{"id":8980,"date":"2019-04-29T10:30:27","date_gmt":"2019-04-29T08:30:27","guid":{"rendered":"http:\/\/www.ab-consulting.fr\/blog?p=8980"},"modified":"2019-04-30T14:43:21","modified_gmt":"2019-04-30T12:43:21","slug":"guide-iso-27001-a-2-z","status":"publish","type":"post","link":"http:\/\/www.ab-consulting.fr\/blog\/securite\/isoiec-27001\/guide-iso-27001-a-2-z","title":{"rendered":"Guide ISO 27001 : de A jusqu&rsquo;\u00e0 Z"},"content":{"rendered":"\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><blockquote class=\"wp-block-quote\"><p><em>Quand on \u00e9voque la s\u00e9curit\u00e9 de l&rsquo;information, on fait souvent r\u00e9f\u00e9rence \u00e0 la norme ISO 27001. Mais, en fait, de quoi s&rsquo;agit-il vraiment? Qu&rsquo;est-ce donc que cette norme? Qui cela concerne? En quoi consiste une certification ISO 27001? J\u2019ai choisi cette approche ludique du guide sous forme d\u2019un ab\u00e9c\u00e9daire pour r\u00e9pondre \u00e0 toutes ces questions. Je vous laisse donc d\u00e9couvrir en vous amusant notre guide ISO 27001 de A jusqu&rsquo;\u00e0 Z. Et j\u2019attends, comme toujours, vos commentaires.&nbsp;<\/em><\/p><\/blockquote><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><h2 class=\"wp-block-heading\"><span style=\"color: #993366;\">A<\/span>udit<amp-fit-text layout=\"fixed-height\"><\/amp-fit-text><\/h2><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><p>La norme exige deux types d&rsquo;audit du SMSI. Un audit interne doit \u00eatre r\u00e9alis\u00e9 au minimum entre deux audits externes. Suite \u00e0 cet audit interne, des recommandations d&rsquo;am\u00e9lioration et\/ou de correction de non-conformit\u00e9 doivent \u00eatre propos\u00e9es et suivies d&rsquo;un plan d&rsquo;action effectivement mis en oeuvre. Les r\u00e9sultats d&rsquo;un audit interne doivent donc aboutir \u00e0 l&rsquo;identification des non-conformit\u00e9s et des actions correctives ou pr\u00e9ventives associ\u00e9es. La norme ISO27001 r\u00e9pertorie les exigences en mati\u00e8re d&rsquo;activit\u00e9 et d&rsquo;enregistrement relatives aux actions correctives et pr\u00e9ventives.<\/p><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><p>Les audit externes ont pour objectif de v\u00e9rifier de fa\u00e7on ind\u00e9pendante la conformit\u00e9 du SMSI aux exigences de la norme. Un audit de certification est ainsi r\u00e9alis\u00e9 de fa\u00e7on initiale en vue de la certification. Il doit ensuite \u00eatre renouvel\u00e9 tous les trois ans afin de renouveler la certification. En outre, chaque ann\u00e9e, entre deux audits externes de certification, un audit annuel de surveillance doit \u00eatre effectu\u00e9 par l&rsquo;organisme de certification.<\/p><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><h2 class=\"wp-block-heading\"><span style=\"color: #993366;\">B<\/span>usiness (Continuit\u00e9)<\/h2><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><p>La continuit\u00e9 des affaires est une des exigences de la norme ISO 27001. Cette exigence est d\u00e9crite en d\u00e9tail \u00e0 l&rsquo;annexe A.17.1 et A.17.2.<\/p><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><p>L&rsquo;Annexe A.17.1 concerne la continuit\u00e9 de la s\u00e9curit\u00e9 de l&rsquo;information. L\u2019objectif des deux contr\u00f4les de s\u00e9curit\u00e9 associ\u00e9s est que la continuit\u00e9 de la s\u00e9curit\u00e9 de l\u2019information soit int\u00e9gr\u00e9e aux syst\u00e8mes de management de la continuit\u00e9 des op\u00e9rations de l\u2019organisation. C\u2019est une partie importante du syst\u00e8me de gestion de la s\u00e9curit\u00e9 de l\u2019information (SMSI) pour obtenir la certification ISO 27001.<\/p><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><p>L&rsquo;Annexe A.17.2 concerne les redondances. L\u2019objectif de ce contr\u00f4le est d\u2019assurer la disponibilit\u00e9 des installations de traitement de l\u2019information en cas de catastrophe.<\/p><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><h2 class=\"wp-block-heading\"><span style=\"color: #993366;\">C<\/span>ertification<\/h2><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><p>La certification de votre SMSI selon ISO\/IEC 27001 est une possibilit\u00e9. Mais il ne s&rsquo;agit pas une obligation. Certains utilisateurs d\u00e9cident de mettre en \u0153uvre la norme simplement pour les avantages directs que procurent les meilleures pratiques. D&rsquo;autres font le choix de la certification pour prouver \u00e0 leurs clients qu&rsquo;ils suivent les recommandations de la norme. L&rsquo;ISO ne fournit pas de services de certification. La certification est toujours d\u00e9livr\u00e9e par un organisme ind\u00e9pendant accr\u00e9dit\u00e9. Elle est alors accord\u00e9e pour une dur\u00e9e de 3 ans.<\/p><\/amp-fit-text>\n\n\n\n<figure class=\"wp-block-image\" data-amp-lightbox=\"true\"><img loading=\"lazy\" width=\"1200\" height=\"600\" src=\"https:\/\/i0.wp.com\/www.ab-consulting.fr\/blog\/wp-content\/uploads\/2019\/04\/iso-27001-smsi-blog.jpg?fit=640%2C320\" alt=\"Certification ISO 27001 du SMSI\" class=\"wp-image-9992\" srcset=\"https:\/\/i0.wp.com\/www.ab-consulting.fr\/blog\/wp-content\/uploads\/2019\/04\/iso-27001-smsi-blog.jpg?w=1200 1200w, https:\/\/i0.wp.com\/www.ab-consulting.fr\/blog\/wp-content\/uploads\/2019\/04\/iso-27001-smsi-blog.jpg?resize=300%2C150 300w, https:\/\/i0.wp.com\/www.ab-consulting.fr\/blog\/wp-content\/uploads\/2019\/04\/iso-27001-smsi-blog.jpg?resize=768%2C384 768w, https:\/\/i0.wp.com\/www.ab-consulting.fr\/blog\/wp-content\/uploads\/2019\/04\/iso-27001-smsi-blog.jpg?resize=1024%2C512 1024w, https:\/\/i0.wp.com\/www.ab-consulting.fr\/blog\/wp-content\/uploads\/2019\/04\/iso-27001-smsi-blog.jpg?resize=540%2C270 540w, https:\/\/i0.wp.com\/www.ab-consulting.fr\/blog\/wp-content\/uploads\/2019\/04\/iso-27001-smsi-blog.jpg?resize=850%2C425 850w\" sizes=\"(max-width: 640px) 100vw, 640px\" \/><\/figure>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><h2 class=\"wp-block-heading\"><span style=\"color: #993366;\">D<\/span>irection (Revue de)<\/h2><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><p>Pour que le SMSI soit efficace et reste \u00e0 jour et adapt\u00e9 \u00e0 ses besoins, ISO27001 requiert deux \u00e9valuations r\u00e9guli\u00e8res:<\/p><\/amp-fit-text>\n\n\n\n<ul><li>La direction doit examiner le SMSI \u00e0 intervalles planifi\u00e9s. Cette revue doit inclure l&rsquo;\u00e9valuation des possibilit\u00e9s d&rsquo;am\u00e9lioration et de la n\u00e9cessit\u00e9 de modifier le SMSI. Cela inclut la politique de s\u00e9curit\u00e9 et les objectifs de s\u00e9curit\u00e9. La revue de la Direction doit \u00e9galement accorder une attention particuli\u00e8re aux actions correctives ou pr\u00e9ventives ant\u00e9rieures et \u00e0 leur efficacit\u00e9. Elle doit intervenir au minimum une fois entre deux audits de surveillance annuels.