ISO/IEC 27002:2013

Techniques de sécurité : Code de bonne

pratique pour le management de la
sécurité de l'information
Travail élaboré par :
• Awatef BELLASSOID
• Chaima KADDOUR
• Fatma JMAL
• Omaima BEN HMIDA
• Zaineb ALLOUCHE
Plan
Introduction

Présentation de la norme

Les bonnes pratiques de la norme

L’impact de la norme sur la gouvernance des SI

Avantages et limites de la norme

Conclusion
 Introduction
La relation risque-système d'information, en management, est généralement abordée d'une manière
négative, où les systèmes d'information sont perçus comme générateurs des risques soit en amont, lors
de la phase projet de nouveau système d'information au sein de l'organisation, soit en aval, en posant la
question de la sécurité informatique des systèmes d’informations.

Et pour garantir une relation sous un angle plus positif, il existe des normes reconnues proposent des
bonnes pratiques pour installer, utiliser et gérer une politique de sécurité informatique des systèmes
d'information, que les entreprises doivent les suivre, en particulier les normes de la famille ISO 27000
parmi lesquelles on peut citer ISO 27002 dont le titre en français est « Code de bonne pratique pour le
management de la sécurité de l’information ».
 Présentation de la norme
La norme centrale est:

ISO 27001
Système de gestion de la sécurité de
l’information

ISO 27002 ISO 27004 ISO 27005 ISO 27006

Codes des bonnes ISO 27003 Audit et Guide Gestion des
pratiques Indicateurs certification d’implémentation risques
Qu’est ce qu’est la norme ISO 27002 ?
C’est un ensemble de 114 mesures dites « best practices » destinées à être utilisées par tous
les responsables de la mise en place ou du maintien d'un Système de Management de la
Sécurité de l'Information. elle donne des recommandations pour gérer la sécurité de
l’information à l’intention de ceux qui sont responsables de définir, d’implémenter ou de
maintenir la sécurité dans leur organisation. Elle est conçue pour constituer une base
commune de développement de normes de sécurité organisationnelle et de pratiques efficaces
de gestion de la sécurité, et pour introduire un niveau de confiance dans les relations dans
l’entreprise.
Evolution de la Norme ISO 27002 entre la
version de 2005 et 2013
Objectif de la Norme ISO 27002:
ISO/CEI 27002 est plus un code de pratique, qu’une véritable norme ou qu’une spécification
formelle telle que l’ISO/CEI [Link] présente une série de contrôles (35 objectifs de contrôle)
qui suggèrent de tenir compte des risques de sécurité des informations relatives à la
confidentialité, l'intégrité et les aspects de disponibilité. Les entreprises qui adoptent l'ISO/CEI
27002 doivent évaluer leurs propres risques de sécurité de l'information et appliquer les contrôles
appropriés, en utilisant la norme pour orienter l’entreprise.
Bonnes pratiques: 14 chapitres
CH-5:Politique de sécurité de l’information
5.1 Orientation de la gestion de la sécurité de l'information:

Objectif : Fournir une orientation et un soutien de gestion pour la sécurité de l'information conformément aux
exigences de l'entreprise et aux lois et règlements pertinents.
Contrôle: Un ensemble de politiques de sécurité de l'information doit être défini, approuvé par la direction,
publié et communiqué aux employés et aux parties externes concernées.
 Guide de mise en œuvre: Au plus haut niveau, les organisations doivent définir une "politique de sécurité
de l'information" qui est approuvée par la direction et qui définit l'approche de l'organisation pour gérer ses
objectifs en matière de sécurité de l'information.
Les politiques de sécurité de l'information doivent répondre aux exigences créées par:
a) La stratégie commerciale ;
b) Les règlements, la législation et les contrats ;
c) L'environnement actuel et prévu des menaces à la sécurité de l'information.
CH-6:Organisation de la sécurité
6.1 Organisation interne:

Objectif : Établir un cadre de gestion pour initier et contrôler la mise en œuvre et le fonctionnement de la sécurité
de l'information au sein de l'organisation.
 Rôles et responsabilités en matière de sécurité de l'information ;
 Séparation des tâches;
 Contact avec les autorités;
 Contact avec des groupes d'intérêt particuliers;
 Sécurité de l'information dans la gestion des projets;

6.2 Appareils mobiles et télétravail:

Objectif : Assurer la sécurité du télétravail et de l'utilisation des appareils mobiles.

