Tài liệu Mise en conformité isocei 27001 de streamscan

UNIVERSITÉ NATIONALE DU VIETNAM, HANOÏ INSTITUT FRANCOPHONE INTERNATIONAL( IFI ) OUARME Arouna Mise en conformité ISO/CEI 27001 de StreamScan Tuân thủ chuẩn chất lượng ISO/CEI 27001 cho StreamScan Spécialité : Réseaux et Systèmes Communicants Code : 8480201.01 MÉMOIRE DE FIN D’ÉTUDES DU MASTER INFORMATIQUE HANOÏ : 2021 UNIVERSITÉ NATIONALE DU VIETNAM, HANOÏ INSTITUT FRANCOPHONE INTERNATIONAL(IFI) OUARME Arouna Mise en conformité ISO/CEI 27001 de StreamScan Tuân thủ chuẩn chất lượng ISO/CEI 27001 cho StreamScan Spécialité : Réseaux et Systèmes Communicants Code : 8480201.01 MÉMOIRE DE FIN D’ÉTUDES DU MASTER INFORMATIQUE Encadrant : Nom : Dr. Karim GANAME HANOÏ : 2021 ATTESTATION SUR L’HONNEUR J’atteste sur l’honneur que ce mémoire a été réalisé par moi-même et que les données et les résultats qui y sont présentés sont exacts et n’ont jamais été publiés ailleurs. La source des informations citées dans ce mémoire a été bien précisée. LỜI CAM ĐOAN Tôi cam đoan đây là công trình nghiên cứu của riêng tôi. Các số liệu, kết quả nêu trong Luận văn là trung thực và chưa từng được ai công bố trong bất kỳ công trình nào khác. Các thông tin trích dẫn trong Luận văn đã được chỉ rõ nguồn gốc. Signature de l’étudiant OUARME Arouna Remerciements « Au nom de Dieu le clément et miséricordieux ». La réalisation de ce mémoire a été possible grâce au concours de plusieurs personnes à qui je voudrais adresser ma profonde gratitude. Je voudrais tout d’abord adresser mes sincères remerciements à mon maître de stage, Dr Abdoul Karim Ganamé, PDG de StreamScan inc. Canada, pour la confiance, la disponibilité et surtout l’autonomie qu’il m’a offert pendant ce stage. Mes remerciements vont également à l’endroit de monsieur Yassia Savadogo, lead auditor ISO27001, ISO 27032 Lead Cybersecurity Manager, pour sa disponibilité et son accompagnement, pour toutes les fois ou j’avais des questions concernant mon travail. Je saisis également cette occasion pour remercier le Dr Nguyen Hong Quang, responsable du Master Réseaux et Systèmes Communicants ainsi que tout le personnel pédagogique et administratif de l’Institut Francophone International - Université National de Vietnam à Hanoi, pour la formation reçue durant ces deux années académiques. Je ne saurais terminer sans exprimer ma profonde gratitude à ma famille et à mes amis qui m’ont apporté un soutien indéfectible et des encouragements constants pour la réussite de ce mémoire. Je vais ici remercier toute la famille OUARME, en particulier mon père et ma mère, pour leur bénédictions, leur confiance et leur soutien indéfectible. Mes sincères et chaleureuses reconnaissances vont à l’endroit des personnes qui sont les plus chères à mon cœur, mon épouse SAVADOGO Guemiratou dont l’indulgence et la complicité discrète m’ont aidé à tenir et à mener à bien ce projet d’étude, mes enfants Ahmed et Alyah qui ont consenti et bravé d’innombrables sacrifices durant ces deux années d’absence. Trouvez ici l’expression de ma reconnaissance, de mon estime et de ma haute considération. OUARME Arouna Résumé Le projet de mise en conformité ISO/CEI 27001 au sein de StreamScan, est un projet dans lequel nous avons menés une étude dans le but d’accompagner StreamScan dans son processus de certification ISO/CEI 27001, propre à son centre MDR (Managed Detection and Response). L’étude a été subdivisé en plusieurs grands points, parmi lesquels : • Une revue de la littérature, afin de semer le décor dans lequel se tiendra la suite de notre travail, • Une identification des exigences de la certification ISO/CEI 27001, • Une analyse d’écarts, afin de déterminer le niveau de conformité actuel de StreamScan, • Une identification des mesures, processus et procédures nécessaires pour la mise en conformité ISO/CEI 27001 de StreamScan, ainsi que, • La rédaction des politiques, processus et procédures nécessaires. A l’issue de ces étapes nous avons pu déterminer le niveau de conformité de l’organisme, à travers les mesures de sécurité prédéfini par la norme elle même. Il faut savoir que dans ce processus nous avons dessellés des non-conformités