Management de la sécurité de l'information et ISO 27001 : principes et mise en oeuvre de la gouvernance

Auteur(s) :

Lacombe, Jean-Pierre (1958-....) Découvrir l'auteur

Résumé

Présentation des différents éléments d'un système de gouvernance de la sécurité conformément à la norme ISO 27001 au travers d'études approfondies illustrées de conseils et d'études de cas. ©Electre 2021

Autre(s) auteur(s)
- Lesage, Nadège
Éditeur(s)
- Éditions ENI
Date
- C 2021
Notes
- La couv. porte en plus : "+ quiz" ; "Version en ligne offerte pendant 1 an"
- Contient un "flashcode" permettant d'accéder à un contenu via Internet
Langues
- Français
Description matérielle
- 1 vol. (294 p.) : ill., graph. ; 21 cm
Collections
- Datapro
Sujet(s)
ISBN
- 978-2-409-02953-0
Indice
- 681.40 Sécurité informatique
Quatrième de couverture
- Management de la sécurité de l'information et ISO 27001
  Principes et mise en oeuvre de la gouvernance
  Cet ouvrage traite de la gouvernance de la sécurité de l'information tant dans ses principes fondamentaux que dans sa mise en oeuvre au quotidien selon la norme ISO 27001. Il s'adresse à tous les publics, néophytes, confirmés ou experts, qu'ils soient désireux d'appréhender le sujet à travers ses composantes stratégique, tactique et opérationnelle ou de bénéficier de retours d'expérience.
  Rédigé par des formateurs experts du domaine, impliqués au quotidien dans la mise en oeuvre et l'audit des systèmes de gouvernance, cet ouvrage, structuré selon une logique très progressive, conjugue à la fois une approche théorique et pragmatique indispensable à tout acteur de la gouvernance et de la sécurité de l'information.
  Ainsi, depuis la présentation des concepts jusqu'aux conseils de mise en oeuvre, le lecteur découvre les différents éléments d'un système de gouvernance de la sécurité au travers d'études approfondies de chaque étape. La norme de gouvernance, les politiques de sécurité, l'analyse et la gestion des risques, la planification ou encore la surveillance et l'évaluation sont ainsi détaillées et enrichies de conseils et d'études de cas.
Tables des matières
- - Management de la sécurité de l'information et ISO 27001
  - Principes et mise en oeuvre de la gouvernance
  - Avant-propos
  - Chapitre 1
  - Prérequis
  - 1. Introduction11
  - 2. Que suppose une bonne gouvernance ?12
  - 2.1 La prise de décision13
  - 2.2 La définition de la structure organisationnelle14
  - 2.3 La mise en avant des avantages17
  - 2.4 L'intérêt commun18
  - 3. Quels rôles pour quelles responsabilités ?19
  - 3.1 L'identification des rôles19
  - 3.2 La cohérence entre l'identification et l'attribution20
  - 3.3 Le cadrage juridique21
  - 4. Que prévoir en termes de ressources ?22
  - 4.1 La variété des ressources23
  - 4.2 L'estimation des ressources nécessaires24
  - 5. Quel serait un contexte favorable ?25
  - Chapitre 2
  - Finalités de la norme
  - 1. Les principes constitutifs de la norme27
  - 1.1 Les enjeux de la norme28
  - 1.2 Les finalités de la norme29
  - 1.3 La cible de la norme30
  - 1.3.1 La cible : tout ou partie d'une personne morale30
  - 1.3.2 La cible : une personne physique32
  - 1.4 L'investissement induit33
  - 2. L'obtention d'une certification ISO 2700134
  - 2.1 La synthèse du processus de certification d'une entité35
  - 2.2 Les motivations pour une certification35
  - 2.3 Les limites d'une certification36
  - 3. Le recueil de bonnes pratiques37
  - 3.1 Le concept d'état de l'art38
  - 3.2 Le traitement d'un thème précis39
  - 3.3 Évaluation de la maturité sécurité40
  - 3.4 Préparation à la certification41
  - 4. La formation de personnes41
  - 4.1 Une bonne approche de la norme42
  - 5. Rappel des points clés45
  - 6. Cas pratiques47
  - 6.1 Cas pratique 147
  - 6.2 Cas pratique 248
  - 6.2.1 Exercice 1 : certification d'une société49
  - 6.2.2 Exercice 2 : certification d'un directeur financier52
  - Chapitre 3
  - La norme ISO27001
  - 1. Contextualisation de la norme55
  - 2. Rappel historique sur sa construction57
  - 3. Domaine adressé58
  - 4. Usage actuel de la norme60
  - 4.1 Obtenir la certification ISO 2700161
  - 4.2 Un point de passage vers d'autres certifications63
  - 4.3 Répondre aux exigences des donneurs d'ordre65
  - 4.4 Obtenir un avantage concurrentiel66
