Section 2 : Cadre Normatif et

Réglementaire

. Qu’est-ce qu’un Système ?

Ensemble d'éléments interconnectés formant un tout.
Identifiable comme une unité distincte.
Évolue dans un environnement spécifique.
Délimité par une frontière séparant le système de son
environnement.
. Qu’est-ce qu’un Système d’information ?
Un ensemble organisé de ressources : matériel, logiciels,
personnel, données et procédures
Contribue à la gestion, au traitement, au transport et à la
diffusion de l’information dans l’entreprise.
Définitions : Management
 Activités de pilotage, de contrôle et d'amélioration
continue de l'organisme.
 Actions et pratiques pour organiser, diriger, superviser et
contrôler les ressources.
 Structures de management adaptées :
 Une personne pour les petits organismes.
 Hiérarchies complexes dans les grands organismes.
Système de Management :
Ensemble de mesures organisationnelles et techniques.
Vise à atteindre un objectif, le maintenir ou le dépasser.
Pourquoi un SM ?
Premier apport : Adoption de bonnes pratiques
 Basé sur des guides spécifiques (qualité, sécurité,
environnement).
  Implique l’obligation d’adopter ces pratiques.
Deuxième apport : Augmentation de la fiabilité
 Résultat direct de l’adoption des bonnes pratiques.
 Favorise l’amélioration continue grâce à la capitalisation
des retours d’expérience.
Troisième apport : Renforcement de la confiance
 Fournit la confiance envers les parties prenantes
(actionnaires, autorités, clients, fournisseurs, partenaires).
 La confiance est essentielle pour toute relation
économique.
Définitions Management de la Sécurité de l’information :
Supervision et prise de décisions pour atteindre les objectifs
métier.
Protection des actifs informationnels de l’organisme.
Formulation et utilisation de politiques, procédures et lignes
directrices en matière de sécurité.
Application de ces mesures à tous les niveaux de l’organisme
et par toutes les personnes associées.
Définitions Norme :
Document de référence d’intérêt industriel basé sur un
processus volontaire.
Approuvé par un organisme reconnu.
Fournit des règles, lignes directrices ou caractéristiques pour
des activités ou leurs résultats.
Garantit un niveau d’ordre optimal dans un contexte donné.
Définitions Processus :
Ensemble d’activités et de ressources liées qui transforment
des éléments entrants en éléments sortants.
Politique : Intentions et orientation d'un organisme telles que
formalisées par sa direction.
Procédures :
Instructions spécifiques expliquant les étapes à suivre.
Décrivent comment mettre en œuvre la politique, les directives
et les normes de soutien.
Conçues pour un environnement d’exploitation.
Ligne directrice :
Directive importante à respecter, bien qu’elle ne soit pas
obligatoire.
Déclaration générale visant à atteindre les objectifs de la
politique.
Fournit l’infrastructure pour l’implantation des procédures.
Politique de sécurité :
Valeurs de l'organisation : Définit les principes fondamentaux
qui guident les décisions en matière de sécurité de
l'information.
Objectifs de sécurité : Précise les buts à atteindre pour assurer
la sécurité de l'information.
Lignes directrices : Indique les orientations et les pratiques à
suivre pour garantir une gestion sécurisée de l'information.
Philosophie de sécurité de l'information : Résume la vision
globale de l'organisation concernant la protection des données
et des informations.
Directives pour la mise en œuvre : Fournit les instructions
nécessaires pour élaborer et appliquer un programme de
sécurité efficace.
Responsabilités : Définit les rôles et responsabilités des
personnes impliquées dans la sécurité de l'information.
Système de Management de la Sécurité de
l’Information :
Composants d'un SMSI : Politiques, procédures, lignes
directrices, ressources et activités associées.
Objectif principal : Protéger les actifs informationnels d'un
organisme.
Approche systématique : Établir, mettre en œuvre, exploiter,
surveiller, réexaminer, maintenir et améliorer la sécurité de
l'information.
Objectif métier : Assurer que l'organisme atteint ses objectifs
métier tout en protégeant l'information.
Appréciation du risque : Utilisation de l'analyse des risques
pour définir les niveaux d'acceptation du risque et traiter
efficacement les risques.
Protection des actifs informationnels : Analyse des exigences de
protection et application de mesures appropriées pour assurer

la sécurité des actifs.

Organisation Internationale de Normalisation :
Organisation : L'ISO (Organisation Internationale de
Normalisation) est une organisation non gouvernementale
basée à Genève.
Membres : Composée de 172 organismes nationaux de
normalisation.
Rôle : Élaboration et publication de normes internationales.
Historique : Créée en 1946, l'ISO a publié plus de 20 000
normes et documents connexes.
Financement : L'ISO est financée par les cotisations des
membres nationaux et la vente de normes.
Collaboration : L'ISO coopère avec la CEI (Commission
électrotechnique internationale) pour établir des normes
mondiales.
Comités spécialisés : Des comités techniques élaborent des
normes pour des domaines spécifiques d'activité technique.
Objectif : Harmoniser les normes techniques entre les pays et
renforcer la confiance des entreprises et des consommateurs.
Représentation égale : 1 vote par pays
Adhésion volontaire : ISO n’a pas d’autorité en tant qu’ONG
pour leur mise en application
Orientation d’affaires : ne développe que des normes qui
comblent des besoins du marché
Approche par consensus des différentes parties prenantes
Coopération internationale :172 pays membres

Avantages de la norme ISO 27001 :

1) Amélioration de la sécurité :
 Amélioration de l'efficacité de la sécurité de l'information
 Couvre les aspects technologiques, organisationnels et
physiques de la sécurité.
 Examen indépendant du SMSI.
 Sensibilisation accrue à la sécurité de l'information.
 Mécanismes de mesure de l'efficacité du SMSI.

2)Bonne Gouvernance :
 Sensibilisation et responsabilisation du personnel
 Réduction des risques de poursuites judiciaires contre les
dirigeants (due care, due diligence).
 Identification des faiblesses du SMSI et amélioration
continue.
  Réduction de l’imputabilité de la direction concernant la
sécurité de l'information.

3) Conformité :
 Conformité aux normes et principes
 Conformité aux principes de l'OCDE (voir annexe B de l'ISO
27001).
 Conformité aux normes d'industrie (ex. PCI-DSS).
 Respect des lois nationales et régionales en vigueur.

4) Réduction des couts :

 Retour sur investissement en sécurité (ROSI) :
 Évaluation financière pour justifier la rentabilité des projets
de sécurité.
 ROSI : gain financier net d'un projet de sécurité tenant
compte de son coût total sur une période donnée.
5) Marketing :
 Avantage concurrentiel
 Satisfaction des exigences des clients et autres parties
prenantes.
 Renforcement de la confiance des clients, fournisseurs et
partenaires.