qui ont été corrigées en définissant des politiques et procédures de correction de ces points de contrôles non-conforme, afin de rendre les mesures de sécurité mise en oeuvre au sein de StreamScan entièrement conforme à ISO/CEI 27001. Mots clés : Mise en conformité, Normes ISO/CEI 27001, SMSI, Mesures de sécurités, Politique de Sécurité du Système d’Information, Certification ISO/CEI 27001. Abstract The ISO/IEC 27001 compliance project within StreamScan, is a project in which we conducted a study with the aim of supporting StreamScan in its ISO / IEC 27001 certification process, specific to its MDR (Managed Detection and Response) center. ). The study was subdivided into several major points, among which : • A review of the literature, in order to set the scene in which the rest of our work will take place, • Identify the requirements of ISO / IEC 27001 certification, • A gap analysis, to determine StreamScan’s current level of compliance, • An identification of the measures, processes and procedures necessary for the ISO 27001 compliance of StreamScan, as well as, • Writing the necessary policies, processes and procedures. At the end of these steps we were able to determine the level of compliance of the organization, through the security measures predefined by the standard itself. You should know that in this process we have unsealed non-conformities which have been corrected by defining policies and procedures for correcting these non-conforming control points, in order to make the security measures implemented within StreamScan fully compliant with ISO / IEC 27001. Keywords : Compliance, ISO / CEI 27001 Standards, ISMS, Security measures, Information System Security Policy, ISO / CEI 27001 Certification. 2 Table des matières Liste des tableaux iv Table des figures v Liste des tables v 1 INTRODUCTION GÉNÉRALE 1.1 Présentation de l’établissement d’accueil 1.1.1 StreamScan inc. Canada . . . . . . 1.2 Contexte . . . . . . . . . . . . . . . . . . . 1.3 Objectifs . . . . . . . . . . . . . . . . . . . . . . . 2 2 2 3 4 . . . . . 5 5 5 5 6 6 . . . . . . . . 7 8 8 9 10 10 11 13 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 État de l’art des systèmes de management de la sécurité de l’information 2.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.2 Définitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.2.1 L’Organisation Internationale de Normalisation (ISO) . . . . . . . 2.2.2 Les normes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.2.3 La normalisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.2.4 Historique des normes relatives au système de sécurité de l’information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.3 Les SMSI (Systèmes de Management de la Sécurité de l’Information) . . 2.3.1 Les systèmes de management . . . . . . . . . . . . . . . . . . . . . 2.3.2 Sécurité de l’information . . . . . . . . . . . . . . . . . . . . . . . . 2.4 La famille de normes du SMSI . . . . . . . . . . . . . . . . . . . . . . . . . 2.4.1 Informations générales . . . . . . . . . . . . . . . . . . . . . . . . . 2.4.2 Les normes de la famille ISO/CEI 2700x . . . . . . . . . . . . . . . . 2.4.3 Normes ISO/CEI 270xx . . . . . . . . . . . . . . . . . . . . . . . . . . 3 La norme ISO/CEI 27001 : Exigences 15 3.1 Contexte et objectifs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 3.2 La structure de la norme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 i TABLE DES MATIÈRES 3.2.1 Description . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.3 Phases de mises en oeuvre du SMSI . . . . . . . . . . . . . . . . . . . . . . 3.3.1 Phase d’établissement (Plan) . . . . . . . . . . . . . . . . . . . . . . 3.3.1.1 Politique et périmètre du SMSI . . . . . . . . . . . . . . . . 3.3.1.2 Appréciation des risques . . . . . . . . . . . . . . . . . . . A Processus d’appréciation des risques . . . . . . . B Méthodes d’appréciation des risques . . . . . . . 3.3.1.3 Traitement des risques . . . . . . . . . . . . . . . . . . . . 3.3.1.4 Sélection des mesures de sécurité . . . . . . . . . . . . . . 3.3.2 Phase d’implémentation (DO) . . . . . . . . . . . . . . . . . . . . . 