Avril 2013

Présenté par:
DIALLO Boubacar ISSIM

1
I. Les systèmes de management
II. La sécurité de l’information
III. Les Systèmes de Management de la Sécurité de
l’Informatique (SMSI)
IV. Les normes de la famille ISO/CEI 2700x
V. La norme ISO/CEI 27001
1. Présentation
2. La phase « PLAN » du PDCA
3. La phase « DO » du PDCA
4. La phase « CHECK » du PDCA
5. La phase « ACT » du PDCA
VI. Mise en place d’un SMSI
VII. Utilisation des normes

2
 Définition selon ISO 9000: c’est un système permettant d’établir une
politique, des objectifs et atteindre ces objectifs

 Un Système de Management: est un ensemble de mesures

organisationnelles et techniques permettant d’atteindre un objectif une
fois atteint, d’y rester dans la durée.

 Le fonctionnement d’un système de management se fait selon le modèle

PDCA (Roue de Deming) de l’anglais Plan, Do, Check, Act, en français
planifier, faire, contrôler et corriger.

3
 Roue de Deming: Inventer par Walter Andrew SHEWHART (Statisticien
Américain)
 Appelé « roue de Shewhart » par William Edwards DEMING
(Scientifique Américain inventeur des principes de qualité) et qu’il lui
a emprunté en 1922.
 Le model PDCA (Roue de Deming): se définit en 4 étapes récurrentes:
1. Plan : dire ce que l’on va réaliser dans un domaine particulier.
2. Do : faire ce qui a été annoncé.
3. Check : vérifier les écarts entre les phases « plan » et «do ».
4. Act : ajuster les écarts constatés de la phase « check ».
 Notons que le modèle PDCA s’applique au système de management
dans son ensemble ainsi qu’à chacun de ses processus.

4
 On retrouve les systèmes de management dans des secteurs
d’activités aussi variés que:
la santé et la sécurité du travail (SMSST) avec la norme
OHSAS 18001;
l’environnement (SME) avec la norme ISO 14001;
les services informatiques avec le référentiel ISO/CEI
20000: pas encore sur le modèle PDCA;
la sécurité alimentaire (SMSA) avec la norme ISO 22000;
La qualité(SMQ) avec la norme ISO 9001;
la sécurité de l’information (SMSI) avec la norme ISO/CEI
27001 que nous allons traiter au cours de cet exposé.

5
6
 L’information est à prendre au sens large du terme; Elle doit être
étudiée sous toutes ses formes indépendamment de son support,
humain, papier, logiciel, etc.
 Le terme sécurité doit être compris comme l’ensemble des moyens
déployés pour se protéger contre les actes de malveillance.
 La sécurité de l’information est définie à travers les notions:
 Confidentialité : seuls les entités, personnes et processus autorisés, ont accès à
l’information.
 Intégrité : l’information ne peut être modifiée que par ceux qui en ont le droit.
 Disponibilité : l’information doit être accessible à l’entité, la personne ou le
processus qui a un droit d’accès.
 Ces trois principes de sécurité peuvent être étendus, la SI intègre
d’autres notions telles que l’authentification, la traçabilité, la non-
répudiation, l’imputabilité qui constituent des mécanismes de
sécurité que l’on déploie en fonction des besoins de sécurité de
l’organisme

7
 Plusieurs appellation:
o SMSI: Système de Management de la Sécurité de l’Information
o SGSSI: Système de Gestion de la Sécurité des Systèmes
d’Information
o SGSI: Système de Gestion de Sécurité de l’Information
o ISMS: Information Security Management System
 Un SMSI : est un ensemble d’éléments interactifs permettant à un
organisme de fixer une politique et des objectifs de sécurité de
l’information, d’appliquer la politique, d’atteindre ces objectifs, de
les contrôler et de les améliorer.
 Les objectifs sont fixés sur un périmètre défini et doivent être en
adéquation avec les besoins de l’organisme concerné: les mesures
de sécurité sont à déployer en fonction du contexte, avec un juste
dosage, sans exagérations, ni trop de tolérance avec comme finalité
la protection des actifs d’information.

