15
[Audit Sécurité des Sy stèmes d’Information]
LICENCE PROFESSIONNELLE – ADMINISTRATION DE SYSTÈMES INFORMATIQUES
I- Définitions Les concepts de méthode de sécurité et de norme de sécurité portent souvent à confusion. Nous allons tenter de définir chacun de ces concepts. 1- L’ISO (Organisation Internationale de Normalisation) L’ISO est le fruit d’une collaboration entre différents organismes de normalisation
nationaux. Au début du 20ème siècle, L’American Institute of Electrical Engineer
(Aujourd’hui appelé Institute of Electrical and Electronics Engineers ou IEEE) invite quatre autres instituts professionnels pour constituer une première organisation nationale, l’AESC (American Engineering Standards Committee) qui aura pour objectif de publier des standards industriels communs avant de prendre le nom d’ASA (American Standards Association) et d’établir des procédures standardisées pour la production militaire pendant la seconde guerre mondiale. En 1947, l’ASA, le BSI (British Standards Institute), l’AFNOR (Association Française de Normalisation) et les organisations de normalisation de 22 autres pays fondent l’Organisation Internationale de Normalisation (ISO). A ce jour, l’ISO regroupe 157 pays membres, et coopère avec les autres organismes de normalisation comme le CEN (Comité européen de normalisation) ou la Commission Electronique Internationale (CEI). En 1987, l’ISO et le CEI créent le Joint Technical Committee (JTC1) pour la normalisation des Technologies de l’Information (TI). Le JTC1 allie les compétences de l’ISO en matière de langage de programmation et codage de l’information avec celles du CEI qui traitent du matériel tel que les microprocesseurs. Le JTC1 est composé de plusieurs comités techniques (SC) qui traitent de sujets tels que la biométrie, la téléinformatique, les interfaces utilisateurs ou encore les techniques de sécurité de l’information relatives aux normes de la série ISO/CEI 2700x. 2- Les normes Une norme est, selon le guide ISO/CEI, « un document de référence approuvé par un organisme reconnu, et qui fourni pour des usages communs et répétés, des règles, des lignes directrices ou des caractéristiques, pour des activités, ou leurs résultats, garantissant un niveau d’ordre optimal dans un contexte donné ». Les entreprises se font certifier pour prouver qu’elles suivent les recommandations de la norme. Pour être certifié, il faut, dans un premier temps acheter la norme. Les normes appliquées à la sécurité des systèmes d’information sont généralement éditées par l’organisme ISO. Ensuite l’entreprise doit mettre en pratique les recommandations décrites dans la norme. Chapitre 3 : Méthodes et Normes d’audit sécurité des systèmes d’information