| Code de bonne pratique pour la sécurité de l'information |
Date de publication |
Juin 2005 |
| Nombre de pages (corps du document) |
105 |
|
| Nombre de pages (annexes) |
3 |
|
| Traduction en français |
Oui |
Bref rappel et évolution
Cette norme est issue de la BS 7799-1 (datant de 1995) qui a évolué en ISO 17799:V2000, puis en ISO 17799:V2005. Enfin en 2007, la norme ISO/CEI 17799:2005 a été rebaptisée en ISO 27002 pour s'intégrer dans la suite ISO 2700x.
Ce catalogue de bonnes pratiques a permis dans les années 2000 de se mettre d'accord sur le périmètre de la sécurité de l'information, sur la gestion des actifs ... Malheureusement cette norme a peu évolué entre les versions 2000 et 2005.
L'intérêt de la norme ISO 27002 ... et ses limites
Le premier intérêt d'utiliser ISO 27002 est évidemment sa diffusion et sa reconnaissance internationale. Un consensus est acquis sur le domaine couvert par la sécurité de l'information (versus le seul périmètre de la sécurité informatique) et sa structuration par domaine.
Cela permet ainsi une simplification dans l'utilisation de méthodes de sécurité ("parler le même langage"), de la communication entre sociétés ou entités d'une même entreprise.
Ensuite, l'ensemble des mesures de sécurité qui y sont définies peuvent être considérées comme les bonnes pratiques actuelles.
Mais il faut également considérer les limites d'ISO 27002. La plus sérieuse est qu'elle ne permet pas de définir quelles sont les mesures de sécurité à mettre en oeuvre en fonction du contexte de l'entreprise.
Ainsi, il est aberrant d'imaginer qu'il faille mettre en œuvre l'ensemble des mesures de sécurité décrites dans la norme (pour des questions de coût et de besoins réels). Il faut démarrer la démarche par une analyse des enjeux et des risques.
Le seconde limite est liée au cycle de normes ISO, en effet une évolution de norme prend environ 5 ans. Dans le domaine des technologies de l'information, les menaces potentielles et les mesures de sécurité liées évoluent plus rapidement que cela.
Enfin la troisième limite est son hétérogénéité, certains domaines sont trop approfondis, d'autres survolés. Ceci sera globalement corrigé dans la prochaine version prévue pour 2011 (un gros travail a été mené par les contributeurs internationaux).
Contexte national ou international ?
Si dans un contexte d'entreprise internationale, l'utilité de cette norme ISO 17799 ne fait aucun doute, qu'en est-il pour les organismes nationaux (administration, collectivités, hopitaux, ...) ?
Il est vrai que la culture qualité est en plein déploiement dans de nombreux organismes nationaux et que le passage d'un mode de services cloisonnés à un mode processus est déjà assez difficile à digérer ...
Mais depuis plusieurs années l'e-administration se déploie, d'abord en interne puis en relation entre elles (notion de guichet, de service unique, ...). Dans ce contexte, les besoins d'interconnexion entre organismes sont réels et les besoins de sécuriser leur échanges également.
On retombe alors dans ce besoin d'un référentiel commun et en ce sens ISO 27002 reste intéressant, en liaison avec les préconisations de la DCSSI pour constituer une politique de sécurité de l'information.
Mais en tout état de cause, l'ISO 27002 ne définit aucune exigence en matière de système de management, produit ... on ne peut donc absolument pas parler de certification ISO 27002