 Politique en matière d'appareils mobiles;
 Télétravail .
CH-7: Sécurité liée aux ressources humaines
Il existe un certain nombre de mesures de sécurité à prendre auprès du personnel :
7.1 Avant l’embauche
il est souhaitable de préciser des critères de sélection avant l’embauche en matière de compétence générales
et compétences en sécurité nécessaire pour chaque poste. La norme conseille, de plus, de formaliser dans
les contrats de travail les engagements du futur salarié en matière de sécurité.
7.2 Pendant la durée du contrat
la direction doit faire en sorte que tout le monde adopte un comportement adéquat par rapport à la sécurité
de l’information.
• Publication d’une charte destinée aux utilisateurs,
• Concevoir et formaliser un processus disciplinaire afin de recadrer le personnel.
7.3 A la fin du contrat ou en cas de changement d’emploi
s’assurer que les signataires concernés quittent l’organisation ou changent d’emploi de manière organisée et
que tout l’équipement est retourné et que les droits d’accès ont été effacés.
CH-8: Gestion des actifs
La gestion des actifs informationnels est primordiale. Ces actifs peuvent être :

- Des biens physiques (serveurs, réseau, imprimantes, baies de stockage, poste de travail ..)

- Des informations (data base, fichiers, archives)

- Des logiciels (application ou dispositif)

- De la documentation (politiques, procédures, plans)

La norme recommande de:

 Dresser un inventaire des actifs d’information et préciser par la suite, pour chaque actif, quelle est son utilisation
nominale.

 Classifier l’information: cela met en évidence les actifs les plus sensibles, dans le but de mieux les protéger.

 Manipuler les supports : cette mesure rappelle qu’il est prudent de bien penser les procédures de manipulation
des supports amovibles. La norme rappelle qu’il convient de prévoir une procédure de destruction ou
d’effacement des données lorsque les supports amovibles sont en fin de vie
CH-9:Contrôle d’accès
L’objectif de cette catégorie est de contrôler l’accès aux informations des installations de traitement,
d’information et des processus commerciaux.
9.1 Exigences commerciales du contrôle d'accès
Objectif : Limiter l'accès à l'information et aux moyens de traitement de l'information.
 Politique de contrôle d'accès
 Accès aux réseaux et aux services de réseau
9.2 Gestion de l'accès des utilisateurs
Objectif : Garantir l'accès des utilisateurs autorisés et empêcher l'accès non autorisé aux systèmes et aux
services.
 Enregistrement et désenregistrement des utilisateurs
 Fourniture d'un accès aux utilisateurs et Révision des droits d'accès des utilisateurs
 Gestion des droits d'accès privilégiés
 Gestion des informations secrètes d'authentification des utilisateurs
9.3 Responsabilités des utilisateurs
Objectif : Rendre les utilisateurs responsables de la sauvegarde de leurs informations
d'authentification.
 Utilisation d'informations d'authentification secrètes
9.4 Contrôle d'accès aux systèmes et aux applications
Objectif : Empêcher l'accès non autorisé aux systèmes et applications.
 Restriction de l'accès à l'information
 Procédures de connexion sécurisées
 Système de gestion des mots de passe
 Utilisation de programmes d'utilité privilégiée
 Contrôle de l'accès au code source du programme
CH-10 : Cryptographie
Il existe deux mesures de sécurité :
Politique de chiffrement : cette mesure conseille de chiffrer les informations en fonction de leur
sensibilité et chiffrer les échanges lorsque les liaisons ne sont pas considérées comme sûres.
Gestion des clés : les conséquences liées à la divulgation des clés ou à la perte de celles-ci sont
telles qu’il convient de les protéger de façon adéquate. Les procédures doivent être correctement
formalisées.
10.1 Contrôles cryptographiques
Objectif : Assurer une utilisation correcte et efficace de la cryptographie pour protéger la
confidentialité, l'authenticité et/ou l'intégrité des informations.
 Politique relative à l'utilisation des contrôles cryptographiques
Gestion des clés
CH- 11 : Sécurité physique et environnementale
11.1 Mesure de sécurité des salles machines et des autres locaux de l’organisme :
 Les salles machine doivent être conçues dans les règles de l’art,
 Contrôle d’accès physique doit interdire l’accès à toute personnes non habilitées,
 Protections contre les désastres naturels, contre les attaques malveillantes ainsi que contre les accidents.
11.2 Sécurité des équipements :
 Les services généraux doivent être exploités conformément aux spécifications du fabricant. Le câblage réseau
doit être posé de telle sorte qu’il soit difficile d’intercepter les flux,
 Le matériel doit être maintenu régulièrement afin de prévenir des pannes et de prévoir des procédures
appropriées en vue de la mise au rebut, en fin de vie,
 Les équipements laissés sans surveillance doivent être protégés et les postes de travail doivent être
automatiquement verrouillés.
CH-12 : Sécurité liée à l’exploitation
Ce chapitre aborde de très nombreux domaines et donne pour chacun des recommandations, parmi ces domaines on trouve :