La norme ISO 27001

Qu’est-ce qu’elle apporte à la sécurité
opérationnelle ?
Collaboration au sein de la DSI et entre les
différents services métier :
La norme ISO 27001 impose de définir le contexte de
l’entreprise et d’identifier les parties prenantes internes et
externes.
Répartition des rôles et responsabilités, sous la responsabilité
de la direction générale.
 La direction générale fixe les rôles et objectifs, obligeant tous
les services à collaborer.
Les instances de contrôle de la norme permettent de vérifier
l'efficacité de la collaboration et de mettre en évidence les
carences.
Suivi des actions :
Les auditeurs ISO 27001 exigent des tableaux de suivi à jour
avec des justifications prouvant que les actions avancent
conformément aux plans.
Des actions mal suivies peuvent entraîner des non-conformités
compromettant la certification.
Prise en compte des évolutions contextuelles et
techniques :
Une revue générale du SMSI doit être réalisée au moins une fois
par an.
La revue évalue les résultats des audits, les tendances des
indicateurs et les incidents de sécurité.
Les changements de contexte, techniques ou organisationnels
doivent être pris en compte, affectant les éléments évalués.
La revue permet de recadrer les processus pour tenir compte
des évolutions.
La revue du système de management est de la responsabilité
de la direction générale.
Industrialisation des processus :
ISO 27001 impose la documentation des procédures, qui
doivent être à jour, accessibles et refléter les pratiques réelles.
Tous les processus de sécurité opérationnelle doivent être
documentés.
La documentation contribue à l’industrialisation des processus.
L’efficacité des processus doit être mesurée via des indicateurs
régulièrement examinés.
Si un processus fonctionne de manière approximative, les
indicateurs détecteront l'anomalie, et des corrections devront
être apportées.

Section 3 : Système de Management De la Sécurité de

l’Information

Objectifs principaux du SMSI :

 Préserver la confidentialité, l’intégrité et la disponibilité des
informations sensibles de l’entreprise.

 Ces notions sont définies dans la norme ISO 13335-1.

Cohérence avec d’autres systèmes de management :

 Le SMSI est aligné avec les systèmes de management de la

qualité, de la sécurité des conditions de travail et de
l’environnement.

Composantes :
 Éléments documentaires : politique, objectifs, cartographie des
processus impactés, activités et mesures de sécurité.
 Description de la méthode d’analyse des risques utilisée.
 Processus impliqués dans la mise en œuvre de la sécurité de
l’information.
 Responsabilités relatives à la sécurité de l’information.
 Ressources nécessaires à la mise en œuvre.
 Activités relatives à la sécurité de l’information.
 Enregistrements issus des activités de sécurité de l’information.
 Mesures prises sur les processus.
 Actions d’amélioration de la sécurité de l’information.

La Nature du Projet :
Caractère transversal du projet de SMSI :

 Implique principalement la DSI, mais aussi la direction des

ressources humaines, les moyens généraux et les services métier
concernés.

 Concerne tous les niveaux hiérarchiques, de la direction générale

aux fonctions d’exécution.

Complexité et gestion du projet :

 Couvre des domaines variés : techniques et organisationnels.

 Entraîne la mise en place de nombreux processus.

 Nécessite un découpage en grandes phases et sous-projets.

 Les sous-projets sont souvent conduits par des personnes

différentes, rendant la lisibilité globale difficile.

Le Chef du Projet :
Qui charger pour orchestrer la mise en place du
SMSI ?
Profil : personne spécialisée dans la conduite de projets concernant la
sécurité

Compétences : être en mesure de trancher sur les questions relatives à

la sécurité

Qualités : sens de l’organisation, charisme

Savoir-faire : piloter un projet

Formation : ISO 27001 LI ou/et ISO 27001 LA

 Les interlocuteurs :
Rôle de la Direction Générale :
 Présenter et quantifier les apports du SMSI.

 Évaluer avec précision les coûts humains et financiers du projet.

Implication des techniciens :

 Gagner leur confiance et favoriser leur adhésion.

 Avoir un background technique pour les convaincre que le SMSI

valorise la technique.

 Utiliser la formation comme levier.

Engagement des utilisateurs :

 Leur adhésion est essentielle pour le succès du projet.

 Sensibiliser aux apports du SMSI en termes d’amélioration continue

et de gestion des incidents.

Coût et Suivi du Projet :

Besoins du chef de projet SMSI :

 Avoir une vision claire du projet pour un pilotage optimal.

 Maîtriser les coûts du projet.

Solution :

 Décomposer le projet en quatre grandes phases.

Phase1 : analyse préalable

Phase 2 : mise en place de la structure de base

Phase 3 : mise en place des processus du SMSI

Phase 4 : démarrage du SMSI

Erreurs à éviter
Travailler sans l’appui de la DG Travailler seul

Ne pas mettre en place la structure de base

Se tromper de périmètre

Déclaration d’applicabilité

Faire de la procédure
Approche séquentielle :
Principe : Suivre scrupuleusement et d’une façon séquentielle
les exigences de la norme dans l’ordre affiché des chapitres.
Inconvénients : Démarche dangereuse : ne prend pas en
compte quelques paramètres
La réalité du terrain : Commence par fixer la politique de
sécurité et le périmètre du SMSI n’est pas toujours la bonne
démarche.
Les mesures déjà existantes : il ne faut pas se lancer tête
baissée dans une appréciation des risques en faisant
abstraction de l’existant.
La définition des priorités : l’amélioration continue en dernière
position
La nécessité de paralléliser les tâches : la norme présente les
exigences de façon séquentielle, sans préciser quelles tâches
peuvent être conduites en parallèle
Certaines tâches manquantes : la norme n’est pas un document
« projet », elle décrit le SMSI tel qu’il doit être une fois en
production.
Approche projet :
Principe : Prendre toutes les libertés nécessaires pour garantir le succès du
projet Contraintes:

Exigences de la norme : clauses 4 à 10 sans exception

Modèle PDCA : au niveau global, au niveau des processus, au niveau des

mesures de sécurité

Cohérence générale : entre périmètre, Politique de Sécurité, appréciation

des risques, mesures mises en place

Peu importe dans quel ordre seront montées les différentes briques du
projet, pourvu qu’à l’arrivée, le SMSI satisfasse ces 3 contraintes
fondamentales.
Section 4 : Contexte de l’organisme Périmètre du SMSI
Politique de Sécurité

Contexte de l’organisme :

Périmètre (Domaine d’application) du SMSI :

Contraintes normatives sur le périmètre :

Tient compte de :

a) enjeux externes et internes tels qu’ils ont été précisés dans le contexte

b) attentes des parties prenantes

c) interfaces et dépendances existant entre les activités réalisées par

l’organisation et celles réalisées par d’autres organisations.

Le domaine d’application doit être disponible sous forme d’information

documentée

Définition du périmètre :

Concrètement, l’objectif est de donner en un paragraphe une idée aussi

claire que possible du périmètre du SMSI.

Pour ce faire, il convient d’énumérer :

La liste des sites

La liste des unités organisationnelles et des activités concernées par le

périmètre

Les technologies utilisées

Les limites :

Clarifier les interfaces entre l’intérieur et l’extérieur du SMSI.

Faciliter la perception du système de management.

Éviter les malentendus.

Politique de Sécurité :

(Source : ISO 27001 Clause 5.2)

La direction doit établir une politique de sécurité de
l’information qui:
a) est adaptée à la mission de l’organisation ;
b) inclut des objectifs de sécurité de l’information (voir 6.2) ou
fournit un cadre pour l’établissement de ces objectifs ;
c) inclut l’engagement de satisfaire aux exigences applicables
en matière de sécurité de l’information ;
 d) inclut l’engagement d’œuvrer pour l’amélioration continue
du système de management de la sécurité de l’information.
La politique de sécurité de l’information doit :
e) être disponible sous forme d’information documentée ;
f) être communiquée au sein de l’organisation ;
g) être mise à la disposition des parties intéressées, le cas
échéant.
Définition ANSSI:
Reflète la vision stratégique de la direction en matière de
sécurité des systèmes d’information (SSI) et de gestion des
risques SSI.
Décrit les éléments stratégiques : enjeux, référentiel, besoins
de sécurité, menaces, et règles applicables à la protection du
SI.
Informe la maîtrise d’ouvrage et la maîtrise d'œuvre sur les
enjeux et les choix en gestion des risques.
Vise à susciter la confiance des utilisateurs et partenaires
envers le système d’information.
Dimension stratégique :
 Document exprimant les orientations de l’équipe de direction.

