2 Normes, définitions et livres

• 2.1 Normes
• 2.2 Définitions
• 2.3 Livres

2.1 Normes

Normes et référentiels liés à la sécurité de l'information

Blagues sécurité de l'information

Prévoir pour ne pas subir

La famille ISO 27000 comprend un grand nombre de normes. Une partie des normes les plus utilisées (surtout l'ISO 27001) est montrée dans la figure 2-1 :

Figure 2-1. Normes de la famille ISO 27000

• ISO 27000:2018 - Technologies de l'information — Techniques de sécurité — Systèmes de management de la sécurité de l'information (gratuit – PAS - Spécifications publiquement disponibles) — Vue d'ensemble et vocabulaire
• ISO 27001:2022 – Sécurité de l'information, cybersécurité et protection de la vie privée — Systèmes de management de la sécurité de l'information — Exigences 
• ISO 27002:2022 - Information security, cybersecurity and privacy protection — Information security controls (Sécurité de l'information, cybersécurité et protection de la vie privée – Mesures de sécurité de l’information)
• ISO 27003:2017 – Information technology — Security techniques — Information security management systems — Guidance (Technologies de l'information — Techniques de sécurité —Systèmes de management de la sécurité de l'information — Lignes directrices)
• ISO 27004:2016 – Information technology — Security techniques — Information security management — Monitoring, measurement, analysis and evaluation (Technologies de l'information — Techniques de sécurité — Management de la sécurité de l'information — Surveillance, mesurage, analyse et évaluation)
• ISO 27005:2022 –  Sécurité de l'information, cybersécurité et protection de la vie privée — Préconisations pour la gestion des risques liés à la sécurité de l'information
• ISO 27007:2020 - Information security, cybersecurity and privacy protection — Guidelines for information security management systems auditing (Sécurité de l'information, cybersécurité et protection des données privées — Lignes directrices pour l'audit des systèmes de management de la sécurité de l'information)
• ISO 27008:2019 - Information technology — Security techniques — Guidelines for the assessment of information security controls (Technologies de l'information — Techniques de sécurité — Lignes directrices pour les auditeurs des contrôles de sécurité de l'information)
• ISO 27021:2017 – Information technology — Security techniques — Competence requirements for information security management systems professionals (Technologies de l'information — Techniques de sécurité — Exigences de compétence pour les professionnels de la gestion des systèmes de management de la sécurité)
• ISO 27031:2011 - Technologies de l'information — Techniques de sécurité — Lignes directrices pour la préparation des technologies de la communication et de l'information pour la continuité d'activité
• ISO 27035-1:2016 - Information technology — Security techniques — Information security incident management — Part 1: Principles of incident management (Technologies de l'information — Techniques de sécurité — Gestion des incidents de sécurité de l'information — Partie 1: Principes de la gestion des incidents)
• ISO 27035-2:2016 - Information technology — Security techniques — Information security incident management — Part 2: Guidelines to plan and prepare for incident response (Technologies de l'information — Techniques de sécurité — Gestion des incidents de sécurité de l'information — Partie 2: Lignes directrices pour planifier et préparer une réponse aux incidents)
• ISO 27035-3:2020 - Information technology — Information security incident management — Part 3: Guidelines for ICT incident response operations (Technologies de l'information — Gestion des incidents de sécurité de l'information — Partie 3: Lignes directrices relatives aux opérations de réponse aux incidents TIC)
• ISO 27036-1:2014 - Information technology — Security techniques (gratuit – PAS - Spécifications publiquement disponibles) — Information security for supplier relationships — Part 1: Overview and concepts (Technologies de l'information - Techniques de sécurité - Sécurité de l'information dans les relations avec les fournisseurs - Partie 1 : Vue d'ensemble et concepts)
• ISO 27036-2:2014 - Information technology — Security techniques — Information security for supplier relationships — Part 2: Requirements (Technologies de l'information - Techniques de sécurité - Sécurité de l'information dans les relations avec les fournisseurs - Partie 2 : Exigences)
• ISO/IEC 27701:2019 Techniques de sécurité — Extension d'ISO/IEC 27001 et ISO/IEC 27002 au management de la protection de la vie privée — Exigences et lignes directrices

Remarque : certaines versions « plus récentes » (exemple pour l’ISO 27001 et l’ISO 27002 version 2017), incluent des correctifs mineurs et reprennent la version en vigueur intégralement (dans ce cas celles de 2013).