Documentation des procédures d’exploitation : l’entité doit documenter les procédures d’exploitation.

Gestion des changements : cette mesure consiste à planifier les changements, à en apprécier les risques et à prévoir les
procédures de mise en œuvre. Elles consistent aussi à prévoir des retours en arrière en cas de problème, de vérifier que tous
les acteurs impliqués sont informés et que les différents responsables ont donné leur accord pour le changement.

Dimensionnement du système : Il faut vérifier que les nouveaux dispositifs ne vont pas consommer trop de ressources et
surveiller la charge du système et de supprimer les équipements et les données devenues inutiles.

Séparation des environnements : cette mesure consiste à séparer clairement les environnements de production et ceux de
développement. Cette norme recommande de ne pas placer d’informations sensibles dans les bases de tests.

Sauvegardes : la norme donne des conseils sur les sauvegardes et insiste sur le fait que des tests de restauration doivent être
réalisés périodiquement pour s’assurer de l’efficacité des processus de sauvegarde.

Gestion des vulnérabilités techniques : cette mesure consiste à mettre en place une veille en vulnérabilités et à appliquer
dans un délai approprié tout correctif qui serait nécessaire.
 CH-13 :Sécurité des communications
Ce chapitre traite des mesures relatives à la sécurité des réseaux :
13.1 La gestion de la sécurité du réseau : a pour objectif d’assurer la protection de l'information dans les
réseaux et ses installations de traitement de l'information a travers :
*Des Contrôles réseau qui permet de protéger les informations dans les systèmes et les applications .
*Des mécanismes de sécurité, des niveaux de service et des exigences de gestion de tous les services réseau
*Des ségrégations dans les réseaux .
13.2 Le transfert d'informations : cette mesure permet de maintenir la sécurité des informations
transférées au sein d'une organisation et avec toute entité externe a travers :
*Des politiques, procédures et contrôles de transfert officiels : pour protéger le transfert d'informations .
*Un accords sur le transfert sécurisé d'informations commerciales entre l'organisation et les parties externes.
*Des exigences relatives aux accords de confidentialité ou de non-divulgation
CH-14 :Acquisition, développement et maintenance de systèmes
les mesures de sécurité relatifs sont :
14.1 Les exigences de sécurité des systèmes d'information :a pour objectif de garantir la sécurité des
informations tout au long du cycle de vie des systèmes d'information a travers :
*L’analyse et la spécification des exigences de sécurité qui devraient être incluses dans les exigences relatives
aux nouveaux SI ou aux améliorations des SI existants.
*la Sécurisation des services d'application sur les réseaux publics qui doivent être protégées contre les activités
frauduleuses .
*la Protection des transactions des services d'application qui doivent être protégées pour éviter une
transmission incomplète des messages .
 14.2 La sécurité dans les processus de développement et de support
Elle a pour objectif de veiller à ce que la sécurité de l'information soit conçue et mise en œuvre dans le cycle de
développement des systèmes d'information via :
*une politique et des environnements de développement sécurisé ainsi qu’un développement externalisé qui
doit être superviser par l’organisation .
*Des procédures de contrôle des modifications du système au cours du cycle de développement qui doivent
être contrôlées par l'utilisation de procédures formelles de contrôle des modifications .
*une revue technique des applications après les changements de plateforme qui doivent être examinées et
testées pour s'assurer qu'il n'y a aucun impact négatif sur les opérations organisationnelles.
*Des principes d'ingénierie des systèmes sécurisés doivent être établis, documentés, maintenus et appliqués à
tous les efforts de mise en œuvre des SI .
*Des tests des fonctionnalités de sécurité ,des programmes de tests d'acceptation et des critères connexes.