3.3.3 Phase de maintien (CHECK) . . . . . . . . . . . . . . . . . . . . . . 3.3.4 Phase d’amélioration (ACT) . . . . . . . . . . . . . . . . . . . . . . . 3.4 Audit initial de l’existant . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.4.1 Phase de réalisation de l’audit de sécurité de système de l’information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.4.1.1 Définition de la charte de l’audit . . . . . . . . . . . . . . . 3.4.1.2 Préparation de l’audit . . . . . . . . . . . . . . . . . . . . . 3.4.1.3 Audit organisationnel et physique . . . . . . . . . . . . . . 3.4.1.4 Audit technique . . . . . . . . . . . . . . . . . . . . . . . . 3.4.2 Synthèse de l’audit préalable . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 17 17 18 18 18 20 23 24 24 25 25 25 . . . . . . 26 27 27 27 28 29 4 GAP ANALYSIS ISO 27001 ou ANALYSE D’ÉCARTS 30 4.1 Résultats de l’analyse des écarts . . . . . . . . . . . . . . . . . . . . . . . . . 30 4.2 Détermination du niveau de conformité . . . . . . . . . . . . . . . . . . . . 31 4.3 Amélioration des non-conformités . . . . . . . . . . . . . . . . . . . . . . . 34 4.3.1 Définition de politiques et procédures d’amélioration des non-conformités . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 4.3.1.1 Définition de la politique de sécurité des systèmes d’information et de la procédure de mise à jour de la politique de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 4.3.1.2 Définition de fiche de poste et procédure d’attribution des responsabilités . . . . . . . . . . . . . . . . . . . . . . . . . . 41 4.3.1.3 Mise en place d’un statut et règlement intérieur . . . . . . 42 4.3.1.4 Politique et Procédures d’inventoring . . . . . . . . . . . . . 42 4.3.1.5 Définition de Politique de gestion des accès, Procédure contrôle d’accès réseau, Procédure Identification et authentification de l’utilisateur . . . . . . . . . . . . . . . . . . 43 4.4 Problèmes rencontrés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 5 CONCLUSION & PERSPECTIVES 45 5.1 Conclusion générale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 5.2 Perspectives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 ii TABLE DES MATIÈRES A 48 A.1 Annexe I : Questionnaire Sécurité des systèmes d’information . . . . . . . 48 A.2 Annexe II : bilan de mise en œuvre des mesures de sécurité . . . . . . . . . 52 A.3 Annexe III : Politique de sécurité des systèmes d’information . . . . . . . . 62 A.4 Annexe IV : Procédure de mise à jour de politique de sécurité des systèmes d’information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64 A.5 Annexe V : Définition de fiche de poste . . . . . . . . . . . . . . . . . . . . . 65 A.6 Annexe VI : Procédure d’attribution des responsabilités . . . . . . . . . . . 67 A.7 Annexe VII : Politique d’inventoring . . . . . . . . . . . . . . . . . . . . . . . 68 A.8 Annexe VIII : Procédure d’inventoring . . . . . . . . . . . . . . . . . . . . . . 70 A.9 Annexe IX : Politique de gestion des accès . . . . . . . . . . . . . . . . . . . 73 A.10 Annexe X : Procédure contrôle d’accès réseau . . . . . . . . . . . . . . . . . 76 A.11 Annexe XI : Procédure Identification et authentification de l’utilisateur . . 78 iii Table des figures 1.1 Logo de StreamScan[1] . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 2.1 2.2 2.3 2.4 2.5 2.6 Structure hiérarchique des groupes de travail et comités de l’ISO/CEI[2] Historique des normes liées à la sécurité de l’information . . . . . . . . . Vue d’un système de management . . . . . . . . . . . . . . . . . . . . . . . Roue de Deming (PDCA)[3] . . . . . . . . . . . . . . . . . . . . . . . . . . . Relations au sein de la famille de normes du SMSI[4] . . . . . . . . . . . . Normes de la famille ISO/CEI 2700x . . . . . . . . . . . . . . . . . . . . . . . 6 . 7 . 8 . 9 . 11 . 12 3.1 3.2 3.3 3.4 3.5 3.6 3.7 3.8 Structure de l’ISO/CEI 27001[5] . . . . . . . Déroulement de la phase d’établissement Processus d’appréciation des risques . . . Modules de EBIOS[6] . . . . . . . . . . . . Utilisation des modules de MEHARI[7] . . Phases de la méthode OCTAVE[8] . . . . . Cycle de l’Audit préalable . . . . . . . . . . Démarches de l’audit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 18 19 20 21 22 26 27 4.1 Diagramme du niveau de conformité de l’analyse des écarts . . . . . . . . 