 Approche top-down pour fixer les enjeux et cadrer les actions de

réduction des risques.

 Représente l’expression des dirigeants de l’entreprise.

Outil de communication :
 Informe les équipes métier (MOA) et les équipes de conception
(MOE) sur les choix en matière de SSI.

Socle commun de confiance :

 Définit les mesures prises face aux risques pour rassurer
collaborateurs et prestataires.

 Favorise la création de valeur et facilite les collaborations avec

l’écosystème de l’entreprise.
 Vision stratégique :

 Reflète les orientations de la direction en matière de SSI et de

gestion des risques.

 Décrit les enjeux, le référentiel, les besoins de sécurité, les menaces,

et les règles applicables.

Contenu concret :

 Définition des enjeux, champ d’application, et inventaire des biens à

protéger (physiques et organisationnels).

 Analyse du contexte réglementaire et des risques pesant sur le SI.

 Traduction des enjeux en exigences et mesures de sécurité.

Politiques synthétiques :

 Contient les points remarquables de l’organisme et les grandes

lignes à respecter.

 Document court, généralement entre 10 et 15 pages.

Politiques exhaustives :

 Approfondit les détails, avec une structure alignée sur la norme ISO
27002.

 Comprend 14 chapitres, 35 sous-chapitres, et 114 articles.

 Document plus long, de 30 à 40 pages ou plus.

Ancienne approche :

 Basée sur l’ancienne norme ISO 27001.

 Consistait en un engagement de la direction générale, tenu sur une

seule page.

Contraintes normatives sur la politique du SMSI :

Objectifs de sécurité de l’information :
 Protéger les actifs d’information contre les altérations volontaires ou
accidentelles de :

o Confidentialité

o Disponibilité

o Intégrité
  Mettre en place un SMSI pour une protection
appropriée.
Engagement à satisfaire les exigences de sécurité :
 Respecter les exigences en matière de SSI : Intégrer les
attentes des parties prenantes décrites dans le document «
description du contexte ».

Section 5 : Appréciation des risques

(Source : ISO 27005 Clause 8.1)

L'appréciation des risques détermine

:

La valeur des actifs informationnels

identifie les menaces et les vulnérabilités
applicables existantes (ou susceptibles
d'exister) .

Identifie les mesures de sécurité

existantes et leurs effets sur le risque
identifié

Détermine les conséquences potentielles

Hiérarchise les risques dérivés

Classe les risques ainsi obtenus par ordre de priorité en

cohérence avec les critères d'évaluation du risque définis lors de
l'établissement du contexte.

Origine et méthodologies :

 Discipline antérieure aux systèmes de management.

 Nombreuses méthodes disponibles pour traiter les risques.

Problématiques rencontrées :

 Comment inventorier les actifs ?

 Comment évaluer les risques ?

 Qu’est-ce qu’un niveau de risque ?

Nature de la discipline :

 Nécessite une pratique approfondie.

  La théorie ne remplace pas l’expertise et le savoir-faire.

Approche proposée :

 Présentation théorique de l’ISO 27005.

 Pistes concrètes pour résoudre les difficultés courantes en

appréciation des risques.

Processus de gestion du risque :

Cadre de Gestion du Risque dans un SMSI :
Formalisation d’une procédure :

Décrit tous les aspects organisationnels liés à la gestion du risque.

Complète la méthode d’appréciation des risques.

Points essentiels à résoudre :

Responsabilités :

Qui pilote le processus ?

Qui valide l’appréciation technique ?

Qui audite le processus ?

Niveaux de risque :

Définition et validation des niveaux.

Décision sur le niveau acceptable.

Revue :

Fréquence et responsable de la révision du processus.

Traitement du risque :
Différents traitements possibles.

Critères de décision et procédure pour accepter ou refuser des risques

résiduels.

Communication :

Assurer la communication entre analystes des risques et parties

prenantes.

Alignement sur les critères de risque.

Condition préalable :

Ces points doivent être établis et validés avant de passer à l’étape

suivante.

Choisir une méthode d’appréciation des risques :

1. Compatibilité avec l’ensemble des critères requis par ISO

27001
2. Langue de la méthode : il est essentiel de maitriser le
vocabulaire employé

[Link] d’outils logiciels facilitant l’utilisation

[Link], formation, soutien, disponibilité de main

d’œuvre qualifiée 5. [Link]é d’utilisation et pragmatisme de
la méthode

[Link]ût d’utilisation

[Link] de moyens de comparaison (métriques, études de

cas)

Exemples de Méthodes d’Analyse de Risque :

 EBIOS (Expression des Besoins et Identification des Objectifs

de Sécurité) :

o Créée par la DCSSI (France).

o 5 phases :

1. Étude du contexte.

2. Expression des besoins.

3. Étude des menaces.

4. Identification des objectifs.

5. Détermination des exigences.

  MEHARI (Méthode Harmonisée d’Analyse de Risque) :

o Développée par CLUSIF en 1995.

o Phases :

1. Analyse des enjeux.

2. Classification des entités du SI selon 3 critères

(CID).

3. Audit des vulnérabilités.

4. Analyse des risques.

 OCTAVE (Operationally Critical Threat and Vulnerability

Evaluation) :

o 3 phases :

1. Profil des besoins de sécurité.

2. Étude des vulnérabilités.

3. Élaboration de la stratégie et du plan de sécurité.

 CRAMM (CCTA Risk Analysis and Management Method) :

o 3 phases :

1. Définition des valeurs mises en péril.

2. Analyse des risques et vulnérabilités.

3. Définition et choix des mesures de sécurité.

La norme ISO 27005 : structure :

Chapitre 7 : établissement du contexte
(7.2) Fixation des critères :
 Définir les critères d’évaluation, d’impact et d’acceptation
des risques.
(7.3) Définition du périmètre :
 Identifier le périmètre et les limites de la gestion des
risques.
 Appliquer le périmètre du SMSI si l’appréciation des
risques est faite dans ce cadre.
(7.4) Rôles et responsabilités :
 Désigner les personnes chargées de :
o Réaliser l’appréciation des risques.
o Coordonner le travail.
o Valider les risques.
Chapitre 8
Ce chapitre est le plus important en volume et contient les
grandes étapes de la démarche.
Il distingue plusieurs notions.
L’appréciation des risques se compose de deux parties :
 L’analyse du risque :
o Identification du risque.
o Estimation du risque.
 L’évaluation du risque.
Identification des actifs (8.2.2) :
 Faire l’inventaire de tous les actifs entrant dans le
périmètre.
 Assigner un responsable (ou « propriétaire ») à chaque
actif.
 Attribuer une valeur à chaque actif.
 Le niveau de granularité des actifs peut être affiné.
 Ce point a déjà été abordé au chapitre 2 et sera développé
plus loin pour ses aspects concrets.
Identification des menaces (8.2.3) :

 Les menaces peuvent être accidentelles ou provenir de l’intérieur ou

de l’extérieur.
 Les entretiens avec les responsables des actifs ou l’étude des
incidents passés peuvent aider à identifier les principales menaces.
 L’identification peut s’appuyer sur un référentiel de menaces types
(voir annexe C de la norme ISO 27005).
Identification des mesures de sécurité existantes
(8.2.4) :
 De nombreuses mesures de sécurité sont déjà en place avant
l’appréciation des risques.