14.3 Les données d'essai

qui assure la protection des données utilisées pour les tests qui doivent être sélectionnées avec soin, protégées et
contrôlées .
 CH-15 : Relation aves les fournisseurs

15.1 Sécurité de l'information dans les relations avec les fournisseurs

 Politique de sécurité de l'information pour les relations avec les fournisseurs : la norme traite l'accès du
fournisseur aux actifs de l'organisation doivent être convenues avec le fournisseur et documentées.
 Prise en compte de la sécurité dans les accords avec les fournisseurs : établir et convenir avec chaque
fournisseur qui peut accéder, traiter, stocker, communiquer ou fournir des composants d'infrastructure
informatique pour les informations de l'organisation.
 Chaîne d'approvisionnement en technologies de l'information et de la communication: il s’agit de mettre en
œuvre un processus de contrôle et des méthodes acceptables pour valider que les produits et services des
technologies de l'information et de la communication livrés respectent les exigences de sécurité énoncées
15.2 Gestion de la prestation de services des fournisseurs

 Suivi et examen des services des fournisseurs : Les organisations doivent régulièrement surveiller,
examiner et vérifier la prestation de services des fournisseurs.
 Gestion des changements apportés aux services des fournisseurs: Les modifications apportées à la
fourniture de services par les fournisseurs, y compris le maintien et l'amélioration des politiques,
procédures et contrôles existants en matière de sécurité de l'information, devraient être gérées en tenant
compte de la criticité des informations commerciales, des systèmes et des processus concernés et de la
réévaluation des risques.
 CH- 16 : Gestion des incidents de sécurité de l'information et améliorations
 Responsabilités et procédures: Les responsabilités et les procédures de gestion devraient être établies pour
assurer une réponse rapide, efficace et ordonnée aux incidents de sécurité de l'information.
 Signalement des événements et les faiblesses liés à la sécurité de l'information: Ces événements doivent être
signalés le plus rapidement possible par les canaux de gestion appropriés. Les employés et les sous-traitants qui
utilisent les systèmes et services d'information de l'organisation doivent être tenus de noter et de signaler toute
faiblesse observée ou suspectée en matière de sécurité de l'information dans les systèmes ou services.
 Évaluation des événements liés à la sécurité de l'information et décision à leur sujet: Ces événements
doivent être évalués et il convient de décider s'ils doivent être classés comme des incidents de sécurité de
l'information.
 Réponse aux incidents de sécurité de l'information: Ces incidents doivent être traités conformément aux
procédures documentées.
 Tirer les leçons des incidents de sécurité de l'information: Les connaissances acquises lors de l'analyse et de
la résolution des incidents de sécurité de l'information devraient être utilisées pour réduire la probabilité ou
l'impact de futurs incidents.
 Collecte de preuves : L’entité doit définir et appliquer des procédures pour l'identification, la collecte,
l'acquisition et la conservation des informations, qui peuvent servir de preuve.
 CH- 17 : Aspects de la sécurité de l'information liés à la gestion de la
continuité des activités
17.1 Continuité de la sécurité de l'information
 Planifier et mise en œuvre la continuité de la sécurité de l'information : L'organisation doit déterminer ses
besoins en matière de sécurité de l'information et de continuité de la gestion de la sécurité de l'information dans
des situations défavorables, par exemple lors d'une crise ou d'une catastrophe. Elle devrait établir, documenter,
mettre en œuvre et maintenir des processus, des procédures et des contrôles pour assurer le niveau de continuité
requis.
 De la continuité de la sécurité de l'information : L'organisation devrait établir, documenter, mettre en œuvre et
maintenir des processus, des procédures et des contrôles pour assurer le niveau de continuité requis pour la
sécurité de l'information lors d'une situation défavorable.
 Vérifier, examiner et évaluer la continuité de la sécurité de l'information :L'organisation devrait vérifier à
intervalles réguliers les contrôles de continuité de la sécurité de l'information établis et mis en œuvre afin de
s'assurer qu'ils sont valables et efficaces dans des situations défavorables.
 17. 2 Redondances

