ISO/CEI 27002

La norme ISO/CEI 27002 est une norme internationale concernant la sécurité de l'information, publiée conjointement en 2005 par l'Organisation internationale de normalisation ISO et la Commission Electrotechnique Internationale IEC, révisée en 2013, dont le titre en français est Technologies de l’information — Techniques de sécurité — Code de bonne pratique pour le management de la sécurité de l’information. Elle fait partie de la suite ISO/CEI 27000.

L'ISO/CEI 27002 est un ensemble de 114 mesures dites « best practices » (bonnes pratiques en français), destinées à être utilisées par tous les responsables de la mise en place ou du maintien d'un Système de Management de la Sécurité de l'Information (SMSI). La sécurité de l'information est définie au sein de la norme comme la « préservation de la confidentialité, de l'intégrité et de la disponibilité de l'information ».

Cette norme n'a pas de caractère obligatoire pour les entreprises. Son respect peut toutefois être mentionné dans un contrat : un prestataire de services pourrait ainsi s'engager à respecter les pratiques normalisées dans ses relations avec un client.

Historique[modifier | modifier le code]

• En 1995, le standard britannique "BS 7799" qui fut créé par la British Standards Institution (BSI) définit des mesures de sécurité détaillées.
• En 1998, la BSI scinde le premier document en deux tomes : le BS 7799-1 correspondant aux codes des bonnes pratiques, et le BS 7799-2 correspondant aux spécifications d'un système de gestion de la sécurité de l'information (SMSI).
• En 2000, l'Organisation internationale de normalisation (ISO) édite la norme ISO/CEI 17799:2000 correspondant aux codes des bonnes pratiques issues de la BS 7799.
• En 2005, deux normes sont éditées :
  • ISO/CEI 17799:2005 qui remanie les domaines et objectifs,
  • ISO/CEI 27001:2005 qui introduit la notion de SMSI et offre la possibilité de certification.
• En 2007, la norme ISO/CEI 17799:2005 étant obsolète, a été remplacée par la norme 27002 qui en reprend l'essentiel.
• En 2013, la norme est mise à jour et son titre est modifié. Elle a connu de nombreuses modifications telles que : 

ISO 27002:2005	ISO 27002:2013
11 Chapitres +4	14 Chapitres +4
39 Objectifs de sécurité	35 Objectifs de sécurité
133 Mesures de sécurité	114 Mesures de sécurité

La révision 2013 de la norme internationale permettra aux entreprises de toutes tailles et secteurs d'accueillir l'évolution rapide et la complexité accrue du management des informations et le défi constant que représente la cybersécurité. Une bibliographie complète la norme.

Objectifs[modifier | modifier le code]

ISO/CEI 27002 est plus un code de pratique, qu’une véritable norme ou qu’une spécification formelle telle que l’ISO/CEI 27001. Elle présente une série de contrôles (35 objectifs de contrôle) qui suggèrent de tenir compte des risques de sécurité des informations relatives à la confidentialité, l'intégrité et les aspects de disponibilité. Les entreprises qui adoptent l'ISO/CEI 27002 doivent évaluer leurs propres risques de sécurité de l'information et appliquer les contrôles appropriés, en utilisant la norme pour orienter l’entreprise. La norme ISO 27002 n'est pas une norme au sens habituel du terme. En effet, ce n’est pas une norme de nature technique, technologique ou orientée produit, ou une méthodologie d'évaluation d'équipement telle que les critères communs CC/ISO 15408. Elle n’a pas de caractère d'obligation, elle n’amène pas de certification, ce domaine étant couvert par la norme ISO/CEI 27001.

Mise en œuvre[modifier | modifier le code]

La norme ne fixe pas de niveaux ou d’objectifs de sécurité et rappelle dans les chapitres d'introduction, la nécessité de faire des analyses de risques périodiques mais ne précise aucune obligation quant à la méthode d’évaluation du risque, il suffit donc de choisir celle qui répond aux besoins. C’est à partir des résultats de l’analyse de risque que l’organisation « pioche » dans les différentes rubriques de la norme celles qu’elle doit mettre en œuvre pour répondre à ses besoins de sécurité. En 2002, plus de 80 000 entreprises se conformaient à cette norme à travers le monde.

