Sécurité de l'information : les normes à la rescousse

François Daigle, OKIOK -15/02/2008

Diverses normes peuvent aider les entreprises à mettre en place une sécurité efficace. Les plus courantes sont sans doute les normes ISO 27001 et 27002, qui sont internationalement reconnues. L'utilisation de ces normes peut procurer de réels avantages.

La place importante qu'occupe depuis quelques années la sécurité de l'information au sein des organisations crée une pression sur les responsables des TI et les dirigeants en général. Il n'y a pas plus de cinq ans, les entreprises s'intéressaient à la sécurité de l'information pour des raisons purement technologiques. Aujourd'hui, cependant, les environnements informatiques sont plus stables, et les architectures technologiques, plus robustes et plus fiables. Dans ce contexte, la sécurité de l'information est maintenant perçue comme un élément stratégique d'une entreprise. Par conséquent, les gens d'affaires préfèrent collaborer avec des partenaires qui traitent la sécurité aussi sérieusement qu'eux.

La mise en œuvre de mesures de protection est donc devenue une tâche méritant une attention rigoureuse. Pour mieux accomplir ce travail souvent complexe, les entreprises peuvent se tourner vers les normes. À commencer par ISO 27001, qui a été conçue pour servir de guide à cet égard.


Application méthodique de la sécurité

ISO 27001 propose une approche éprouvée quant à l'élaboration d'un programme de sécurité de l'information au sein d'une entreprise. Autrefois, les gestionnaires étaient perplexes et hésitants face à la variété de visions, de méthodologies, de scénarios et d'approches servant à déployer un programme de sécurité efficace. Ils peuvent maintenant s'en remettre sans crainte à cette norme internationale, issue des meilleures pratiques et reconnue par des spécialistes en la matière.

La norme ISO 27001 s'articule autour de dix domaines précis, dont la stratégie de sécurité, l'organisation des ressources, le contrôle de l'accès à l'information, l'entretien des systèmes et la conformité. Elle explique comment se doter d'un système de management de la sécurité de l'information (SMSI, ou ISMS en anglais) et en définit les exigences. Un SMSI consiste en une méthodologie rigoureuse de gestion de l'information sensible. Son champ d'application s'étend aux employés, aux processus et aux systèmes d'information.

De nos jours, la sécurité ne se limite plus à l'installation de pare-feu ou à un contrat de sous-traitance. Il est devenu nécessaire d'intégrer l'ensemble des initiatives comprises dans une stratégie de sécurité globale, de façon à ce que chacun des éléments qui la composent offre une protection optimale. C'est à ce niveau qu'intervient un SMSI; il permet de coordonner les efforts visant à optimiser la sécurité. Pour ce faire, un SMSI comporte quatre étapes récurrentes : planifier, mettre en œuvre, vérifier, améliorer. Il s'agit du principe de la roue de Deming, issu du monde de la qualité et présent dans la norme ISO 9001 notamment.


Retour à la page 1


Suite à la page 2

Les commentaires de ce site sont propulsés par Disqus
  Retour Envoyer un ami imprimer Haut
       delicious  |    Digg it  |    Diigo   |    Google  |    Technorati  |    StumbleIt  |    Yahoo!