 Disponibilité des installations de traitement de l'information : Les organisations doivent identifier les
besoins des entreprises en matière de disponibilité des systèmes d'information. Lorsque la disponibilité ne peut
être garantie en utilisant l'architecture des systèmes existants, il convient d'envisager des composants ou des
architectures redondantes.
CH-18: Conformité

Afin de garantir une sécurité mise en œuvre et appliquée conformément aux politiques et procédures
organisationnelles l’ISO 27002 conseille les organisations :

• D’identifier les législations applicables dans le pays où se situe l’organisme. Des textes peuvent
formuler des exigences concernant la sécurité des systèmes d’information que l’organisme se doit de
respecter sous peine de poursuites judiciaires ou de pénalités contractuelles.

• De mettre en place un processus de gestion des licences ainsi que des dispositifs pour éviter
l’installation illicite de logiciels.

 De plus la norme aborde la protection des données à caractère personnel et la cryptographie, qui doit
être utilisée conformément aux réglementations locales.
Impact de la norme sur la gouvernance des SI
Alignement stratégique
• Il s’agit de fournir une orientation et un soutien de gestion pour la sécurité de l’information
conformément aux exigences de l’entreprise.

Gestion des risques

• C’est l’impact majeur de la norme sur la gouvernance des SI puisque elle présente le guide
pour implémenter un système de management de la sécurité de l’information. Elle instaure
des mesures de contrôle des différents risques qui peuvent menacer le SI de l’entreprise.

Gestion des ressources

• La norme à énoncé plusieurs mesures de protection et de sauvegardes des différents
ressources de l’entreprise ( humaines, informationnelles, matérielles…)

Création de valeur et mesure de performance

• La certification iso 27002 aide les organisations à améliorer leur position en matière de
sécurité de l'information et à effectuer une évaluation périodique des risques dans une
organisation
 Avantages et limites de la norme
Sa diffusion et sa reconnaissance internationale . Elle ne permet pas de définir quelles sont les
mesures de sécurité à mettre en œuvre en fonction du
L’ensemble des mesures de sécurité qui y sont contexte de l'entreprise. Ainsi, il est aberrant d'imaginer
définies peuvent êtres considérées comme les bonnes qu'il faille mettre en œuvre l'ensemble des mesures de
pratiques actuelles. sécurité décrites dans la norme (pour des questions de
coût et de besoins réels). Il faut démarrer la démarche par
Ce référentiel est très utilisé pour comparer le une analyse des enjeux et des risques.
niveau de sécurité de différentes entités. Audit des
filiales par rapport au référentiel (vue d’ensemble de la Le seconde limite est liée au cycle de normes ISO, en
sécurité). effet une évolution de norme prend environ 5 ans. Dans
le domaine des technologies de l'information, les menaces
Cette norme apporte une image positive auprès des potentielles et les mesures de sécurité liées évoluent plus
actionnaires lorsque l'entreprise tend à maîtriser ses rapidement que cela.
risques pour maximiser ses profits.
Enfin la troisième limite est son hétérogénéité, certains
Aide à l’implémentation de mesures de sécurité : domaines sont trop approfondis, d'autres survolés.).
détails de chaque mesure de sécurité. Nombreuses
suggestions pour faciliter l’implémentation des
mesures.
Conclusion
La norme ISO 27002 version 2013 permet aux organismes qui l’adoptent d’évaluer leurs
risques de sécurité et de clarifier leurs objectifs de contrôle et d’appliquer des mesures
appropriées . Les objectifs de contrôle de sécurité qui y figurent sont formulés de façon
synthétique , offrant ainsi une plus grande souplesse dans l’implémentation .