<\/li><li>Audits internes p\u00e9riodiques au moins une fois entre deux audits de surveillance annuels. <\/li><\/ul>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><p>Les r\u00e9sultats des revues et des audits doivent \u00eatre document\u00e9s. En outre, les enregistrements relatifs aux revues de direction et aux audits doivent \u00eatre conserv\u00e9s.<\/p><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><h2 class=\"wp-block-heading\"><span style=\"color: #993366;\">E<\/span>ngagement de la Direction<\/h2><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><p>L\u2019\u00e9quipe de direction et de management d\u2019une organisation joue un r\u00f4le important dans le succ\u00e8s d\u2019un SMSI.<\/p><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><p>La section Responsabilit\u00e9 du management de la norme ISO27001 stipule:<\/p><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><blockquote class=\"wp-block-quote\"><p><em>La direction doit s&rsquo;engager \u00e0 \u00e9tablir, mettre en \u0153uvre, exploiter, surveiller, examiner, maintenir et am\u00e9liorer le SMSI. L&rsquo;engagement doit inclure des activit\u00e9s telles que s&rsquo;assurer que les ressources appropri\u00e9es sont disponibles pour travailler sur le SMSI et que tous les employ\u00e9s concern\u00e9s par le SMSI disposent de la formation, de la sensibilisation et des comp\u00e9tences appropri\u00e9es.<\/em><\/p><\/blockquote><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><p>La Direction doit d\u00e9montrer son engagement en \u00e9tablissant et en communicant :<\/p><\/amp-fit-text>\n\n\n\n<ul><li><strong><em>Une politique de s\u00e9curit\u00e9 de l&rsquo;information<\/em><\/strong>. Elle peut se pr\u00e9senter comme document autonome ou une partie d&rsquo;un manuel de s\u00e9curit\u00e9 g\u00e9n\u00e9ral utilis\u00e9 par une organisation<\/li><li><strong><em>Des objectifs et plans de s\u00e9curit\u00e9 de l&rsquo;information<\/em><\/strong>. L\u00e0 \u00e9galement il peut s&rsquo;agir d&rsquo;un document autonome ou d&rsquo;une partie d&rsquo;un manuel de s\u00e9curit\u00e9 g\u00e9n\u00e9ral utilis\u00e9 par une organisation<\/li><li><strong><em>Les r\u00f4les et responsabilit\u00e9s en mati\u00e8re de s\u00e9curit\u00e9 de l&rsquo;information.<\/em><\/strong> Une liste des r\u00f4les li\u00e9s \u00e0 la s\u00e9curit\u00e9 de l\u2019information doit \u00eatre consign\u00e9e dans les descriptions de postes de l\u2019organisation. Elle doit \u00e9galement figurer dans le manuel de s\u00e9curit\u00e9 ou dans les descriptifs du SMSI.<\/li><li><strong><em>Annonce ou communication \u00e0 l&rsquo;organisation de l&rsquo;importance de respecter la politique de s\u00e9curit\u00e9 de l&rsquo;information.<\/em><\/strong><\/li><li><span><i style=\"font-weight: bold;\">Ressources suffisantes pour g\u00e9rer, d\u00e9velopper, mettre en \u0153uvre et <\/i><span style=\"font-weight: 600;\"><i>maintenir<\/i><\/span><i style=\"font-weight: bold;\"> le SMSI<\/i><\/span><\/li><\/ul>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><h2 class=\"wp-block-heading\"><span style=\"color: #993366;\">F<\/span>ormation et Sensibilisation<\/h2><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><p>Des ressources ad\u00e9quates (personnes, temps, budgets) doivent \u00eatre allou\u00e9es au fonctionnement du syst\u00e8me de management de la s\u00e9curit\u00e9 de l&rsquo;information (SMSI) et \u00e0 tous les contr\u00f4les de s\u00e9curit\u00e9. En outre, le personnel qui doit travailler au sein du Syst\u00e8me de Management de l\u2019Information (le conserver et conserver sa documentation et mettre en \u0153uvre ses contr\u00f4les) doit recevoir une formation appropri\u00e9e.<\/p><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><p>Le succ\u00e8s du programme de formation doit \u00eatre surveill\u00e9 pour assurer son efficacit\u00e9. Par cons\u00e9quent, en plus du programme de formation, vous devez \u00e9galement d\u00e9finir un plan pour d\u00e9terminer l\u2019efficacit\u00e9 de la formation.<\/p><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><p>La norme exige donc que vous mainteniez :<\/p><\/amp-fit-text>\n\n\n\n<ul><li>Une liste des employ\u00e9s qui travailleront sur le SMSI<\/li><li>Toutes les proc\u00e9dures du SMSI utilis\u00e9es pour identifier le type de formation n\u00e9cessaire et les membres du personnel ou les parties int\u00e9ress\u00e9es n\u00e9cessitant une formation<\/li><li>Un accord du management concernant l\u2019allocation des ressources et les plans de formation<\/li><\/ul>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><p>Une documentation sp\u00e9cifique pour la formation n&rsquo;est pas requise explicitement dans la norme. Cependant, vous devez prouver que la planification des ressources et la formation ont bien eu lieu. Vous devez donc disposer d&rsquo;une documentation indiquant qui a re\u00e7u la formation et quelle formation il a re\u00e7ue. <\/p><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><h2 class=\"wp-block-heading\"><span style=\"color: #993366;\">G<\/span>ouvernance<\/h2><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><p>La gouvernance de la s\u00e9curit\u00e9 de l&rsquo;information est le syst\u00e8me par lequel une organisation dirige et contr\u00f4le la s\u00e9curit\u00e9 de l&rsquo;information. Elle d\u00e9crit \u00e9galement le processus d&rsquo;\u00e9tablissement et de maintenance d&rsquo;un cadre garantissant l&rsquo;alignement de la strat\u00e9gie de s\u00e9curit\u00e9 de l&rsquo;information sur les objectifs business de l&rsquo;organisation.  Elle doit, de plus, \u00eatre compatible avec les lois et r\u00e9glementations en vigueur, via le respect des politiques et des contr\u00f4les internes, et d\u00e9finir les responsabilit\u00e9s, le tout dans un environnement s\u00e9curis\u00e9. Il s\u2019agit d\u2019un sous-ensemble de la gouvernance d\u2019entreprise, ax\u00e9e sp\u00e9cifiquement sur la s\u00e9curit\u00e9 de l\u2019information.<\/p><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><p>L\u2019engagement de la direction (voir lettre \u00ab\u00a0E\u00a0\u00bb) en mati\u00e8re de s\u00e9curit\u00e9 de l\u2019information est l\u2019aspect le plus important de la gestion efficace des risques pour la s\u00e9curit\u00e9 des actifs informationnels d\u2019une organisation, \u00e9galement appel\u00e9 obligation de diligence de la direction.<\/p><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><p>C&rsquo;est le Conseil d&rsquo;Administration qui doit piloter les activit\u00e9s de gouvernance de la s\u00e9curit\u00e9 de l\u2019information avec la haute direction et le personnel cl\u00e9 d\u00e9sign\u00e9 dont, en particulier <a rel=\"noreferrer noopener\" aria-label=\"le CISO (ouverture dans un nouvel onglet)\" href=\"http:\/\/www.ab-consulting.fr\/blog\/securite\/ciso-10-raisons-de-recruter\" target=\"_blank\">le CISO<\/a>. Ces activit\u00e9s doivent \u00eatre entreprises de mani\u00e8re coh\u00e9rente avec la gestion des risques et les plans strat\u00e9giques, les exigences de conformit\u00e9, la structure organisationnelle, la culture et les politiques de gestion de l\u2019organisation. Un aspect cl\u00e9 de la gouvernance de la s\u00e9curit\u00e9 est la n\u00e9cessit\u00e9 de d\u00e9finir les droits de d\u00e9cision et la responsabilit\u00e9. <\/p><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><h2 class=\"wp-block-heading\"><span style=\"color: #993366;\">H<\/span>umaines (Ressources)<\/h2><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><p>Le r\u00f4le des ressources humaines est essentiel lorsqu&rsquo;il s&rsquo;agit de la s\u00e9curit\u00e9 de l\u2019information d\u2019une organisation. C\u2019est pourquoi ISO27001 comporte une clause consacr\u00e9e \u00e0 tous les aspects relatifs aux ressources humaines.<amp-fit-text layout=\"fixed-height\"><\/amp-fit-text><\/p><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><p>Elle d\u00e9crit les contr\u00f4les possibles de la s\u00e9curit\u00e9 des informations. Elle inclut \u00e9galement des instructions essentielles pour la mise en \u0153uvre dans chacune de ses sections relatives au cycle de vie professionnelle, fournissant des conseils sur les activit\u00e9s pr\u00e9alables \u00e0 l&#8217;embauche, pendant la dur\u00e9e d&#8217;emploi et post\u00e9rieures \u00e0 l&#8217;emploi.<\/p><\/amp-fit-text>\n\n\n\n<figure class=\"wp-block-image\" data-amp-lightbox=\"true\"><img loading=\"lazy\" width=\"1200\" height=\"600\" src=\"https:\/\/i1.wp.com\/www.ab-consulting.fr\/blog\/wp-content\/uploads\/2019\/04\/iso-27001-training-blog.jpg?fit=640%2C320\" alt=\"ISO 27001 - Exigences ressources humaines\" class=\"wp-image-9995\" srcset=\"https:\/\/i0.wp.com\/www.ab-consulting.fr\/blog\/wp-content\/uploads\/2019\/04\/iso-27001-training-blog.jpg?w=1200 1200w, https:\/\/i0.wp.com\/www.ab-consulting.fr\/blog\/wp-content\/uploads\/2019\/04\/iso-27001-training-blog.jpg?resize=300%2C150 300w, https:\/\/i0.wp.com\/www.ab-consulting.fr\/blog\/wp-content\/uploads\/2019\/04\/iso-27001-training-blog.jpg?resize=768%2C384 768w, https:\/\/i0.wp.com\/www.ab-consulting.fr\/blog\/wp-content\/uploads\/2019\/04\/iso-27001-training-blog.jpg?resize=1024%2C512 1024w, https:\/\/i0.wp.com\/www.ab-consulting.fr\/blog\/wp-content\/uploads\/2019\/04\/iso-27001-training-blog.jpg?resize=540%2C270 540w, https:\/\/i0.wp.com\/www.ab-consulting.fr\/blog\/wp-content\/uploads\/2019\/04\/iso-27001-training-blog.jpg?resize=850%2C425 850w\" sizes=\"(max-width: 640px) 100vw, 640px\" \/><\/figure>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><h3 class=\"wp-block-heading\">Phase de pr\u00e9-embauche<amp-fit-text layout=\"fixed-height\"><\/amp-fit-text><\/h3><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><p>La section pr\u00e9-embauche couvre des domaines tels que la v\u00e9rification des ant\u00e9c\u00e9dents ou la s\u00e9lection et les contrats \/ conditions. <amp-fit-text layout=\"fixed-height\"><\/amp-fit-text><\/p><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><p>\u00c0 titre d&rsquo;exemple, dans les instructions pas \u00e0 pas sur la s\u00e9lection des candidats, ISO 27001 inclut des informations sur la mani\u00e8re de d\u00e9finir les crit\u00e8res et les limitations \u00e0 utiliser pour les contr\u00f4les et le traitement de donn\u00e9es personnelles telles que des informations financi\u00e8res personnelles. La norme explique \u00e9galement comment <a href=\"http:\/\/www.ab-consulting.fr\/blog\/securite\/ciso-responsabilites-et-competences\" target=\"_blank\" rel=\"noreferrer noopener\" aria-label=\"identifier au mieux les personnes (ouverture dans un nouvel onglet)\">identifier au mieux les personnes<\/a> habilit\u00e9es \u00e0 effectuer de tels contr\u00f4les.<\/p><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><h3 class=\"wp-block-heading\">Pendant la p\u00e9riode d&#8217;emploi<\/h3><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><p>Au cours de l\u2019emploi, tous les membres du personnel ont une obligation de diligence envers les actifs informationnels de l&rsquo;organisation. On s\u2019attend g\u00e9n\u00e9ralement \u00e0 ce que le service informatique s\u2019occupe de la s\u00e9curit\u00e9. Mais, en fait, la DSI ne s&rsquo;occupe que de la s\u00e9curit\u00e9 informatique. La port\u00e9e des actifs informationnels d\u2019une organisation est beaucoup plus large. Et elle est soumise \u00e0 un nombre de risques beaucoup plus \u00e9lev\u00e9 que celui auquel on peut raisonnablement s\u2019attendre.<amp-fit-text layout=\"fixed-height\"><\/amp-fit-text><\/p><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><p>On admet qu&rsquo;environ 80% des violations de donn\u00e9es ont pour cause des personnes plut\u00f4t que des d\u00e9faillances techniques. Cela peut venir par exemple de personnel utilisant des cl\u00e9s USB pour transporter des donn\u00e9es alors qu\u2019il ne devrait pas.<\/p><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><h3 class=\"wp-block-heading\">P\u00e9riode post-emploi<amp-fit-text layout=\"fixed-height\"><\/amp-fit-text><\/h3><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><p>La p\u00e9riode post-emploi pr\u00e9sente de gros risques pour la s\u00e9curit\u00e9 de l\u2019information des organisations. Elles peuvent \u00eatre la cible de malveillance, de vol ou d&rsquo;atteinte \u00e0 la r\u00e9putation. Toutes les organisations ne sont pas confront\u00e9es au m\u00eame niveau de menace pour la perte de donn\u00e9es prot\u00e9g\u00e9es. Mais la justice punit ce type d&rsquo;infractions avec des amendes pouvant atteindre 500 000 \u20ac. De graves violations des donn\u00e9es ont ainsi conduit certaines entreprises \u00e0 fermer.<amp-fit-text layout=\"fixed-height\" height=\"50\"><\/amp-fit-text><\/p><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><p>ISO27002 fournit des indications claires sur les politiques et proc\u00e9dures appropri\u00e9es pour le processus de r\u00e9siliation. Elles incluent des conseils sur la mani\u00e8re dont le personnel doit restituer les actifs. On y retrouve \u00e9galement des conseils sur la meilleure fa\u00e7on de supprimer leurs droits d&rsquo;acc\u00e8s. ISO 27002 propose \u00e9galement des directives claires sur la mani\u00e8re de mettre en \u0153uvre de telles politiques.