une mise en œuvre adéquate des normes et des principes de sécurité à travers toute l’organisation..

[Audio] Ce document ISO/IEC 27006 complète ISO/IEC 17021 en fournissant des exigences pour s'assurer que les organismes de certification offrent des certifications SMSI cohérentes et conformes aux exigences énoncées par la norme ISO/IEC 27001. Il spécifie les exigences et les lignes directrices applicables aux organismes proposant des audits et des certifications SMSI conformément à la norme ISO/IEC 27001 et fournit des orientations supplémentaires pour tout fournisseur de cette certification. Ces exigences doivent être démontrées en termes de compétence et de fiabilité afin de garantir l'accréditation des organismes de certification..

[Audio] La norme ISO/CEI 27007 établit des lignes directrices pour auditer les SMSI (Systèmes de Management de la Sécurité de l'Information) et évaluer les compétences des auditeurs de ces systèmes. Elle offre des recommandations aux organisations qui effectuent des audits internes ou externes d'un système de management de la sécurité de l'information et gèrent un programme d'audit conforme aux exigences de l'ISO/IEC 27001. Ces lignes directrices aident à assurer un audit cohérent et de qualité, tout en réduisant le risque pour les organisations..

[Audio] Le document ISO/IEC TR 27008 offre des conseils pour contrôler la mise en œuvre et le fonctionnement des mesures de sécurité de l'information, incluant la vérification technique de leur conformité à une norme de sécurité établie par l'organisation. Il se focalise sur l’examen des contrôles et la vérification de leur conformité à une norme de sécurité de l’information, et ne fournit pas de lignes directrices spécifiques sur la mesure, l’évaluation des risques ou les audits d'un système de management de la sécurité de l’information. Il s’avère cependant utile pour comprendre et respecter les normes internationales ISO/IEC relatives à la sécurité des informations..

[Audio] En matière de contrôle d'accès, les moyens à mettre en place dépendent de l'activité et de la sécurité. Il est indispensable de s'assurer que l'accès aux actifs soit autorisé et limité. De plus, des tentatives d'attaques peuvent être faites pour tenter de détruire, exposer, altérer, désactiver, voler, obtenir un accès non autorisé à un bien ou l'utiliser sans autorisation. L'authentification est une mesure nécessaire pour garantir l'assurance que des caractéristiques alléguées d'une entité sont correctes. L'authenticité réfère à la propriété qu'une entité soit ce qu'elle prétend être. Par ailleurs, la disponibilité est la propriété d'être accessible et utilisable sur demande par une entité autorisée. La terminologie ISO 27000 regroupe les différentes mesures de sécurité et de contrôle d'accès pour protéger la confidentialité des données..

[Audio] La confidentialité implique la protection des renseignements sensibles échangés entre les parties autorisées. Si ces renseignements sont partagés avec des personnes ou entités non autorisées, les conséquences peuvent être graves. Assurer cette confidentialité et gérer les conséquences négatives nécessite des mesures de sécurité. Une exigence doit être satisfaite, mais un événement peut avoir diverses conséquences et les conséquences initiales peuvent s'intensifier à travers les effets d'entraînement..

[Audio] Les contrôles permettent à une organisation d'évaluer et de modifier un risque et de s'assurer que leurs actifs sont correctement protégés. Ils permettent également de repérer et corriger les non-conformités et d'intervenir de façon proactive face à des événements qui pourraient nécessiter des mesures supplémentaires pour éliminer ou réduire le risque et maintenir un système de gestion de la sécurité solide et efficace..

[Audio] Le système d’orientation des activités de sécurité de l’information permet aux organisations de gérer efficacement leur sensibilité et leurs pratiques en matière de confidentialité, d'intégrité et de disponibilité. D'autres propriétés, telles que l’authenticité, la responsabilité, la non-répudiation et la fiabilité, sont également incluses. Des processus et des procédures sont systématiquement suivis afin de garantir que les activités de sécurité de l'information soient effectuées et maintenues..

[Audio] Pour assurer la sécurité des informations sensibles, il est essentiel que les organisations appliquent la norme ISO/CEI 27001 pour le système de management de ces informations. Cette norme permet d'identifier, de surveiller et de contrôler les risques liés à l'exploitation et à la gestion de la sécurité des informations. Elle détermine également des méthodes pratiques et des procédures claires pour gérer les événements, les incidents et les activités de sécurité. Elle s'assure également que les processus et les pratiques de sécurité soient systématiquement contrôlés et maintenus en fonction de l’état de conformité. Les organisations doivent s'assurer que leurs systèmes sont constamment mis à jour et documentés complètement et révisés à des intervalles réguliers..

[Audio] En respectant les normes de sécurité établies par l'ISO, il est essentiel de comprendre le concept d'anticonformisme et de non-respect d'une exigence. Il est à noter que les impacts de l'incertitude sur les objectifs sont également importants. Dans une certaine mesure, le risque associé à la sécurité de l'information est relié à la possibilité que les menaces exploitent les vulnérabilités d'un actif informationnel ou d'un groupe de biens d'information et causent ainsi un préjudice à une organisation. Pour ce faire, il est crucial d'assurer une capacité de prouver la survenance d'un événement ou d'une action revendiquée et de ses entités d'origine..

[Audio] Le système ISO 27001 est la norme qui vous aide à protéger vos informations sensibles de manière appropriée. Elle définit comment mettre en place des contrôles pour prévenir, détecter et gérer les incidents afin de garantir la sécurité des informations présentes dans votre système ou organisation. Une menace est la cause potentielle d’un incident susceptible de causer des dommages à un système ou à une organisation. Une vulnérabilité est une faiblesse d’un actif ou d’un contrôle qui peut être exploitée par une ou plusieurs menaces. L’information est un actif qui doit être protégé de manière appropriée. Elle peut être stockée sous différentes formes et transmise par plusieurs moyens. La norme ISO 27001 offre un cadre pour la protection de ces informations. Merci de votre attention..