  - 4.5 Une reconnaissance internationale67
  - 5. Philosophie de la norme67
  - 6. Contenu de la norme69
  - 6.1 Clause 4 : contexte de l'organisation70
  - 6.1.1 Compréhension de l'organisation et de son contexte70
  - 6.1.2 Compréhension des besoins et des attentes des parties intéressées71
  - 6.1.3 Détermination du domaine d'application du système de management de la sécurité de l'information73
  - 6.1.4 Système de management de la sécurité de l'information77
  - 6.2 Clause 5 : leadership77
  - 6.2.1 Leadership et engagement de la direction77
  - 6.2.2 Politique80
  - 6.2.3 Rôles, responsabilités et autorités au sein de l'organisation81
  - 6.3 Clause 6 : planification85
  - 6.3.1 Généralités86
  - 6.3.2 Appréciation des risques86
  - 6.3.3 Traitement des risques87
  - 6.4 Clause 7 : support89
  - 6.4.1 Gestion des ressources90
  - 6.4.2 Gestion des compétences92
  - 6.4.3 Sensibilisation93
  - 6.4.4 Communication93
  - 6.4.5 Gestion documentaire94
  - 6.5 Clause 8 : fonctionnement95
  - 6.5.1 Planification et contrôle opérationnel95
  - 6.5.2 Appréciation des risques95
  - 6.6 Clause 9 : évaluation des performances97
  - 6.6.1 Surveillance, mesures, analyse et évaluation97
  - 6.6.2 Audit interne98
  - 6.6.3 Revue de direction99
  - 6.7 Clause 10 : amélioration100
  - 6.7.1 Gestion des non-conformités100
  - 6.7.2 Amélioration continue101
  - 6.8 Annexe A101
  - 7. Rappel des points clés102
  - Chapitre 4
  - Les politiques et mesures de sécurité
  - 1. Introduction105
  - 2. Politique de gouvernance et politique de sécurité107
  - 3. Bonnes pratiques de définition d'une politique de gouvernance108
  - 3.1 Préciser les objectifs108
  - 3.2 État des lieux et plan projet109
  - 3.3 Négocier les objectifs, les moyens et le calendrier112
  - 3.4 Points clés de la gouvernance113
  - 3.5 Organisation de la gouvernance : comitologie114
  - 3.5.1 Comité stratégique115
  - 3.5.2 Comité opérationnel116
  - 3.6 Sensibilisation et formation118
  - 3.7 Audit interne118
  - 3.8 Fonctionnement et évaluation des performances118
  - 3.9 Communication119
  - 3.10 Amélioration continue119
  - 4. Bonnes pratiques de rédaction d'une politique de sécurité119
  - 4.1 De la bonne définition des règles (mesures)121
  - 4.2 De la bonne formulation des règles (mesures)125
  - 5. Points clés d'une politique de sécurité : les pratiques ISO 27002126
  - 5.1 Chapitre 5 : politiques de sécurité de l'information126
  - 5.2 Chapitre 6 : organisation de la sécurité de l'information127
  - 5.3 Chapitre 7 : sécurité des ressources humaines128
  - 5.4 Chapitre 8 : gestion des actifs128
  - 5.5 Chapitre 9 : contrôle d'accès129
  - 5.6 Chapitre 10 : cryptographie131
  - 5.7 Chapitre 11 : sécurité physique et environnementale132
  - 5.8 Chapitre 12 : sécurité liée à l'exploitation132
  - 5.9 Chapitre 13 : sécurité des communications133
  - 5.10 Chapitre 14 : acquisition, développement, maintenance134
  - 5.11 Chapitre 15 : relation avec les fournisseurs134
  - 5.12 Chapitre 16 : gestion des incidents135
  - 5.13 Chapitre 17 : aspects de la sécurité dans la gestion de la continuité de l'activité136
  - 5.14 Chapitre 18 : conformité137
  - 6. Du caractère virtuel d'une politique de sécurité138
  - 7. Rappel des points clés139
  - 8. Cas pratique : quelques conseils en matière de politique141
  - Chapitre 5
  - La démarche d'analyse des risques
  - 1. Rappels des principaux concepts de sécurité147
  - 1.1 Sécurité de l'information147
  - 1.2 Besoins de sécurité149
  - 1.2.1 Sources du besoin de sécurité150
  - 1.2.2 Critères de sécurité151
  - 1.2.3 Échelle de criticité153
  - 1.3 Protection des éléments sensibles154
  - 1.3.1 Enjeux de sécurité154
  - 1.3.2 Objectifs de sécurité158
  - 1.4 Risques de sécurité159
  - 1.4.1 Évaluation de l'imprévu159
  - 1.4.2 Définition160
  - 1.4.3 Approche pour la valorisation du risque160
  - 1.4.4 Finalité du risque161
  - 2. Vers une identification des risques163
  - 2.1 Notions sous-jacentes aux risques163
  - 2.1.1 Vulnérabilité163
  - 2.1.2 Source de menace164
  - 2.1.3 Menace164
  - 2.1.4 Objet164
  - 2.1.5 Scénario de menace165
  - 2.2 Des scénarios aux risques166
  - 2.2.1 Regroupement des scénarios de menace166
  - 2.2.2 Évaluation de la menace pesant sur les besoins de sécurité166
  - 2.2.3 Identification des risques stratégiques167
