SNV

Comment évaluer l’efficacité de la sécurité de l’information

En matière de sécurité de l’information, on n’est jamais trop prudent. La protection des dossiers personnels et des informations commerciales sensibles est de rigueur. Mais comment juger de l’efficacité réelle d’un système de management de la sécurité de l’information ISO/IEC 27001 (SMSI) ? Une nouvelle Norme internationale ISOISO
International Organization for Standardization
/IECIEC
International Electrotechnical Commission
apporte la réponse.

La norme ISO/IEC 27004:2016 Technologies de l’information – Techniques de sécurité – Management de la sécurité de l’information – Surveillance, mesurage, analyse et évaluation, récemment mise à jour, offre des lignes directrices pour évaluer l’efficacité de votre SMSI ISO/IEC 27001. Elle explique comment élaborer et mettre en œuvre des processus de mesure, et comment évaluer et présenter les résultats d’un ensemble de paramètres de mesure de la sécurité de l’information.

Pour Edward Humphreys, l’Animateur du groupe de travail (ISOISO
International Organization for Standardization
/IECIEC
International Electrotechnical Commission
 JTC 1/SCSC
Subcommittee
 27) qui a élaboré la norme, « les cyber-attaques sont parmi les pires menaces qui pèsent sur les organisations. Cette version nettement améliorée d’ISO/IEC 27004 est un élément de référence essentiel concret pour les nombreuses organisations ayant adopté la démarche ISO/IEC 27001 pour se protéger contre les attaques de tous ordres visant aujourd’hui la sécurité des entreprises ».

Les métriques de sécurité permettront d’avoir une idée de l’efficacité d’un SMSI et, à ce titre, elles occupent désormais une place centrale. Que vous soyez un ingénieur ou un consultant sécurité chargé de rendre compte à la direction, ou un dirigeant en quête d’informations plus précises pour prendre des décisions, ces métriques sont maintenant un mode de communication important pour indiquer l’état actuel d’un programme de sécurité d’entreprise et son aptitude à gérer les cyber-risques.

Comme l’explique M. Humphreys, « il n’est pas facile, pour les organisations, de savoir si leur mode de management de la sécurité de l’information est efficace, apte à réagir, à assurer une bonne protection et à faire face à l’évolution constante de l’environnement de cyber-risques dans lequel elles se trouvent. L’aide que peut leur apporter, à cet égard, la norme ISO/IEC 27004 présente de nombreux avantages ».

ISO/IEC 27004:2016 montre comment élaborer un programme de mesurage de la sécurité de l’information, comment sélectionner les paramètres à mesurer, et comment mettre en œuvre les processus de mesure nécessaires, avec des exemples détaillés des différents types de mesures et de la manière d’en évaluer l’efficacité.

Le recours à ISO/IEC 27004 apporte de nombreux avantages aux organisations : 

  • Meilleure responsabilisation
  • Amélioration de la performance de la sécurité de l’information et des processus du SMSI
  • Preuve du respect des exigences d’ISO/IEC 27001 ainsi que des lois, règles et réglementations applicables


ISO/IEC 27004:2016 remplace l’édition de 2009. Cette version a été mise à jour et étoffée pour s’aligner sur la norme révisée ISO/IEC 27001 afin d’offrir aux organisations une plus grande valeur ajoutée et un surcroît de confiance

ISO/IEC 27004:2016 a été élaborée par le comité technique mixte ISOISO
International Organization for Standardization
/IECIEC
International Electrotechnical Commission
 JTC 1, Technologies de l’information, sous-comité SCSC
Subcommittee
 27, Techniques de sécurité des technologies de l’information, dont le secrétariat est assuré par le DIN, le membre de l’ISOISO
International Organization for Standardization
pour l’Allemagne.

Source : ISOISO
International Organization for Standardization
Actualités, 2017

Pour de plus amples informations, veuillez contacter :
Helena Meister, mail : helena.meistersnv.ch, tél. : +41 52 224 54 17

Pour commander cette norme auprès du shop en ligne SNV :
ISO/IEC 27004:2016 (en anglais)

L’important c’est de participer !
Les normes internationales vous concernent ? Leur mise au point vous intéresse ? En participant aux travaux du comité de normalisation INBINB
Secteur interdisciplinaire de normalisation
NC 149 «technologies de l’information», vous donnez à vos produits et services une longueur d’avance sur ceux de vos concurrents qui ne disposent pas des mêmes informations que vous. En qualité de membre du comité, vous dialoguez avec d’autres experts de votre branche, vous êtes le premier informé des futurs projets de normes et vous étoffez votre carnet d’adresses international.

Pour connaître les avantages d’une affiliation à la SNV : cliquez ici

Pour vous affilier à la SNV, veuillez contacter :
Birgit Kupferschmid, mail : birgit.kupferschmidsnv.ch, tél : +41 52 224 54 18