SSi-Conseil Sécurité des Systèmes d'Information
Accueil SSi-Conseil
Accès privilégié
SSI-Conseil
>Enjeux & Risques
Enjeux de la SSI
Risques
>Consulting Sécurité
Démarche Sécurité
Schéma Directeur SSI
Management SSI
Gestion opérationnelle
Communication SSI
>Gestion de Risques
Risk Management
>ISO 27000
ISO 27000
>Continuité d'Activité
Continuité d'Activité
>Services & Assistance
Assistance / Conseil SSi
TPE PME/PMI
>Formation
Formations
>Plus
Liens utiles
Auto-diagnostic SSi
Alertes Virus
Outils gratuits en ligne
Recherche avancée
Download zone
Legal crédits & ©
Glossaire
Plan du Site
>Partenaires
Ysosecure
Janua
Groupe-Stédia
BCP-Expert
Syndicate
Jeudi 17 Avril 2014
Advertisement
ISO 27002:2005 & 2013 Convertir en PDF Version imprimable Suggérer par mail
28-04-2007
La norme ISO/IEC 27002:2005 reprend sans changement depuis avril 2007 la norme ISO 17799:2005 et ses insuffisances**. Elle définit douze* domaines (Articles) de sécurité de l'information constituant au total 41(*) catégories (objectifs de sécurité) au sein desquelles ont été définis 137 Mesures de sécurité (contrôles).
Une révision a été publiée en septembre 2013, la version Française (Janvier 2014) est disponible à l'AFNOR (voir changements ci-dessous) Il est donc prudent de ne pas se contenter des contrôles actuels vieillissants à l'heure du Cloud computing....
Chacune des mesures de sécurité permet de s'assurer que les bonnes pratiques communément admises sont mises en œuvre et respectées pour chacune des catégories dans chaque domaine de la sécurité de l'information.

(*) En fait 11 selon la norme 2005, mais à SSI-Conseil nous considérons que l'appréciation et le traitement des risques est un processus incontournable, ce qui ajoute 2 objectifs de sécurité aux 39 officiels de la norme.


Domaines de sécurité de l'information :
Après avoir rappelé :
    1 Domaine d'application,
    2 Termes et définitions,
    3 Structure de la Norme,
   La norme ISO/IEC 27002:2005 recense de nombreux objectifs de contrôle répartis dans chacun des onze domaines suivants
(suivi du nombre de catégories pour chaque domaine) :
    4 Appréciation et traitement du risque (2),
    5 Politique de sécurité (1)
    6 Organisation de la sécurité de l’information (2)
    7 Gestion des biens (actifs) (2)
    8 Sécurité liée aux ressources humaines (3)
    9 Sécurité physique et environnementale (2)
    10 Gestion de l’exploitation et des télécommunications (10)
    11 Contrôle d’accès (7)
    12 Acquisition, développement et maintenance des systèmes d’information (6)
    13 Gestion des incidents liés à la sécurité de l’information (2)
    14 Gestion du plan de continuité de l’activité (1)
    15 Conformité (3)

Ce qui change avec la nouvelle version 27002:2013 :


Image

La cryptographie a été isolée des autres chapitres (et notamment du chapitre acquisition & développements) afin de mettre l'accent sur l'importance de la gestion des clés dans la mise en oeuvre de la cryptographie tant dans les développements pour la protection des données sensibles que pour la protection du poste de travail.
Le chapitre Communications and Operations Management est coupé en 2 chapitres, clarifiant les périmètres de responsabilités d’acteurs et de problématiques souvent distincts,
La sécurisation des relations avec les tiers est isolée dans un chapitre dédié.

On marche sur des œufs concernant la continuité d'activité (on parle de la sécurité des informations..de la continuité d'activité), normes ISO 22301 et 22313 obligent, mais n'espérez pas une certification sans Plan de Continuité d'Activité.

Il n'y a toujours pas de chapitre traitant spécifiquement de la sécurité du poste de travail, le BYOD est isolé dans le chapitre organisation de la sécurité, la virtualisation et la cybercriminalité ne font pas l'objet de mesures particulières et la sécurité du Cloud n'est pas plus abordée, on se référera à la matrice du CSA Star.

les changements entre version 2005 et version 2013 font apparaître :
  • 6 nouvelles mesures
  • 26 mesures supprimées
  • 29 mesures modifiées

Au total pas de révolution mais plus de cohérence sur les sujets traités au sein des chapitres, et une meilleure adéquation entre les chapitres et les acteurs de sécurité de l'information impliqués.

ISO 27002:2005
  ISO 27002:2013
 11 Chapitres
  14 Chapitres
 39 Objectifs de sécurité
  35 Objectifs de sécurité
 133 Mesures de sécurité
  113 Mesures de sécurité


Objectifs de sécurité :

La structure de la norme est semblable pour chacun des 41 objectifs de sécurité :
  • Un objectif de sécurité identifiant le but à atteindre,
  • Une ou plusieures mesures de sécurité pouvant être appliquée(s)  pour remplir l'objectif de sécurité.

Mesures :
Au niveau inférieur, la structure de la norme est semblable pour chacun des 137 mesures de sécurité qui ont été définies :

  • Mesure : Spécifie la mesure adaptée à l'objectif de sécurité
  • Préconisations de mise en œuvre : propose les informations détaillées pour mettre en oeuvre la mesure et pour atteindre l'objectif de sécurité. Il se peut que certaines préconisations ne soient pas adaptées à tous les cas et que d'autres solutions s'avèrent préférables.
  • Informations complémentaires : fournissent des détails sur ce qui peut être nécessaire de considérer pour satisfaire la mesure de sécurité, comme par exemple des considérations d'ordre juridiques ou des références à d'autres normes.

Controles : on peut consulter pour plus de détails la liste des contrôles de l'annexe de la norme ISO 27001 ou Acquérir la norme auprès de l'AFNOR ou de l'ISO
Pour un survol synthétique  : ISO 27002 Mind Mapping


(**) principales insuffisances de la norme ISO 17799 :
  • la définition de niveaux de sécurité,
  • la méthodologie d'analyse et de gestion des risques (on attendait la norme ISO 27005 pour cela, elle est arrivée depuis mais s'avère être un guide des bonnes pratiques de la gestion de risque plus qu'une méthodologie -à notre avis)),
  • la notion de plan d'action,
  • la notion de niveau cible de sécurité en adéquation avec la maturité SSI de l'entreprise,
  • la notion d'indicateurs et de métriques de sécurité (dans l'attente de la norme ISO 27004 - publiée depuis).

En France, l'ISO 27002 n'était associée à aucun système de certification. La Norme ISO 27001 joue aujourd'hui ce rôle.
Ressources :
 Veridion : White paper ISO 17799/27002 en Français : Pdf 874Ko
Solucom : Livre Blanc ISO 2701 en Français : Pdf

Dernière mise à jour : ( 03-02-2014 )
< Précédent   Suivant >
Copyright 2005-2014 SSi-Conseil
Mambo Free Software released under the GNU/GPL License.