L'ISO/CEI 27002 est un ensemble de 93 mesures dites « best practices » (bonnes pratiques en français), destinées à être utilisées par tous les responsables de la mise en place ou du maintien d'un Système de Management de la Sécurité de l'Information (SMSI). La sécurité de l'information est définie au sein de la norme comme la « préservation de la confidentialité, de l'intégrité et de la disponibilité de l'information ».
Elle n'a pas de caractère obligatoire pour les entreprises. Son respect peut toutefois être mentionné dans un contrat : un prestataire de services pourrait s'engager à implémenter certaines des mesures de sécurité par exemple. Elle ne fait pas non plus l'objet d'une certification, contrairement àISO/CEI 27001 avec laquelle il ne faut pas confondre l'ISO/CEI 27002[1].
L'ISO/CEI 27002 ne fixe pas un niveau de sécurité à atteindre et n'impose pas que toutes les mesures de sécurité soit implémentées obligatoirement. Une entreprise peut tout à fait choisir librement d'implémenter seulement une partie des mesures en fonction des résultats de son analyse de risques par exemple.
En 1995, laBritish Standards Institution (BSI) publie la norme BS 7799. Elle contient des mesures pouvant être prises en matière de sécurité de l'information.
En 1998, la BSI y ajoute une seconde partie spécifiant les exigences pour mettre en place unSystème de Management de la Sécurité de l'Information (SMSI). La nouvelle norme est nommée BS 7799-2 tandis que la norme BS 7799 de 1995, sans l'ajout, est désormais désignée par la référence BS 7799-1.
En 2000, l'Organisation internationale de normalisation (ISO) adopte officiellement la norme BS 7799-1 sous la référence ISO 17799 à la suite de son succès dans le monde. Elle en profite pour l'enrichir de quelques mesures de sécurité supplémentaires.
En 2005, l'ISO publie une révision de l'ISO/CEI 17799 légèrement remaniée et enrichit de quelques mesures de sécurités.
En 2007, l'ISO renomme l'ISO/CEI 17799 en ISO/CEI 27002 dans un souci de cohérence avec l'ISO/CEI 27001 publiée précédemment.
En 2015, l'ISO publie la norme ISO/CEI 27017 qui rajoute des mesures de sécurité concernant les environnements basés sur le cloud. Lesquels n'étaient pas vraiment pris en compte dans l'ISO/CEI 27002.
Depuis sa publication en 2005, l'ISO/CEI 27002 a connu 2 révisions :
Bien que l'ISO/CEI 27002 puisse être utilisée seule comme point de référence pour les contrôles en matière de sécurité de l'information, elle a initialement vocation à fournir des mesures de sécurité pouvant être implémentées dans un SMSI conforme à la normeISO/CEI 27001. Toutes les mesures de l’ISO/CEI 27002 sont notamment également présentes dans l’annexe A de l’ISO/CEI 27001. Cependant alors qu’il y a seulement quelques phrases dans l’Annexe A pour les décrire, il y a en moyenne une page dans l’ISO/CEI 27002 pour chaque mesure. L'implémenteur d'un SMSI ISO/CEI 27001 a l'obligation pour chacune de ces mesures de sécurité de les implémenter ou alors d'indiquer avec cohérence pourquoi elles ne s'appliquent pas.
La norme donne des recommandations pour la gestion de la sécurité des informations pour ceux qui sont chargés de concevoir, mettre en œuvre ou maintenir la sécurité.
« Sécurité de l'information » est explicitement définie comme la «préservation de la confidentialité, l'intégrité et la disponibilité de l'information». Ceux-ci et d'autres termes connexes sont définis plus loin.
ISO/CEI 27002 couvre le sujet de la gestion des risques. Elle donne des directives générales sur la sélection et l'utilisation de méthodes appropriées pour analyser les risques pour la sécurité des informations ; elle ne prescrit pas une méthode spécifique, puisque celle-ci doit être appropriée selon le contexte.