8
9
Historique
 L’ISO (Organisation Internationale de Normalisation) est le fruit d’une collaboration
entre différents organismes de normalisation nationaux.
 Au début du XXIème siècle, L’American Institute of Electrical Engineer invite quatre
autres instituts professionnels pour constituer une première organisation nationale,
l’AESC (American Engineering Standards Committee) qui aura pour objectif de
publier des standards industriels communs avant de prendre le nom d’ASA
(American Standards Association) et d’établir des procédures standardisées pour la
production militaire pendant la seconde guerre mondiale.
 En 1947, l’ASA, le BSI (British Standards Institute), l’AFNOR (Association Française
de Normalisation) et les organisations de normalisation de 22 autres pays fondent
l’Organisation Internationale de Normalisation (ISO).
 La CEI (Commission Electronique Internationale) est chargée de la normalisation
d’équipements électriques.
 Il est courant de voir ISO/CEI pour nommer une norme élaborée conjointement par
les deux organismes.
 En 1987, l’ISO et le CEI créent le Joint Technical Committee (JTC1) pour la
normalisation des Technologies de l’Information (TI).
 Le JTC1 est composé de plusieurs comités techniques qui traitent de sujets tels que
la biométrie, la téléinformatique, les interfaces utilisateurs ou encore les
techniques de sécurité de l’information relatives aux normes de la série ISO/CEI
2700x.

10
 Dans la famille ISO/CEI on trouve deux catégories de normes.
 Celles qui émettent des exigences : ISO/CEI 27001
 celles qui formulent des recommandations : ISO/CEI 27002
 Notons que certaines normes sont encore en cours de
rédaction,
 c’est le cas des normes ISO/CEI 27007 « Audit des SMSI »
 et ISO/CEI 27008 « Audit des mesures de sécurité ».
 La norme ISO/CEI 27001 formule les exigences relatives aux
SMSI et fournit une liste de mesures de sécurité pouvant être
intégrées au système.

11
L’ISO/CEI 27000: Principe et vocabulaire
 Publiée pour répondre au besoin de définir une terminologie pour les
SMSI.
 L’ISO/CEI 27000 est structurée en trois parties:
I. La première, définit 46 termes tels que, la confidentialité, l’intégrité,
la disponibilité, l’authenticité, tous principalement axés sur
l’appréciation et l’analyse des risques, des menaces, de la
vulnérabilité, etc.
II. La deuxième partie développe la notion de processus avec le modèle
PDCA et présente les concepts propres aux SMSI comme par
exemple, l’importance de l’engagement de la direction.
III. La troisième partie, est une présentation de l’ensemble des normes
de la famille ISO/CEI 2700x.
 L’ISO/CEI 27000 fourni les notions et le vocabulaire commun permettant
une bonne compréhension des SMSI.

12
L’ISO/CEI 27002: Guide de bonne pratique (Mesure de sécurité)
 publiée en juillet 2007 par l'ISO (remplace ISO 17799 depuis), définie le
code de bonnes pratiques pour la gestion de la sécurité de l'information
 Cette norme propose sur onze chapitres, une liste de 133 mesures de
sécurité accompagnées chacune de points à aborder pour la mise en
place d’un SMSI.
 Chacun des 11 chapitres
◦ spécifie les objectifs à atteindre
◦ énumère un ensemble de 133 mesures ou « best practices » pour atteindre ces
objectifs
 La norme ISO ne détaille pas ces mesures car:
◦ chaque organisation est différente
◦ les risques sont différents pour chaque organisation
◦ l’évaluation des risques et de leur impact sont donc propre à l’organisation
◦ les « best practices » sont donc plus ou moins appropriées
 En résumé, l’ISO/CEI 27002 est un guide de bonnes pratiques, une série de
préconisations concrètes, abordant les aspects tant organisationnels que
techniques, qui permettent de mener à bien les différentes actions dans la mise en
place d’un SMSI.