33 iv Liste des tableaux 2.1 Normes ISO/CEI 270xx 4.1 4.2 4.3 4.4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 Niveau de conformité de l’analyse des écarts . . . . . . . . Points de contrôles non-conformes ISO/CEI27001 . . . . Suite – Points de contrôles non-conformes ISO/CEI27001 Amélioration des non-conformités . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 35 36 37 A.1 Questionnaire Sécurité des systèmes d’information . . . . . . . . . . . . . . 48 A.2 Bilan de mise en œuvre des mesures de sécurité . . . . . . . . . . . . . . . . 52 v Liste des sigles et acronymes ISO Organisation internationale de normalisation CEI Commission Électronique Internationale MDR Managed Detection Response SMSI Système de Management de la Sécurité de l’Information CDS Cybermenaces Detection System CIA Confidentiality, Integrity and Availability JTC1 Joint Tech-nical Committee 1 PDCA Plan Do Check Act HLS High Level Structure ENISA European Network and Information Security Agency ANSSI Agence Nationale de la Sécurité des Systèmes d’Information EBIOS Expression des Besoins et Identification des Objectifs de Sécurité MEHARI Méthode Harmonisée d’Analyse de Risques CLUSIF Club de la Sécurité de l’Information Français OCTAVE Operationally Critical Threat, Asset, and Vulnerability Evaluation SoA Statement of Applicability Chapitre 1 INTRODUCTION GÉNÉRALE La sécurité de l’information est une priorité pour toute entreprise, à commencer par les niveaux les plus élevés jusqu’aux plus bas. Les organisations doivent s’assurer de la confidentialité, de l’ intégrité et de la disponibilité de leurs informations digitales afin de prévenir toute perturbation de leur activité commerciale. Les risques de sécurité croissants, provenant de menaces tant internes que externes, s’ajoutent aux défis d’une réglementation en constante évolution. Ces organisations doivent continuellement surveiller les personnes, les processus et la technologie pour administrer et gérer les risques de sécurité. En l’absence de cadres de gouvernance appropriés, une atteinte à la protection des données peut avoir des répercussions à long terme, dont la perte de revenus, l’atteinte à la réputation et, éventuellement, la perte de la confiance des employés, clients et actionnaires. Partant de ces constats, ne serait-il pas appréciable d’établir de solides fondements de sécurité de l’information afin de rendre son entreprise conforme aux exigences en perpétuelle évolution, grâce à des normes de certification de type cybersécurité ? 1.1 Présentation de l’établissement d’accueil 1.1.1 StreamScan inc. Canada StreamScan est une entreprise canadienne, évoluant dans le secteur de la sécurité informatique et des réseaux dont le siège social se trouve à Montréal, Québec. L’entreprise a été fondée en 2011, pour faire face aux problèmes majeurs auxquels les entreprises de toutes tailles sont confrontées : le vol de la propriété intellectuelle et des données clients et les perturbations majeures de services critiques dues aux cyberattaques. L’entreprise a été fondée par une équipe d’experts en sécurité pour concevoir une suite de produits destinés à protéger de façon optimale les données et les réseaux des entreprises et circonvenir les intrusions, les violations de données et autres menaces de sécurité. 2 CHAPITRE 1. INTRODUCTION GÉNÉRALE Le CDS qui est une technologie de détection de cybermenace basé sur L’intelligence artificielle et le premier produit commercial de détection de brèches de sécurité, est le résultat de plus de quatre années d’intenses recherches et développement et d’un fort engagement pour révolutionner l’industrie de la cybersécurité. Cet outil est le seul produit de détection de brèches de sécurité bilingue sur le marché Canadien et a été conçu par StreamScan. L’entreprise offre également les services de support et d’assistance en anglais et en français. StreamScan est aussi l’une des premières entreprises à utiliser