Il existe deux mesures de sécurité. Elles concernent la composition des politiques de sécurité et leurs revues périodique. Il s’agit de résumer les points des articles quatre et cinq de la norme ISO/CEI 27001. Ensuite l’ISO/CEI 27002 conseille d’aborder chaque domaine relatif à la sécurité. Évoquer chaque chapitre de la norme.
Il n’existe aucun lien particulier entre les différentes mesures de sécurité abordées dans ce chapitre. Elles sont toutes organisationnelles.
Répartition des rôles et responsabilités : une mesure conseille de répartir clairement les rôles et responsabilités en matière de sécurité. Il est également possible, selon la norme, d’identifier les responsables pour les principaux actifs.
Séparation des tâches : la norme recommande la séparation des tâches dans le but de prévenir les risques de fraude et/ou de modifications illicites. Cette recommandation est très répandue dans le domaine financier.
Relations avec les autorités : un grand nombre d’organismes sont tenus d’avoir des relations avec les autorités. Ces relations doivent être formalisées et entretenues. Les autorités avec lesquelles il faut être en contact varient en fonction de l’activité de l’organisme.
Relations avec les groupes de travail spécialisés : il est conseillé de participer à des forums professionnels abordant les questions de sécurité. Cela permet d’échanger les expériences et d’améliorer le niveau général de sécurité.
Gestion de projet : il est recommandé par la norme d’intégrer la sécurité dans la gestion de projet. Le conseil donné est d’apprécier les risques puis d’intégrer des points sécurité à tous.
Mobilité et télétravail : cette mesure aborde les questions de la mobilité malgré son aspect technique. Cette mesure a pris de l’importance avec le développement des parcs mobiles (smartphones, tablettes).
Il existe un certain nombre de mesures de sécurité à prendre auprès du personnel avant son embauche, pendant sa présence dans l’organisme, puis à son départ :
Avant l’embauche : il est souhaitable de préciser des critères de sélection avant l’embauche en matière de compétence générales et compétences en sécurité nécessaire pour chaque poste. La norme conseille, de plus, de formaliser dans les contrats de travail les engagements du futur salarié en matière de sécurité.
Pendant la durée du contrat : la direction doit faire en sorte que tout le monde adopte un comportement adéquat par rapport à la sécurité de l’information.
Publication d’une charte destinée aux utilisateurs,
Concevoir et formaliser un processus disciplinaire afin de recadrer le personnel.
Au départ du personnel : la norme conseille de clarifier autant que possible les règles de sécurité qui seront applicables au salarié, même quand il aura quitté l’entreprise.
Ce chapitre aborde les actifs d’information au sens large du terme comme les supports physiques.
Responsabilités relatives aux actifs : la norme recommande de dresser un inventaire des actifs d’information (éléments important en matière d’information). Elle conseille ensuite de préciser, pour chaque actif, quelle est son utilisation nominale.
Classification de l’information : cette partie recommande de classifier l’information. Cela met en évidence les actifs les plus sensibles, dans le but de mieux les protéger.
Manipulation des supports : cette mesure rappelle qu’il est prudent de bien penser les procédures de manipulation des supports amovibles. La norme rappelle qu’il convient de prévoir une procédure de destruction ou d’effacement des données lorsque les supports amovibles sont en fin de vie.
Politique de chiffrement : cette mesure conseille de chiffrer les informations en fonction de leur sensibilité et chiffrer les échanges lorsque les liaisons ne sont pas considérées comme sûres.
Gestion des clés : les conséquences liées à la divulgation des clés ou à la perte de celles-ci sont telles qu’il convient de les protéger de façon adéquate. Les procédures doivent être correctement formalisées.
Mesure de sécurité des salles machines et des autres locaux de l’organisme :
Les salles machines doivent être conçues dans les règles de l’art,
Contrôle d’accès physique doit interdire l’accès à toute personne non habilitée,
Protections contre les désastres naturels, contre les attaques malveillantes ainsi que contre les accidents.