La norme sur l’audit est :

• L’ISO 19011 (2018) : Lignes directrices pour l’audit des systèmes de management 

La norme ISO 31000 : 2018 Management du risque – Lignes directrices établit les principes et le processusactivités qui transforment des éléments d'entrée en éléments de sortie (voir aussi ISO 9000, 3.4.1) de management du risque, l’appréciation et le traitement du risque.

Le rapport technique ISO/TR 31004 : 2013 Management du risque — Lignes directrices pour l'implémentation de l'ISO 31000 permet de mieux comprendre les principes et le cadre organisationnel de management du risque.

La norme sur la continuité d’activité est : ISO 22301 (2019) Sécurité et résilience — Systèmes de management de la continuité d'activité — Exigences.

Deux documents français liés aux processus avec des explications, recommandations et exemples :

• AC X50-178 (accord, 2002) Management de la qualité – Management des processus – Bonnes pratiques et retours d’expérience
• FD X50-176 (fascicule de documentation, 2005) Outils de management – Management des processus

Les normes ISO (plus de 21 000) sont utilisées dans d'innombrables domaines et sont reconnues dans le monde entier. 

Tous ces référentiels et beaucoup d’autres peuvent être commandés (sous format électronique ou papier) sur le site de l'AFNOR (Association française de normalisation) dans la rubrique boutique, catalogue, normes. 

Plus de 28 000 normes (en anglais et autres langues) sont disponibles gratuitement sur le site Public.resource.Org.

Haut de page

2.2 Définitions

Termes et définitions liés à la sécurité de l'information

Le début de la sagesse est la définition des termes. Socrate

Certains termes spécifiques :

Actif : tout élément ayant de la valeur pour l’organisation
Action corrective : action pour éliminer les causes d’une non-conformité ou tout autre événement indésirable et empêcher leur réapparition
Appréciation du risque : processus d’identification, d’analyse et d’évaluation du risque
Client : celui qui reçoit un produit
Compétence : aptitudes, connaissances et expériences personnelles
Confidentialité : propriété d’une information d’être dévoilée aux seules personnes autorisées (voir aussi ISO 27000, 3.10) 
Conformité : satisfaction d’une exigence spécifiée
Cryptographie : activités de protection de la confidentialité d’une information à l’aide de codification et de décodification 
Déclaration d’applicabilité (DdA) : document décrivant les objectifs et les mesures de sécurité
Direction : groupe ou personnes chargées de la gestion au plus haut niveau de l’entreprise
Disponibilité : propriété d’une information d’être accessible en temps voulu aux seules personnes autorisées (voir aussi ISO 27000, 3.7)
Efficacité : capacité de réalisation des activités planifiées avec le minimum d’efforts
Efficience : rapport financier entre le résultat obtenu et les ressources utilisées
Exigence : besoin ou attente implicite ou explicite 
Incident (de sécurité de l’information) : événement indésirable et inattendu qui peut compromettre la sécurité de l’information (voir aussi ISO 27000, 3.31) 
Indicateur : valeur d’un paramètre, associé à un objectif, permettant de façon objective d’en mesurer l’efficacité
Information documentée : tout support permettant le traitement d’une information
Intégrité : propriété d’une information d’être non altérée (voir aussi ISO 27000, 3.36)
Non-conformité : non-satisfaction d’une exigence spécifiée
Objectif : but mesurable à atteindre
Organisation (entreprise) : structure qui satisfait un besoin
Partie intéressée : personne, groupe ou organisation pouvant affecter ou être affecté par une entreprise
Prestataire externe (fournisseur) : celui qui procure un produit
Processus : activités qui transforment des éléments d’entrée en éléments de sortie
Produit (ou service) : tout résultat d’un processus ou d’une activité
Qualité : aptitude à satisfaire aux exigences
Risque résiduel : risque accepté (voir aussi ISO Guide 73, 3.8.1.6)
Risque : vraisemblance d’apparition d’une menace ou d’une opportunité
Satisfaction du client : objectif prioritaire de chaque système de management 
Sauvegarde : copie de données afin d’archiver et protéger contre la perte
Sécurité de l’information (SI) : mesures permettant de protéger la confidentialité, l’intégrité et la disponibilité de l’information (voir aussi ISO 27000, 3.28)
SI : sécurité de l'information
SMSI : système de management de la sécurité de l’information
Système de management : ensemble de processus permettant d’atteindre les objectifs
Traçabilité : aptitude à mémoriser ou restituer tout ou partie d’une trace des fonctions exécutées
Traitement du risque : activités de modification du risque (voir aussi ISO Guide 73, 3.8.1)
VLAN : Virtual Local Area Network, Réseau local virtuel
Vulnérabilité : faiblesse d’un actif pouvant conduire à un accès non autorisé (voir aussi ISO 27000, 3.77)

