Mise en place de l’ISO 27001 version 2013

Share

ISO 27001 version 2013

L’information est l’un des actifs stratégiques pour une organisation. Nombreuses sont les entreprises qui cherchent des moyens pour mieux gérer et protéger leurs systèmes d’informations. Beaucoup d’entre eux envisagent de mettre en place un Système de management de la sécurité de l’information basé sur la norme ISO 27001. Par conséquent, ils cherchent la façon la plus facile à l’implémenter. Je ne veux pas vous décevoir si je vous dise qu’il n’y a pas de moyen facile pour l’implémenter. En effet, sa mise en œuvre demande de la rigueur et surtout beaucoup de travail. Dans cet article, je vais vous faciliter la tâche en vous fournir les 16 étapes à suivre pour sa mise en place.

Etape1: Avoir l’aval et l’appui de la Direction Générale

Pour que la mise en place de l’ISO 27001 ne sera pas une perte de temps, il faut la validation et l’appui de la direction générale ou le « Top management ». De mon expérience personnelle, la raison pour laquelle le projet de mise en place échoue c’est que la direction ne s’implique pas beaucoup, elle ne fournisse pas assez de budget et des ressources pour l’implémentation.

Etape2: Piloter la mise en place de l’ISO 27001 comme un projet

La mise en place de l’ISO 27001 est complexe, car elle implique diverses d’activités aussi bien opérationnelle et managériale que technique. Par conséquent, ces activités demandent beaucoup des gens et du temps, dont la nécessité de les gérer comme un projet. En effet, si vous ne définissez pas clairement ce qui doit être fait, qui va le faire et dans quel délai, vous pourriez aussi bien ne jamais terminer le travail.

Etape3: Définir le périmètre d’application de l’ISO 27001

 Pour le périmètre d’application de la norme, vaut mieux commencer avec une petite partie de l’organisation puis l’étendre après.

Etape4: Ecrire une politique générale du SMSI

La politique générale est le plus haut niveau des documents du SMSI. Elle décrit les objectifs et la stratégie de l’entreprise en termes de sécurité de l’information. L’objectif est que la direction définisse ce qu’elle veut atteindre et comment la contrôler. Ce document doit être signé par le top management.

Etape5: Définir la méthode d’évaluation des risques

L’évaluation des risques est l’une des tâches les plus complexes du projet de mise en place de l’ISO 27001. Ce procédé permet d’identifier les actifs, déterminer les vulnérabilités, les menaces, les impacts et les probabilités d’occurrences.  L’objectif est de définir le risque acceptable pour l’organisation. Vous avez le choix entre plusieurs méthodologies pour cette évaluation telles que : ISO 27005, Mehari, EBIOS, Octave et tant d’autres.

Etape6: Effectuer l’évaluation et le traitement des risques

Cette étape consiste à mettre en œuvre ce qu’on a défini à l’étape précédente. Pour les grandes organisations, cela peut prendre plusieurs mois, il est conseillé de coordonner un tel effort avec beaucoup de soin. Le but est d’obtenir une vision complète des dangers qui pèsent sur l’information de l’organisation. Le processus de traitement de risque a pour objectif de diminuer les risques qui ne sont pas acceptables en utilisant les 114 mesures de sécurité proposés par l’annexe A de l’ISO 27001.

Ici, un rapport d’appréciation des risques doit être rédigé. Ce rapport documente toutes les mesures prises au cours de l’évaluation et du traitement des risques. De même, une approbation des risques résiduels doit être obtenue. Cette approbation peut être un document séparé ou inclus dans la déclaration d’applicabilité (Dda).

Etape7: Ecrire une déclaration d’applicabilité (Dda)

 Une fois que vous avez terminé votre processus de traitement des risques, vous saurez exactement quels contrôles des 114 proposés de l’annexe A  vous avez besoin. Le but de ce document est d’énumérer tous les contrôles et de définir ceux qui sont applicables et qui ne le sont pas, les raisons d’une telle décision, les objectifs à atteindre avec ces contrôles ainsi qu’une description de leurs mises en œuvre.