<\/p><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><h2 class=\"wp-block-heading\"><span style=\"color: #993366;\">I<\/span>SO 27002<\/h2><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><p>L\u2019ISO\/CEI 27002 est code de bonnes pratiques pour le management de la s\u00e9curit\u00e9 de l&rsquo;information. Ces pratiques de gestion aideront votre organisation \u00e0 renforcer la confiance dans ses activit\u00e9s inter-organisationnelles et \u00e0 mettre en place un ensemble appropri\u00e9 de mesures, y compris les politiques, les processus, les structures organisationnelles et les fonctions logicielles et mat\u00e9rielles. Ce cadre de bonnes pratiques est un document g\u00e9n\u00e9rique pouvant servir de r\u00e9f\u00e9rence pour la s\u00e9lection des mesures dans le cadre du processus de mise en \u0153uvre du syst\u00e8me de management de la s\u00e9curit\u00e9 de l&rsquo;information. L&rsquo;ISO\/IEC 27002 est destin\u00e9e \u00e0 \u00eatre utilis\u00e9e par tous types d&rsquo;organisations, les secteurs public comme priv\u00e9, les entreprises commerciales et celle \u00e0 but non lucratif ainsi que toute autre organisation confront\u00e9e \u00e0 des risques de s\u00e9curit\u00e9 de l&rsquo;information.<\/p><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><p>On n&rsquo;audits jamais une organisation dans le cadre de sa certification sur les mesures pr\u00e9conis\u00e9es par ISO 27002.<\/p><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><h2 class=\"wp-block-heading\"><span style=\"color: #993366;\">J<\/span>ustification Business<\/h2><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><p>Un des \u00e9cueils rencontr\u00e9s lors de la mise en oeuvre de la norme ISO 27001 est l&rsquo;insuffisance de ressources. Celle-ci r\u00e9sulte souvent de l\u2019incapacit\u00e9 de la direction \u00e0 saisir l\u2019ampleur des risques li\u00e9s \u00e0 la s\u00e9curit\u00e9 de l\u2019information.<\/p><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><p>Un projet SMSI ISO 27001 couronn\u00e9 de succ\u00e8s repose sur un engagement et un soutien de la direction. Ainsi, votre projet obtiendra les ressources financi\u00e8res et humaines dont il a besoin. Et le syst\u00e8me de management de l\u2019information sera en alignement sur les objectifs strat\u00e9giques de votre organisation.<\/p><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><p>La r\u00e9alisation d&rsquo;un cas d&rsquo;affaires (business case) est essentielle pour influencer les d\u00e9cideurs. Si vous avez besoin d&rsquo;une approbation budg\u00e9taire pour investir dans la s\u00e9curit\u00e9 de l&rsquo;information, il est judicieux d&rsquo;en produire un.<\/p><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><h2 class=\"wp-block-heading\"><span style=\"color: #993366;\">K<\/span>PI (Key Performance Indicators)<\/h2><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><p>La surveillance, la mesure, l&rsquo;analyse et l&rsquo;\u00e9valuation du SMSI sont une exigence d&rsquo;ISO 27001: 2013. Selon la norme, l\u2019organisation doit mesurer les processus du SMSI pour s\u2019assurer que la gestion de la s\u00e9curit\u00e9 est efficace. <\/p><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><p>L\u2019organisation doit d\u2019abord d\u00e9terminer quelles mesures surveiller afin de fournir des informations en retour sur la performance du syst\u00e8me. Au niveau du contr\u00f4le, on peut facilement d\u00e9finir ces mesures. Par exemple, l&rsquo;organisation peut souhaiter surveiller les niveaux d&rsquo;incident de s\u00e9curit\u00e9 et l&rsquo;effet des contr\u00f4les sur ceux-ci, ou le nombre de vuln\u00e9rabilit\u00e9s ouvertes \/ ferm\u00e9es, et d\u00e9terminer si le contr\u00f4le prend en charge une correction efficace de ceux-ci.<\/p><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><p>On peut consid\u00e9rer les mesures d\u00e9crites ci-dessus comme des indicateurs de performance cl\u00e9s ou des indicateurs de performance cl\u00e9s (KPI) pour les contr\u00f4les. Celles-ci sont distinctes de la performance du syst\u00e8me &#8211; m\u00eame si les deux sont li\u00e9es. La clause 9.1 traite de la mesure des processus ISO 27001 pour assurer le fonctionnement efficace du syst\u00e8me, de la m\u00eame mani\u00e8re que les contr\u00f4les. Voici des exemples de ces KPIs:<\/p><\/amp-fit-text>\n\n\n\n<ul><li>Nombre d&rsquo;objectifs strat\u00e9giques de l&rsquo;entreprise soutenus par des objectifs de s\u00e9curit\u00e9 de l&rsquo;information<\/li><li>Pourcentage de services aux entreprises couverts par le processus d&rsquo;\u00e9valuation des risques<\/li><li>Nombre de nouvelles menaces et vuln\u00e9rabilit\u00e9s par rapport aux \u00e9valuations de risques pr\u00e9c\u00e9dentes<\/li><li>Nombre de r\u00f4les et de responsabilit\u00e9s de s\u00e9curit\u00e9 d\u00e9finis par rapport \u00e0 avant la mise en place du SMSI<\/li><li>Evolution du nombre de probl\u00e8mes de non-conformit\u00e9 par rapport \u00e0 avant la mise en \u0153uvre du SMSI.<\/li><\/ul>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><h2 class=\"wp-block-heading\"><span style=\"color: #993366;\">L<\/span>ois et R\u00e9glementations<\/h2><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><p>L\u2019annexe A.18.1 concerne le respect des exigences l\u00e9gales et contractuelles. L&rsquo;objectif est d&rsquo;\u00e9viter les violations des obligations l\u00e9gales, statutaires, r\u00e9glementaires ou contractuelles relatives \u00e0 la s\u00e9curit\u00e9 de l&rsquo;information et des exigences de s\u00e9curit\u00e9. C\u2019est une partie importante du syst\u00e8me de gestion de la s\u00e9curit\u00e9 de l\u2019information (SMSI).<\/p><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><p>La norme exige 5 contr\u00f4les de s\u00e9curit\u00e9 :<\/p><\/amp-fit-text>\n\n\n\n<ul><li>A.18.1.1 Identification de la l\u00e9gislation applicable et des exigences contractuelles. <\/li><li>A.18.1.2 Droits de propri\u00e9t\u00e9 intellectuelle<\/li><li>A.18.1.3 Protection des enregistrements<\/li><li>A.18.1.4 Confidentialit\u00e9 et protection des informations personnellement identifiables<\/li><li>A.18.1.5 R\u00e9glementation des contr\u00f4les cryptographiques<\/li><\/ul>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><h2 class=\"wp-block-heading\"><span style=\"color: #993366;\">M<\/span>esures de s\u00e9curit\u00e9<\/h2><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><p>L&rsquo;annexe A de l&rsquo;ISO 27001 est probablement l&rsquo;annexe la plus c\u00e9l\u00e8bre de toutes les normes ISO. En effet, elle constitue un outil essentiel pour la gestion de la s\u00e9curit\u00e9. Elle se compose d&rsquo;une liste de 114 mesures de s\u00e9curit\u00e9 (ou de contr\u00f4les). Elles sont n\u00e9cessaires pour am\u00e9liorer la s\u00e9curit\u00e9 des informations. Ces 114 mesures de s\u00e9curit\u00e9 se r\u00e9partissent en 14 sections :<\/p><\/amp-fit-text>\n\n\n\n<ul><li><strong><em>A.5 Strat\u00e9gies de s\u00e9curit\u00e9 des informations<\/em><\/strong>. <\/li><li> <strong><em>A.6 Organisation de la s\u00e9curit\u00e9 de l&rsquo;information<\/em><\/strong>. <\/li><li> <strong><em>A.7 S\u00e9curit\u00e9 des ressources humaines<\/em><\/strong> . Voir lettre \u00ab\u00a0H\u00a0\u00bb.<\/li><li> <strong><em>A.8 Gestion des actifs<\/em><\/strong>. <\/li><li> <strong><em>A.9 Contr\u00f4le d&rsquo;acc\u00e8s<\/em><\/strong>. <\/li><li> <strong><em>A.10 Cryptographie.<\/em><\/strong><\/li><li> <strong><em>A.11 S\u00e9curit\u00e9 physique et environnementale<\/em><\/strong>. <\/li><li><strong><em> A.12 S\u00e9curit\u00e9 op\u00e9rationnelle<\/em><\/strong>. <\/li><li> <strong><em>A.13 S\u00e9curit\u00e9 des communications<\/em><\/strong>. <\/li><li> <strong><em>A.14 Acquisition, d\u00e9veloppement et maintenance du syst\u00e8me<\/em><\/strong>. <\/li><li> <strong><em>A.15 Relations avec les fournisseurs<\/em><\/strong>. <\/li><li> <strong><em>A.16 Gestion des incidents de s\u00e9curit\u00e9 des informations<\/em><\/strong>. <\/li><li> <strong><em>A.17 Aspects de la s\u00e9curit\u00e9 de l&rsquo;information li\u00e9s \u00e0 la gestion de la continuit\u00e9 des activit\u00e9s<\/em><\/strong>. Voir lettre \u00ab\u00a0B\u00a0\u00bb.<\/li><li> <strong><em>A.18 Conformit\u00e9<\/em><\/strong>. Voir la lettre \u00ab\u00a0L\u00a0\u00bb.<\/li><\/ul>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><h2 class=\"wp-block-heading\"><span style=\"color: #993366;\">N<\/span>on-conformit\u00e9<\/h2><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><p>Une non-conformit\u00e9 se d\u00e9finit comme la non-satisfaction d&rsquo;une exigence. Une non-conformit\u00e9 est d\u00e9cel\u00e9e lors d&rsquo;un audit. Les auditeurs identifient deux cat\u00e9gories de non-conformit\u00e9s :<\/p><\/amp-fit-text>\n\n\n\n<ul><li><strong><em>Non-conformit\u00e9 mineure<\/em><\/strong>. Cette non-conformit\u00e9 n&rsquo;affecte pas l&rsquo;efficacit\u00e9 globale du SMSI et la capacit\u00e9 de l&rsquo;organisation \u00e0 atteindre ses objectifs de s\u00e9curit\u00e9 de l&rsquo;information. Il s&rsquo;agit plut\u00f4t d&rsquo;une insuffisance ou d&rsquo;une faiblesse. Les exemples incluent une revue de sauvegarde manquante, un document sans le contr\u00f4le de version appropri\u00e9, un mot de passe unique qui s&rsquo;est av\u00e9r\u00e9 faible, etc.<\/li><li> <strong><em>Non-conformit\u00e9 majeure<\/em><\/strong>. Cette non-conformit\u00e9 affecte l&rsquo;efficacit\u00e9 globale du SMSI et la capacit\u00e9 de l&rsquo;organisation \u00e0 atteindre ses objectifs de s\u00e9curit\u00e9 de l&rsquo;information. Les exemples incluent l&rsquo;absence d&rsquo;audits internes, une \u00e9valuation des risques non document\u00e9es, l&rsquo;absence de politique de s\u00e9curit\u00e9 de l&rsquo;information, etc.<\/li><\/ul>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><p>La norme elle-m\u00eame ne fournit aucune classification. Les organismes de certification utilisent le classement par non-conformit\u00e9 pour \u00e9valuer le niveau de conformit\u00e9 et le communiquer \u00e0 l&rsquo;entreprise audit\u00e9e.<\/p><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><h2 class=\"wp-block-heading\"><span style=\"color: #993366;\">O<\/span>rientation Strat\u00e9gique<\/h2><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><p>ISO 27001 exige la compr\u00e9hension du contexte \u00ab organisationnel \u00bb. C&rsquo;est \u00e0 dire le besoin de d\u00e9montrer une compr\u00e9hension des questions internes et externes ayant un impact sur l\u2019activit\u00e9. Ces clauses sont \u00e9troitement li\u00e9es au \u00ab leadership \u00bb, qui veut que le syst\u00e8me de management ne soit pas g\u00e9r\u00e9 de loin par la direction mais rattach\u00e9 \u00e0 l\u2019orientation strat\u00e9gique de l\u2019entreprise. Cela signifie que l\u2019entreprise doit efficacement aligner ses processus. La politique et les objectifs \u00e9tablis pour le syst\u00e8me de management doivent \u00eatre compatibles avec l\u2019orientation strat\u00e9gique et le contexte de l\u2019organisation.&nbsp;<\/p><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><h2 class=\"wp-block-heading\"><span style=\"color: #993366;\">P<\/span>olitiques de S\u00e9curit\u00e9<\/h2><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><p>Une politique de s\u00e9curit\u00e9 de l&rsquo;information est la pierre angulaire d&rsquo;un SMSI. Elle doit refl\u00e9ter les objectifs de l\u2019organisation et la strat\u00e9gie de management convenue pour la protection des actifs informationnels cl\u00e9s. Pour \u00eatre utile et donner le pouvoir d&rsquo;ex\u00e9cuter le reste du SMSI, elle doit \u00e9galement faire l&rsquo;objet d&rsquo;un accord formel avec la direction.<\/p><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><p>L\u2019essence d\u2019une bonne politique de s\u00e9curit\u00e9 de l\u2019information s&rsquo;appuie sur les bonnes pratiques suivantes :<\/p><\/amp-fit-text>\n\n\n\n<ul><li>Gardez-la aussi courte que possible<\/li><li>Assurez-vous qu&rsquo;elle soit pertinent pour son public<\/li><li>Alignez-la sur les besoins de l&rsquo;entreprise<\/li><li>Alignez-l\u00e0 sur les lois et r\u00e9glementations dans lesquels vous \u00e9voluez.<\/li><li>Ne la marginalisez pas en visant simplement \u00e0 \u00ab\u00a0cocher une case\u00a0\u00bb. La politique doit apporter de la valeur aux employ\u00e9s et aux r\u00e9sultats et comportements globaux que vous souhaitez promouvoir.<\/li><li>Partagez-la avec toutes vos parties prenantes cl\u00e9s, internes et externes<\/li><\/ul>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><p>Une politique est une d\u00e9claration de haut niveau de la position de l\u2019organisation sur le sujet choisi (<strong><em>le \u00abpourquoi\u00bb<\/em><\/strong>).  Il ne faut pas la confondre avec le manuel de proc\u00e9dures qui traite du <strong><em>\u00abcomment\u00bb<\/em><\/strong> adopter la politique. Les proc\u00e9dures sont souvent des documents beaucoup plus longs s\u2019ils d\u00e9crivent des processus complexes \u00e0 suivre.