2 Normes, définitions et livres

 

2.1 Normes

Normes et référentiels liés à la sécurité de l'information

Blagues sécurité de l'information

2.1

Prévoir pour ne pas subir

explicationsLa famille ISO 27000 comprend un grand nombre de normes. Une partie des normes les plus utilisées (surtout l'ISO 27001) est montrée dans la figure 2-1 :

famille ISO 27000

Figure 2-1. Normes de la famille ISO 27000

Remarque : certaines versions « plus récentes » (exemple pour l’ISO 27001 et l’ISO 27002 version 2017), incluent des correctifs mineurs et reprennent la version en vigueur intégralement (dans ce cas celles de 2013).

La norme sur l’audit est :

La norme ISO 31000 : 2018 Management du risque – Lignes directrices établit les principes et le processusactivités qui transforment des éléments d'entrée en éléments de sortie (voir aussi ISO 9000, 3.4.1) de management du risque, l’appréciation et le traitement du risque.

Le rapport technique ISO/TR 31004 : 2013 Management du risque — Lignes directrices pour l'implémentation de l'ISO 31000 permet de mieux comprendre les principes et le cadre organisationnel de management du risque.

La norme sur la continuité d’activité est : ISO 22301 (2019) Sécurité et résilience — Systèmes de management de la continuité d'activité — Exigences.

Le Règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 comprend 64 articles sur la résilience opérationnelle numérique (DORA - Digital Operational Resilience Act). Il sera obligatoire pour les entités financières des pays de l’UE à partir du 17 janvier 2025.

Deux documents français liés aux processus avec des explications, recommandations et exemples :

Les normes ISO (plus de 21 000) sont utilisées dans d'innombrables domaines et sont reconnues dans le monde entier. 

Tous ces référentiels et beaucoup d’autres peuvent être commandés (sous format électronique ou papier) sur le site de l'AFNOR (Association française de normalisation) dans la rubrique boutique, catalogue, normes. 

Plus de 28 000 normes (en anglais et autres langues) sont disponibles gratuitement sur le site Public.resource.Org.

Haut de page

 

2.2 Définitions

Termes et définitions liés à la sécurité de l'information

 2.2

Le début de la sagesse est la définition des termes. Socrate

Certains termes spécifiques :

Actif : tout élément ayant de la valeur pour l’organisation
Action corrective : action pour éliminer les causes d’une non-conformité ou tout autre événement indésirable et empêcher leur réapparition
Appréciation du risque : processus d’identification, d’analyse et d’évaluation du risque
Client : celui qui reçoit un produit
Compétence : aptitudes, connaissances et expériences personnelles
Confidentialité : propriété d’une information d’être dévoilée aux seules personnes autorisées (voir aussi ISO 27000, 3.10) 
Conformité : satisfaction d’une exigence spécifiée
Cryptographie : activités de protection de la confidentialité d’une information à l’aide de codification et de décodification 
Déclaration d’applicabilité (DdA) : document décrivant les objectifs et les mesures de sécurité
Direction : groupe ou personnes chargées de la gestion au plus haut niveau de l’entreprise
Disponibilité : propriété d’une information d’être accessible en temps voulu aux seules personnes autorisées (voir aussi ISO 27000, 3.7)
Document : tout support permettant le traitement d’une information
Efficacité : capacité de réalisation des activités planifiées avec le minimum d’efforts
Efficience : rapport financier entre le résultat obtenu et les ressources utilisées
Exigence : besoin ou attente implicite ou explicite 
Incident (de sécurité de l’information) : événement indésirable et inattendu qui peut compromettre la sécurité de l’information (voir aussi ISO 27000, 3.31) 
Indicateur : valeur d’un paramètre, associé à un objectif, permettant de façon objective d’en mesurer l’efficacité
Intégrité : propriété d’une information d’être non altérée (voir aussi ISO 27000, 3.36)
Non-conformité : non-satisfaction d’une exigence spécifiée
Objectif : but mesurable à atteindre
Organisation (entreprise) : structure qui satisfait un besoin
Partie prenante : personne, groupe ou organisation pouvant affecter ou être affecté par une entreprise
Prestataire externe (fournisseur) : celui qui procure un produit
Processus : activités qui transforment des éléments d’entrée en éléments de sortie
Produit (ou service) : tout résultat d’un processus ou d’une activité
Qualité : aptitude à satisfaire aux exigences
Risque résiduel : risque accepté (voir aussi ISO Guide 73, 3.8.1.6)
Risque : vraisemblance d’apparition d’une menace ou d’une opportunité
Satisfaction du client : objectif prioritaire de chaque système de management 
Sauvegarde : copie de données afin d’archiver et protéger contre la perte
Sécurité de l’information (SI) : mesures permettant de protéger la confidentialité, l’intégrité et la disponibilité de l’information (voir aussi ISO 27000, 3.28)
SI : sécurité de l'information
SMSI : système de management de la sécurité de l’information
Système de management : ensemble de processus permettant d’atteindre les objectifs
Traçabilité : aptitude à mémoriser ou restituer tout ou partie d’une trace des fonctions exécutées
Traitement du risque : activités de modification du risque (voir aussi ISO Guide 73, 3.8.1)
VLAN : Virtual Local Area Network, Réseau local virtuel
Vulnérabilité : faiblesse d’un actif pouvant conduire à un accès non autorisé (voir aussi ISO 27000, 3.77)

Dans la terminologie des systèmes de management ne pas confondre :

L'information est stockée de multiples façons comme :

L'information est transmise de différentes manières comme :

Remarque 1 : le mot anglais « control » a plusieurs sens. Il peut être traduit par maîtrise, mesure, autorité, commande, gestion, contrôle, surveillance, inspection. Pour éviter des malentendus notre préférence est pour maîtrise, mesure et inspection au détriment de contrôle. 

Remarque 2 : entre processus et procédé notre préférence est pour processus (en anglais « process »).

Remarque 3 : un actif est une notion large. Un actif peut être :

Remarque 4 : l'utilisation des définitions de l'ISO 9000 et de l’ISO 27001 est recommandée. Le plus important est de définir pour tous dans l'organisation un vocabulaire commun et sans équivoque.

Remarque 5 : information documentée est toute information que l’on doit tenir à jour (procédure procédure) ou conserver (enregistrement, instruction enregistrement).

Remarque 6 : entre partie prenante et partie intéressée notre préférence est pour partie prenante

Pour d’autres définitions, commentaires, explications et interprétations que vous ne trouvez pas dans ce module et l'annexe 06 vous pouvez consulter : lire 

Haut de page

 

2.3 Livres

Livres liés à la qualité et la sécurité de l'information

2.3

Quand je pense à tous les livres qu'il me reste encore à lire, j'ai la certitude d'être encore heureux. Jules Renard

explicationsPour aller plus loin quelques livres sur la qualité et la sécurité de l'information :

jokeMinute de détente. Jeu :  Procédure

Haut de page