ISO/CEI 27002

La norme ISO/CEI 27002 est une norme internationale concernant la sécurité de l'information, publiée en 2005 par l'ISO, dont le titre en français est Code de bonnes pratiques pour la gestion de la sécurité de l'information .

L'ISO/CEI 27002 est un ensemble de 133 mesures dites « best practices » (bonnes pratiques en français), destinées à être utilisées par tous ceux qui sont responsables de la mise en place ou du maintien d'un Système de Management de la Sécurité de l'Information (SMSI). La sécurité de l'information est définie au sein de la norme comme la « préservation de la confidentialité, de l'intégrité et de la disponibilité de l'information ».

Cette norme n'a pas de caractère obligatoire pour les entreprises. Son respect peut toutefois être mentionné dans un contrat : un prestataire de services pourrait ainsi s'engager à respecter les pratiques normalisées dans ses relations avec un client.

Historique

• En 1995, le standard britannique "BS 7799" qui fut créé par le "British Standard Institue" (BSI) définit des mesures de sécurité détaillées.
• En 1998, le BSI scinde le premier document en deux tomes : le BS 7799-1 correspondant aux codes des bonnes pratiques, et le BS 7799-2 correspondant aux spécifications d'un système de gestion de la sécurité de l'information (SMSI).
• En 2000, l'Organisation internationale de normalisation (ISO) édite la norme ISO/CEI 17799:2000 correspondant aux codes des bonnes pratiques issues de la BS 7799.
• En 2005, deux normes sont éditées :
  • ISO/CEI 17799:2005 qui remanie les domaines et objectifs
  • ISO/CEI 27001:2005 qui introduit la notion de SMSI et offre la possibilité de certification.

En 2007, la norme ISO/CEI 17799:2005 étant obsolète, a été remplacée par la norme 27002 qui en reprend l'essentiel.

Objectifs

ISO/IEC 27002 est plus un code de pratique, qu’une véritable norme ou qu’une spécification formelle telle que l’ISO/IEC 27001. Elle présente une série de contrôles (39 objectifs de contrôle) qui suggèrent de tenir compte des risques de sécurité des informations relatives à la confidentialité, l'intégrité et les aspects de disponibilité. Les entreprises qui adoptent l'ISO/CEI 27002 doivent évaluer leurs propres risques de sécurité de l'information et appliquer les contrôles appropriés, en utilisant la norme pour orienter l’entreprise.

La norme ISO 27002 n'est pas une norme au sens habituel du terme. En effet, ce n’est pas une norme de nature technique, technologique ou orientée produit, ou une méthodologie d'évaluation d'équipement telle que les critères communs CC/ISO 15408. Elle n’a pas de caractère d'obligation, elle n’amène pas de certification, ce domaine étant couvert par la norme ISO/IEC 27001.

Mise en oeuvre

La norme ne fixe pas de niveaux ou d’objectifs de sécurité et rappelle dans les chapitres d'introduction, la nécessité de faire des analyses de risques périodiques mais ne précise aucune obligation quant à la méthode d’évaluation du risque, il suffit donc de choisir celle qui répond aux besoins. C’est à partir des résultats de l’analyse de risque que l’organisation « pioche » dans les différentes rubriques de la norme celles qu’elle doit mettre en œuvre pour répondre à ses besoins de sécurité. En 2002, plus de 80 000 entreprises se conformaient à cette norme à travers le monde.

Contenu de la norme

La norme ISO/CEI 27002 est composé de 15 chapitres dont 4 premiers introduisent la norme et les 11 chapitres suivants couvrent le management de la sécurité aussi bien dans ses aspects stratégiques que dans ses aspects opérationnels.

Chapitre n°1: Champ d'application

La norme donne des recommandations pour la gestion de la sécurité des informations pour ceux qui sont chargés de concevoir, mettre en œuvre ou maintenir la sécurité.

Chapitre n°2: Termes et définitions

« Sécurité de l'information » est explicitement définie comme la «préservation de la confidentialité, l'intégrité et la disponibilité de l'information». Ceux-ci et d'autres termes connexes sont définies plus loin.

Chapitre n°3: Structure de la présente norme

Cette page explique que la norme contient des objectifs de contrôle.

Chapitre n°4: Évaluation des risques et de traitement

ISO / CEI 27002 couvre le sujet de la gestion des risques. Elle donne des directives générales sur la sélection et l'utilisation de méthodes appropriées pour analyser les risques pour la sécurité des informations ; elle ne prescrit pas une méthode spécifique, puisque celle-ci doit être appropriée selon le contexte.

Chapitre n°5: Politique de sécurité de l'information

Il mentionne la nécessité pour l’organisme de disposer d’une politique de sécurité de l’information et de la réexaminer régulièrement.

Chapitre n°6: Organisation de sécurité de l'information

Il décrit les mesures nécessaires pour l’établissement d’un cadre de gestion de la sécurité en interne et traite de tous les aspects contractuels liés à la sécurisation de l’accès par des tiers (clients, sous-traitants, …) au système d’information.

