Catégories
Tous les domaines d’activités sont régis par des lois, des directives ou encore des standards.
Parmi eux, les normes ISO sont un type de standard de portée et de renommée internationales.
Consultables, moyennant finances, sur le site https://www.iso.org/fr/, les normes sont des textes structurés, établis après consultation et réflexion de groupes d'experts sur une thématique précise.
Selon le site de l’ISO, pour comprendre l’utilité d’une norme, il faut comprendre qu’elle est “comparable à une formule qui décrit la meilleure façon de faire”.
Les normes ISO existent pour des processus très variés, souvent dans des domaines empreints de savoir-faire techniques tels que la santé, l’ingénierie, l’énergie, l’agroalimentaire, le génie civil ou, ce qui nous intéresse aujourd'hui, les technologies de l’information notamment la sûreté des systèmes informatiques.
À ce sujet, une norme ISO a été élaborée spécialement pour ce qui concerne la cybersécurité et fait office de référence pour de nombreux acteurs de l’environnement numérique, la norme ISO 27001.
Dans l’édition 2022 du texte, la norme s’intitule en français “Sécurité de l’information, cybersécurité et protection de la vie privée - Systèmes de management de la sécurité de l’information".
Un titre conséquent, qui n’empêche pas de préciser plus exactement le champ d’application de la norme dans la première section. À noter également que cette norme fait référence à d'autres textes traitant de sujets en lien direct, comme par exemple la norme ISO 27000 relative aux Technologies de l'information - Techniques de sécurité - Systèmes de management de la sécurité de l'information.
Le texte de la norme 27001 est un ensemble "d'exigences relatives à l'établissement, à la mise en œuvre, à la mise à jour et à l’amélioration continue d’un système de management de la sécurité de l’information” pour des organisations.
Traduction : cette norme concerne les organisations soucieuses de la sécurité globale de leur SI.
Le document précise "[qu’il] comporte des exigences sur l’appréciation et le traitement des risques de sécurité de l’information, adaptées aux besoins de l’organisation.”
En bref, il sert de guide sur la manière dont les organisations peuvent anticiper et se protéger contre les risques cyber liés à leur SI.
C’est le sujet de l’annexe du document. Cette annexe est présentée sous la forme d’un tableau avec une référence par article de la norme à une mesure de sécurité, sa dénomination, son sujet et sa portée au sein du processus global.
Dans le reste du document, chaque article s’applique à définir de manière très généraliste les étapes nécessaires à suivre pour lancer un processus de sécurisation du système de management de l’information.
La valeur principale de ce document est son travail de défrichage des prérequis pour la mise en place d’un processus de sécurité de l’information.
La méthodologie a été élaborée en pensant aux différentes dimensions à considérer pour les organisations pourvues de SI, et entreprend de découper chaque partie du processus le plus exhaustivement, bien que généralement, possible pour elles. Ces étapes incluent le cadrage du projet, sa mise en œuvre, son résultat et son suivi.
Parmi les interrogations auxquelles devront se confronter les structures, on retrouve (parmi d'autres thématiques) :
Quel est l'objectif de sécurité de cette organisation ? Qui sont les responsables de la mise en œuvre de ce projet ? Quel est le plan de mise en œuvre ? Quelles sont les ressources nécessaires ? Quelles étapes nécessitent une trace documentaire ? (Spoiler alerte : quasiment toutes.) Comment évaluer le processus du traitement des risques de sécurité de l’information ?
C’est cet aspect que le document n’aborde pas directement.
Une norme est davantage un guide conseil à respecter pour savoir que l’on est sur la bonne voie qu'une véritable loi. Il en découle de la responsabilité de chaque organisation ou entreprise de mettre en place les bonnes actions pour tendre vers cet idéal.
Et pour ce faire, des outils existent, permettant de simplifier certaines étapes de sa mise en œuvre comme un gestionnaire des accès et des identités.