La déclaration d’applicabilité est également le document le plus approprié pour obtenir l’approbation de la direction pour la mise en œuvre du SMSI.

Etape8: Etablir un plan de traitement des risques

Le but du plan de traitement des risques c’est de définir exactement comment les contrôles de la déclaration d’applicabilité doivent être mis en œuvre. On planifie qui va le faire, quand et avec quel moyen, etc.

Ce document est en fait un plan de mise en œuvre axé sur vos contrôles, sans lequel vous ne seriez pas en mesure de coordonner les étapes supplémentaires dans le projet.

Etape9: Définir comment mesurer l’efficacité des contrôles

Parfois, nous avons tendance à sous-estimer la mise en place des indicateurs. Pourtant, si nous ne pouvons pas mesurer ce que nous avons fait, comment pouvons-nous être sûr que nous avons atteint notre objectif ? Assurons-nous de bien définir comment allons-nous mesurer la réalisation des objectifs que nous avons fixés aussi bien pour le SMSI que pour les mesures de sécurités dans le Dda.

Etape10: Mettre en œuvre les contrôles et les procédures obligatoires

C’est dans cette phase que nous devons appliquer les procédures obligatoires et les mesures de sécurité qu’on a sélectionné dans l’annexe A. C’est généralement la tâche la plus risquée du projet, car on va implémenter des nouvelles technologies, imposer de nouveaux comportements dans l’organisation. Souvent, les gens ont peur du changement, c’est pourquoi la prochaine tâche (formation et sensibilisation) est cruciale pour éviter ce risque.

Etape11: Mettre en œuvre des programmes de formation et de sensibilisation

Si vous voulez que votre personnel mette en œuvre toutes les nouvelles politiques et procédures, vous devez d’abord leur expliquer pourquoi elles sont nécessaires. L’absence de ces activités est la deuxième raison la plus fréquente pour l’échec du projet ISO 27001.

Etape12: Exploiter le SMSI

C’est la partie où ISO 27001 devient une routine quotidienne dans votre organisation. Le mot crucial ici est : « Enregistrer ». Les auditeurs aiment bien les preuves et enregistrements. Sans enregistrements, c’est difficile de prouver que certaines activités ont vraiment été fait. En  utilisant les enregistrements, vous pouvez surveiller ce qui se passe. Vous saurez réellement avec certitude si tout le monde exécute leurs tâches.

Etape13: Surveiller le SMSI

Dans un SMSI, il faut savoir ce qui se passe, il faut demander combien sont les incidents, de quel type ? Toutes les procédures sont-elles correctement effectuées ? On doit vérifier si les résultats qu’on obtient atteignent ce qu’on a fixé dans les objectifs. Si quelque chose ne va pas, on doit effectuer des actions correctives.

Etape14: L’audit interne

Des audits internes doivent être effectués afin de savoir et de détecter les problèmes existants ou potentiels qui peuvent nuire à votre organisation. Il ne s’agit pas ici d’engager des actions disciplinaires, mais de prendre des mesures correctives.

Etape15: La revue de direction

La direction doit connaitre ce qui se passe dans le SMSI. Elle doit savoir si chacun a accompli ses tâches et si on a atteint les résultats souhaités.

Etape16: Les actions correctives

L’un des principes du système de management est de corriger tout ce qui ne va pas. L’ISO 27001 exige que les actions correctives soient entreprises à chaque fois qu’on détecte des non-conformités.

Conclusion

En somme, l’implémentation de l’ISO 27001  n’est pas facile, mais elle n’est pas nécessairement compliquée. La clé est de bien planifier, impliquer la direction, sensibiliser et former les entités concernées.

Save

Save

Save

Save

Save

Save

Save

Save

Save

Save

Save

Save

Save

Save

Posted in Sécurité and tagged , , , .

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *