ISO/CEI 27004

ISO/CEI 27004
Status Publiée
Version 2 (2016)
Organisation Organisation internationale de normalisation
Comité ISO/IEC JTC 1/SC 27
Série Famille ISO/CEI 27000
Domaine Management de la sécurité de l'information
Site internet https://www.iso.org/fr/standard/64120.html


L'ISO/CEI 27004 est une norme internationale concernant la sécurité de l'information. Elle a été publiée conjointement en 2009, puis révisée en 2016, par l'Organisation internationale de normalisation (ISO) et la Commission Électrotechnique Internationale (CEI). Son titre en français est Technologies de l'information — Techniques de sécurité — Management de la sécurité de l'information — Surveillance, mesurage, analyse et évaluation. Elle fait partie de la famille ISO/CEI 27000.

Objectifs

L'ISO/CEI 27004 a pour but d'assister les organisations dans l'évaluation de la performance de leur Système de Management de la Sécurité de l'Information (SMSI) mais également de sa conformité avec la clause 9.1 de l'ISO/CEI 27001. Elle établie[1] :

  1. Le suivi et la mesure des performances en matière de sécurité de l'information.
  2. La surveillance et la mesure de l'efficacité d'un SMSI, y compris ses processus et ses contrôles.
  3. L'analyse et l'évaluation des résultats de la surveillance et de la mesure.

Elle est applicable à tous les types et à toutes les tailles d'organismes.

Liens avec l'ISO/CEI 27001

Il ne faut surtout pas confondre l'ISO/CEI 27001 avec l'ISO/CEI 27004.

  • La première définit les exigences pour mettre en place et opérer un SMSI. Elle se concentre notamment sur la mise en œuvre des mesures des mesures de sécurité.
  • Tandis que la seconde fournit un cadre pour évaluer la performance et la conformité du SMSI. Elle permet de s'assurer que les mesures de sécurité sont correctement implémentés, efficaces et adaptées aux besoins de l'organisation.

Avantages

Une organisation peut espérer obtenir plusieurs bénéfices si elle utilise l'ISO/CEI 27004 pour évaluer la performance de son SMSI :

  • Réduction des incidents : l'organisation peut mieux anticiper et prévenir les incidents avant qu'ils ne se produisent[2].
  • Optimisation des ressources : l'organisation peut plus facilement se concentrer sur les points critiques de son SMSI[2].
  • Transparence améliorée : l'organisation rend plus transparent son SMSI ce qui facilite la prise de décisions[3].
  • Efficacité améliorée : l'organisation peut rendre plus efficace les processus de son SMSI qui ont été identifiés comme peu performant[3].
  • Preuves de conformité : l'organisation obtient des preuves de conformité avec l'ISO/CEI 27001 et les réglementations qu'elle doit respecter[3].

Structure de l'ISO/CEI 27004:2016

Il n'existe pas aujourd'hui de traduction française. Les titres des chapitres ci-dessous sont donc tirés de la version anglaise de la norme puis traduis en français.

Il y a 8 chapitres principaux[1] :

  1. Périmètre
  2. Références normatives
  3. Termes et définitions
  4. Structure et aperçu
  5. Raison d'être
  6. Caractéristiques
  7. Types de mesures
  8. Processus

Puis il y a 3 annexes à la fin du document :

  • Annexe A : Un modèle de mesure de la sécurité de l'information
  • Annexe B : Exemples de construction d'indicateurs
  • Annexe C : Exemple de construction d'un indicateur basé sur un formulaire en texte libre

Exemple de construction d'un indicateur

L'exemple de construction d'un indicateur ci-dessous est tiré de l'annexe B de l'ISO/CEI 27004 [1]:

B.34 : Tendance des incidents de sécurité
Descripteur de l'information Signification ou but
ID de l'indicateur Défini par l'organisation
Information recherchée 1. Tendance des incidents de sécurité de l'information

2. Tendance des incidents de sécurité de l'information en fonction des catégories

Mesure 1. Nombre d'incidents de sécurité de l'information sur une période de temps définie (ex: mois)

2. Nombre d'incidents de sécurité de l'information d'une catégorie spécifique sur une période de temps définie (ex: mois)

Formule / calcul Comparer la valeur de mesure moyenne pour les 2 dernières périodes de temps avec la valeur de mesure moyenne pour les 6 dernières périodes de temps.

Définir un seuil pour les indicateurs de tendance : < 1.0 équivaut à Vert 1.00 - 1.30 équivaut à Jaune > 1.3 équivaut à Rouge

  1. Réaliser l'analyse pour tous les incidents
  2. Réaliser l'analyse pour chaque catégorie spécifique
Cible Vert
Preuve d'implémentation Les valeurs des indicateurs sont reportées chaque mois
Fréquence Chaque mois
Source de donnée Les rapports des incidents de sécurité de l'information
Format de rapport Tableau avec les valeurs de l'indicateur

Graphique de tendance

Références

  1. https://webstore.iec.ch/en/publication/59700
  2. Anthony Bouyer, « ISO 27004 : Mesurez et améliorez l’efficacité de votre SMSI | Guide complet », sur Make IT Safe, solution d'évaluation et de pilotage de la conformité, (consulté le )
  3. (en-US) « ISO 27004: How to Measure Information Security » [archive du ], sur www.isms.online (consulté le )
  • Portail de la sécurité de l’information
  • Portail de la sécurité des systèmes d'information
Cet article est issu de Wikipédia. Sauf mention contraire, le texte est disponible sous licence Creative Commons Attribution-Share Alike 4.0. Des conditions supplémentaires peuvent s’appliquer aux fichiers multimédias.