Dans la terminologie des systèmes de management ne pas confondre :

• accident et incident
  • l’accident est un événement imprévu grave
  • l’incident est un événement qui peut entraîner un accident
• anomalie, défaillance, défaut, dysfonctionnement, gaspillage, non-conformité et rebut
  • l'anomalie est une déviation par rapport à ce qui est attendu
  • le défaut est la non-satisfaction d'une exigence liée à une utilisation prévue
  • la défaillance c'est quand une fonction est devenue inapte
  • le dysfonctionnement est un fonctionnement dégradé qui peut entraîner une défaillance
  • le gaspillage c'est quand il y a des coûts ajoutés mais pas de valeur
  • la non-conformité est la non-satisfaction d'une exigence spécifiée en production
  • le rebut est un produit non conforme qui sera détruit
• audit, inspection, audité et auditeur
  • l'audit est le processus d'obtention des preuves d'audit
  • l'inspection est la vérification de conformité d'un processus ou produit
  • l'audité est celui qui est audité
  • l'auditeur est celui qui réalise l'audit
• client, prestataire externe et sous-traitant
  • le client reçoit un produit
  • le prestataire externe procure un produit
  • le sous-traitant procure un service ou un produit sur lequel est réalisé un travail spécifique
• efficacité et efficience
  • l'efficacité est le niveau d'obtention des résultats escomptés
  • l'efficience est le rapport entre les résultats obtenus et les ressources utilisées
• incident et non-conformité
  • l'incident est un événement indésirable
  • la non-conformité est le non-respect d'une exigence
• informer et communiquer
  • informer c’est porter une information à la connaissance de quelqu’un
  • communiquer c’est transmettre un message, écouter la réaction et dialoguer
• maîtriser et optimiser
  • la maîtrise est le respect des objectifs
  • l'optimisation est la recherche des meilleurs résultats possibles
• objectif et indicateur
  • l'objectif est un engagement recherché
  • l'indicateur est l'information de la différence entre le résultat obtenu et l'objectif fixé
• processus, procédure, produit, procédé, activité et tâche
  • le processus est la façon de satisfaire le client en utilisant le personnel pour atteindre les objectifs
  • la procédure est la description de la façon dont on devrait se conformer aux règles
  • le produit est le résultat d'un processus
  • le procédé est la façon d'exécuter une activité
  • l'activité est un ensemble de tâches
  • la tâche est une suite de simples opérations
• programme d'audit et plan d'audit
  • le programme d'audit est la planification annuelle des audits
  • le plan d'audit est le descriptif des activités d'un audit
• sécurité et sureté
  • la sécurité (security) est la prévention contre les risques d'origine involontaire
  • la sureté (safety) est la prévention contre les risques malveillants
• suivi et revue
  • le suivi est la vérification d'atteinte de résultats d'une action
  • la revue est l'analyse de l'efficacité à atteindre des objectifs

L'information est stockée de multiples façons comme :

• numérique (données stockées électroniquement)
• forme matérielle (sur papier ou autres)
• connaissances (le savoir-faire du personnel)

L'information est transmise de différentes manières comme :

• numérique (courrier électronique)
• physiquement (poste)
• verbalement (réunions)

Remarque 1 : le mot anglais « control » a plusieurs sens. Il peut être traduit par maîtrise, mesure, autorité, commande, gestion, contrôle, surveillance, inspection. Pour éviter des malentendus notre préférence est pour maîtrise, mesure et inspection au détriment de contrôle. 

Remarque 2 : entre processus et procédé notre préférence est pour processus (en anglais « process »).

Remarque 3 : un actif est une notion large. Un actif peut être :

• une information
• un document
• une archive
• une infrastructure
• un matériel technique
• un logiciel
• le personnel
• la renommée de l’organisation
• un processus
• un service

Remarque 4 : l'utilisation des définitions de l'ISO 9000 et de l’ISO 27001 est recommandée. Le plus important est de définir pour tous dans l'organisation un vocabulaire commun et sans équivoque.

Remarque 5 : information documentée est toute information que l’on doit tenir à jour (procédure ) ou conserver (enregistrement, instruction ).