13
Les 11 objectifs principaux
 Chapitre 5 : Politique de sécurité
 Ce chapitre définit la politique de sécurité (Document et Réexamen)
 Chapitre 6 : Organisation de la sécurité de l’information
 Définit l’organisation interne et externe de l’organisme.
 Chapitre 7 : Gestion des biens
 Identifie, classifie et définit les responsabilités relatives aux biens et leurs
utilisation.
 Chapitre 8 : Sécurité liée aux ressources humaines
 Définit le rôle et la responsabilité des ressources humaine avant
recrutement, pendant la durée du contrat et à la fin ou la modification du
contrat.
 Chapitre 9 : Sécurité physique et environnementale
 Définit les zones sécurisées (périmètre de sécurité) et la sécurité du
matériel ainsi que son recyclage.

14
Les 11 objectifs principaux
 Chapitre 10 : Gestion des communications et de l'exploitation
 Définit les procedures et responsibilities liées à
l’exploitation,
 Surveillance, réexamen et gestion des modifications des
services tiers,
 Planification et acceptation du système,
 Protection contre les codes malveillant et mobile
 Sauvegarde des informations
 Gestion de la sécurité des réseaux
 Manipulation des supports
 Politique et procedure d’échange des informations
 Services et commerce électronique
 Surveillance et protection des informations de journalisées

15
Les 11 objectifs principaux
 Chapitre 11 : Contrôles d’accès
 Exigences métier relatives au contrôle d’accès
 Gestion de l’accès utilisateur
 Responsabilité des utilisateurs
 Contrôle d’accès au réseau
 Contrôle d’accès au système d’exploitation
 Contrôle d’accès aux applications et à l’information
 Informatique mobile, télécommunication et télétravail
 Chapitre 12 : Acquisition, développement et maintenance des
systèmes d'information
 Exigences de sécurité applicable aux systèmes d’information
 Bon fonctionnement des applications
 Politique d’utilisation des mesures cryptographique et la gestion de clé
 Mesure relative aux logiciels d’exploitation (Sécurité des fichiers système)
 Sécurité en matière de développement et d’assistance technique
 Mesure relative aux vulnérabilités techniques (Gestion des vulnérabilités
techniques)

16
Les 11 objectifs principaux
 Chapitre 13 : Gestion des incidents liés à la sécurité de
l'information
 Signalement des évènements et des failles liés à la sécurité de
l’information
 Gestion des améliorations et incidents liés à la sécurité de l’information
 Chapitre 14 : Gestion de la continuité d’activité
 Intégration de la sécurité de l’information dans le processus de PCA
 Elaboration, mise ne œuvre, planification, mise à l’essai, gestion et
appréciation constante des PCA intégrant la sécurité de l’information.
 Chapitre 15 : Conformité légale et réglementaire
 Conformité avec les exigences légales
 Conformité avec la politique et les nomes de sécurité
 Vérification de la conformité technique
 Contrôle de l’audit des systèmes d’information
 Protection des outils d’audit du système d’information

17
L’ISO/CEI 27003: Guide d’implémentation
 Publiée en janvier 2010, ISO 27003 facilite la mise en œuvre du
SMSI. Elle est utilisée en complément de la norme ISO 27001.
 L’ISO 27003 propose cinq étapes pour implémenter le SMSI.
 Ces étapes concernent l’initialisation du projet, sa politique et
son périmètre, l’analyse des exigences en matière de sécurité de
l’information, l’appréciation des risques et enfin l’élaboration du
SMSI.
 Chacune de ces étapes est divisée en activités qui font l’objet
d’une clause contenant :
 un résumé de l’activité (explication de l’étape en question),
 les entrées (tous les documents à utiliser au cours de l’étape),
 les recommandations (détail des points à aborder),
 les sorties (liste des livrables à produire).
 En résumé, ISO 27003 propose un grand nombre de points à
aborder et énumère les documents à produire et à consulter.