 Les entreprises n’attendent pas l’appréciation des risques pour

mettre en place les mesures de sécurité incontournables.

 L’ISO 27005 stipules qu'il faut faire l’inventaire des mesures de

sécurité déjà déployées.

 Cela peut être fait en consultant la documentation, en s’entretenant

avec les responsables des actifs, ou en analysant des rapports
d’audit.

 Il est possible de prendre en compte des mesures de sécurité non

encore en place, mais programmées.

Identification des vulnérabilités (8.2.5) : il s’agit généralement

de propriétés intrinsèques des biens qui font que ces derniers sont
exposés à des menaces.

Identification des conséquences (8.2.6) :

On introduit ici la notion de « scénario d’incident ».

Un scénario d’incident est la description d’une menace exploitant une

vulnérabilité. L’impact de cet incident doit être identifié.

Cela conduit à la création d’une liste d’incidents, avec leurs impacts

respectifs.

Un scénario d’incident peut affecter un ou plusieurs actifs.

Appréciation des conséquences (8.3.2) :

 Quantifier les conséquences des scénarios identifiés précédemment.

 La valorisation des conséquences est liée à la valeur des actifs

concernés.

 Les conséquences seront plus graves pour des actifs jugés très
importants que pour des actifs de moindre valeur.

Estimation de la vraisemblance des incidents (8.3.3) :

 Réfléchir à la vraisemblance de l’occurrence des scénarios.

 L’estimation peut tenir compte du contexte, des incidents passés,

des sources de menaces, des mesures de sécurité en place et de
leur efficacité.
Estimation du niveau de risque ([Link]) :

 Mettre en relation les conséquences des scénarios avec leur

vraisemblance.

 Dresser une liste de risques et leur assigner une valeur, ce qui

constitue les « niveaux de risque ».

Évaluation du risque (8.4) :

 Après les étapes précédentes, dresser une liste de risques valorisés

et classés par importance.

 C’est l’évaluation du risque.

Chapitre 9: Traitement du risque :

Traitement du risque : Les quatre traitements possibles sont :

 Réduction (9.2).

 Maintien (9.3).

 Évitement (9.4).

 Transfert (9.5).

Vocabulaire :

 Dans l’ISO 27005 (9.3), le « maintien du risque » signifie ne rien faire

de particulier pour le réduire ou le transférer, ce qui est appelé «
acceptation du risque » dans l’ISO 27001 (4.2.1.f.2).

 Dans ce contexte, « maintien » et « acceptation » ont le même sens.

Chapitre 10: Acceptation du risque

Les traitements du risque conduisent à l’identification et l’estimation des
risques résiduels, c’est-à-dire les risques restant après traitement
(généralement après l’application des mesures de sécurité).

La direction décide des risques à accepter, en motivant ses décisions par

écrit.

Bien que la plupart des décisions soient guidées par les critères
d’acceptation des risques définis au chapitre 7.2 de la norme ISO 27005, la
direction peut faire des exceptions et accepter des risques ne respectant
pas ces critères prédéfinis.

Chapitre 11: Communication

Aspect important de la démarche ISO 27005 :
  S'assurer que toutes les personnes impliquées dans l’appréciation
des risques disposent des informations nécessaires pour décider.

 La communication permet à chacun d’avoir conscience des risques.

Surveillance, revue, amélioration (12) :

 L’appréciation des risques est effectuée à un instant donné et

conditionne les mesures de sécurité à déployer.

 La gestion du risque n’est pas statique, c’est un processus à

entretenir dans la durée.

 L’environnement de l’entreprise évolue constamment, modifiant le

contexte, les menaces, les vulnérabilités et, donc, les risques.

 Il est nécessaire de surveiller et d’améliorer en permanence

l’appréciation des risques.

Comment procéder à l’appréciation des risques ?

La réponse dépend de la situation de l’entreprise.

Certaines vérifications seront nécessaires si une démarche d’appréciation

des risques existe déjà.

Sinon, il faudra choisir entre une démarche dite « canonique » et une

démarche dite « pragmatique ».

Différentes approches
Une appréciation des risques existe déjà :
 Une appréciation des risques existante ne dispense pas de réaliser
une spécifique au SMSI.

 Certaines sociétés procèdent régulièrement à des appréciations des

risques, mais elles concernent souvent des domaines particuliers
(risque opérationnel, risque crédit, etc.) qui ne sont pas directement
exploitables pour le SMSI.

 Une appréciation des risques propre au système d’information est

nécessaire, mais la méthodologie et les référentiels existants
peuvent être réutilisés avec des adaptations.

Vérifications à effectuer si une appréciation des risques

propre au système d’information existe déjà :
 Conformité : Vérifier que la démarche respecte les exigences de la
norme (clauses 6.1.1 à 6.1.3).
  Périmètre : S'assurer que l’appréciation couvre le périmètre du SMSI
et non seulement celui du projet antérieur. Si les périmètres sont
trop différents, recommencer l’appréciation.

 Actualité : Vérifier la date de l’appréciation et les changements

intervenus dans l’entreprise. Si trop de changements ont eu lieu,
repartir de zéro.

Mise à jour de l’appréciation des risques :

 Si l’appréciation est exploitable, la mettre à jour en ajoutant les
actifs du SMSI manquants et en prenant en compte les changements
survenus dans l’environnement.

 Comparer les mesures de sécurité sélectionnées à l’époque avec

celles de l’annexe A pour obtenir une appréciation conforme à l’ISO
27001.

Approche pour les sociétés sans appréciation des

risques préalable :
 De nombreuses sociétés découvrent l’appréciation des
risques lors du projet de SMSI. Une approche spécifique doit
être adoptée dans ce cas.

 Démarche « canonique » :
o Basée strictement sur les exigences de la norme.

o L’article 6.1.2 impose plusieurs critères pour l’appréciation des

risques :

1. Établir des critères d’acceptation des risques.

2. Assurer la cohérence, la validité et la comparabilité des

résultats.

3. Identifier les risques de sécurité de l’information.

4. Identifier les propriétaires des risques.

5. Apprécier les conséquences potentielles des risques.

6. Déterminer les niveaux de risque.

7. Comparer les résultats avec les critères de risque.

8. Prioriser les risques.

 o L’article 6.1.3 complète les exigences :

1. Choisir les options de traitement des risques.

2. Déterminer les mesures de sécurité nécessaires.

3. Vérifier la conformité avec l’Annexe A de la norme ISO

27001.

4. Rédiger une déclaration d’applicabilité SoA.

5. Élaborer un plan de traitement des risques.

6. Valider les risques résiduels avec les propriétaires.

7. Entériner le plan de traitement du risque.

o La lecture stricte de la norme donne des pistes mais ne suffit

pas pour construire une méthode complète, une autre
stratégie est nécessaire.

 Démarche « pragmatique » :
o Situations difficiles pour le chef de projet :

 Risque de désaveu des équipes en place.

 Risque d’abandon par la direction.

Difficultés courantes de l’appréciation des

risques

Commencer l’appréciation :
 Si l’entreprise n’a jamais effectué d’appréciation des risques, il faut
d’abord choisir une méthode.

