27
[Audit Sécurité des Sy stèmes d’Information]
LICENCE PROFESSIONNELLE – ADMINISTRATION DE SYSTÈMES INFORMATIQUES
2- Phase Plan La phase « Plan » du PDCA consiste à fixer les objectifs du SMSI en suivant quatre grandes étapes, la politique et le périmètre du SMSI, l’appréciation des risques, le traitement des risques décidé en tenant en compte des risques résiduels et la sélection des mesures de sécurité présentées dans le SoA (Statement of Applicability : est un document sous forme de tableau qui énumère les mesures de sécurité du SMSI ainsi que celles non appliquées). Dans la figure ci-dessous, une vue du déroulement de la phase Plan.
Processus de déroulement de la phase Plan
2.1- Politique et périmètre du SMSI La première étape consiste à définir la politique et le périmètre du SMSI. La politique est là pour préciser le niveau de sécurité qui sera appliqué au sein du périmètre du SMSI. La norme ne fixe pas d’exigences sur le périmètre, il peut être restreint ou couvrir l’ensemble des activités de l’organisme. L’objectif est d’y inclure les activités pour lesquelles les parties prenantes exigent un certain niveau de confiance. 2.2- Appréciation des risques La deuxième étape concerne un des points les plus importants de l’ISO/CEI 27001, l’appréciation des risques. Le problème de l’appréciation des risques n’est pas nouveau et est traité par de nombreuses méthodes développées dans différents secteurs privés, académiques et agences gouvernementales. Certaines méthodes sont très répandues dans les organismes. En France, les plus connues sont EBIOS et MEHARI, aux Etats- Unis, OCTAVE. L’ISO/CEI propose aussi une méthode, la norme ISO/CEI 27005. Cette norme ne fait que fixer un cahier des charges spécifiant chacune des étapes clefs de l’appréciation des risques.
Politique
Périmètre
Appréciation des risques
Traitement des risques
Risques résiduels
Sélection des mesures de sécurité