18
L’ISO/CEI 27004: Métrique et Mesure
 Cette norme concerne la gestion des indicateurs.

 L’utilisation d’indicateurs dans le domaine de la sécurité est

nouvelle.
 La norme ISO/CEI 27001 impose leur mise en place dans le
SMSI mais sans préciser comment et leur utilisation.
 En utilisant les mesures des indicateurs l’objectif est
d’identifier les points du SMSI qui nécessitent une
amélioration ou une correction.
 Objectif : mesurer l'efficacité du système de management de
la sécurité de l’information et des mesures de sécurité

19
L’ISO/CEI 27005: Analyse de risque
 Une des étapes du PDCA les plus difficiles à mettre en œuvre est « l’appréciation
des risques ».
 L’ISO/CEI 27001 fixe des objectifs à atteindre pour être en conformité avec la
norme, mais ne donne aucune indication sur les moyens d’y parvenir.
 L’ISO/CEI 27005 est constituée de douze chapitres. Les points les plus importants
sont traités dans les chapitres sept à douze.
 Chap7: établissement du contexte
 Chap8: appréciation du risque
 Chap9: traitement du risque
 Chap10: acceptation du risque
 Chap11: communication du risque
 Chap12: surveillance et révision du risque
 En complément de ces chapitres, viennent s’ajouter six annexes proposant des
explications plus détaillées qui présentent des listes de menaces et vulnérabilités
types.
 L’ISO/CEI 27005 peut aussi servir de référence aux organismes qui cherchent à
évaluer une méthode d’appréciation des risques

20
L’ISO/CEI 27005: Analyse de risque

21
L’ISO/CEI 27006: Certification
 Cette norme est une reprise enrichie de la norme ISO 17021.

 Etant destinée aux cabinets d’audit en charge de certifier les

organismes, l’ISO/CEI 27006 est moins connue que l’ISO/CEI 27001
qui s’adresse directement aux organismes souhaitant mettre en place
un SMSI.
 L’ISO/CEI 27006 fournit aux organismes de certification les
exigences qu’ils doivent faire respecter pour attribuer à leurs clients
une certification.
L’ISO/CEI 27007: Audit des SMSI
 Cette norme est à l’état de brouillon « WD »

 Working Draft: est l’état « projet » de la norme avant sa publication.

 L’ISO/CEI 27007 donnera les lignes directrices pour auditer les SMSI.

22
L’ISO/CEI 27008: Audit des mesures de sécurité
 A l’état de WD, l’ISO/CEI 27008 traitera de l’audit des SMSI en
proposant un guide qui permettra de contrôler les mesures de
sécurité.
 Elle fournira pour chacune des mesures de sécurité de la 27002,
des moyens d’analyse des besoins en contrôle, en tenant compte
de l’importance des risques et des actifs.
 On pourra ainsi déterminer les mesures à contrôler.

 Ces points sont importants car les auditeurs internes ou externes

doivent contrôler des mesures aussi variées que la gestion des
mots de passe, la procédure de gestion des incidents et le suivi
de législation en vigueur.

23
L’ISO/CEI 270xx: En préparation
 ISO/CEI 27010 Gestion de la communication inter secteur

 ISO/CEI 27031 Continuité d’activité

 ISO/CEI 27032 Cyber sécurité

 ISO/CEI 27033 Sécurité réseau

 ISO/CEI 27034 Sécurité des applications

 ISO/CEI 27035 Gestion des incidents

 ISO/CEI 27036 Audit des mesures de sécurité du SMSI

 ISO/CEI 27037 Gestion des preuves numériques

 Il est à noter que certains secteurs comme les télécommunications ou

le domaine médical ont développé des normes plus spécifiques à leur
métier, ISO/CEI 27011 et ISO/CEI 27799.

