Dejan Kosutic Mis à jour le 11 aout 2014. Le nombre de contrôles a été mis à jour pour correspondre à la version 2013 de la norme ISO27001.
On pourrait croire que ces termes sont synonymes – après tout, la sécurité de l’information ne concerne-t-elle pas surtout les ordinateurs?
Pas exactement. Le fait fondamental est le suivant : vous pouvez avoir des mesures de sécurité informatiques parfaites mais un seul acte malveillant réalisé, par exemple par un administrateur système, peut mettre tout le système informatique en panne. Ce risque n’a rien à voir avec les ordinateurs, mais avec les personnes, les processus, la supervision, etc.
De plus, les informations importantespourraient bien ne pas se trouver sous une forme digitale. Elles peuvent être sur papier : un contrat important signé avec votre plus gros client, des notes personnelles du directeur général, le mot de passe administrateur mis à l’abri dans un coffre (1).
Donc, comme je le dis toujours à mes clients : la sécurité informatique c’est 50% de sécurité de l’information parce que la sécurité de l’information comprend également la sécurité physique, ma gestion des ressources humaines, la protection légale et juridique, l’organisation, les processus etc. L’objet de la sécurité de l’information est de construire un système qui tienne compte de tous les risques possibles pour la sécurité de l’information (liés à l’informatique ou non) et de mettre en œuvre des contrôles exhaustifs qui réduisent toutes les sortes de risques inacceptables.
Cette approche intégrée de la sécurité de l’information est bien définie dans la norme ISO 27001, la norme internationale majeure pour le management (2) de la sécurité de l’information. En bref, la norme exige une évaluation des risques sur tous les actifs de l’organisation (y compris matériel, logiciel, documentation, personnel, fournisseurs, partenaires, etc.) et de choisir les contrôles acceptables pour réduire ces risques.
ISO27001 propose 114 contrôles dans son annexe A. J’ai réalisé une brève analyse des contrôles et les résultats sont les suivants :
- contrôles liés à l’informatique : 36.84%
- contrôles liés à l’organisation et à la documentation : 35.96%
- contrôles de sécurité physique (et environnementale) : 13.16%
- protection légale : 4.39%
- contrôles relatifs aux relations avec les fournisseurs et les clients : 4.39%
- contrôles portant sur la gestion des ressources humaines : 5.26%
Qu’est-ce que cela signifie en termes de mise en œuvre de la sécurité de l’information / ISO27001 ? Ce genre de projet ne devrait pas être vu comme un projet informatique, car toutes les parties de l’organisation pourraient ne pas vouloir participer (ou se sentir concernées). Il faut le voir comme un projet d’entreprise dans lequel les personnes concernées des différents départements devraient être impliquées – direction générale, personnel informatique, experts légaux, responsables des ressources humaines, personnel responsable de la sécurité physique, le ‘métier’ de l’organisation, etc. Sans cette approche vous resterez focalisé sur la sécurité informatique et cela ne vous protègera pas contre les plus grands risques.
Vous pouvez également suivre notre webinaire ISO 27001 Foundations Part 3 : Annex A overview.
Nous remercions Jean-Luc Allard pour la traduction française.
(1) Sans oublier la forme ‘orale’
(2) Je préfère traduire ‘management’ par ‘management’ car le terme ‘gestion’ est trop souvent pris dans un sens restrictif.