l’analyse comportementale des flux réseaux pour la détection des logiciels malveillants. StreamScan a développé des liens étroits avec certaines des meilleures universités canadiennes et collabore sur des programmes de recherche et développement. F IGURE 1.1 – Logo de StreamScan[1] 1.2 Contexte L’évolution technologique que connaît le monde aujourd’hui et la volonté des entreprises à garantir leurs avantages compétitifs ont encouragé celles-ci à développer les systèmes d’information de plus en plus complexes. Aussi, grâce aux nouvelles technologies de l’information et de la communication, les liens entre les entreprises deviennent de plus en plus étroits et les méthodes ainsi que les moyens de travail ne cessent d’évoluer. Aujourd’hui, les entreprises ont besoin d’assurer la fluidité de circulation de leurs informations, de garantir la sécurité des données afin d’éviter les pertes et l’instabilité des processus métiers de l’entreprise, d’établir une relation de confiance avec ses partenaires. C’est ainsi que Streamscan avec sa technologie de détection de cybermenaces appelée CDS de type MDR (Managed Detection and Response) capable de détecter les attaques inconnues grâce à l’Intelligence Artificielle, et des offres de services de surveillance à distance de la sécurité de son réseau et celle de ses clients, souhaite acquérir une certification de type cybersécurité, l’ISO/CEI 27001, pour son centre MDR, afin de mettre en confiance ses clients et d’augmenter son niveau de crédibilité sur le marché. 3 CHAPITRE 1. INTRODUCTION GÉNÉRALE 1.3 Objectifs Le but du stage est d’accompagner StreamScan dans sa certification ISO/CEI 27001. Plus spécifiquement le stage consiste à : • Identifier les exigences de la certification ISO/CEI 27001. • Faire une analyse d’écarts afin de déterminer le niveau de conformité actuel de StreamScan ainsi que les mesures à mettre en place pour aller vers la certification ISO/CEI 27001. • Contribuer à l’identification des mesures, processus et procédures nécessaires pour la mise en conformité ISO/CEI 27001 de StreamScan. • Contribuer à la rédaction des processus et procédures nécessaires. • Implémenter ou contribuer à l’implémentation des outils technologiques nécessaires. • Contribuer au processus de certification final ISO/CEI 27001 de StreamScan. 4 Chapitre 2 État de l’art des systèmes de management de la sécurité de l’information 2.1 Introduction Le but du chapitre II de notre travail repose sur la présentation des normes, des concepts, des processus et bien sûr des acteurs qui ont œuvrés afin que les organismes puissent aboutir à un système de management de la sécurité de l’information. 2.2 Définitions 2.2.1 L’Organisation Internationale de Normalisation (ISO) Le 23 Février 1947, L’ASA (American Standards Association) , le BSI (British Standards Institute), L’AFNOR (Association Française de Normalisation) et les organisations de normalisation de 22 autres pays fondent l’Organisation Internationale de Normalisation (ISO). A ce jour, l’ISO regroupe 164 pays membres, et coopère avec d’autres organismes de normalisation comme le CEN (Comité européen de normalisation) ou la Commission Électronique Internationale (CEI). En 1987, l’ISO et la CEI 1 (Commission Électronique Internationale) créent le Joint Technical Committee (JTC1) pour la normalisation des Technologies de l’Information (TI). Le JTC1 allie les compétences de l’ISO en matière de langage de programmation et codage de l’information avec celles du CEI qui traitent du matériel tel que les microprocesseurs. 1. La CEI est chargée de la normalisation d’équipements électriques. Il est courant de voir ISO/CEI pour nommer une norme élaborée conjointement par les deux organismes. 5 CHAPITRE 2. ÉTAT DE L’ART DES SYSTÈMES DE MANAGEMENT DE LA SÉCURITÉ DE L’INFORMATION Le JTC1 est composé de plusieurs comités techniques (SC) qui traitent de sujets tels que la biométrie, la téléinformatique, les interfaces utilisateurs ou encore les techniques de sécurité de l’information relatives aux normes de la série ISO/CEI 2700x.