<\/p><\/amp-fit-text>\n\n\n\n<div data-amp-lightbox=\"true\" class=\"wp-block-image\"><figure class=\"aligncenter\"><img loading=\"lazy\" width=\"640\" height=\"206\" src=\"https:\/\/i0.wp.com\/www.ab-consulting.fr\/blog\/wp-content\/uploads\/2019\/04\/iso-27001-protection-blog.jpg?resize=640%2C206\" alt=\"ISO 27001 - Politiques de s\u00e9curit\u00e9\" class=\"wp-image-10003\" srcset=\"https:\/\/i0.wp.com\/www.ab-consulting.fr\/blog\/wp-content\/uploads\/2019\/04\/iso-27001-protection-blog.jpg?w=1199 1199w, https:\/\/i0.wp.com\/www.ab-consulting.fr\/blog\/wp-content\/uploads\/2019\/04\/iso-27001-protection-blog.jpg?resize=300%2C97 300w, https:\/\/i0.wp.com\/www.ab-consulting.fr\/blog\/wp-content\/uploads\/2019\/04\/iso-27001-protection-blog.jpg?resize=768%2C247 768w, https:\/\/i0.wp.com\/www.ab-consulting.fr\/blog\/wp-content\/uploads\/2019\/04\/iso-27001-protection-blog.jpg?resize=1024%2C330 1024w, https:\/\/i0.wp.com\/www.ab-consulting.fr\/blog\/wp-content\/uploads\/2019\/04\/iso-27001-protection-blog.jpg?resize=604%2C194 604w, https:\/\/i0.wp.com\/www.ab-consulting.fr\/blog\/wp-content\/uploads\/2019\/04\/iso-27001-protection-blog.jpg?resize=850%2C274 850w\" sizes=\"(max-width: 640px) 100vw, 640px\" data-recalc-dims=\"1\" \/><\/figure><\/div>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><p>Dans l\u2019id\u00e9al, la politique doit \u00eatre br\u00e8ve (une dizaine de mages maximum) et pr\u00e9cise en ce qui concerne les responsabilit\u00e9s de l\u2019utilisateur vis-\u00e0-vis des informations qu\u2019il recueille, utilise, acc\u00e8de ou traite. Elle se d\u00e9cline en sous-politiques et proc\u00e9dures pertinentes pour les domaines dans lesquels l&rsquo;utilisateur op\u00e8re.<\/p><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><h2 class=\"wp-block-heading\"><span style=\"color: #993366;\">Q<\/span>ualit\u00e9<\/h2><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><p>Si vous poss\u00e9dez d\u00e9j\u00e0 une certification de syst\u00e8me de gestion de la qualit\u00e9 \/ ISO9001, certains des \u00e9l\u00e9ments que vous avez mis en \u0153uvre pour votre organisation sont \u00e9galement utilisables pour votre syst\u00e8me de management de la s\u00e9curit\u00e9 des informations, \u00e0 savoir:<\/p><\/amp-fit-text>\n\n\n\n<ul><li><strong><em>Fixer les objectifs de l&rsquo;organisation et v\u00e9rifier s&rsquo;ils ont \u00e9t\u00e9 atteints<\/em><\/strong>. Les deux normes utilisent le m\u00eame m\u00e9canisme, de sorte que la direction sera \u00e0 l&rsquo;aise avec une telle planification syst\u00e9matique.<\/li><li><strong><em>Revue de direction.<\/em><\/strong> Les principes de la revue de direction sont les m\u00eames .<\/li><li><strong><em>Gestion des documents.<\/em><\/strong> Les proc\u00e9dures utilis\u00e9es pour la gestion des documents sont r\u00e9utilisables avec des ajustements mineurs.<\/li><li><strong><em>Audit interne.<\/em><\/strong> Le SMQ et le SMQI peuvent utiliser les m\u00eames proc\u00e9dures, bien que vous puissiez utiliser des personnes diff\u00e9rentes.<\/li><li><strong><em>Actions correctives et pr\u00e9ventives.<\/em><\/strong> Les proc\u00e9dures utilis\u00e9es pour le syst\u00e8me de management de la qualit\u00e9 peuvent \u00eatre utilis\u00e9es aux m\u00eames fins dans le SMSI.<\/li><li><strong><em>Gestion des ressources humaines.<\/em><\/strong> Le m\u00eame cycle de planification, de formation et d&rsquo;\u00e9valuation des ressources humaines est utilisable pour les deux syst\u00e8mes de management.<\/li><\/ul>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><p>Par cons\u00e9quent, si vous avez d\u00e9j\u00e0 mis en \u0153uvre ISO 9001, vous aurez plus de facilit\u00e9 \u00e0 mettre en \u0153uvre ISO27001. Vous pourrez ainsi \u00e9conomiser jusqu&rsquo;\u00e0 30% du temps. En outre, vous disposerez d&rsquo;audits de certification moins chers. En effet, les organismes de certification proposent ce que l&rsquo;on appelle des \u00abaudits int\u00e9gr\u00e9s\u00bb. Cela signifie qu&rsquo;ils effectueront un m\u00eame audit ISO 9001 et ISO 27001. Ils vous factureront donc des frais moindres par rapport aux audits s\u00e9par\u00e9s.<\/p><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><h2 class=\"wp-block-heading\"><span style=\"color: #993366;\">R<\/span>isques<\/h2><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><p>Pour se conformer \u00e0 la norme ISO27001, une organisation doit d\u00e9finir une m\u00e9thodologie d&rsquo;\u00e9valuation des risques pour les risques li\u00e9s \u00e0 la s\u00e9curit\u00e9 de l&rsquo;information. Elle doit identifier les crit\u00e8res d&rsquo;acceptation des risques et les niveaux de risque acceptables, puis \u00e9laborer un plan de traitement des risques pour ramener tous les risques identifi\u00e9s \u00e0 un niveau acceptable. La m\u00e9thode doit \u00eatre fiable et coh\u00e9rente. Toutefois l&rsquo;auditeur n&rsquo;auditera pas le d\u00e9tail de la m\u00e9thode appliqu\u00e9e. ISO 27005 vous propose une approche de gestion des risques de s\u00e9curit\u00e9 de l&rsquo;information coh\u00e9rente avec ISO 27001.<\/p><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><h3 class=\"wp-block-heading\">L&rsquo;\u00e9valuation des risques<\/h3><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><p>Identifiez tous les actifs de l&rsquo;organisation li\u00e9s \u00e0 la s\u00e9curit\u00e9 de l&rsquo;information et \u00e9tablissez un registre des actifs.<\/p><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><p>Identifiez les combinaisons de menaces et de vuln\u00e9rabilit\u00e9s li\u00e9es \u00e0 l&rsquo;actif, puis identifiez les impacts que des pertes de confidentialit\u00e9, d&rsquo;int\u00e9grit\u00e9 et de disponibilit\u00e9 peuvent avoir sur l&rsquo;actif \u00e0 l&rsquo;aide d&rsquo;un rapport d&rsquo;\u00e9valuation du risque des actifs.<\/p><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><p>Les impacts prennent en compte les obligations commerciales, l\u00e9gales ou contractuelles de l&rsquo;entreprise.<\/p><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><p>L&rsquo;\u00e9valuation examine ensuite la probabilit\u00e9 que la d\u00e9faillance de s\u00e9curit\u00e9 se produise en combinant la fr\u00e9quence de la menace et la probabilit\u00e9 de r\u00e9ussite.<\/p><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><p>Une combinaison de l&rsquo;impact et de la probabilit\u00e9 de la d\u00e9faillance de s\u00e9curit\u00e9 fournit un niveau de risque qu&rsquo;on peut classer dans trois cat\u00e9gories :<\/p><\/amp-fit-text>\n\n\n\n<ul><li><strong><em>Faible<\/em><\/strong>. Aucune action imm\u00e9diate requise, bien que des am\u00e9liorations puissent \u00eatre apport\u00e9es aux processus \/ technologies permettant de r\u00e9duire davantage l&rsquo;impact de la d\u00e9faillance de s\u00e9curit\u00e9.<\/li><li><strong><em>Moyen<\/em><\/strong>. Inclusion requise dans l&rsquo;examen de la gestion du SGSI avec les actions identifi\u00e9es si n\u00e9cessaire et l&rsquo;inclusion dans le plan de traitement des risques.<\/li><li><strong><em>Elev\u00e9<\/em><\/strong>. Doit figurer dans le plan de traitement du risque pour les actions positives visant \u00e0 r\u00e9duire le risque.