ISO 27004
Résumé
19/11/2024 1
�Introduction
• ISO/IEC 27004 est une norme internationale qui fournit des lignes directrices sur la mesure de la performance
dans le cadre d'un Système de Management de la Sécurité de l'Information (SMSI). Elle décrit les processus et
les méthodes pour évaluer l'efficacité des contrôles de sécurité mis en place dans une organisation, ainsi que
pour mesurer l'atteinte des objectifs liés à la sécurité de l'information.
Objectif principal
• Le principal objectif de ISO/IEC 27004 est de fournir un cadre pour la surveillance, la mesure et l'évaluation de la
performance des systèmes de gestion de la sécurité de l'information (SMSI) définis dans la norme ISO/IEC
27001. La norme permet aux organisations de suivre l'efficacité de leurs politiques et contrôles de sécurité, et
de prendre des décisions éclairées pour l'amélioration continue.
19/11/2024 2
�Introduction
Structure et contenu
ISO/IEC 27004 est organisée autour des thèmes principaux suivants :
1. Introduction à la mesure de la performance : Cette section introduit l'importance de la mesure dans le SMSI. Elle souligne que la mesure de la performance est
essentielle pour évaluer si les objectifs de sécurité de l'information sont atteints et si les contrôles mis en place sont efficaces.
2. Évaluation des indicateurs de performance : ISO/IEC 27004 recommande l'utilisation d'indicateurs spécifiques pour mesurer la performance du SMSI. Ces indicateurs
peuvent inclure des éléments tels que le nombre d'incidents de sécurité, les délais de résolution, la conformité aux politiques internes, ou encore la fréquence des
audits de sécurité.
3. Mise en œuvre de la mesure : La norme fournit des lignes directrices sur la manière de collecter, analyser et interpréter les données pertinentes pour évaluer la
performance du SMSI. Elle inclut des suggestions pour mettre en place des outils de suivi, tels que des tableaux de bord, pour surveiller les indicateurs clés de
performance (KPI).
4. Évaluation des résultats et rapport : Une fois les données collectées, ISO/IEC 27004 propose des méthodes pour évaluer les résultats obtenus. Cela comprend l’analyse
des écarts par rapport aux objectifs fixés et la préparation de rapports sur la performance du SMSI destinés à la direction, afin de guider les décisions stratégiques.
5. Amélioration continue : Comme dans d'autres normes ISO de la série 27000, l'amélioration continue est un concept clé. ISO/IEC 27004 encourage les organisations à
utiliser les résultats de la mesure de la performance pour identifier les domaines nécessitant des améliorations et pour ajuster les contrôles et processus de sécurité
en conséquence.
6. Audit et revues de performance : ISO/IEC 27004 insiste sur la nécessité d’effectuer des audits réguliers et des revues de la performance pour s'assurer que le SMSI
reste efficace face aux nouvelles menaces et évolutions du contexte organisationnel.
19/11/2024 3
�Introduction
Avantages de ISO/IEC 27004
• Évaluation de l'efficacité du SMSI : Permet aux organisations de mesurer si leurs
contrôles de sécurité sont efficaces et s'ils permettent de réduire les risques de
manière adéquate.
• Amélioration continue : Grâce à la collecte et à l'analyse des données, les organisations
peuvent améliorer continuellement leur gestion de la sécurité de l'information.
• Aide à la prise de décision : Les indicateurs de performance fournis par ISO/IEC 27004
permettent à la direction de prendre des décisions basées sur des données objectives
concernant la sécurité de l'information.
• Conformité et gestion des risques : En mesurant la performance, les organisations
peuvent s'assurer qu'elles sont en conformité avec les normes internationales et
qu'elles gèrent correctement les risques de sécurité.
19/11/2024 4
�Conclusion
ISO/IEC 27004 est une norme complémentaire à ISO/IEC 27001 qui se concentre sur la mesure de la
performance du Système de Management de la Sécurité de l'Information (SMSI). Elle aide les
organisations à suivre l'efficacité de leurs contrôles de sécurité et à assurer l'amélioration continue de leur
système de gestion de la sécurité de l'information. En utilisant cette norme, les entreprises peuvent prendre des
décisions fondées sur des données fiables et renforcer leur capacité à répondre aux risques et aux défis de
sécurité.
19/11/2024 5
