10 clés pour la sécurité de l'information - ISO/IEC 27001:2022 - 3e édition

10 clés pour la sécurité de l'information - ISO/IEC 27001:2022 - 3e édition

Book

Notre environnement quotidien est de plus en plus complexe et donc de plus en plus difficile à comprendre. Des techniques et des outils de plus en plus sophistiqués apparaissent et se développent. Toute organisation, avant d'entreprendre une action quelle qu'elle soit, doit se poser la question de l'évaluation des conséquences que cette action est susceptible d'entraîner. Et c'est probablement dans le domaine de l'information que l'impact des décisions et des actions s'avère le plus difficile à appréhender. Or, l'absence de maîtrise des risques liés à la sécurité de l'information peut entraîner de lourdes répercussions. En s'appuyant sur la norme internationale ISO/IEC 27001, dans sa dernière mouture de 2022, l'auteur présente une approche basée sur la maîtrise des risques associés à la sécurité de l'information et sur l'amélioration continue. Il détaille et explique la structure et le contenu de la série des normes ISO/IEC 27000 qui traitent de la sécurité de l'information sans oublier de les replacer dans leur contexte. Il montre comment ces normes, bien comprises et bien mises en œuvre, constituent le référentiel pour l'élaboration et la certification d'un système de management de la sécurité de l'information (SMSI).Un livre pédagogique et accessible à tous, à mettre entre les mains de tous ceux qui veulent améliorer la confiance dans les informations véhiculées !

See more
Main informations

Author(s)

C. Pinet

Release date

June 2023

Number of pages

192 p.