<\/li><\/ul>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><h3 class=\"wp-block-heading\">Traitement des risques<\/h3><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><p>La s\u00e9lection de l&rsquo;option de traitement du risque la plus appropri\u00e9e implique un \u00e9quilibre entre les co\u00fbts et les efforts de mise en \u0153uvre et les avantages d\u00e9riv\u00e9s, en ce qui concerne les exigences l\u00e9gales, r\u00e9glementaires et autres, telles que la responsabilit\u00e9 sociale et la protection de l&rsquo;environnement. Les d\u00e9cisions doivent \u00e9galement prendre en compte les risques qui peuvent justifier un traitement des risques qui ne soit pas justifiable pour des raisons \u00e9conomiques, par exemple ainsi que les risques graves (cons\u00e9quences n\u00e9gatives importantes) mais rares (faibles probabilit\u00e9s).<\/p><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><h2 class=\"wp-block-heading\"><span style=\"color: #993366;\">S<\/span>yst\u00e8me de Management de la S\u00e9curit\u00e9 de l&rsquo;Information (SMSI)<\/h2><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><p>Vous trouverez ci-dessous une liste de la documentation obligatoire requise par la norme:<\/p><\/amp-fit-text>\n\n\n\n<ul><li>Port\u00e9e (Clause 4.3)<\/li><li>Politique de s\u00e9curit\u00e9 de l&rsquo;information (clause 5.2 e)<\/li><li>Processus d&rsquo;\u00e9valuation des risques pour la s\u00e9curit\u00e9 de l&rsquo;information (Clause 6.1.2)<\/li><li>Processus de traitement des risques de s\u00e9curit\u00e9 de l&rsquo;information (Clause 6.1.3)<\/li><li>D\u00e9claration d&rsquo;applicabilit\u00e9 (Clause 6.1.3)<\/li><li>Objectifs de s\u00e9curit\u00e9 de l&rsquo;information (article 6.2)<\/li><li>Preuve de comp\u00e9tence (clause 7.2)<\/li><li>Que \u00abd\u00e9termin\u00e9 par l\u2019organisation comme \u00e9tant n\u00e9cessaire \u00e0 l\u2019efficacit\u00e9 du syst\u00e8me de gestion de la s\u00e9curit\u00e9 de l\u2019information\u00bb (Clause 7.5.1 b)<\/li><li>La mesure n\u00e9cessaire pour s\u2019assurer que les processus requis pour la planification et le contr\u00f4le op\u00e9rationnels ont \u00e9t\u00e9 r\u00e9alis\u00e9s comme pr\u00e9vu (Clause 8.1)<\/li><li>R\u00e9sultats des \u00e9valuations des risques li\u00e9s \u00e0 la s\u00e9curit\u00e9 de l&rsquo;information (article 8.2)<\/li><li>R\u00e9sultats du traitement des risques li\u00e9s \u00e0 la s\u00e9curit\u00e9 de l&rsquo;information (clause 8.3)<\/li><li>Preuve de la surveillance de la performance de la s\u00e9curit\u00e9 de l&rsquo;information et des r\u00e9sultats de mesure (clause 9.1)<\/li><li>Programme (s) d&rsquo;audit interne et r\u00e9sultats de l&rsquo;audit (clause 9.2 g)<\/li><li>Preuve des r\u00e9sultats des revues de direction (Clause 9.3)<\/li><li>Preuve de la nature des non-conformit\u00e9s et des actions ult\u00e9rieures prises, ainsi que des r\u00e9sultats de toute action corrective (Clause 10.1)<\/li><\/ul>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><h2 class=\"wp-block-heading\"><span style=\"color: #993366;\">T<\/span>raitement des non-conformit\u00e9s<\/h2><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><p>Toute non-conformit\u00e9 d\u00e9couverte et identifi\u00e9e lors d&rsquo;un audit interne doit donner lieu \u00e0 un plan d&rsquo;action corrective. Ce plan doit \u00eatre r\u00e9aliste, mis en oeuvre, suivi et document\u00e9. Les audits de surveillance ont notamment pour objectif de s&rsquo;assurer que toutes les non conformit\u00e9s identifi\u00e9es sont bien sous contr\u00f4le et qu&rsquo;un plan d&rsquo;action corrective est mis en oeuvre.<\/p><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><h2 class=\"wp-block-heading\"><span style=\"color: #993366;\">U<\/span>tilisateurs<\/h2><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><p>ISO 27001 reconna\u00eet que, m\u00eame si les d\u00e9fenses technologiques sont essentielles, leur utilisation sera limit\u00e9e si le personnel ne comprend pas ses responsabilit\u00e9s en mati\u00e8re de s\u00e9curit\u00e9 des informations. Apr\u00e8s tout, la technologie ne vous aidera pas si un employ\u00e9 communique son mot de passe \u00e9crit \u00e0 qui que ce soit ou \u00e9gare un p\u00e9riph\u00e9rique amovible.<\/p><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><p>La Norme impose donc aux organisations de traiter les probl\u00e8mes de s\u00e9curit\u00e9 de l&rsquo;information au niveau des employ\u00e9s de mani\u00e8re r\u00e9guli\u00e8re et approfondie. Elle doit organiser des s\u00e9ances r\u00e9currentes de <a href=\"http:\/\/www.ab-consulting.fr\/blog\/securite\/10-trucs-sensibilisation-securite\" target=\"_blank\" rel=\"noreferrer noopener\" aria-label=\"sensibilisation pour tous les utilisateurs (ouverture dans un nouvel onglet)\">sensibilisation pour tous les utilisateurs<\/a> sur les responsabilit\u00e9s de chacun en mati\u00e8re de s\u00e9curit\u00e9. La s\u00e9curit\u00e9 de l&rsquo;information est l&rsquo;affaire de tous dans l&rsquo;entreprise et ne doit pas \u00eatre la seule responsabilit\u00e9 des personnes impliqu\u00e9es dans le SMSI.<\/p><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><h2 class=\"wp-block-heading\"><span style=\"color: #993366;\">V<\/span>ie Priv\u00e9e<\/h2><\/amp-fit-text>\n\n\n\n<figure class=\"wp-block-image\" data-amp-lightbox=\"true\"><img loading=\"lazy\" width=\"1200\" height=\"600\" src=\"https:\/\/i1.wp.com\/www.ab-consulting.fr\/blog\/wp-content\/uploads\/2019\/04\/iso-27001-gdpr-blog.jpg?fit=640%2C320\" alt=\"ISO 27001 - Protection des donn\u00e9es personnelles\" class=\"wp-image-10000\" srcset=\"https:\/\/i0.wp.com\/www.ab-consulting.fr\/blog\/wp-content\/uploads\/2019\/04\/iso-27001-gdpr-blog.jpg?w=1200 1200w, https:\/\/i0.wp.com\/www.ab-consulting.fr\/blog\/wp-content\/uploads\/2019\/04\/iso-27001-gdpr-blog.jpg?resize=300%2C150 300w, https:\/\/i0.wp.com\/www.ab-consulting.fr\/blog\/wp-content\/uploads\/2019\/04\/iso-27001-gdpr-blog.jpg?resize=768%2C384 768w, https:\/\/i0.wp.com\/www.ab-consulting.fr\/blog\/wp-content\/uploads\/2019\/04\/iso-27001-gdpr-blog.jpg?resize=1024%2C512 1024w, https:\/\/i0.wp.com\/www.ab-consulting.fr\/blog\/wp-content\/uploads\/2019\/04\/iso-27001-gdpr-blog.jpg?resize=540%2C270 540w, https:\/\/i0.wp.com\/www.ab-consulting.fr\/blog\/wp-content\/uploads\/2019\/04\/iso-27001-gdpr-blog.jpg?resize=850%2C425 850w\" sizes=\"(max-width: 640px) 100vw, 640px\" \/><\/figure>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><p>Plusieurs exigences ISO27001 vous aideront \u00e0 vous mettre en conformit\u00e9 avec GDPR (RGPD). Par exemple, la proc\u00e9dure d\u2018\u00e9valuation des risques, une partie essentielle du standard est similaire avec l\u2018\u00e9valuation de l\u2018impact sur la protection des donn\u00e9es, n\u00e9cessaire pour la conformit\u00e9 avec GDPR. En outre, ISO27001 guide les organisations vers l\u2018impl\u00e9mentation d\u2018une politique de protection des donn\u00e9es.