17
[Audit Sécurité des Sy stèmes d’Information]
LICENCE PROFESSIONNELLE – ADMINISTRATION DE SYSTÈMES INFORMATIQUES
En 1995, le BSI publie la norme BS7799 qui intègre dix chapitres réunissant plus de 100 mesures détaillées de sécurité de l’information, potentiellement applicables selon l’organisme concerné. En 1998, la norme BS7799 change de numérotation et devient la norme BS7799-1. Elle est complétée par la norme BS7799-2 qui précise les exigences auxquelles doit répondre un organisme pour mettre en place une politique de sécurité de l’information. Cette nouvelle norme est fondée sur une approche de la maîtrise des risques et sur le principe du management de la sécurité de l’information. En 2000, la norme BS7799-1, devient la norme de référence internationale pour les organismes souhaitant renforcer leur sécurité de l’information. Après avoir suivi un processus de concertation au niveau international et quelques ajouts, l’ISO lui attribue un nouveau nom, ISO/IEC 17799: 2000. En 2002, le BSI fait évoluer la norme BS7799-2 en s’inspirant des normes ISO 9001 :2000 et ISO 14001: 1996. La norme adopte définitivement une approche de management de la sécurité de l’information. En 2005, l’ISO/CEI adopte la norme BS7799-2 sous la référence ISO/CEI 27001: 2005 en y apportant quelques modifications pour se rapprocher le plus possible du principe de «système de management » développé par les normes ISO 9001 et ISO14001. L’ISO/IEC 27001: 2005 spécifie les exigences pour la mise en place d’un SMSI (Système de Management de la Sécurité de l’Information). En 2007, dans un souci de clarification, l’ISO renomme la norme ISO/IEC 17799 :2005 en changeant sa numérotation pour ISO/IEC 27002. La norme se greffe à la famille des normes ISO/IEC 2700x toujours en développement. Aujourd’hui les organismes disposent de deux normes qui se sont imposées comme référence des SMSI, l’ISO/CEI 27001 :2005 qui décrit les exigences pour la mise en place d’un Système de Management de la Sécurité de l’Information et l’ISO/CEI 27002 qui regroupe un ensemble de bonnes pratiques «best practices» pour la gestion de la sécurité de l’information. Le tableau ci-après reprend cet historique.
Année Norme Traite des SMSI Remplace la norme
1995 BS 7799:1995 Non
1998 BS 7799-2:1998 Oui
2000 ISO 17799:2000 Non BS 7799 :1995
2002 BS 7799-2:2002 Oui BS 7799-2 :1998
2005 ISO 17799:2005 Non ISO 17799 :2000
2005 ISO 27001:2005 Oui BS 7799-2 :2002
2007 ISO 27002 Non ISO 17799 :2005
Historique des normes en matière de sécurité de l’information