Contenu de la norme[modifier | modifier le code]

La norme ISO/CEI 27002 est composée de 18 chapitres dont les 4 premiers introduisent la norme et les 14 chapitres suivants couvrent le management de la sécurité aussi bien dans ses aspects stratégiques que dans ses aspects opérationnels.

Chapitre n^o 1 : Champ d'application[modifier | modifier le code]

La norme donne des recommandations pour la gestion de la sécurité des informations pour ceux qui sont chargés de concevoir, mettre en œuvre ou maintenir la sécurité.

Chapitre n^o 2 : Termes et définitions[modifier | modifier le code]

« Sécurité de l'information » est explicitement définie comme la «préservation de la confidentialité, l'intégrité et la disponibilité de l'information». Ceux-ci et d'autres termes connexes sont définis plus loin.

Chapitre n^o 3 : Structure de la présente norme[modifier | modifier le code]

Cette page explique que la norme contient des objectifs de contrôle.

Chapitre n^o 4 : Évaluation des risques et de traitement[modifier | modifier le code]

ISO/CEI 27002 couvre le sujet de la gestion des risques. Elle donne des directives générales sur la sélection et l'utilisation de méthodes appropriées pour analyser les risques pour la sécurité des informations ; elle ne prescrit pas une méthode spécifique, puisque celle-ci doit être appropriée selon le contexte.

Chapitre n^o 5 : Politiques de sécurité de l'information[modifier | modifier le code]

Il existe deux mesures de sécurité. Elles concernent la composition des politiques de sécurité et leurs revues périodique. Il s’agit de résumer les points des articles quatre et cinq de la norme ISO 27001. Ensuite l’ISO 27002 conseille d’aborder chaque domaine relatif à la sécurité. Évoquer chaque chapitre de la norme. 

Chapitre n^o 6 : Organisation de la sécurité de l'information[modifier | modifier le code]

Il n’existe aucun lien particulier entre les différentes mesures de sécurité abordées dans ce chapitre. Elles sont toutes organisationnelles.

• Répartition des rôles et responsabilités : une mesure conseille de répartir clairement les rôles et responsabilités en matière de sécurité. Il est également possible, selon la norme, d’identifier les responsables pour les principaux actifs.
• Séparation des tâches : la norme recommande la séparation des tâches dans le but de prévenir les risques de fraude et/ou de modifications illicites. Cette recommandation est très répandue dans le domaine financier.
• Relations avec les autorités : un grand nombre d’organismes sont tenus d’avoir des relations avec les autorités. Ces relations doivent être formalisées et entretenues. Les autorités avec lesquelles il faut être en contact varient en fonction de l’activité de l’organisme.
• Relations avec les groupes de travail spécialisés : il est conseillé de participer à des forums professionnels abordant les questions de sécurité. Cela permet d’échanger les expériences et d’améliorer le niveau général de sécurité.
• Gestion de projet : il est recommandé par la norme d’intégrer la sécurité dans la gestion de projet. Le conseil donné est d’apprécier les risques puis d’intégrer des points sécurité à tous.
• Mobilité et télétravail : cette mesure aborde les questions de la mobilité malgré son aspect technique. Cette mesure a pris de l’importance avec le développement des parcs mobiles (smartphones, tablettes). 

Chapitre n^o 7 : La sécurité des ressources humaines[modifier | modifier le code]

Il existe un certain nombre de mesures de sécurité à prendre auprès du personnel avant son embauche, pendant sa présence dans l’organisme, puis à son départ :

• Avant l’embauche : il est souhaitable de préciser des critères de sélection avant l’embauche en matière de compétence générales et compétences en sécurité nécessaire pour chaque poste. La norme conseille, de plus, de formaliser dans les contrats de travail les engagements du futur salarié en matière de sécurité.
• Pendant la durée du contrat : la direction doit faire en sorte que tout le monde adopte un comportement adéquat par rapport à la sécurité de l’information.
  • Publication d’une charte destinée aux utilisateurs,
  • Concevoir et formaliser  un processus disciplinaire afin de recadrer le personnel.
• Au départ du personnel : la norme conseille de clarifier autant que possible les règles de sécurité qui seront applicables au salarié, même quand il aura quitté l’entreprise.

Chapitre n^o 8 : Gestion des actifs[modifier | modifier le code]

Ce chapitre aborde les actifs d’information au sens large du terme comme les supports physiques.

