Sélectionner une page

La sécurité de l’information n’est pas réservée aux seuls informaticiens, même si le système d’information repose en grande partie sur des solutions informatiques. Mettre en place un Système de Management de la Sécurité de l’Information (SMSI) est un choix stratégique de l’organisation.

La finalité du Système de Management de la Sécurité de l’Information est de préserver les 3 critères

Disponibilité de l’information,
Intégrité de l’information,
Confidentialité de l’information,

en s’appuyant sur un processus de gestion des risques, qui donnera toute confiance aux parties intéressées.

Les objectifs et les mesures de référence, définis dans l’annexe A de la norme ISO 27001 : 2013 « Systèmes de management de la sécurité de l’information », sont en cohérence avec ceux qui sont traités dans la norme ISO 27002 : 2013 – « Code de bonne pratique pour le management de la sécurité de l’information ».

Dans le cadre du traitement des risques de sécurité de l’information, il s’agit de mettre en place des mesures appropriées pour maîtriser les risques issus de l’appréciation des risques :

  • Exigences du paragraphe 6.1.2 « Appréciation des risques de sécurité de l’information »
  • Exigences du paragraphe 6.1.3 « Traitement des risques de sécurité de l’information »

Les mesures retenues par l’entreprise devront, dans un deuxième temps, être rapprochées de celles listées dans l’annexe A de la norme ISO 27001 : 2013.

Ce travail de rapprochement va permettre à l’entreprise de produire une déclaration d’applicabilité listant l’ensemble des mesures mises en œuvre. Il s’agit bien de :

  • Justifier le choix de la mesure
  • Justifier la mise en œuvre de la mesure
  • Justifier la non mise en œuvre de la mesure

Comment classifier l’information ?

Les informations de l’organisation doivent être classifiées en fonction des risques encourus et protégées de manière proportionnelle (voir mesure [A.8.2 « Classification de l’information »]) :

  • au plan légal, certaines informations doivent être conservées selon des durées définies (dossier du personnel, factures, contrats, …)
  • au plan stratégique, des secrets industriels ou des brevets comportent une valeur immense pour l’organisation, …

Pour en savoir plus sur la gestion de la propriété intellectuelle, cliquez ici.

Au niveau du processus de classification des informations, cette responsabilité appartient au propriétaire des actifs mais il est important que le département juridique de l’organisation puisse valider la conformité de cette classification au regard des exigences légales applicables.

Plusieurs bonnes pratiques ont été constatées pour répondre à cette mesure de classification :

  • une directive commune à toute l’organisation qui précise les différents niveaux de sensibilité de chaque document : Secret / Confidentiel / Diffusion limitée / Publique, ainsi que les règles à adopter en fonction de chaque niveau de sensibilité ; pour classer une information, on évaluera le préjudice lié à la perte, au vol ou à la destruction de cette information.
  • une évaluation de chaque information et des actifs associés selon les critères DICT (Disponibilité, Intégrité, Confidentialité, Traçabilité), dont le résultat conduit à un niveau de classification approprié.

Comment se mettre en conformité aux obligations légales et réglementaires ?

Des procédures doivent être établies afin de garantir la conformité avec les exigences identifiées en [A.18.1.2 « Droits de propriété intellectuelle »] spécifiques au droit de la propriété intellectuelle et à l’utilisation de logiciels propriétaires.

Le domaine d’application de cette mesure recouvre les droits d’auteur, les marques, les brevets et les licences d’utilisation.

Les dispositions à prendre concernent avant tout la sensibilisation des utilisateurs, tant au niveau des formations qu’au niveau de la signature de la Charte Informatique.

Installer un logiciel « pirate » – et non pas un logiciel libre… – équivaut à violer la Loi et peut entrainer des poursuites pénales et des amendes élevées envers le contrevenant ; c’est un incident de sécurité. Les mesures de restriction de l’installation des logiciels et de contrôle d’accès au code source des programmes ([A.12.6.2 « Restrictions liées à l’installation de logiciels »] et [A.9.4.5 « Contrôle d’accès au code source des programmes »]) contribuent également au déploiement de cette mesure.

Enfin, l’inventaire des actifs se doit d’intégrer les actifs logiciels ; grâce à ce recueil et à des contrôles réguliers de la configuration des équipements, l’organisme est à même de démontrer la conformité entre les droits de propriété intellectuelle acquis et les droits de propriété intellectuelle détenus.

Pour en savoir plus sur la gestion de la propriété intellectuelle, cliquez ici.

Pin It on Pinterest

Recevez gratuitement mon livre pour économiser du temps et gagner en efficacité

Dites-moi simplement à quelle adresse mail je dois vous l'envoyer.

Merci! Vous allez recevoir un mail. :-)