La norme ISO/IEC 27002 fait partie d’une famille de normes internationales (ISO 27000) en gestion de la sécurité de l’information. Cette dernière comprend les meilleures pratiques de l’industrie afin de préserver la disponibilité, l’intégrité et la confidentialité de l’information. Une évaluation des risques est préalablement nécessaire afin d’identifier les contrôles prioritaires à mettre en place au sein de l’entreprise pour améliorer le niveau de sécurité de l’information. Cette norme s’avère être la référence incontestable en matière de la gestion de la sécurité de l’information.
Elle comprend 11 sections, 39 objectifs de contrôles de sécurité ainsi que 133 contrôles recommandés.
Voici une brève description des sections 5 à 15.
5. Politique de sécurité : Mise en place et révision d’une politique de sécurité de l’information pour toute l’organisation qui couvre les objectifs de sécurité.
6. Organisation de la sécurité de l’information : Définition d’un cadre de gestion et approbation de la politique de sécurité ainsi que des rôles et responsabilités par la direction.
7. Gestion des biens (actifs) : Inventaire et classification des actifs informationnels afin d’identifier les besoins et le niveau de protection souhaité de ces actifs. Comprend également l’attribution des propriétaires de ceux-ci.
8. Sécurité liée aux ressources humaines : Connaissance des rôles et responsabilités des différents acteurs (personnel, contractuel et tiers) préalablement à l’embauche. Formation et sensibilisation de ceux-ci à l’égard des différentes menaces qui pourraient affecter la sécurité de l’information ainsi qu’aux règles et comportements à adopter afin de protéger convenablement l’information.
9. Sécurité physique et environnementale : Protection physique des lieux et locaux contenant des informations sensibles afin de restreindre l’accès aux personnes autorisées, ainsi que de minimiser les dommages causés par des sinistres (ex. inondation, incendies, etc.). Sécurité du matériel pour réduire les risques de vol, d’endommagement ainsi que les fuites ou pertes d’information.
10. Gestion de l’exploitation et des télécommunications : Attribution des responsabilités et des procédures appropriées pour gérer, de façon sécuritaire, l’information ainsi que les changements apportés aux actifs. Notamment, la prestation de services des tiers, la protection contre les codes malveillants, les copies de sauvegarde, la sécurité des réseaux, la manipulation des supports, la surveillance, etc.
11. Contrôle d’accès : Restriction des accès à l’information (réseau, système d’exploitation, systèmes d’information, fichiers, etc.) aux personnes autorisées seulement et qui le requièrent dans le cadre de leurs fonctions. Attribution et restriction des privilèges minimaux requis. Gestion et utilisation sécuritaire des mots de passe ainsi que des mécanismes d’authentification.
12. Acquisition, développement et maintenance des systèmes d’information : Spécifications requises pour assurer la sécurité des systèmes tout au long de leur cycle de vie. Assurance du bon fonctionnement des systèmes et validation de l’intégrité de l’information. Mesures cryptographiques pour protéger la confidentialité des informations sensibles. Gestion des vulnérabilités techniques qui ont fait l’objet d’une publication.
13. Gestion des incidents liés à la sécurité de l’information : Procédures formelles de signalement d’incidents et de failles liés à la sécurité de l’information. Processus d’amélioration continue afin de s’assurer de l’application de mesures correctives et de surveillance.
14. Gestion du plan de continuité de l’activité : Protection des processus métier critiques des impacts causés par une défaillance d’un système ou d’un sinistre afin d’assurer une reprise dans les meilleurs délais (par la mise en œuvre de plans de continuité).
15. Conformité : Respect des obligations légales, réglementaires (ex. PCI-DSS), des exigences de sécurité ou autres. Notamment, au niveau de la protection de la confidentialité de l’information, de la propriété intellectuelle, des informations sensibles de l’entreprise, de la vie privée. Conformité avec les politiques et normes de sécurité.
Une mise à jour de la norme ISO/IEC 27002 s’effectuera d’ici la fin de l’année 2013. Bien que ces changements ne soient pas majeurs, voici les principaux ajustements escomptés. D’abord, la norme ISO 27002 passera de 11 à 14 sections. En effet, les éléments concernant la cryptographie, la sécurité des communications ainsi que les relations avec les fournisseurs ont été ressortis de leur section initiale pour en devenir trois sections individuelles. Quant au nombre de contrôles, ils passeront de 133 à 113. Quelques-uns seront ajoutés tandis que d’autres sont devenus obsolètes.
Pour obtenir une copie de l’ISO 27002 ou approfondir cette norme, vous pouvez consulter les sites suivant:
https://www.iso.org/iso/fr/home/store/catalogue_tc/catalogue_detail.htm?csnumber=50297
Pour en apprendre davantage sur les changements à venir sur la norme ISO 27002, consulter le site Web suivant :
https://blog.iso27001standard.com/2013/02/11/main-changes-in-the-new-iso-27002-2013-draft-version/
Par Patrick Paradis, conseiller en sécurité de l’information