Passer au contenu principal
Connexion |
  
Logo SL Formation & Conseil

SL Formation & Conseil

Commencer la recherche
Accueil
Formation
Conseil
Audit
Infogerance
Certifications Microsoft
Contacts
  

Informations Légales
Des Experts à votre service

 Norme ISO 17799

La norme ISO 17799 est issue de la norme anglaise BS7799 créée en 1995 et révisée en 1999. Cette norme constitue un code de bonnes pratiques pour la gestion de la sécurité de l'information.

Description des chapitres de l'ISO 17799

La norme propose plus d'une centaine de mesures possibles réparties en 10 chapitres :

  • Politique de sécurité
    Ce chapitre mentionne notamment la nécessité pour l'entreprise de disposer d'une politique de sécurité et d'un processus de validation et de révision de cette politique.

  • Organisation de la sécurité
    Ce chapitre comporte 3 parties. La première partie traite de la nécessite de disposer au sein de l'entreprise d'une organisation dédiée à la mise en place et au contrôle des mesures de sécurité en insistant sur :
    • l'implication de la hiérarchie et sur la coopération qui devrait exister entre les différentes entités de l'entreprise,
    • la désignation de propriétaires de l'information, qui seront responsables de leur classification,
    • l'existence d'un processus pour la mise en place de tout nouveau moyen de traitement de l'information.

La deuxième partie traite des accès aux informations de l'entreprise par une tierce partie. Ces accès doivent être encadrés par un contrat qui stipule les conditions d'accès et les recours en cas de problèmes.

La troisième partie indique comment traiter du cas où la gestion de la sécurité est externalisée (outsourcing).

  • Classification des informations
    Ce chapitre traite de la nécessité de répertorier l'ensemble des informations (ou types d'information) de l'entreprise et de déterminer leur classification. La mise en place d'une classification de l'information doit s'accompagner de la rédaction de guides pour la définition des procédures de traitement de chaque niveau de classification.

  • Sécurité du personnel
    Ce chapitre mentionne trois types de mesures :
    • lors du recrutement de personnel, il est tout aussi important d'enquêter sur le niveau de confiance que l'on peut accorder aux personnes qui auront accès à des informations sensibles que de mentionner dans les contrats d'embauche des clauses spécifiques à la sécurité comme une clause de confidentialité.
    • une sensibilisation à la sécurité doit être proposée à toute personne accédant à des informations sensibles (nouvel arrivant, tierce partie),
    • l'ensemble du personnel doit être informé de l'existence et du mode d'emploi d'un processus de remontée d'incidents.


  • Sécurité de l'environnement et des biens physiques
    Ce chapitre traite de toutes les mesures classiques pour protéger les bâtiments et les équipements :
    • délimitation de zone de sécurité pour l'accès aux bâtiments (attention aux accès par les livreurs),
    • mise en place de sécurité physique comme la lutte contre l'incendie ou le dégât des eaux,
    • mise en place de locaux de sécurité avec contrôle d'accès et alarmes, notamment pour les salles machines,
    • mise en place de procédures de contrôle pour limiter les vols ou les compromissions,
    • mise en place de procédures pour la gestion des documents dans les bureaux.


  • Administration
    Ce chapitre traite des points suivants :
    • rédiger et mettre à jour l'ensemble des procédures d'exploitation de l'entreprise (que ce soit pour de l'exploitation réseau, système ou sécurité)
    • rédiger et mettre à jour les critères d'acceptation de tout nouveau système
    • prévoir un planning pour l'achat de composants ou matériels pour éviter toute interruption de service
    • mettre en place un certain nombre de politique organisationnelle et technique (anti-virus, messagerie, diffusion de document électronique en interne ou vers l'extérieur, sauvegarde et restauration, etc)


  • Contrôle d'accès
    Ce chapitre comprend beaucoup de propositions de mesures par rapport aux autres chapitres. Sans être exhaustif, on peut cependant retenir :
    • la nécessité pour l'entreprise de disposer d'une politique de contrôle d'accès (qui a droit à quoi et comment il peut y accéder),
    • la mise en place d'une gestion des utilisateurs et de leurs droits d'accès sans oublier la révision de ces droits (gestion de droits, gestion de mot de passe ou plus généralement d'authentifiant),
    • la responsabilité des utilisateurs face à l'accès aux informations (ne pas divulguer son mot de passe, verrouiller son écran quand on est absent par exemple),
    • des propositions de mesures pour mettre en ouvre la politique de contrôle d'accès comme l'utilisation de la compartimentation de réseaux, de firewalls, de proxies, ..., la limitation horaire d'accès, un nombre d'accès simultanés limité, etc.,
    • la mise en place d'un système de contrôle de la sécurité et de tableaux de bord,
    • l'existence et la mise en place de procédures concernant le télétravail.


  • Développement et maintenance
    Ce chapitre, de la même manière que précédemment, propose des mesures incontournables comme des exemples de mise en ouvre. Sans être exhaustif, on peut retenir :
    • la nécessité d'intégrer les besoins de sécurité dans les spécifications fonctionnelles d'un système
    • des conseils de développement comme la mise en place d'un contrôle systématique des entrées sorties au sein d'un programme
    • des propositions d'intégration de services de sécurité comme le chiffrement, la signature électronique, la non-répudiation, ce qui nécessiterait pour l'entreprise la définition d'une politique d'usage et de contrôle d'outils à base de cryptographie ainsi qu'une politique de gestion des clés associées
    • la mise en place de procédures pour l'intégration de nouveaux logiciels dans un système déjà opérationnel
    • la mise en place d'une gestion de configuration


  • Plan de continuité
    Ce chapitre traite de la nécessité pour l'entreprise de disposer de plans de continuité ainsi que de tout le processus de rédaction, de tests réguliers et de mise à jour de ces plans.

  • Conformité légale et audit de contrôle
    Ce chapitre traite pour l'essentiel de deux points :
    • la nécessité pour l'entreprise de disposer de l'ensemble des lois et règlements qui s'appliquent aux informations qu'elle manipule et des procédures associées
    • la mise en place de procédures pour le déroulement d'audit de contrôle

La norme ISO 17799 est à la fois un ensemble de mesures techniques et organisationnelles que l'entreprise devrait mettre en place pour gérer de manière sécurisée ses informations mais aussi un ensemble de propositions de solutions comme l'utilisation de firewall ou la composition des mots de passe.
  		 


Logo Gold Microsoft