• Responsabilités relatives aux actifs : la norme recommande de dresser un inventaire des actifs d’information (éléments important en matière d’information). Elle conseille ensuite de préciser, pour chaque actif, quelle est son utilisation nominale.
• Classification de l’information : cette partie recommande de classifier l’information. Cela met en évidence les actifs les plus sensibles, dans le but de mieux les protéger.
• Manipulation des supports : cette mesure rappelle qu’il est prudent de bien penser les procédures de manipulation des supports amovibles. La norme rappelle qu’il convient de prévoir une procédure de destruction ou d’effacement des données lorsque les supports amovibles sont en fin de vie. 

Chapitre n^o 9 : Contrôle d’accès[modifier | modifier le code]

L’objectif de cette catégorie est de contrôler l’accès aux informations des installations de traitement, d’information et des processus commerciaux.

Chapitre n^o 10 : Cryptographie[modifier | modifier le code]

Il existe deux mesures de sécurité :

• Politique de chiffrement : cette mesure conseille de chiffrer les informations en fonction de leur sensibilité et chiffrer les échanges lorsque les liaisons ne sont pas considérées comme sûres.
• Gestion des clés : les conséquences liées à la divulgation des clés ou à la perte de celles-ci sont telles qu’il convient de les protéger de façon adéquate. Les procédures doivent être correctement formalisées. 

Chapitre n^o 11 : Sécurité physique et environnementale[modifier | modifier le code]

• Mesure de sécurité des salles machines et des autres locaux de l’organisme :
  • Les salles machines doivent être conçues dans les règles de l’art,
  • Contrôle d’accès physique doit interdire l’accès à toute personne non habilitée,
  • Protections contre les désastres naturels, contre les attaques malveillantes ainsi que contre les accidents.
• Sécurité des équipements :
  • Les services généraux doivent être exploités conformément aux spécifications du fabricant. Le câblage réseau doit être posé de telle sorte qu’il soit difficile d’intercepter les flux,
  • Le matériel doit être maintenu régulièrement afin de prévenir des pannes et de prévoir des procédures appropriées en vue de la mise au rebut, en fin de vie,
  • Les équipements laissés sans surveillance doivent être protégés et les postes de travail doivent être automatiquement verrouillés.

Chapitre n^o 12 : Sécurité liée à l’exploitation [modifier | modifier le code]

Ce chapitre aborde de très nombreux domaines dont voici les plus importants :

• Documentation des procédures d’exploitation : la norme recommande de documenter les procédures d’exploitation ainsi que les conduites à tenir en cas d’erreur.
• Gestion des changements : cette mesure consiste à planifier les changements, à en apprécier les risques et à prévoir les procédures de mise en œuvre. Elles consistent aussi à prévoir des retours en arrière en cas de problème, de vérifier que tous les acteurs impliqués sont informés et que les différents responsables ont donné leur accord pour le changement.
• Dimensionnement du système : des mesures doivent être prises pour garantir la capacité de traitement du SI. Il faut également vérifier que les nouveaux dispositifs ne vont pas consommer trop de ressources et surveiller la charge du système et de supprimer les équipements et les données devenues inutiles.
• Séparation des environnements : cette mesure consiste à séparer clairement les environnements de production et ceux de développement. Cette norme recommande de ne pas placer d’informations sensibles dans les bases de tests.
• Protection contre les codes malveillants : la norme recommande vivement le déploiement d’antivirus, afin de prévenir les attaques par code malveillant.
• Sauvegardes : la norme donne des conseils sur les sauvegardes et insiste sur le fait que des tests de restauration doivent être réalisés périodiquement pour s’assurer de l’efficacité des processus de sauvegarde.
• Journalisation : la norme recommande de journaliser les événements jugés les plus pertinents. Elle conseille aussi de protéger les journaux administrateurs. Surveillance de l’activité des administrateurs.
• Gestion des vulnérabilités techniques : cette mesure consiste à mettre en place une veille en vulnérabilités et à appliquer dans un délai approprié tout correctif qui serait nécessaire. 

Chapitre n^o 13 : Sécurité des communications[modifier | modifier le code]

Ce chapitre traite des mesures relatives à la sécurité des réseaux.