  - 2.2.4 Préparation à l'identification des risques opérationnels169
  - 3. Poursuite du travail d'analyse sur les risques177
  - 3.1 Du général au particulier177
  - 3.1.1 Description du contexte178
  - 3.1.2 Recueil de l'information stratégique178
  - 3.1.3 Prise en compte de la menace181
  - 3.1.4 Prise en compte des risques stratégiques183
  - 3.1.5 Prise en compte des risques opérationnels184
  - 3.2 Confrontation à l'existant186
  - 3.2.1 Validation des scénarios de menace186
  - 3.2.2 Validation des risques187
  - 3.3 Synthèse187
  - 4. Cas pratique189
  - 4.1 Énoncé du cas189
  - 4.2 Réponse possible190
  - Chapitre 6
  - La gestion des risques
  - 1. Introduction193
  - 2. Gouvernance du risque194
  - 2.1 Identification des risques à traiter194
  - 2.2 Organisation pour la prise de décisions195
  - 2.3 Gérer les évolutions196
  - 2.4 Niveau de risque exprimé196
  - 3. Traitement des risques197
  - 3.1 Interprétation des éléments de l'analyse197
  - 3.1.1 Couverture des risques197
  - 3.1.2 Seuil et critères d'acceptation du risque197
  - 3.2 L'organisation du traitement198
  - 3.3 Options de traitement199
  - 3.4 Mesures de sécurité200
  - 3.5 Risques résiduels201
  - 4. Amélioration de la gestion des risques201
  - 4.1 Appréciation du niveau courant de risques202
  - 4.2 Appréciation du niveau courant de sécurité203
  - 4.3 Amélioration du niveau de sécurité205
  - 5. Rappel des points clés205
  - 6. Cas pratique207
  - 6.1 Énoncé du cas207
  - 6.2 Pistes de réponse possible208
  - 6.2.1 Risque 1208
  - 6.2.2 Risque 2209
  - 6.2.3 Risque 3211
  - Chapitre 7
  - La planification et le run
  - 1. Introduction213
  - 2. Objectifs et causalités des actions215
  - 2.1 Actions de gouvernance215
  - 2.2 Actions de mise en conformité réglementaire et contractuelle216
  - 2.3 Action de réduction des risques217
  - 2.4 Actions d'amélioration continue219
  - 3. Formalisation des actions220
  - 4. Un énoncé clair et précis de l'action attendue223
  - 5. Structuration du plan d'action225
  - 6. Pilotage du plan d'action227
  - 7. Mise en ouvre, exploitation et amélioration du système de gouvernance227
  - 8. Rappel des points clés229
  - 9. Cas pratique229
  - Chapitre 8
  - Les modalités de surveillance et de suivi
  - 1. Introduction235
  - 2. La surveillance : un élément essentiel de l'amélioration235
  - 3. Contrôle et suivi : que surveiller ?237
  - 3.1 Définir des indicateurs à bon escient237
  - 3.2 En faire assez238
  - 3.3 Ne pas en faire trop239
  - 4. De manière progressive et adaptée240
  - 5. Définition des éléments de contrôle et de suivi : les indicateurs241
  - 5.1 Élaboration d'un indicateur242
  - 6. Quelques indicateurs de gouvernance246
  - 7. Quelques indicateurs d'efficacité des mesures de sécurité247
  - 8. Exploitation des indicateurs248
  - 9. Communication, acceptation par les équipes248
  - 10. Définition des éléments de contrôle et de suivi : les tableaux de bord249
  - 11. Rappel des points clés252
  - 12. Cas pratique253
  - Chapitre 9
  - L'évaluation
  - 1. Introduction257
  - 2. Pourquoi faire des audits ?259
  - 2.1 Audit de conformité réglementaire259
  - 2.2 Audit de contrôle d'un sous-traitant260
  - 3. Référentiels d'audit261
  - 4. Audit de certification263
  - 4.1 Référentiels d'audit263
  - 4.2 Choix d'un organisme auditeur/organisme de certification265
  - 4.2.1 La relation donneur d'ordre/organisme de certification268
  - 4.2.2 La relation auditeur/audité269
  - 5. Profil type d'un auditeur272
  - 5.1 De la certification de personnes272
  - 5.2 Des compétences requises de l'équipe d'audit273
  - 5.2.1 Expérience273
  - 5.2.2 Bagage technique et mise à jour des connaissances274
  - 5.2.3 Communication écrite et orale275
  - 6. Modalités d'audit276
  - 6.1 Réunion de lancement277
  - 6.2 Revue documentaire277
  - 6.3 Audit sur site278
  - 6.4 Réunion de clôture, constats, négociation280
  - 7. Plan de remédiation et mise à jour du plan d'action283
  - 8. L'audit, une étape indispensable à l'amélioration283
  - 9. Rappel des points clés284
  - 10. Cas pratique285
  - 10.1 Les non-conformités inadmissibles285
  - 10.2 Les marronniers des auditeurs286
  - 10.3 Quelques exemples de non-conformités discutables288
  - Index291
Origine de la notice:
- Electre