Pour d’autres définitions, commentaires, explications et interprétations que vous ne trouvez pas dans ce module et l'annexe 06 vous pouvez consulter :  

• Plateforme de consultation en ligne (OBP) de l’ISO
• Electropedia de l’IEC

Haut de page

2.3 Livres

Livres liés à la qualité et la sécurité de l'information

Quand je pense à tous les livres qu'il me reste encore à lire, j'ai la certitude d'être encore heureux. Jules Renard

Pour aller plus loin quelques livres sur la qualité et la sécurité de l'information :

• Edwards Deming, Out of the crisis, MIT Press, 1982 (Hors de la crise, Economica, 1991)
•  Ulrich Beck, La Société du risque – Sur la voie d’une autre modernité, Flammarion, 2008
•  Bernard Foray, La fonction RSSI : Guide des pratiques et retours d'expérience, Dunod, 2011
•  Thierry Boileau, Iso 27001, un système de management de la sécurité de l’information, Univ Européenne, 2012
•  Pascal Weber, Luc Villedieu, La sécurité de l'information: Mettre en pratique les exigences ISO 27001 : 2013, CreateSpace Independent Publishing Platform, 2014
•  Edward Humphreys, Implementing the ISO/IEC 27001 2013 ISMS Standard, Artech House, 2016 (Mise en œuvre de la norme ISO/IEC 27001:2013 SMSI)
•  Alexandre Fernandez Toro, Comprendre et mettre en œuvre la norme ISO 27001: Conseils pratiques d'implémentation, CreateSpace Independent Publishing Platform, 2016
•  Dejan Kosutic, ISO 27001 Risk management in plain english, step-by-step handbook for information security practitioners in small businesses, Advisera Expert Solutions, 2016 (ISO 27001 Gestion des risques en bon anglais, Manuel par étapes à l'intention des praticiens de la sécurité de l'information dans les petites entreprises)
•  Dejan Kosutic, ISO 27001 annex A controls in plain english, Step-by-step handbook for information security practitioners in small businesses, Advisera Expert Solutions, 2016 (Mesures de l’ISO 27001 Annexe A en bon anglais, Manuel par étapes à l’intention des praticiens de la sécurité de l'information dans les petites entreprises)
•  Alexandre Fernandez Toro, Sécurité opérationnelle : Conseils pratiques pour sécuriser le SI, Eyrolles, 2016
•  Alan Calder, Iso27001/Iso27002: Un guide de poche, It Governance, 2017
•  Alan Calder, Neuf étapes vers le succès: Un aperçu de la mise en œuvre de la norme ISO 27001:2013, IT Governance, 2017
•  Claude Pinet, 10 clés pour la sécurité de l'information: ISO/CEI 27001-2013, AFNOR, 2 2017
•  Jules Rémy, L’informatique maîtrisée dans ma PME, La ronde des Vivetières, 2017
•  Alexandre Fernandez-Toro, Management de la sécurité de l'information: Présentation générale de l'ISO 27001 et de ses normes associées - Une référence opérationnelle pour le RSSI, Eyrolles, 2018
•  Géraldine Sutra, Management du risque : une approche stratégique, AFNOR, 2018
•  Cees van der Wens, ISO 27001 handbook: Implementing and auditing an 'Information Security Management System' in small and medium-sized businesses, Brave New Books, 2020 (Mise en œuvre et audit d'un "système de gestion de la sécurité de l'information" dans les petites et moyennes entreprises)
•  Abhishek Chopra, Mukund Chaudary, Implementing an Information Security Management System, Apress , 2020 (Mise en œuvre d'un système de gestion de la sécurité de l'information)
•  Joseph Steinberg, La cybersécurité pour les nuls, First Interactive, 2020
•  Anne Lupfer, Gestion des risques en sécurité de l'information, Mise en œuvre de la norme ISO 27005, Eyrolles, 2021 (2010)
•  Nadège Lesage, Jean-Pierre Lacombe, Management de la sécurité de l'information et ISO 27001 - Principes et mise en œuvre de la gouvernance, ENI, 2021
•  Todd Barnum, Cybersécurité - Guide du RSSI, First Interactive, 2022
•  Solange Ghernaouti, Cybersécurité - Analyser les risques, mettre en œuvre les solutions, Dunod, 2022
•  Pauline N. Maçon, Les bases de la sécurité informatique en 1 heure chrono: Un apprentissage simple illustré d'exemples, Guide pour débutants, Les fondamentaux de la sécurité sur Internet, Publié indépendamment, 2022
•  Nadège Lesage et al, Sécurité des Systèmes d'Information - Coffret de 2 livres : Protection des données et ISO 27001, ENI, 2022
   

Minute de détente. Jeu :  Procédure

Haut de page

• Accueil
• Mon compte
• Plan du site
• FAQ
• CGU