24
Présentation
 Publiée en octobre 2005 et qui succède à la norme BS 7799-2
de BSI (British Standards Institution)
 Elle est une norme d'origine britannique dédiée au système de
management de la sécurité de l'information.
 L'ensemble ISO 27000 est décliné en plusieurs sous-normes
indicées, thématiques et sectorielles.
 Elle traite aussi bien de la gestion des risques que du pilotage
de la fonction (indicateurs et tableaux de bord). La norme ISO
27001 est orientée processus et propose en toute logique une
démarche d'amélioration continue de type PDCA.
 La norme ISO/CEI 27001 décrit les exigences pour la mise en
place d'un SMSI

25
Objectifs
 Spécifier les exigences pour
Mettre en place
Exploiter
Améliorer
 Un SMSI documenté

 Spécifier les exigences pour la mise en place de mesures de

sécurité
Adaptées aux besoins de l’organisation
Adéquates
Proportionnées

26
La phase « PLAN » du PDCA
 Cette phase consiste à fixer les objectifs du
SMSI en suivant quatre grandes étapes:
 La politique et le périmètre du système
de management de la sécurité de
l’information,
 L’appréciation des risques,
 Le traitement des risques; décider en
tenant en compte des risques résiduels
 La sélection des mesures de sécurité
présentées dans le SoA(Statement of
Applicability).
 Le Statement of Applicability: est un document
sous forme de tableau qui énumère les
mesures de sécurité du SMSI ainsi que celles
non appliquées

27
La phase « PLAN » du PDCA
 La politique et le périmètre du SMSI: L’objectif est d’y inclure les activités pour
lesquelles les parties prenantes exigent un certain niveau de confiance.
 la politique: précise le niveau de sécurité qui sera appliqué au sein du périmètre du
SMSI.
 Le périmètre: peut être restreint ou peut couvrir l’ensemble des activités de
l’organisme
 L’appréciation des risques : cette étape concerne un des points les plus
importants de l’ISO/CEI 27001.
 Le problème de l’appréciation des risques n’est pas nouveau et est traité par
de nombreuses méthodes développées dans différents secteurs privés,
académiques et agences gouvernementales.
 En France, les plus connues sont EBIOS et MEHARI, aux Etats-Unis, OCTAVE.
L’ISO/CEI propose aussi une méthode, la norme ISO/CEI 27005, mais ne
l’impose pas.
 L’ISO/CEI 27001 ne fait que fixer un cahier des charges spécifiant chacune
des étapes clefs de l’appréciation des risques.

28
La phase « PLAN » du PDCA
 Le processus d’appréciation des risques se déroule en sept étapes:
1. Identification des actifs: lister tous les actifs
2. Identification des propriétaires d’actifs: attribuer un
propriétaire à chaque actif
3. Identification des vulnérabilités: identifier les
vulnérabilités des actifs recensés
4. Identification des menaces: identifier les menaces
qui pèsent sur les actifs recensés
5. Identification des impactes: évaluer l’impact d’une
perte de confidentialité, de la disponibilité ou de
l’intégrité sur les actifs.
6. Evaluation de la vraisemblance: évaluer la
vraisemblance des précédentes étapes processus en
plaçant dans leur contexte les actifs.
7. Estimation des niveaux de risque: attribuer une
note finale reflétant le risque pour chacun des actifs.

29
La phase « PLAN » du PDCA
 Le traitement des risques: cette étape concerne le choix du
traitement des risques.
 L‟ISO/CEI 27001 a identifié quatre traitements possibles du risque:
1. Accepter: ne déployer aucune mesure de sécurité autre que celles déjà en place
si le risque n’aucun impact constaté sur l’organisme.
2. Eviter: supprimer l’activité ou le matériel offrant le risque.
3. Transférer: Lorsque l’organisme ne peut ou ne souhaite pas mettre en place les
mesures de sécurité qui permettrait de le réduire (souscription d’assurance ou
sous-traitance)
4. Réduire: prendre de mesures techniques et organisationnelles pour ramener le
risque à un niveau acceptable. C’est le traitement le plus courant.
 Après avoir sélectionné le traitement et mis en place les mesures de
sécurité, un risque peut persister.
 Il convient de traiter ce risque comme les autres (l’accepter, l’éviter,
le transférer ou le réduire).

