Norme ISO/CEI 27002 dans un contexte de convergence des politiques – Conférence Club 27001

Conférence Harmonie : Norme ISO/CEI 27002, retour d’expérience sur l’application de la dernière version dans un contexte de convergence des politiques

A l’occasion de la dernière réunion du Club 27001, Harmonie Technologie a partagé un retour d’expérience dans la mise en œuvre de la dernière version de la norme ISO/CEI 27002 (depuis le 1er draft de la norme ISO/CEI 27002:2013 datant de février 2013). Appliquée dans un contexte de convergence des politiques au sein d’un grand groupe du secteur de l’assurance, ce retour d’expérience a permis d’illustrer de façon globale les gains rencontrés.

Garantissant la légitimité vis-à-vis du management et des opérationnels, l’approche normative ISO/CEI 27002 dans sa dernière version s’est révélée être, pour son client, un réel « accélérateur » dans l’élaboration d’un corpus documentaire de sécurité partagé au niveau du groupe.

Avec très peu de changements, la norme ISO/CEI 27002 a été fortement améliorée. En effet, cette nouvelle version plus pragmatique assure à l’entreprise de disposer d’un socle documentaire aligné à son organisation avec des politiques compréhensibles, applicables et auditables.

Cette présentation a permis de revenir sur les points suivants:

  • Processus de validation et évolution du cadre des politiques;
  • Coordination des contrôles périodiques et des réponses sur audit;
  • Implication et responsabilisation des opérationnels;
  • Couverture des risques;
  • Cible d’un plan de contrôle atteignable;
  • etc.

Informations complémentaire sur la norme ISO/CEI 27002

La Norme ISO/CEI 27002.2013, intitulée « Code de bonnes pratiques pour le management de la sécurité de l’information », fait partie des 8 normes gravitant autour de la norme ISO/CEI 27001 :2013 pour comprendre, implémenter, contrôler et auditer un SMSI. La norme ISO/CEI 27001 est, quant à elle, le cœur du cadre normatif international de système de gestion de la sécurité de l’information et définit les exigences du Système de Management de la Sécurité de l‘Information (SMSI).
En 2013, la nouvelle version de la norme ISO/CEI 27002 est plus concise (135 à 100 pages) tout en conservant la structure de la version 2005. On notera une augmentation des chapitres permettant d’améliorer la cohérence avec l’organisation (11->14) avec une réduction des objectifs (39->35) et des mesures de sécurité (133->114).

Exemple d'améliorations apportées dans la version de la norme

Cette nouvelle version permet de dissocier la PSSI et des politiques opérationnelles par thématique, avec la possibilité d’intégrer au cadre des politiques opérationnelles, la gestion du cycle de vie et la gestion des dérogations.
La répartition des chapitres (et du positionnement de certains sous chapitres) est plus pragmatique :

  • le chapitre « 10.Gestion de l’exploitation et des télécommunications » de la version 2005 a été séparé en deux : « 12.Sécurité liée à l’exploitation » et « 13.Sécurité des communications » ;
  • Le chapitre « 10.Cryptographie » a été extrait du chapitre « 12. Acquisition, développement et maintenance des systèmes d’information ». Initialement orienté sur la mise en œuvre de moyens cryptographiques, il aborde dans cette nouvelle version les moyens d’encadrement de leur utilisation.
  • Le chapitre « 15. Relation avec les fournisseurs » a été extrait du chapitre « 6.Organisation de la sécurité de l’information ».
  • etc.

Ces évolutions facilitent la répartition des responsabilités. Plus cohérente, cette répartition permet de limiter le nombre d’interlocuteurs à 1 à 2 personnes par politique. Les périmètres de responsabilité ainsi clarifiés aident à l’amélioration de de la mise en œuvre des règles par les responsables opérationnels et concourent à la simplification de la structure de contrôle, améliorant ainsi la rapidité et la qualité de la réponse faite aux auditeurs, et facilite l’actualisation des règles en ayant des cycles de vie indépendants.

Laisser un commentaire

L’expertise au centre de notre stratégie de croissance