Chapitre n°7: Gestion des actifs

Il montre l’importance d’inventorier et de classifier les actifs de l’organisme afin de maintenir un niveau de protection adapté. Ces actifs peuvent être :

• des biens physiques (serveurs, réseau, imprimantes, baies de stockage, poste de travail, des matériels non IT),
• des informations (database, fichiers, archives)
• des logiciels (application ou système)
• des services
• de la documentation (politiques, procédures, plans)

Chapitre n°8: Sécurité liée aux ressources humaines

Il donne les recommandations destinées à réduire le risque d’erreur ou de fraude en favorisant la formation et la sensibilisation des utilisateurs sur les risques et les menaces pesant sur les informations.

Chapitre n°9: Sécurités physiques et environnementales

Il décrit les mesures pour protéger les locaux de l’organisme contre les accès non autorisés et les menaces extérieures et environnementales ainsi que protéger les matériels (emplacement, maintenance, alimentation électrique …).

Chapitre n°10: Exploitation et gestion des communications

Il décrit les mesures permettant :

• d’assurer une exploitation correcte et sécurisée des moyens de traitement de l’information ;
• de gérer les prestations de service assurées par des tiers ;
• de réduire les risques de panne ;
• de protéger l’intégrité des informations et des logiciels ;
• de maintenir l’intégrité, la confidentialité et la disponibilité des informations et des moyens de traitement de l’information ;
• d’assurer la protection des informations sur les réseaux et la protection de l’infrastructure sur laquelle ils s’appuient ;
• de maintenir la sécurité des informations et des logiciels échangés au sein de l’organisme et avec une entité extérieure ;
• et enfin de détecter les traitements non autorisés de l’information.

Chapitre n°11: Contrôle d'accès

Il décrit les mesures pour gérer et contrôler les accès logiques aux informations, pour assurer la protection des systèmes en réseau, et pour détecter les activités non autorisées. Ce thème couvre aussi la sécurité de l’information lors de l’utilisation d’appareils informatiques mobiles et d’équipements de télétravail.

Chapitre n°12: Acquisition, développement et maintenance des systèmes d'informations

Il propose les mesures pour veiller à ce que la sécurité fasse partie intégrante des systèmes d’information. Ce thème traite aussi des mesures visant à prévenir la perte, la modification ou la mauvaise utilisation des informations dans les systèmes d'exploitation et les logiciels d'application et enfin à protéger la confidentialité, l’authenticité ou l’intégrité de l’information par des moyens cryptographiques.

Chapitre n°13: Gestion des incidents

Il souligne la nécessité de mettre en place des procédures pour la détection et le traitement des incidents de sécurité.

Chapitre n°14: Gestion de la continuité d'activité.

Il décrit des mesures pour la gestion d’un plan de continuité de l’activité visant à réduire le plus possible l’impact sur l’organisme et à récupérer les actifs informationnels perdus notamment à la suite de catastrophes naturelles, d’accidents, de pannes de matériel et d’actes délibérés.

Chapitre n°15: Conformité

Il traite :

• du respect des lois et des réglementations ;
• de la conformité des procédures en place au regard de la politique de sécurité
• et enfin de l'efficacité des dispositifs de traçabilité et de suivi des procédures, notamment les journaux d'activités, les audits et les enregistrements de transactions.

Cette norme est de plus en plus utilisée par les entreprises du secteur privé comme un référentiel d'audit et de contrôle, en complément de la politique de sécurité de l'information de l'entreprise. Le fait de respecter cette norme permet de viser, à moyen terme, la mise en place d'un Système de Management de la Sécurité de l'Information, et à long terme, une éventuelle certification ISO/CEI 27001.

Les avantages

• Organisation : image positive auprès des actionnaires lorsque l'entreprise tend à maîtriser ses risques pour maximiser ses profits
• Conformité : la norme insiste sur la nécessité d'identifier toutes les lois et réglementations s'appliquant à l'entreprise et la mise en œuvre de processus adaptés pour identifier et suivre les obligations permet de prouver au moins la volonté de conformité, ce qui tend à diminuer les amendes en cas de non-conformité
• Gestion des risques : la norme insiste dans ses chapitres d’introduction sur la nécessité de réaliser une analyse de risques périodiquement et définit dans les domaines « politique de sécurité » et « organisation de la sécurité » les pratiques à mettre en œuvre pour gérer les risques mis en lumière par l’analyse de risque. Ceci permet une meilleure connaissance des risques et donc une meilleure allocation des ressources permettant d’améliorer la fiabilité du système.
• Finances : associant une meilleure maîtrise des risques, une meilleure gestion des incidents et une meilleure allocation des ressources, la mise en place d’un SMSSI s’appuyant sur les normes ISO 27001 et 27002 permet une meilleure maîtrise des coûts de la sécurité des systèmes d’information.
• Crédibilité et confiance : la mise en place d'une politique de sécurité et des moyens associés donne une image rassurante pour les partenaires et les clients, notamment sur la protection des données personnelles (sujet très médiatique, avec le syndrome du « big brother »).
• Ressources humaines : s'appuyer sur une norme permet de mieux faire passer les messages de sensibilisation, notamment auprès des populations techniques.

Normes nationales apparentées

Références

• ISO/CEI 27002:2005
• http://www.iso27001security.com (description de l'ISO 27002 en anglais)

Annexes

Voir aussi

• ISO/CEI 27001:2005
• Sécurité de l'information

Liens externes

• Description officielle de la norme ISO/IEC 27002:2005
• Groupe International des Usagers ISO 27000 / 17799 (Anglais)

• Portail de la sécurité de l’information
• Portail de la sécurité informatique