 Quelle que soit la méthode, un travail d’appropriation est nécessaire.

 Il est illusoire d’espérer trouver une méthode applicable

immédiatement avec tous les bons critères et définitions .

Approche à suivre :
  S'inspirer de la démarche du poète António Machado : « Le chemin
se fait en marchant ».

 Le responsable commencera par identifier 3-4 actifs qu’il connaît

bien et appliquera la méthode sur ces actifs (valorisation,
identification des vulnérabilités et des menaces).

 Les difficultés apparaîtront : comment valoriser un actif ?

Quelle formule de calcul utiliser pour le risque ?

 Par tâtonnements successifs sur ces actifs, la méthode se

stabilisera.

Formalisation de la méthode :
 Une fois les critères stabilisés, les tester sur 2-3 autres actifs.

 Formaliser par écrit tous les détails de la démarche pour que

n'importe quelle personne sans expérience puisse évaluer les
risques en suivant la méthode.

 Après la formalisation, procéder à l’appréciation des risques pour

l’ensemble des actifs.
Une fois que la méthode d’appréciation des risques a été
définie, le problème qui se pose inévitablement est celui de
l’inventaire des actifs. Qu’est-ce qu’un actif d’information ?
Quel niveau de granularité choisir ?
Ce problème est d’autant plus inconfortable qu’il survient dès le
début de l’analyse.
Inventaire des actifs
Se servir autant que possible de l’existant :
 Faire l’inventaire des actifs est un travail long ; il faut tirer profit des
éléments déjà disponibles dans l’entreprise.

 Plan de continuité de l’activité (PCA) : Si un PCA existe, on peut

utiliser son inventaire des actifs sensibles pour l’appréciation des
risques du SMSI, mais il faut vérifier sa mise à jour et son périmètre.

 Inventaires existants : Les services généraux et la DSI

disposent déjà de listes d’actifs, mais ces inventaires ne couvrent
pas tous les éléments nécessaires à l’appréciation des risques.

 ITIL : Si la démarche ITIL est en place, la base de données CMDB

est une source importante d’informations, mais il faut vérifier que
son périmètre correspond à celui du SMSI et ajouter les actifs non
informatiques.

Nombre d’actifs :
 L’objectif est d’avoir une appréciation des risques pertinente
(recensant tous les actifs importants) et exploitable (ne pas trop
d’actifs à gérer).

 Une appréciation avec moins de 50 actifs est peu crédible, mais plus
de 100 actifs devient difficile à maintenir.

Granularités variables :
 Il est possible d’avoir différents niveaux de granularité pour les actifs
: plus générique pour les moins sensibles et plus détaillé pour les
plus importants.

 Exemple : Pour une caisse de retraite, les actifs primaires (par

exemple, liquidation de retraite et paiement des échéances) seront
détaillés, tandis que les services secondaires (comme les bourses
d’études) ne nécessitent pas un niveau aussi détaillé.
  Actifs support : Pour les actifs primaires, des actifs support comme
les codes sources ou les procédures d’exploitation peuvent être
ajoutés.

 Cette approche permet de ne pas surcharger l’inventaire tout en

restant précis sur les actifs importants.

Valoriser les actifs :

 C'est une étape cruciale pour l’appréciation des risques, car la
valeur d'un actif détermine le niveau de risque et les moyens
nécessaires pour le protéger.

Méthodes de valorisation des actifs :

1. Par le coût :
o Valeur d’achat, valeur résiduelle ou de remplacement.

o Inconvénient : ne permet pas de valoriser des actifs sensibles

comme le fichier clients.

2. Par les conséquences d’une compromission :

o Évaluation des conséquences d'une perte de confidentialité,
de disponibilité ou d’intégrité sur l’actif.

o Mesurée quantitativement ou qualitativement.

o Permet une triple évaluation pour chaque propriété de sécurité

(disponibilité, confidentialité, intégrité).

3. Par les contraintes :

o Focalisation sur les contraintes auxquelles l’actif est soumis
(exemple : délai de rétablissement du service).

Exemple d’application :
 Vente par correspondance : Si le service doit être rétabli en 10
minutes, la valeur de l’actif (disponibilité) sera très élevée. Si le délai
est de 48 heures, la valeur sera moindre.

Valorisation par les conséquences et les contraintes :

 Cette méthode est plus couramment utilisée que la valorisation par
coût, car elle répond mieux aux besoins du SMSI.

 Il est possible de concevoir des critères tenant compte des

conséquences, des contraintes et d’autres critères comme la
traçabilité.
Exemples de valorisation :
1. Catalogue : (0,1,4) :
o Confidentialité : 0 (aucune conséquence pour la perte de
confidentialité).

o Intégrité : 1 (perte financière inférieure à un jour de CA).

o Disponibilité : 4 (remise en ligne nécessaire dans la journée).

2. Fichier clients : (4,2,2) :

o Confidentialité : 4 (divulgation entraîne une perte supérieure à
un mois de CA).

o Intégrité : 2 (perte d’une semaine de CA).

o Disponibilité : 2 (perte de disponibilité supportable pendant

une semaine).

Estimation du niveau des risques

Estimation du risque :
 Attribue des valeurs à la vraisemblance et aux impacts
(conséquences) d’un risque.
Estimation qualitative :
 Utilise une échelle d’attributs qualificatifs pour décrire l’ampleur des
conséquences (par exemple : faible, moyenne, élevée) et la
vraisemblance (probabilité d’occurrence).

 Souvent utilisée en premier pour obtenir une indication générale du

niveau de risque et mettre en évidence les principaux risques.

Estimation quantitative :
 Utilise une échelle avec des valeurs pour les impacts et la
vraisemblance, basée sur des données provenant de différentes
sources.

Risque estimé :
 Résulte de la combinaison de la vraisemblance d’un incident et de
ses impacts.

Gravité du risque : La valeur de la gravité du risque est

l’intersection de la valeur d’impact et de la vraisemblance d’un risque
donné. ( voir page 77)

Evaluation des risques

Critères d’évaluation du risque :
 Les critères utilisés pour l’évaluation doivent être
cohérents avec le contexte interne et externe de gestion
du risque en sécurité de l’information.
 Ils doivent également prendre en compte les objectifs de
l’organisme.
Décisions basées sur le niveau acceptable du risque :
 Les décisions prises lors de l’évaluation du risque sont
essentiellement basées sur le niveau acceptable du risque.
Exigences légales et réglementaires :
 Elles sont des facteurs essentiels à prendre en compte, en
plus des risques estimés.
Estimer le risque
Estimation du risque :
 Après valorisation des actifs, il faut évaluer les risques en
tenant compte de leur vraisemblance.
 La vraisemblance peut être exprimée par une note, une
probabilité, ou des niveaux (nul, faible, moyen, élevé).
Facteur d’exposition :
 Certaines méthodes incluent un facteur d’exposition du
bien aux menaces, mais cela n’est pas exigé par la norme
et peut être évité si non nécessaire.
Calcul du niveau de risque :
 Une fonction est définie pour relier la valeur de l’actif et la
vraisemblance des menaces.
 La méthode la plus courante consiste à multiplier la valeur
de l’actif par la vraisemblance de la menace.