30
La phase « PLAN » du PDCA
 Le sélection des mesures de sécurité: cette étape consiste à sélectionner
les mesures de sécurité.
 La norme ISO/CEI 27001 propose dans son annexe A, 133 mesures de
sécurité réparties sur onze chapitres (vue dans ISO/CEI 27002).
 A ce stade, le travail consiste à dresser un tableau, appelé SoA (Statement
of Applicability) dans lequel figurent les 133 mesures qu’il faut déclarer
applicables ou non applicables, pour réduire les risques du SMSI.
 Notons que les 133 mesures proposées par l’ISO/CEI 27001 répertorient
presque tout ce qui peut être entrepris en matière de sécurité de
l’information cependant, cette liste ne comporte pas d’exemples ni
d’explications sur le déploiement des mesures à entreprendre.
 Une fois choisies la politique et le périmètre du SMSI, appréciés et traités
les risques, et sélectionnées les 133 mesures de sécurité dans le tableau
SoA, il faut passer à la mise en œuvre des objectifs fixés de la phase «
Plan » du PDCA.

31
La phase « DO » du PDCA
 Cette phase consiste à décrire la mise en œuvre des mesures de
sécurité sélectionnées dans le SoA à travers quatre étapes.
1. Plan de traitement: gérer l’interdépendance des actions à entreprendre;
ce travail revient à établir un plan de traitement qui peut être assimilé à
de la gestion de projet.
 Ce travail terminé, il faut déployer les mesures de sécurité en suivant le
plan de traitement. Le responsable du projet doit donc définir des
mesures d’efficacité pour contrôler le bon fonctionnement du SMSI.
2. Choix des indicateurs: mettre en place des indicateurs de performance
pour vérifier l’efficacité des mesures de sécurité ainsi que des
indicateurs de conformité pour contrôler la conformité du SMSI.
 Il est à noter que la norme ne préconise pas d’indicateurs précis à utiliser
mais L’ISO/CEI 27004 propose une démarche qui peut aider au choix de
l’indicateur.

32
La phase « DO » du PDCA
3. Formation et sensibilisation des collaborateurs: la sensibilisation à la
sécurité du système d’information concerne tous les collaborateurs.
 Etant donné que les mesures de sécurité de l’information couvrent de
nombreux domaines allant de la sécurité organisationnelle à la sécurité
physique, en passant par la sécurité des réseaux et autres, les
collaborateurs doivent donc maîtriser les outils de sécurité déployer dans
les différents domaines.
4. Maintenance du SMSI: cette démarche consiste à garantir le bon
fonctionnement du SMSI et de vérifier que leur documentation est à jour.
 Cette action permet donc aux auditeurs externe de contrôler la gestion
du SMSI. Tous les systèmes de management ISO sont concernés par
maintenance.
 Maintenant que, les mesures identifiées du SoA fonctionnent, les
indicateurs sont implémentés et les collaborateurs formés et sensibilisés
à la sécurité du SMSI, la phase Check du PDCA peut être déclancée.

33
La phase « CHECK» du PDCA
 Cette phase concerne les moyens de contrôle à mettre en place pour
assurer l’efficacité du SMSI et sa conformité au cahier des charges de
la norme ISO/CEI 27001.
 Pour répondre à ces deux exigences, l’organisme doit employer:
1. Les contrôles internes: s’assurer au quotidien que les collaborateurs
appliquent correctement leurs procédures
2. Les audits internes: contrôler la conformité et l’efficacité du SMSI en
recherchant les écarts entre la documentation du système et les activités
de l’organisme. La norme exige que la méthode utiliser pour l’audit soit
documentée dans une procédure et que les rapports soient enregistrés
pour être utilisés lors des revues de direction.
3. Les revues de direction: réunions annuelle qui permettent aux dirigeants
de l’organisme d’analyser les évènements qui se sont déroulés sur
l’année en cours.

34
La phase « ACT» du PDCA
 Cette phase consiste à prendre les mesures résultant des
constatations faites lors de la phase de vérification (Check) .
 Trois actions sont possible au cours de cette phase:
1. Actions correctives: intervention de manière corrective lors qu’un
dysfonctionnement ou écart est constaté. Tout d’abord, agir sur les
écarts ou dysfonctionnement puis les causes pour éviter qu’il ne se
reproduisent.
2. Actions préventives: emploi des actions préventives quand une situation
à risque est détectée. Agir sur les causes avant que l’écart ou le
dysfonctionnement ne se produisent.
3. Actions d’améliorations: ces actions ont pour objectif l’amélioration de
la performance du SMSI.
 Les résultats des différentes actions doivent êtres enregistrés et
communiqués aux parties prenantes.

35
Pour une bonne mise en place d’un SMSI il faut:
 Trouver/Choisir/désigner/se faire choisir un chef de
projet: futur propriétaire du SMSI;
 Constituer une équipe que mènera le projet SMSI à
terme;
 Décider des objectifs du SMSI;

 Déterminer le périmètre;

 Faire le point sur l’existant et mettre à jour la

documentation
 Décider des actifs sensibles;

 Faire l’analyse des risques pour ces actifs sensibles;

36
 Sélectionner les mesures de sécurité;
 Rédiger et mettre en place les procédures;
 Auditer les membres du comité du SMSI;
 Communiquer;
 Mettre en place un programme d’audits internes;
 Rechercher et tester des indicateurs;
 Refaire l’analyse de risque;
 Revoir la liste des actifs;
 Réexaminer le périmètre;
 Faire soi-même, ne pas faire faire à d’autres;
 Ne pas nécessairement suivre l’ordre de L’ISO/CEI
27001

37
Pour adopter les bonnes pratiques en SSI: ISO/CEI 27001
et ISO/CEI 27002
 Permet d’adopter les bonnes pratiques en matières de
SSI;
 Assure un processus d’amélioration continue; le niveau
de sécurité a tendance à croître.
 Offre une meilleure maîtrise des risques et une bonne
méthodologie d’analyse de risque;
 Permet la diminution de l’usage des mesures sécurité
qui ne servent pas;
 Peut permettre d’évoluer, le moment venu, vers une
certification.

38
Pour homogénéiser: ISO/CEI 27001 et ISO/CEI 27002
 Permet des comparaisons entre entités, sites, pays

 Facilite les échanges d’expérience et la communication

interne
 Facilite les liens avec les autres métiers et les autres
référentiels
 Facilite la communication aux auditeurs hors de la SSI

Pour les tableaux de bord: ISO/CEI 27001, ISO/CEI 27002 et

ISO/CEI 27004
 ISO/CEI 27001 pour le SMSI nécessaire à l’élaboration de
métriques
 ISO/CEI 27002 pour les mesures de sécurité

 ISO/CEI 27004 pour les métrages et métriques du SMSI

39
Pour les audits/conseils en sécurité: ISO/CEI 27002, ISO/CEI
27007 et ISI/CEI 27008
 ISO/CEI 27002: comme guide de la bonne pratique pour
les systèmes de gestion de la sécurité de l’information
 ISO/CEI 27007: pour l’audit du SMSI

 ISO/CEI 27008: pour l’audit des mesure de sécurité du

SMSI
Pour réduire les coûts: Mutualisation des audits
 Diminution d’usage de mesures de sécurité inutiles

 Processus en lui-même plutôt moins coûteux que d’autres

en SSI

40
41