Bonjour, Le 21/02/2024 à 14:56, Stéphane Rivière a écrit :
Note que les questionnaires de gestion des tierces parties sont généralement calqués sur le framework offert par ISO 27001/27002Y a t'il un endroit où l'on peut lire un exemple détaillé de mise en œuvre des 27001/27002 ?J'ai trouvé quelques liens pour newbies mais rien de bien pratique : https://www.interfacing.com/fr/comparing-iso-27001-vs-iso-27002 https://en.wikipedia.org/wiki/ISO/IEC_27001 https://en.wikipedia.org/wiki/ISO/IEC_27002
Les textes des normes ne sont pas accessibles publiquement, il faut les acheter, par exemple sur la boutique de l'AFNOR (cf [1], [2], [3] et [4], tu peux prendre les normes ISO rebrandées NF sans te poser de question).
Pour simplifier, ISO 27001 édicte des exigences génériques et ISO 27002 fournit une checklist d'actions concrètes permettant d'y répondre, exigence par exigence.
À partir de ces deux listes, l'une plutôt management et l'autre plutôt technique, tu peux te construire ton management sécurité à ta sauce en piochant les choses qui t'intéressent, et c'est clairement fait pour cela puisque la démarche d'ISO 27001 est une démarche itérative où tu construis ton système de management de la sécurité de l'information (SMSI) au fur et à mesure de tes moyens/investissements/risques, idéalement en améliorant ton SMSI (et/ou en réduisant tes risques si tu crois ou pas à la religion de la gestion de risque) d'année en année, de cycle en cycle.
J'avoue ne pas avoir sous la main de récit type "from zero to ISO 27001" mais ça doit largement exister, et puis tu peux aussi te renseigner chez tes confrères et consœurs qui peuvent avoir des retours très variés.
Mais tu n'es absolument pas obligé d'adhérer à une démarche de certification, en tout cas pas en première intention.
Un point important à prendre en compte est que ces textes constituent un langage commun pour les gens qui font de la sécurité, de la conformité, de la gestion de risque, de la protection des données personnelles (ISO 27701, qui est une extension d'ISO 27001). Donc montrer que tu peux calquer ta propre démarche sur le cadre fourni par la norme te permettra de te faire immédiatement comprendre de personnes très loin des professions techniques.
Cela veut dire que tu seras immédiatement pris au sérieux par l'ensemble des parties prenantes dès l'instant où tu présenteras tes affaires en conformité sur la forme, même si sur le fond tu es loin d'être certifiable (ou que par principe la norme t'ennuie ou t'inquiète). Tu montres que tu as réfléchi au problème et qu'on peut discuter avec toi, tu ne fais pas partie des gens qui vont refuser d'installer un antivirus au fallacieux prétexte qu'il agrandit la sacro-sainte surface d'attaque (ahem).
D'où l'idée de présenter à ta clientèle tes mesures de sécurité dans un document-type plan d'assurance qualité/sécurité en reprenant le format proposé par ISO 27001+27002, même si tu n'est pas à 100% aligné sur toutes les exigences (mais personne ne l'est). Au pire tu te retrouves à discuter avec la sécurité du client d'une roadmap datée pour corriger les points rédhibitoires, et au mieux tu évites complètement de remplir les questionnaires qui, disons-le franchement, emmerdent tout autant celles et ceux qui doivent les relire et les évaluer...
[1] : <https://www.boutique.afnor.org/fr-fr/norme/nf-en-iso-iec-27001/securite-de-linformation-cybersecurite-et-protection-de-la-vie-privee-syste/fa206487/349230> [2] : <https://www.boutique.afnor.org/fr-fr/norme/iso-iec-270012022/securite-de-linformation-cybersecurite-et-protection-de-la-vie-privee-syste/xs142301/336842> [3] : <https://www.boutique.afnor.org/fr-fr/norme/nf-en-iso-iec-27002/securite-de-linformation-cybersecurite-et-protection-de-la-vie-privee-mesur/fa204874/341766> [4] : <https://www.boutique.afnor.org/fr-fr/norme/iso-iec-270022022/securite-de-linformation-cybersecurite-et-protection-de-la-vie-privee-mesur/xs138637/320531>
Bien cordialement, -- Maxime DERCHE OpenPGP public key ID : 0xAE5264B5 OpenPGP public key fingerprint : 7221 4C4F D57C 456F 8E40 3257 47F7 29A6 AE52 64B5 <https://www.mouet-mouet.net/maxime/blog/>
OpenPGP_signature.asc
Description: OpenPGP digital signature
