Sélectionner une page

L’information dans une entreprise regroupe l’ensemble de son savoir-faire. Ne pas protéger son information fait prendre un risque stratégique à l’entreprise si jamais son information était « touchée ».

La famille des normes ISO 27000 traite de la problématique de la sécurité de l’information. La notion de sécurité de l’information, au sens ISO 27000, regroupe les trois principes suivants :

  • Disponibilité
  • Intégrité
  • Confidentialité

La disponibilité d’une information se comprend aisément. Il s’agit que l’information soit accessible et utilisable à la demande par les personnes autorisées.

Les personnes autorisées font le lien avec la confidentialité de l’information. En effet, il ne s’agit pas de rendre disponible ou de divulguer de l’information à des personnes non autorisées par l’entreprise.

L’intégrité de l’information s’attache à protéger l’information contre toute altération qui conduirait à mettre de l’information « fausse » à disposition des personnes autorisées.

Qu’est ce qu’un actif ?

La notion d’actif va en effet au-delà de la notion d’information car il représente une valeur pour l’entreprise. Il s’agit donc bien de protéger l’ensemble des actifs de l’entreprise :

  • L’information : données
  • Les logiciels
  • Les matériels : ordinateur, …
  • Les services
  • Le personnel : compétences
  • L’immatériel : image de l’entreprise, réputation

Mettre en place un SMSI

Le Système de Management de la Sécurité de l’Information s’appuie sur la norme ISO 27001 : 2005. Il est basé sur le principe du PDCA :

  • Planifier : Déterminer les objectifs / cibles et définir les plans d’actions permettant d’atteindre les objectifs fixés
  • Déployer : Mettre en œuvre les plans d’actions selon leur planification
  • Contrôler : Mesurer l’avancement au regard des objectifs / cibles planifiés
  • Agir : Apporter les corrections en cas de dérive et améliorer de manière continue les activités concernées par la sécurité de l’information

Il est important de rappeler qu’un système de management implique avant tout la direction de l’entreprise. La sécurité de l’information ne se limite pas au département / service informatique de l’entreprise.

Le SMSI s’appuie sur la mise en place d’une politique de sécurité de l’information déclinée en objectifs / cibles, et sur un processus de gestion des risques. Le SMSI peut être certifié par un organisme de certification : exigences ISO 27001 : 2005

Processus de gestion des risques

La mise en place d’un processus de gestion des risques est basée sur l’identification des actifs de l’entreprise nécessitant des mesures particulières en termes de sécurité de l’information : disponibilité / intégrité / confidentialité. La norme ISO 27005 : 2008 aborde ce sujet :

  • Appréciation des risques
  • Traitement des risques
  • Acceptation des risques
  • Communication relative aux risques
  • Surveillance et revue du risque

Exemples de méthodes pour aborder la gestion des risques

Le Clusif (Club de la Sécurité de L’information Français) propose la méthode MEHARI. Vous pourrez télécharger le fichier Excel « MEHARI 2010 ».

L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) propose la méthode EBIOS. Vous pourrez télécharger des ressources documentaires de la version EBIOS 2010. Vous trouverez également de l’information sur le site Internet du club EBIOS.

Télécharger gratuitement la norme ISO 27000

Vous pouvez télécharger, sur le site Internet de l’AFNOR, la norme ISO 27000 : 2009. Elle vous donnera un aperçu global sur la mise en œuvre d’un SMSI (Système de management de la Sécurité de l’Information) afin de maîtriser les risques liés à la sécurité de l’information de votre entreprise.

Crédit photo : semadikasih

Recevez gratuitement mon livre pour économiser du temps et gagner en efficacité

Dites-moi simplement à quelle adresse mail je dois vous l'envoyer.

Merci! Vous allez recevoir un mail. :-)

Pin It on Pinterest