• Sécurité des services : Cette mesure recommande de spécifier avec l’entité qui fournit le service réseau les propriétés du service rendu. Cela concerne entre autres la capacité des réseaux, leur dispositif de continuité de service, mais également les services supplémentaires comme le filtrage, le chiffrement…
• Cloisonnement des réseaux : Le cloisonnement des différents domaines de réseau est recommandé (poste de travail, serveurs, DMZ…).
• Transferts d’information : Il est recommandé de prendre des dispositions techniques et organisationnelles pour sécuriser les échanges d’information. Une des mesures recommande au personnel de ne pas tenir de conversations confidentielles dans les lieux publics. Une autre mesure évoque les précautions à prendre dans la messagerie électronique.
• Engagement de confidentialité : Il est conseillé de disposer d’engagement de confidentialité.

Chapitre n^o 14 : Acquisition, développement et maintenance des systèmes d’information[modifier | modifier le code]

Il est convenu de mettre en place des mesures pour assurer la sécurité des services réseaux. Les mesures de sécurité recommandent de protéger les transactions contre les erreurs et les traitements incomplets. Concernant les changements applicatifs, la norme rappelle les mesures élémentaires (exemple : le fait d’effectuer des revues techniques après les changements). 

Chapitre n^o 15 : Relations avec les fournisseurs[modifier | modifier le code]

Il s’agit d’un des points le plus important de la norme.

• Relations avec les fournisseurs : Il est conseillé de rédiger une politique de sécurité destinée aux fournisseurs, d’insérer des articles relatifs à la sécurité des SI dans les contrats pour que les fournisseurs s’engagent dans le domaine.
• Gestion de la prestation de service : Le fournisseur doit être en mesure d’apporter la preuve qu’il respecte ses engagements en matière de sécurité.

Chapitre n^o 16 : Gestion des incidents liés à la sécurité de l’information[modifier | modifier le code]

Ce chapitre évoque toutes les mesures liées à la gestion des incidents de sécurité de l’information.

• Signalement des incidents : La norme a pour but d’inciter les utilisateurs du SI à signaler tout incident.
• Signalement des failles liées à la sécurité : Il est conseillé de signaler sans délai toute vulnérabilité qui serait détectée.
• Appréciation des événements et prise de décision : La norme recommande d’établir des critères pour évaluer la gravité et par conséquent prendre les mesures adaptées.
• Tirer les enseignements des incidents : Afin d’améliorer le processus de gestion des incidents il est recommandé d’organiser des retours d’expérience pour comprendre les causes des incidents.
• Recueil des preuves : Il est très important de collecter des preuves de façon fiable en cas de poursuites judiciaires.

Chapitre n^o 17 : Aspects de la sécurité de l’information dans la gestion de la continuité de l’activité[modifier | modifier le code]

Il est recommandé de réaliser un plan de continuité (PCA) ou de reprise (PRA), qui doit être testé et mis à jour. De plus ce chapitre mentionne qu’une catastrophe ne justifie pas de faire l’impasse sur la sécurité (contrôle d’accès, chiffrement des données sensibles, protection des données à caractère personnel).

Chapitre n^o 18 : Conformité[modifier | modifier le code]

Il est conseillé d’identifier les législations applicables dans le pays où se situe l’organisme. Des textes peuvent formuler des exigences concernant la sécurité des systèmes d’information que l’organisme se doit de respecter sous peine de poursuites judiciaires ou de pénalités contractuelles. La norme invite aussi les organismes à mettre en place un processus de gestion des licences ainsi que des dispositifs pour éviter l’installation illicite de logiciels. De plus la norme aborde la protection des données à caractère personnel et la cryptographie, qui doit être utilisée conformément aux réglementations locales. La seconde partie du chapitre présente les mesures de sécurité conseillant de faire auditer de façon régulière le SI tant du point de vue technique qu’organisationnel.