Formule de calcul du niveau de risque :

 Le niveau de risque est calculé en multipliant la
vraisemblance par le maximum des valeurs de
confidentialité, intégrité, et disponibilité de l’actif :
Risque = Max (Confidentialité, Intégrité,
Disponibilité) × Vraisemblance.
Exemples d'application :
 Catalogue : Si la menace de divulgation a une
vraisemblance de 3 :
Max (0,1,4) × 3 = 12.
 Fichier client : Si la menace de divulgation a une
vraisemblance de 2 :
Max (4,2,2) × 2 = 8.
Mesures de sécurité :
Formule de calcul du niveau de risque :
 Le niveau de risque est calculé en multipliant la
vraisemblance par le maximum des valeurs de
confidentialité, intégrité, et disponibilité de l’actif :
Risque = Max (Confidentialité, Intégrité,
Disponibilité) × Vraisemblance.
Exemples d'application :
 Catalogue : Si la menace de divulgation a une
vraisemblance de 3 :
Max (0,1,4) × 3 = 12.
 Fichier client : Si la menace de divulgation a une
vraisemblance de 2 :
Max (4,2,2) × 2 = 8.
Etablir des niveaux de risque :
Erreur courante dans la définition des niveaux de
risque :
 Définir les niveaux de risque directement à partir de l’échelle
d’appréciation des risques.

 Exemple : méthode graduant les risques sur une échelle de 40,

divisée arbitrairement :

o 0 à 10 ➙ Risque bas.

o 11 à 20 ➙ Risque modéré.

o 21 à 30 ➙ Risque élevé.

o Plus de 30 ➙ Risque très élevé.

 Problème : approche arbitraire et déconnectée de la réalité.

Rôle de la direction générale :

 Définir les niveaux de risque :
o Indépendamment du SMSI et de l’appréciation des risques.

o En utilisant un langage aligné sur les préoccupations réelles de

l’entreprise.

 Support du responsable SMSI :

o Aider à structurer et formuler les niveaux de risque.
 Exemple de définition des niveaux de risque :
 Niveau moyen :
o Perte d’une semaine de chiffre d’affaires.

o Perte d’un ou plusieurs clients non stratégiques.

o Procédure de règlement de conflit à l’amiable.

Alignement des risques :

 Relier les niveaux de risque définis par la direction aux risques
identifiés lors de l’appréciation.

 Objectif : garantir une correspondance entre l’appréciation des

risques et la réalité de l’entreprise.

Outil recommandé :
 Tableau de correspondance pour mettre en
relation :
o Les niveaux de risque définis par la direction.

o Les risques identifiés dans l’appréciation.

Définir les risques acceptables

Critères pour définir le niveau de risque
acceptable :
 Critère d’impact :
o Estime la gravité des conséquences (financières ou
opérationnelles) d’incidents de sécurité.

o Plus le risque est élevé, plus l’impact est important.

o La direction doit déterminer le niveau de risque qu’elle peut

assumer.

 Critère de coût :
o Réduction des risques nécessite des mesures de sécurité,
augmentant le coût de construction et d’exploitation du SMSI.

o Le coût des mesures influence principalement la décision.

Définition du niveau de risque acceptable :

 Aucun risque identifié ne doit dépasser le niveau fixé.
  Exceptions possibles si les moyens nécessaires à la réduction du
risque sont jugés trop coûteux.

 Décision d’exception doit être motivée et consignée.

Exemple d’exception tolérée :

 Contexte : Société avec un réseau mal cloisonné.
 Situation :

o Risque d’intrusion évalué à 30, supérieur au niveau acceptable

de 25.

o Budget informatique insuffisant pour restructurer le réseau.

o Déménagement prévu avec construction d’un nouveau réseau.

 Décision :
o La direction accepte de maintenir le réseau tel quel sans
ajouter de mesures de sécurité, en justifiant cette tolérance
par le contexte temporaire.

Section 6 : La déclaration d’applicabilité (SoA)

Choisir les mesures de sécurité : (Source: ISO 27001

Clause 6.1.3)
Détermination des mesures nécessaires :
 Identifier les mesures requises pour mettre en œuvre les options de
traitement des risques choisies.

 Les mesures peuvent être conçues par l’organisation ou identifiées à

partir de sources externes.

Comparaison avec l’Annexe A :

Production d’une déclaration d’applicabilité :
 Inclure les mesures nécessaires avec justification de leur inclusion.

 Préciser si elles sont mises en œuvre ou non.

 Justifier l’exclusion de mesures de l’Annexe A, le cas échéant.

  Déclaration d’applicabilité (SoA) :
o Liste des mesures de sécurité de l’Annexe A qui
seront appliquées dans le cadre du SMSI.
o Étape cruciale qui influence toute la construction du
système de management.
 Importance du soin dans la sélection :
o La sélection ou l’exclusion des mesures doit être
rigoureuse et basée sur des critères clairs.
o Évaluer l’impact des mesures retenues ou écartées.
 Alignement avec le SMSI :
o Les critères de sélection doivent être cohérents avec
le périmètre et la politique du SMSI.
Définition de la déclaration d’applicabilité
La norme ISO 27001 impose la rédaction d’une
déclaration d’applicabilité (SoA) (Source : ISO 27001
Clause 6.1.3-d)
La déclaration d’applicabilité contient :
 La liste des mesures de sécurité nécessaires
  La justification de leur insertion
 Le fait qu’elles soient mises en œuvre ou non
 La justification de l’exclusion de mesures de l’annexe A

Section 7 : DOCUMENTATION DU SMSI

Exigences normatives
ISO 27001 A.5.1 : Politiques de sécurité de
l'information :
 Définir et approuver des politiques de sécurité de
l'information générales et thématiques.
 Publier, communiquer, et confirmer leur compréhension
par le personnel et les parties concernées.
 Réviser à intervalles planifiés ou en cas de changements
significatifs.
ISO 27001 A.5.10 : Utilisation correcte des informations
et actifs associés :
 Identifier, documenter, et mettre en œuvre des règles
d'utilisation correcte et des procédures de traitement des
informations et autres actifs.
ISO 27001 A.5.37 : Procédures d'exploitation
documentées :
  Documenter les procédures d'exploitation des moyens de
traitement de l'information.
 Les mettre à disposition du personnel concerné.
 La documentation est une exigence de la norme
 La norme ne précise pas la forme.
 Papier
 GED
 Format électronique dans un répertoire partagé au sein
d’un serveur de fichiers
 Format électronique dans un répertoire partagé dans un
cloud d’entreprise.
 Contrainte à respecter : formaliser une procédure de
gestion de la documentation décrivant la manière dont la
documentation du SMSI sera gérée.
Les points devant être abordés dans cette procédure
sont très précis. Aucune procédure type n’étant imposée
l’implémentera reste libre dans leur mise en œuvre.

Types de documents

Les documents de politique : ils fixent les objectifs à atteindre dans un

domaine particulier.

Les documents de procédure : ils décrivent les activités relatives à un

processus bien défini.

Les enregistrements : ils sont la preuve que les procédures

fonctionnent comme convenu. Ils peuvent prendre des formes très
variées :

 Bordereaux signés
 Formulaires remplis
 Entrées dans un fichier de journalisation applicative
 Journaux système et réseau
 Comptes rendus d’exécution
 Comptes rendus de réunion
Documents à rédiger

 Description du contexte de l'organisme.