Sécurité des équipements :
Les services généraux doivent être exploités conformément aux spécifications du fabricant. Le câblage réseau doit être posé de telle sorte qu’il soit difficile d’intercepter les flux,
Le matériel doit être maintenu régulièrement afin de prévenir des pannes et de prévoir des procédures appropriées en vue de la mise au rebut, en fin de vie,
Les équipements laissés sans surveillance doivent être protégés et les postes de travail doivent être automatiquement verrouillés.
Ce chapitre aborde de très nombreux domaines dont voici les plus importants :
Documentation des procédures d’exploitation : la norme recommande de documenter les procédures d’exploitation ainsi que les conduites à tenir en cas d’erreur.
Gestion des changements : cette mesure consiste à planifier les changements, à en apprécier les risques et à prévoir les procédures de mise en œuvre. Elles consistent aussi à prévoir des retours en arrière en cas de problème, de vérifier que tous les acteurs impliqués sont informés et que les différents responsables ont donné leur accord pour le changement.
Dimensionnement du système : des mesures doivent être prises pour garantir la capacité de traitement du SI. Il faut également vérifier que les nouveaux dispositifs ne vont pas consommer trop de ressources et surveiller la charge du système et de supprimer les équipements et les données devenues inutiles.
Séparation des environnements : cette mesure consiste à séparer clairement les environnements de production et ceux de développement. Cette norme recommande de ne pas placer d’informations sensibles dans les bases de tests.
Protection contre les codes malveillants : la norme recommande vivement le déploiement d’antivirus, afin de prévenir les attaques par code malveillant.
Sauvegardes : la norme donne des conseils sur les sauvegardes et insiste sur le fait que des tests de restauration doivent être réalisés périodiquement pour s’assurer de l’efficacité des processus de sauvegarde.
Journalisation : la norme recommande de journaliser les événements jugés les plus pertinents. Elle conseille aussi de protéger les journaux administrateurs. Surveillance de l’activité des administrateurs.
Gestion des vulnérabilités techniques : cette mesure consiste à mettre en place une veille en vulnérabilités et à appliquer dans un délai approprié tout correctif qui serait nécessaire.
Ce chapitre traite des mesures relatives à la sécurité des réseaux.
Sécurité des services : Cette mesure recommande de spécifier avec l’entité qui fournit le service réseau les propriétés du service rendu. Cela concerne entre autres la capacité des réseaux, leur dispositif de continuité de service, mais également les services supplémentaires comme le filtrage, le chiffrement…
Cloisonnement des réseaux : Le cloisonnement des différents domaines de réseau est recommandé (poste de travail, serveurs, DMZ…).
Transferts d’information : Il est recommandé de prendre des dispositions techniques et organisationnelles pour sécuriser les échanges d’information. Une des mesures recommande au personnel de ne pas tenir de conversations confidentielles dans les lieux publics. Une autre mesure évoque les précautions à prendre dans la messagerie électronique.
Engagement de confidentialité : Il est conseillé de disposer d’engagement de confidentialité.
Il est convenu de mettre en place des mesures pour assurer la sécurité des services réseaux. Les mesures de sécurité recommandent de protéger les transactions contre les erreurs et les traitements incomplets. Concernant les changements applicatifs, la norme rappelle les mesures élémentaires (exemple : le fait d’effectuer des revues techniques après les changements).
Il s’agit d’un des points le plus important de la norme.
Relations avec les fournisseurs : Il est conseillé de rédiger une politique de sécurité destinée aux fournisseurs, d’insérer des articles relatifs à la sécurité des SI dans les contrats pour que les fournisseurs s’engagent dans le domaine.
Gestion de la prestation de service : Le fournisseur doit être en mesure d’apporter la preuve qu’il respecte ses engagements en matière de sécurité.
Ce chapitre évoque toutes les mesures liées à la gestion des incidents de sécurité de l’information.
Signalement des incidents : La norme a pour but d’inciter les utilisateurs du SI à signaler tout incident.
Signalement des failles liées à la sécurité : Il est conseillé de signaler sans délai toute vulnérabilité qui serait détectée.
Appréciation des événements et prise de décision : La norme recommande d’établir des critères pour évaluer la gravité et par conséquent prendre les mesures adaptées.