ISBN

978-2-12-465847-3

Reference

3465847

ICS Codes

03.100.70   Management systems
35.030   IT Security
Sumary


Notre environnement quotidien est de plus en plus complexe et donc de plus en plus difficile à comprendre. Des techniques et des outils de plus en plus sophistiqués apparaissent et se développent. Toute organisation, avant d'entreprendre une action quelle qu'elle soit, doit se poser la question de l'évaluation des conséquences que cette action est susceptible d'entraîner. Et c'est probablement dans le domaine de l'information que l'impact des décisions et des actions s'avère le plus difficile à appréhender. Or, l'absence de maîtrise des risques liés à la sécurité de l'information peut entraîner de lourdes répercussions. En s'appuyant sur la norme internationale ISO/IEC 27001, dans sa dernière mouture de 2022, l'auteur présente une approche basée sur la maîtrise des risques associés à la sécurité de l'information et sur l'amélioration continue. Il détaille et explique la structure et le contenu de la série des normes ISO/IEC 27000 qui traitent de la sécurité de l'information sans oublier de les replacer dans leur contexte. Il montre comment ces normes, bien comprises et bien mises en œuvre, constituent le référentiel pour l'élaboration et la certification d'un système de management de la sécurité de l'information (SMSI). Un livre pédagogique et accessible à tous, à mettre entre les mains de tous ceux qui veulent améliorer la confiance dans les informations véhiculées !
Table of contents
  • L'auteur V
  • Du même auteur VII
  • Bibliothèque Cobaz AFNOR (ex-BiVi) IX
  • Préface XV
  • Avant-propos XVII
  • Introduction 1
  • Partie I Sécurité et information
  • Clé n° 1 La sécurité, qu'est-ce que c'est ? 5
  • 1.1 La définition de la sécurité 5
  • 1.2 Les composantes de la sécurité 6
  • 1.3 Les acteurs de la sécurité 7
  • Clé n° 2 L'information, qu'est-ce que c'est ? 11
  • 2.1 La définition de la donnée 11
  • 2.2 La définition de l'information 12
  • 2.3 Le système d'information 13
  • 2.4 Le traitement de l'information 13
  • 2.5 Le traitement automatisé de l'information 14
  • Clé n° 3 Structure des normes ISO 27000 15
  • 3.1 Structure normative 15
  • 3.2 NF EN ISO/IEC 27000 17
  • 3.3 NF ISO/IEC 27001 19
  • 3.4 NF EN ISO/IEC 27002 21
  • 3.5 Norme ISO/IEC 27003 27
  • 3.6 Norme ISO/IEC 27004 28
  • 3.7 NF ISO/IEC 27005 30
  • 3.8 NF EN ISO/IEC 27011 30
  • Clé n° 4 Exigences de la norme NF ISO/IEC 27001 33
  • 4.1 L'organisation de la norme 33
  • 4.2 Le contexte de l'organisme (§ 4 de la norme) 34
  • 4.3 Le leadership (§ 5 de la norme) 36
  • 4.4 Planification (§ 6 de la norme) 37
  • 4.5 Supports (§ 7 de la norme) 39
  • 4.6 Fonctionnement (§ 8 de la norme) 42
  • 4.7 Évaluation des performances (§ 9 de la norme) 43
  • 4.8 Amélioration (§ 10 de la norme) 45
  • Clé n° 5 La déclaration d'applicabilité 47
  • 5.1 Rôle de la déclaration d'applicabilité (DdA) 47
  • 5.2 Rappel des exigences de la version 2013 48
  • 5.3 Les exigences de la version 2022 50
  • 5.4 Comment y répondre ? 54
  • Clé n° 6 La gestion des actifs 55
  • 6.1 Qu'est-ce qu'un actif ? 55
  • 6.2 Comment identifier un actif ? 56
  • 6.3 Comment gérer un actif ? 58
  • Clé n° 7 Les processus de gestion des risques 59
  • 7.1 Qu'est-ce qu'un risque ? 59
  • 7.2 Comment identifier un risque ? 60
  • 7.3 Typologie d'impacts sur les actifs - Notion de « DIC » 62
  • 7.4 Analyser et évaluer les risques 65
  • 7.5 Déterminer le niveau de risque 68
  • 7.6 Traiter les risques 70
  • 7.7 Approuver les risques résiduels 70
  • 7.8 Le management des risques 71
  • Clé n° 8 Les incidents de sécurité 73
  • 8.1 Un incident, qu'est-ce que c'est ? 73
  • 8.2 Les facteurs déclenchants d'un incident 74
  • 8.3 Les caractéristiques des incidents 75
  • 8.4 Le traitement des incidents 76
  • 8.5 Assurer la continuité de l'activité 80
  • Clé n° 9 Les exigences d'un système de gestion 87
  • 9.1 Les exigences d'un système de management de la sécurité de l'information (SMSI) 87
  • 9.2 Le contexte de l'organisation (§ 4 de la norme) 90
  • 9.3 Leadership (§ 5 de la norme) 92
  • 9.4 Planification (§ 6 de la norme) 93
  • 9.5 Supports (§ 7 de la norme) 94
  • 9.6 Fonctionnement (§ 8 de la norme) 96
  • 9.7 Évaluation de la performance (§ 9 de la norme) 96
  • 9.8 Amélioration (§ 10 de la norme) 98
  • Clé n° 10 Le processus de certification 99
  • 10.1 Accréditation et certification 99
  • 10.2 Les acteurs et les instances 100
  • 10.3 Les catégories de certifications 101
  • 10.4 L'audit initial de certification 103
  • Conclusion 105
  • Partie II Fiches techniques
  • FT n° 1 Vocabulaire et définitions 109
  • FT n° 2 Sommaire de la norme NF EN ISO/IEC 27000 117
  • FT n° 3 Sommaire de la norme ISO/IEC 27001 119
  • FT n° 4 Sommaire de la norme ISO/IEC 27002 121
  • FT n° 5 Sommaire de la norme ISO/IEC 27005 125
  • FT n° 6 Définition du domaine d'application 128
  • FT n° 7 Thèmes de la déclaration d'applicabilité 129
  • FT n° 8 Exemples de catégories d'actifs 134
  • FT n° 9 Exemple d'inventaire des actifs 135
  • FT n° 10 Management du risque 136
  • FT n° 11 Types de menaces 137
  • FT n° 12 Sources de menaces humaines 139
  • FT n° 13 Vulnérabilités et menaces 141
  • FT n° 14 La disponibilité 144
  • FT n° 15 La probabilité des risques 145
  • FT n° 16 Les niveaux de gravité 146
  • FT n° 17 La criticité des risques 147
  • FT n° 18 Détermination du niveau de risque 148
  • FT n° 19 Les activités de traitement des risques 149
  • FT n° 20 Exemple tableau/plan de traitement des risques 150
  • FT n° 21 Le management du risque 151
  • FT n° 22 Exemple de pondération de probabilité d'un danger 153
  • FT n° 23 Exemple de pondération de la fréquence d'exposition à un danger 154
  • FT n° 24 La gestion des incidents 155
  • FT n° 25 Le plan de reprise (continuité) 156
  • FT n° 26 Le processus 157
  • FT n° 27 Le manuel de management de la sécurité de l'information 161
  • FT n° 28 Description de la fonction de Chief Information Security Officer (CISO - RSSI) 164
  • FT n° 29 L'amélioration continue 165
  • FT n° 30 La gestion de l'amélioration 166
  • FT n° 31 Quelques méthodes pour les risques 167
  • FT n° 32 Une règle d'or pour la sécurité 168
  • Sigles et abréviations 169
  • Normes et standards 170
  • Sitographie 172
  • Table des figures 173