 Identification des parties prenantes et de leurs attentes.
 Périmètre du SMSI.
 Politique de sécurité du système d'information.
 Objectifs de sécurité.
 Méthode d'appréciation des risques, incluant les critères
d'acceptation des risques.
 Rapport de l'appréciation des risques.
 Plan de traitement des risques.
 Déclaration d'applicabilité (DdA).
 Procédures en support du SMSI (articles 4 à 10 de la norme).
 Procédure de gestion des documents (création, validation, mise à
jour, accès, retrait des documents du SMSI).
 Approbation des risques résiduels par les propriétaires des risques
(souvent dans le compte rendu d’un comité de direction).
 Approbation du plan de traitement des risques par les propriétaires
des risques (souvent dans un compte rendu de comité de direction).
  Procédure de sensibilisation et de formation à la sécurité
(sensibilisation du personnel et organisation des formations,
programme de sensibilisation et plan de formation).
 Procédure d'audits internes (planification, organisation, suivi des
audits, programme d'audits).
 Procédure de revue de direction (révision du SMSI).
 Procédures en support des mesures de sécurité sélectionnées dans
l'annexe A.

Erreurs à éviter

 La procédure ne décrit pas la réalité

 La procédure de gestion des documents n'est pas
appliquée
 La numérotation des documents est incohérente
 Seuls les documents Word comportent un cartouche
 Les procédures et les enregistrements sont dispersés

Section 8 : Indicateurs du SMSI

Exigences normatives

Clause 9.1 (Surveillance, mesures, analyse et

évaluation) :
 L'organisation doit évaluer les performances de sécurité de
l'information et l'efficacité du SMSI.
 L'organisation doit déterminer :
 Ce qu'il est nécessaire de surveiller et de mesurer, y compris les
processus et les mesures de sécurité de l'information.
 Les méthodes de surveillance, de mesurage, d'analyse et
d'évaluation, pour assurer la validité des résultats.

Clause 6.2.b (Objectifs de sécurité de l'information) :

  L'organisation doit établir des objectifs de sécurité de l'information
aux fonctions et niveaux concernés.
 Les objectifs doivent être mesurables (si possible).

Clause 9.3 (Récapitulatif des objectifs de sécurité) :

 (Le contenu n'est pas précisé dans la demande, mais on peut
supposer qu'il inclut un rappel des principes généraux sur la gestion
et l'évaluation des objectifs en sécurité de l'information.)

Comment choisir les indicateurs pour un SMSI ?

Norme ISO/IEC 27004-2016 / Libre choix ?

Avoir une vision claire de l'état du SMSI revient à avoir une vision claire de
l'état, à la fois

 Des processus en support des clauses 4 à 10 de la norme,

 Des mesures de sécurité sélectionnées dans la déclaration
d'applicabilité.
 Mesurer le SMSI revient à mesurer ces deux points.

 Un indicateur par procédure et par mesure de sécurité

implémentée ?

Excès d'indicateurs

Considérons un SMSI constitué de 20 processus et ayant sélectionné dans

sa déclaration d'applicabilité 100 mesures de sécurité. La démarche
consistant à choisir un indicateur par processus et par mesure de sécurité
conduirait à identifier environ 120 indicateurs.

Question 1 : Quel fait concret et mesurable permet-il de savoir si

un point de la norme est appliqué et/ou efficace ?

 Exemple 1 : les virus

o Le nombre de virus ayant perturbé le fonctionnement d'un

poste de travail permet de savoir si les dispositifs de
protection contre les codes malveillants sont appliqués et
efficaces.

 Exemple 2 : service indisponible

o Le nombre d'heures perdues suite à l'indisponibilité d'un

service permet de savoir si les dispositifs de réaction aux
incidents sont appliqués et efficaces.

Question 2 : Ce fait est-il mesurable facilement ?

  Exemple 1 : les virus

o Facile à mesurer : le nombre de virus perturbant les postes de

travail, car tous les incidents sont rapportés et recensés dans
la base de données du support.

 Exemple 2 : service indisponible

o Difficile à évaluer : bien que l'on puisse mesurer le nombre

d'heures perdues lors d'un incident, évaluer le coût humain de
l'indisponibilité est plus complexe, surtout pour des incidents
nécessitant des interventions multiples.

Question 3 : Comment obtenir concrètement cette mesure ?

 Exemple 1 : les virus

o Lancement mensuel d'une requête sur l'outil de suivi des

incidents pour savoir combien de virus ont perturbé le
fonctionnement des postes de travail.

 Exemple 2 : service indisponible

o Bien qu'il soit possible de connaître le nombre d'heures

perdues, obtenir cette mesure concrètement nécessiterait de
poser la question à toutes les personnes concernées, ce qui
est difficile à appliquer de façon systématique.

Erreurs à éviter :

 Les personnes chargées d'identifier des indicateurs peuvent être

tentées de retenir des chiffres sans réflexion préalable, juste pour
générer des tableaux de bord.

o Pièges à éviter :

 Indicateurs hors sujet : non alignés avec les articles ISO

27001 ou les mesures de sécurité.

 Indicateurs trop nombreux : une quinzaine d'indicateurs

suffisent.

 Mauvais indicateurs : choisis sans pertinence.

 Indicateurs figés : ne pas hésiter à adapter, ajouter ou

supprimer des indicateurs selon l'évolution du SMSI.
Types d'indicateurs :

 Objectif des indicateurs : Mesurer des aspects spécifiques du

SMSI.

o Indicateurs d'efficacité.

o Indicateurs de conformité.

Section 9 : Audit Interne

Exigences normatives :
La clause 9.2 ISO 27001 : Audit interne
Objectifs des audits internes
 Vérifier la conformité du SMSI (Système de Management de la
Sécurité de l'Information) :

o Aux exigences internes de l'organisation.

o Aux exigences de la norme ISO 27001.

  S'assurer que le SMSI est mis en œuvre et maintenu efficacement.

Programme d'audit
 Doit être planifié et mis à jour régulièrement.

 Inclut la fréquence, les méthodes, les responsabilités, et les

exigences de planification et de rapport.

 Tient compte de l'importance des processus et des résultats des

audits précédents.

Critères et périmètre
 Définir les critères et le périmètre pour chaque audit.
Sélection des auditeurs
 Garantir l'objectivité et l'impartialité du processus d'audit.
Rapports et documentation
 Communiquer les résultats aux responsables concernés.
 Conserver des preuves documentées des programmes
d’audit et des résultats.