Tirer les enseignements des incidents : Afin d’améliorer le processus de gestion des incidents il est recommandé d’organiser des retours d’expérience pour comprendre les causes des incidents.
Recueil des preuves : Il est très important de collecter des preuves de façon fiable en cas de poursuites judiciaires.
Il est recommandé de réaliser un plan de continuité (PCA) ou de reprise (PRA), qui doit être testé et mis à jour. De plus ce chapitre mentionne qu’une catastrophe ne justifie pas de faire l’impasse sur la sécurité (contrôle d’accès, chiffrement des données sensibles, protection des données à caractère personnel).
Il est conseillé d’identifier les législations applicables dans le pays où se situe l’organisme. Des textes peuvent formuler des exigences concernant la sécurité des systèmes d’information que l’organisme se doit de respecter sous peine de poursuites judiciaires ou de pénalités contractuelles. La norme invite aussi les organismes à mettre en place un processus de gestion des licences ainsi que des dispositifs pour éviter l’installation illicite de logiciels. De plus la norme aborde la protection des données à caractère personnel et la cryptographie, qui doit être utilisée conformément aux réglementations locales. La seconde partie du chapitre présente les mesures de sécurité conseillant de faire auditer de façon régulière le SI tant du point de vue technique qu’organisationnel.
Organisation : cette norme apporte une image positive auprès des actionnaires lorsque l'entreprise tend à maîtriser ses risques pour maximiser ses profits.
Conformité : la norme insiste sur la nécessité d'identifier toutes les lois et réglementations s'appliquant à l'entreprise et la mise en œuvre de processus adaptés pour identifier et suivre les obligations permet de prouver au moins la volonté de conformité, ce qui tend à diminuer les amendes en cas de non-conformité.
Gestion des risques : la norme insiste dans ses chapitres d’introduction sur la nécessité de réaliser une analyse de risques périodiquement et définit dans les domaines « politique de sécurité » et « organisation de la sécurité » les pratiques à mettre en œuvre pour gérer les risques mis en lumière par l’analyse de risque. Ceci permet une meilleure connaissance des risques et donc une meilleure allocation des ressources permettant d’améliorer la fiabilité du système.
Finances : associant une meilleure maîtrise des risques, une meilleure gestion des incidents et une meilleure allocation des ressources, la mise en place d’un SMSI s’appuyant sur les normes ISO/CEI 27001 et ISO/CEI 27002 permet une meilleure maîtrise des coûts de la sécurité des systèmes d’information.
Crédibilité et confiance : la mise en place d'une politique de sécurité et des moyens associés donne une image rassurante pour les partenaires et les clients, notamment sur la protection desdonnées personnelles (sujet très médiatique, avec le syndrome du « big brother »).
Ressources humaines : s'appuyer sur une norme permet de mieux faire passer les messages de sensibilisation, notamment auprès des populations techniques.
Guide de référence en sécurité des SI : présenter un panorama complet des mesures de sécurité pouvant être déployées pour sécuriser un SI (fonction1re).
Aide à l’implémentation de mesures de sécurité : détails de chaque mesure de sécurité. Nombreuses suggestions pour faciliter l’implémentation des mesures.
Appels d’offres : très utilisée pour rédiger les clauses de sécurité dans les appels d’offres.
Politiques de sécurité : de nombreuses politiques de sécurité suivent le plan de l’ISO/CEI 27002. Elle permet d’être sur de ne rien avoir oublié dans la politique.
Référentiel d’audit : la norme est très utilisée pour vérifier les pratiques de sécurité. Lors des audits, ils passent en revue les mesures de sécurité et vérifient, mesure par mesure, comment elles sont implémentées chez l’audité.
Comparaisons : ce référentiel est très utilisé pour comparer le niveau de sécurité de différentes entités. Audit des filiales par rapport au référentiel (vue d’ensemble de la sécurité).
Aide à l’implantation de l’ISO/CEI 27001 : la norme ISO/CEI 27002 est le complément de la norme ISO/CEI 27001. Elle sert à décliner concrètement les mesures de sécurité dans le système.