Avantages[modifier | modifier le code]

• Organisation : cette norme apporte une image positive auprès des actionnaires lorsque l'entreprise tend à maîtriser ses risques pour maximiser ses profits.
• Conformité : la norme insiste sur la nécessité d'identifier toutes les lois et réglementations s'appliquant à l'entreprise et la mise en œuvre de processus adaptés pour identifier et suivre les obligations permet de prouver au moins la volonté de conformité, ce qui tend à diminuer les amendes en cas de non-conformité.
• Gestion des risques : la norme insiste dans ses chapitres d’introduction sur la nécessité de réaliser une analyse de risques périodiquement et définit dans les domaines « politique de sécurité » et « organisation de la sécurité » les pratiques à mettre en œuvre pour gérer les risques mis en lumière par l’analyse de risque. Ceci permet une meilleure connaissance des risques et donc une meilleure allocation des ressources permettant d’améliorer la fiabilité du système.
• Finances : associant une meilleure maîtrise des risques, une meilleure gestion des incidents et une meilleure allocation des ressources, la mise en place d’un SMSI s’appuyant sur les normes ISO 27001 et 27002 permet une meilleure maîtrise des coûts de la sécurité des systèmes d’information.
• Crédibilité et confiance : la mise en place d'une politique de sécurité et des moyens associés donne une image rassurante pour les partenaires et les clients, notamment sur la protection des données personnelles (sujet très médiatique, avec le syndrome du « big brother »).
• Ressources humaines : s'appuyer sur une norme permet de mieux faire passer les messages de sensibilisation, notamment auprès des populations techniques.
• Guide de référence en sécurité des SI : présenter un panorama complet des mesures de sécurité pouvant être déployées pour sécuriser un SI (fonction 1^re).
• Aide à l’implémentation de mesures de sécurité : détails de chaque mesure de sécurité. Nombreuses suggestions pour faciliter l’implémentation des mesures.
• Appels d’offres : très utilisée pour rédiger les clauses de sécurité dans les appels d’offres.
• Politiques de sécurité : de nombreuses politiques de sécurité suivent le plan de l’ISO 27002. Elle permet d’être sur de ne rien avoir oublié dans la politique.
• Référentiel d’audit : la norme est très utilisée pour vérifier les pratiques de sécurité. Lors des audits, ils passent en revue les mesures de sécurité et vérifient, mesure par mesure, comment elles sont implémentées chez l’audité.
• Comparaisons : ce référentiel est très utilisé pour comparer le niveau de sécurité de différentes entités. Audit des filiales par rapport au référentiel (vue d’ensemble de la sécurité).
• Aide à l’implantation de l’ISO 27001 : la norme ISO 27002 est le complément de la norme ISO 27001. Elle sert à décliner concrètement les mesures de sécurité dans le système. 

Normes nationales apparentées[modifier | modifier le code]

Australie/Nouvelle-Zélande	AS/NZS ISO/IEC 27002:2006
Brésil	ISO/IEC NBR 17799/2007 - 27002
République Tchèque	ČSN ISO/IEC 27002:2006
Danemark	DS484:2005
Estonie	EVS-ISO/IEC 17799:2003, 2005
Japon	JIS Q 27002
Italie	UNI CEI EN ISO IEC 27002
Lituanie	LST ISO/IEC 17799:2005
Pays-Bas	NEN-ISO/IEC 17799:2002 nl, 2005
Pologne	PN-ISO/IEC 17799:2007, based on ISO/IEC 17799:2005
Pérou	NTP-ISO/IEC 17799:2007
Afrique du Sud	SANS 17799:2005
Espagne	UNE 71501
Suède	SS 627799
Turquie	TS ISO/IEC 27002
Royaume-Uni	BS ISO/IEC 27002:2005
Uruguay	UNIT/ISO 17799:2005
Russie	ГОСТ/Р ИСО МЭК 17799-2005
Chine	GB/T 22081-2008v

Références[modifier | modifier le code]

• ISO/CEI 27002:2005
• (en) « Description de l'ISO 27002 en anglais »
• Livre sécurité opérationnelle : EYROLLES 2015

Annexes[modifier | modifier le code]

Articles connexes[modifier | modifier le code]

• ISO/CEI 27001: 2005
• Liste des normes ISO de la suite ISO/IEC 27000
• Sécurité de l'information

Liens externes[modifier | modifier le code]

• ISO/IEC 27002:2013 Technologies de l’information — Techniques de sécurité — Code de bonne pratique pour le management de la sécurité de l’information
• « Description officielle de la norme ISO/IEC 27002:2005 »
• (en) « Groupe International des Usagers ISO 27000 / 17799 »
• Description officielle de la norme ISO/IEC 27002 : 2013

• Portail de la sécurité de l’information
• Portail de la sécurité informatique