ISO-27002 FR WP
ISO-27002 FR WP
ISO-27002 FR WP
www.veridion.net
Page 2 sur 24
Qu’est-ce que la sécurité de l’information ?
L’information est un actif qui, comme tout autre actif pour l’entreprise, a une
valeur et qui doit donc être convenablement protégé. L’approche de la sécurité de
l’information permet de protéger l’information des menaces qui pourraient
corrompre sa qualité tout en garantissant la continuité des activités de l’entreprise,
en minimisant les pertes et en maximisant le retour sur l’investissement et les
opportunités.
L’information peut prendre différentes formes. Elle peut être imprimée ou
écrite sur papier, stockée électroniquement, acheminée par voie postale ou par
des moyens électroniques, transmise par des films, ou enfin verbale divulguée lors
de conversations. Quelle que soit la forme qu’elle revêt, quels que soient les
moyens par lesquels elle est partagée, transmise ou stockée, elle doit toujours être
correctement protégée.
Lorsque l’on parle de sécurité de l’information, il faut avoir à l’esprit les trois notions
suivantes :
Confidentialité
Sécurité de
l’information
Disponibilité Integrité
www.veridion.net
Page 3 sur 24
www.veridion.net
Page 4 sur 24
Présentation d’ISO 17799 : 2005
www.veridion.net
Page 5 sur 24
www.veridion.net
Page 6 sur 24
Architecture
Schéma d’architecture
Organisationnel
Politique de
sécurité
Organisation de
la sécurité
Sécurité physique et
Contrôles d’accès environnementale
Gestion de la
communication Gestion de
Développement Gestion des
et de la continuité
et maintenance incidents
l’exploitation d’affaires
Opérationnel
www.veridion.net
Page 7 sur 24
Couverture thématique
La politique de sécurité
L’organisation de la sécurité de l’information
La gestion des actifs
La sécurité des ressources humaines
La sécurité physique et environnementale
La gestion de la communication et de l’exploitation
Les contrôles d’accès
L’acquisition, le développement et la maintenance des systèmes
d’information
La gestion des incidents de sécurité de l’information
La gestion de la continuité des affaires
La conformité
www.veridion.net
Page 8 sur 24
Présentation des 11 thèmes
Politique de sécurité
Le premier thème abordé dans ISO 17799 est la politique de sécurité de
l’information. Le seul objectif de contrôle cherche à démontrer l’appui de la
direction en ce qui concerne la gestion de la sécurité de l’information.
www.veridion.net
Page 9 sur 24
Organisation de la sécurité de l’information
www.veridion.net
Page 10 sur 24
Gestion des actifs
www.veridion.net
Page 11 sur 24
Sécurité des ressources humaines
www.veridion.net
Page 12 sur 24
Sécurité physique ou environnementale
Les zones sécurisées ont pour but de prévenir les accès physiques non
autorisés, les dommages et les intrusions dans les bâtiments et informations de
l’organisation. Elles hébergeront les équipements qui délivrent ou stockent des
données sensibles ou critiques et seront renforcées par des périmètres de
sécurité, barrières de sécurité et codes d’accès. Ici on cherche à protéger
physiquement les équipements selon les risques identifiés.
www.veridion.net
Page 13 sur 24
Gestion de la communication et de l’exploitation
www.veridion.net
Page 14 sur 24
Le septième objectif de contrôle, relatif à l’utilisation d’accessoires
informatiques, vise à prévenir toute modification, destruction ou déplacement
d’actif mais aussi les interruptions des activités de l’organisation. Il préconise
l’utilisation de protections physiques et incite à l’implémentation de contrôles.
www.veridion.net
Page 15 sur 24
Contrôles d’accès
Ce thème présente les sept objectifs de contrôle qui permettent de prévenir tout
accès non autorisé.
Ensuite il faut gérer les accès aux utilisateurs grâce à des procédures
d’allocation des droits d’accès aux systèmes d’information et aux services. On
apportera une attention spéciale à l’allocation d’accès privilégiés dans la mesure
où ceux-ci permettent aux utilisateurs d’outrepasser les contrôles du système.
www.veridion.net
Page 16 sur 24
ISO 17799 accorde une place particulière aux contrôles d’accès au
réseau, aux contrôles d’accès aux systèmes d’exploitation et aux contrôles
d’accès à l’information et aux applications. En effet, une mauvaise gestion de
ces accès serait fortement préjudiciable à la sécurité de l’organisation. Afin d’éviter
tout risque, les contrôles et procédures devront être renforcés, les équipements de
sécurité contrôleront les accès. Le but est de fournir une protection supplémentaire
tout en ne compromettant pas le système de contrôle d’accès déjà en place.
www.veridion.net
Page 17 sur 24
Acquisition, développement et maintenance des systèmes d’information
Dans un premier temps, ISO 17799 définit un objectif de contrôle relatif aux
exigences de sécurité pour les systèmes d’information pour assurer que la
sécurité de l’information fait partie intégrante du système d’information.
www.veridion.net
Page 18 sur 24
Gestion des incidents de sécurité de l’information
www.veridion.net
Page 19 sur 24
Gestion de la continuité d’affaires
www.veridion.net
Page 20 sur 24
Conformité
www.veridion.net
Page 21 sur 24
Utilisation de la norme
Utilisation générale
ISO 17799
www.veridion.net
Page 22 sur 24
Optique de certification et d’audit
Les bonnes pratiques définies par ISO 17799 peuvent donc représenter une
aide précieuse pour toute entreprise qui cherche la certification ISO 27001.
www.veridion.net
Page 23 sur 24
Profil de l’entreprise
Créée en 2005, Veridion Inc. est une entreprise spécialisée dans le secteur
de la sécurité de l’information.
l’analyse de risque ;
le développement de guides et de pratiques de sécurité ;
l’élaboration de systèmes de gestion de la sécurité de l’information ;
les politiques de sécurité basées sur ISO 17799 / ISO 27002 ;
les audits de sécurité ;
la formation en gestion du risque
Notre mission est de permettre à toutes les entreprises de gérer et de
réduire leurs risques, de bâtir une stratégie de sécurité de l’information adaptée à
leurs besoins.
En vous proposant des logiciels, des outils et un accompagnement dans
l’analyse complète de vos risques, nous mettons un point d’honneur à rendre vos
prises de décisions efficaces et efficientes.
www.veridion.net
Page 24 sur 24