Audit interne :
Processus de la phase Check du PDCA.
Document de procédure décrivant comment sont programmés
et réalisés les audits.
Rapports, enregistrements pour prouver le bon fonctionnement
du processus.
Revues pour décrire les actions à effectuer pour améliorer les
audits
Etat d’esprit
1. Conformité aux exigences de la norme ISO 27001
(articles 4 à 10)
 o S'assurer qu'il n'y a pas d'écart entre les processus
du SMSI et les exigences normatives.
2. Application des mesures de sécurité sélectionnées
o Vérifier que les mesures de sécurité listées dans la
déclaration d’applicabilité sont mises en œuvre
conformément au modèle PDCA (Plan-Do-Check-Act).
3. Alignement entre procédures et application
effective
o Garantir l'absence d'écart entre les procédures
internes définies et leur mise en pratique.
Distinction entre audit interne et audit technique
 Audit interne : Vérifie que le système de management
fonctionne conformément à la norme.
 Audit technique : Évalue le niveau de sécurité effectif de
l’organisation.
Auditeur qualité vs auditeur technique
Approche de l'auditeur technique
 Se concentre sur l’efficacité technique des configurations,
comme les filtres d’un routeur.
Approche de l'auditeur qualité
 Vérifie la conformité aux politiques, schémas des flux
(Plan) et à la documentation des règles de filtrage (Do).
Écarts selon les perspectives
 L’auditeur qualité signale un écart si les règles ne
respectent pas la documentation, même si techniquement
efficaces.
 L’auditeur technique critique des règles trop larges, même
si elles respectent la documentation.
Programmation des audits internes
Document obligatoire : Programme d’audits
Programme d’audits comporte :
Dates prévues
Le champs de chaque audit
Vocabulaire : champ d'audit, programme d'audits, plan
d'audit
« Champ d'audit » = la liste des points qui seront à contrôler
lors d'un audit. (Terme emprunté à ISO 19011).
« Programme d’audits» = la liste des audits programmés dans
l'année
« Plan d'audit» = détail des points à aborder lors d'un audit.
Le but du programme d'audits au bout d'un temps prédéfini
(généralement 3 ans), tous les processus du SMSI aient été
audités.
La priorité sera donnée aux processus jugés les plus sensibles.
Déroulement des audits internes
Comprendre les processus qu‘on observe :
Vérifier qu'ils sont conformes aux exigences de la norme.
S'assurer qu'ils sont conformes aux procédures internes.
Comment mettre en place l’audit interne ?
PME : Approche 1- Stratégie « Tout en interne »: Chaque
service auditera le travail des autres
Avantage : impliquer le personnel dans le SMSI
Inconvénients : Audits réalisés par des non-spécialistes.
Principe d'indépendance biaisé par les rapports
extraprofessionnels
Approche 2- Stratégie d'externalisation Un cabinet
d'audit est mandaté régulièrement pour réaliser les
audits internes.
Avantage : Auditeurs sont compétents
Gage d'indépendance entre auditeurs et audités
Inconvénient : Coût important
Approche 3- Stratégie hybride
Tout au long de l’année, les audits internes peuvent être
réalisés par le personnel de l'entreprise
Une fois par an, un audit est commandité à un cabinet externe.
Cumuler le meilleur des deux solutions
Dans les grandes structures SANS audit interne :
Approche 1- Créer une structure indépendante
L'audit interne dépend directement de la direction générale (du
directoire)
Avantage : réelle indépendance
Inconvénient : coût important
Approche 2- Rattachement à une structure existante Elargir les
compétences d'un service pour qu'il se charge de conduire les
audits du SMSI.
Avantage : ne pas bouleverser l'organisation de l'entreprise
Inconvénient: moins satisfaisant en matière d'indépendance
Dans les grandes structures AVEC audit interne :
Structures concernées
 Banques, assurances, grandes entreprises, entreprises
certifiées ISO 9001 ou ISO 14001.
Mutualisation des audits
 Possibilité de combiner audits qualité et sécurité.
Limites des auditeurs qualité
 Ils couvrent la majorité des aspects mais manquent parfois
de compétences en sécurité technique.
Appel à un expert technique
  Nécessaire pour les points du SMSI nécessitant une
expertise approfondie
Points forts et points faibles de l'auditeur interne
Domaines d'audit maîtrisés
 Gestion documentaire, révisions du SMSI, mesures de
sécurité physique, et aspects liés aux ressources
humaines.
Limites en compétences techniques
 Incapacité à auditer des configurations système et réseau
complexes.
Expertise technique requise
 Nécessité de spécialistes pour analyser les journaux des
équipements et superviser les systèmes critiques.
Exemples d'intervention technique
 Audits des journaux réseau, machines Linux, bases de
données Oracle, et ordonnanceurs de production.

Section 10 Formation & Sensibilisation

Exigences normatives
(ISO 27001 Clause 7.2 Compétences) :
Identification des compétences requises
 Définir les compétences nécessaires pour les tâches
impactant la sécurité de l'information.
Assurance des compétences
 Garantir la qualification des personnes par formation ou
expérience adéquate.
(ISO 27001 Clause 7.3 Sensibilisation)
Sensibilisation à la politique de sécurité
 Assurer la connaissance de la politique de sécurité de
l’information.
Conscience de l’impact individuel
 Mettre en avant leur rôle dans l’efficacité du SMSI et
l’amélioration des performances de sécurité
La formation consiste à apporter des connaissances
techniques à une population très précise
Définition des compétences
Consultation des employés
 Les employés expriment leurs souhaits de formation via
des formulaires.
Analyse des responsables de service
 Identification des besoins spécifiques à leurs équipes.
Consolidation par la DRH
 Centralisation des propositions pour établir le plan de
formation.
Formation : garder une trace des feuilles d'émargement
Vérification de la compétence : diplôme certificat
Difficultés
 Identifier les employés qui doivent être formés.

 Choisir les formations adaptées selon l’avancement du SMSI.

Formations pour la construction du SMSI

 Chef de projet : ISO 27001 LA/LI.
  Collaborateurs proches : Appréciation des risques.
 Responsables de service et utilisateurs clés : L’essentiel de
la norme.
Formations pendant l’exploitation du SMSI
 Auditeurs internes : ISO 27001 LA et démarche ISO 19011.
 Informaticiens : Formations techniques (pare-feu, serveurs
sécurisés, détection d’incidents).
 Techniciens métier : Formations en interne.

La sensibilisation consiste à faire passer un message très

simple à tout le personnel de l’entreprise
Public concerné : tout le personnel de l’entreprise
Objectifs : faire comprendre les bases de la sécurité
Inculquer les bons réflexes.
Moyens : (Affichage ,e-mails ,Intranet ,E-learning )
Exemples :
Affichage :
 Les notes reprenant les points clés de la charte de sécurité
sont affichées dans des lieux visibles pour rappeler aux
employés les règles essentielles. Cela permet de maintenir
la sécurité au quotidien, même de manière informelle.

 E-mails :
 Un message envoyé après une attaque virale souligne
l'importance de ne pas installer de logiciels sans
autorisation, et rappelle les conséquences disciplinaires
pour non-respect de la sécurité. Cela permet de
 sensibiliser rapidement tout le personnel à la sécurité
informatique.
Objectifs en matière de sécurité :
 La sensibilisation permet de rappeler les concepts de
confidentialité, d'intégrité et de disponibilité à travers des
exemples concrets et quotidiens. Cela aide à impliquer
tout le personnel dans la protection des données et des
systèmes.
Atteinte des objectifs :
 Expliquer les avantages concrets de la certification ISO
27001 aide à faire comprendre à l'équipe l'importance de
la sécurité. Cela motive le personnel à s'investir
activement dans la mise en œuvre et la maintenance du
SMSI.
Politique de sécurité :
 Le programme de sensibilisation couvre les bonnes
pratiques, comme la gestion des mots de passe et la
vigilance face aux visiteurs, pour protéger l'entreprise.
L'accent est également mis sur l'importance de signaler
rapidement tout incident de sécurité.
Réglementation :
 L'exemple des caisses de retraite montre comment un
manquement dans les procédures d'archivage peut
entraîner des conséquences graves, comme la perte de
certification. Cela sensibilise le personnel à l'importance
du respect des réglementations.
Amélioration continue :
 Le personnel est informé que les audits ne sont pas là pour
juger, mais pour vérifier que les procédures sont
respectées et que le processus est efficace. Cela crée une
culture de transparence et de conformité dans le centre de
personnalisation de cartes.
Exemple de programme de sensibilisation :
 Le programme de sensibilisation couvre des thèmes
essentiels comme les règles de sécurité des mots de
passe, l’utilisation des supports amovibles et la protection
contre les virus. Il garantit que le personnel comprend et
applique les règles de sécurité au quotidien.