[9] La figure ci-dessous montre la structure hiérarchique des différents groupes de travail tel que le WG1 (Working Group) issu du JTC1/SC27 de l’ISO/CEI[10]. F IGURE 2.1 – Structure hiérarchique des groupes de travail et comités de l’ISO/CEI[2] Créé en 2006, le JTC1/SC27 de l’ISO/CEI a développé un nombre important de normes au sein du WG1 2 , celles de la famille ISO/CEI 2700x. 2.2.2 Les normes L’ISO/CEI donne la définition suivante de la norme : « document établi par consensus et approuvé par un organisme reconnu, qui fournit, pour des usages communs et répétés, des règles, des lignes directrices ou des caractéristiques, pour des activités ou leurs résultats garantissant un niveau d’ordre optimal dans un contexte donné» 3 . Les documents établis par consensus sont donc appelés « norme ». 2.2.3 La normalisation Le Journal Officiel de la République Française définit la normalisation comme étant “ une activité d’intérêt général qui a pour objet de fournir des documents de référence élaborés de manière consensuelle par toutes les parties intéressées, portant sur des règles, des caractéristiques, des recommandations ou des exemples de bonnes pratiques, relatives à des produits, à des services, à des méthodes, à des processus ou à 2. Le WG1 est le groupe de travail en charge d’organiser et rédiger les normes liées au domaine de la sécurité de l’information. 3. Directives ISO/IEC, Partie 2 Principes et règles de structure et de rédaction des documents ISO et IEC, huitième édition, 2018 (§ 3.11) - [SOURCE : Guide ISO/IEC 2 :2004, 3.2] 6 CHAPITRE 2. ÉTAT DE L’ART DES SYSTÈMES DE MANAGEMENT DE LA SÉCURITÉ DE L’INFORMATION des organisations. ” Elle vise à encourager le développement économique et l’innovation tout en prenant en compte des objectifs de développement durable.(Art.1 du décret du 16 juin 2009 relatif à la normalisation) 4 . Ainsi donc, tous les documents de référence élaborés au terme du processus de normalisation sont considérés comme des “ normes ”. 2.2.4 Historique des normes relatives au système de sécurité de l’information Durant plusieurs années les normes relatives à la sécurité de l’information ont évolués ou changés de dénomination. Tous ces changements ont rendu une lecture du sujet assez difficile. Un historique sur l’évolution de ses normes permet de rendre plus fluide l’environnement normatif sur le plan de la sécurité de l’information. La figure ci-dessous résume l’historique des normes traitant de la sécurité de l’information. F IGURE 2.2 – Historique des normes liées à la sécurité de l’information 4. Le Décret n° 2009-697 du 16 juin 2009 relatif à la normalisation, JO du 17 juin 2009, explicite le fonctionnement du système français de normalisation et rappelle la procédure d’élaboration et d’homologation des projets de normes et les modalités d’application des normes homologuées. 7 CHAPITRE 2. ÉTAT DE L’ART DES SYSTÈMES DE MANAGEMENT DE LA SÉCURITÉ DE L’INFORMATION Aujourd’hui les organismes disposent de plusieurs normes de la famille ISO/CEI 2700x qui se sont imposées comme référence des SMSI, dont les plus pertinentes sont l’ISO/CEI 27001 :2013 qui décrit les exigences pour la mise en place d’un SMSI et l’ISO/CEI 27002 :2013 qui regroupe un ensemble de bonnes pratiques «best practices» pour la gestion de la sécurité de l’information. Dans la partie qui suit nous présentons les principales propriétés d’un SMSI avant d’aborder les normes de la série ISO/CEI 2700x qui se sont imposées comme références des SMSI. 2.3 Les SMSI (Systèmes de Management de la Sécurité de l’Information) 2.3.1 Les systèmes de management La norme ISO 9000 définit le système de management comme étant un système permettant d’établir une politique, des objectifs et l’atteinte de ces objectifs. Un système de management peut être interprété comme un ensemble de mesures organisationnelles et techniques ciblant un but bien déterminé, comme le montre la figure ci-dessous. F IGURE 2.3 – Vue d’un système de management Dans la version précédente de la norme ISO/CEI 27001, le fonctionnement du système de management se faisait selon le modèle PDCA (Plan Do Check Act) qui signifie Planifier, Faire, Contrôler, et Corriger. Ces quatre phases sont illustrées dans la figure suivante. 8