&nbsp;<\/p><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><p>Pour en savoir plus sur la relation entre ISO 27001 et le RGPD, je vous invite \u00e0 relire mon pr\u00e9c\u00e9dent article : <a rel=\"noreferrer noopener\" aria-label=\"SMSI certifi\u00e9 ISO 27001 vs conformit\u00e9 RGPD (ouverture dans un nouvel onglet)\" href=\"http:\/\/www.ab-consulting.fr\/blog\/securite\/isoiec-27001\/smsi-iso-27001-vs-rgpd\" target=\"_blank\"><em><strong>SMSI certifi\u00e9 ISO 27001 vs conformit\u00e9 RGPD<\/strong><\/em><\/a>.<\/p><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><h2 class=\"wp-block-heading\"><span style=\"color: #993366;\">W<\/span>orkforce<\/h2><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><p>La force de travail (employ\u00e9s et consultants) sont le noeud de la r\u00e9ussite du fonctionnement de votre SMSI. N&rsquo;oubliez jamais de les former et de les sensibiliser sur le fait que <a href=\"http:\/\/www.ab-consulting.fr\/blog\/securite\/pare-feu-humain\" target=\"_blank\" rel=\"noreferrer noopener\" aria-label=\"la s\u00e9curit\u00e9 est l'affaire de tous (ouverture dans un nouvel onglet)\">la s\u00e9curit\u00e9 est l&rsquo;affaire de tous<\/a> dans une organisation. Et cela va du niveau le plus haut dans l&rsquo;entreprise jusqu&rsquo;au niveau le plus bas.<\/p><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><h2 class=\"wp-block-heading\">e<span style=\"color: #993366;\">X<\/span>emples de mise en oeuvre<\/h2><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><p>Les exemples de mise en oeuvre d&rsquo;un SMSI certifi\u00e9 ISO 27001 sont nombreux et concernent tous les domaines de l&rsquo;\u00e9conomie, tant dans le secteur priv\u00e9 que public.<\/p><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><h2 class=\"wp-block-heading\"><span style=\"color: #993366;\">Y<\/span> aller ou pas?<\/h2><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><p>La certification de votre SMSI \u00e0 la norme ISO 27001 ne r\u00e9pond \u00e0 aucune obligation l\u00e9gale. C&rsquo;est l&rsquo;affaire de chaque organisation de d\u00e9cider si cette certification est coh\u00e9rente avec sa strat\u00e9gie business. Si la certification ISO 27001 ne soutient pas vos objectifs strat\u00e9giques, alors il ne faut pas essayer de l&rsquo;obtenir. La pr\u00e9paration \u00e0 la certification repr\u00e9sente un volume de travail \u00e9norme et un tr\u00e8s gros investissement. Par cons\u00e9quent un business case doit toujours \u00eatre r\u00e9alis\u00e9 avant d&rsquo;entamer la d\u00e9marche. Il doit \u00eatre approuv\u00e9 au plus haut niveau de l&rsquo;entreprise.<\/p><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><h2 class=\"wp-block-heading\"><span style=\"color: #993366;\">Z<\/span>\u00e9ro non-conformit\u00e9<\/h2><\/amp-fit-text>\n\n\n\n<amp-fit-text layout=\"fixed-height\" min-font-size=\"14\" max-font-size=\"48\" height=\"50\"><p>L&rsquo;objectif \u00ab\u00a0z\u00e9ro non-conformit\u00e9\u00a0\u00bb pour obtenir la certification est un mythe. La certification de votre SMSI peut vous \u00eatre accord\u00e9e m\u00eame s&rsquo;il existe des non-conformit\u00e9s mineures d\u00e8s lors qu&rsquo;un plan d&rsquo;action corrective a bien \u00e9t\u00e9 d\u00e9fini, planifi\u00e9 et mis en oeuvre. C&rsquo;est l&rsquo;organisme de certification qui en \u00e9value le s\u00e9rieux et la cr\u00e9dibilit\u00e9 et pourra d\u00e9cider d&rsquo;accorder ou non la certification.<\/p><\/amp-fit-text>\n<div class=\"sharedaddy sd-sharing-enabled\"><div class=\"robots-nocontent sd-block sd-social sd-social-icon-text sd-sharing\"><h3 class=\"sd-title\">Partager\u00a0:<\/h3><div class=\"sd-content\"><ul><li class=\"share-print\"><a rel=\"nofollow noopener noreferrer\" data-shared=\"\" class=\"share-print sd-button share-icon\" href=\"http:\/\/www.ab-consulting.fr\/blog\/securite\/isoiec-27001\/guide-iso-27001-a-2-z\" target=\"_blank\" title=\"Cliquer pour imprimer\" ><span>Imprimer<\/span><\/a><\/li><li class=\"share-email\"><a rel=\"nofollow noopener noreferrer\" data-shared=\"\" class=\"share-email sd-button share-icon\" href=\"mailto:?subject=%5BArticle%20partag%C3%A9%5D%20Guide%20ISO%2027001%20%3A%20de%20A%20jusqu%27%C3%A0%20Z&body=http%3A%2F%2Fwww.ab-consulting.fr%2Fblog%2Fsecurite%2Fisoiec-27001%2Fguide-iso-27001-a-2-z&share=email\" target=\"_blank\" title=\"Cliquer pour envoyer un lien par e-mail \u00e0 un ami\" data-email-share-error-title=\"Votre messagerie est-elle configur\u00e9e\u00a0?\" data-email-share-error-text=\"Si vous rencontrez des probl\u00e8mes de partage par e-mail, votre messagerie n\u2019est peut-\u00eatre pas configur\u00e9e pour votre navigateur. Vous devrez peut-\u00eatre cr\u00e9er vous-m\u00eame une nouvelle messagerie.\" data-email-share-nonce=\"62dea606ee\" data-email-share-track-url=\"http:\/\/www.ab-consulting.fr\/blog\/securite\/isoiec-27001\/guide-iso-27001-a-2-z?share=email\"><span>E-mail<\/span><\/a><\/li><li class=\"share-facebook\"><a rel=\"nofollow noopener noreferrer\" data-shared=\"sharing-facebook-8980\" class=\"share-facebook sd-button share-icon\" href=\"http:\/\/www.ab-consulting.fr\/blog\/securite\/isoiec-27001\/guide-iso-27001-a-2-z?share=facebook\" target=\"_blank\" title=\"Cliquez pour partager sur Facebook\" ><span>Facebook<\/span><\/a><\/li><li class=\"share-twitter\"><a rel=\"nofollow noopener noreferrer\" data-shared=\"sharing-twitter-8980\" class=\"share-twitter sd-button share-icon\" href=\"http:\/\/www.ab-consulting.fr\/blog\/securite\/isoiec-27001\/guide-iso-27001-a-2-z?share=twitter\" target=\"_blank\" title=\"Cliquez pour partager sur Twitter\" ><span>Twitter<\/span><\/a><\/li><li class=\"share-linkedin\"><a rel=\"nofollow noopener noreferrer\" data-shared=\"sharing-linkedin-8980\" class=\"share-linkedin sd-button share-icon\" href=\"http:\/\/www.ab-consulting.fr\/blog\/securite\/isoiec-27001\/guide-iso-27001-a-2-z?share=linkedin\" target=\"_blank\" title=\"Cliquez pour partager sur LinkedIn\" ><span>LinkedIn<\/span><\/a><\/li><li class=\"share-tumblr\"><a rel=\"nofollow noopener noreferrer\" data-shared=\"\" class=\"share-tumblr sd-button share-icon\" href=\"http:\/\/www.ab-consulting.fr\/blog\/securite\/isoiec-27001\/guide-iso-27001-a-2-z?share=tumblr\" target=\"_blank\" title=\"Cliquez pour partager sur Tumblr\" ><span>Tumblr<\/span><\/a><\/li><li class=\"share-pinterest\"><a rel=\"nofollow noopener noreferrer\" data-shared=\"sharing-pinterest-8980\" class=\"share-pinterest sd-button share-icon\" href=\"http:\/\/www.ab-consulting.fr\/blog\/securite\/isoiec-27001\/guide-iso-27001-a-2-z?share=pinterest\" target=\"_blank\" title=\"Cliquez pour partager sur Pinterest\" ><span>Pinterest<\/span><\/a><\/li><li class=\"share-end\"><\/li><\/ul><\/div><\/div><\/div>","protected":false},"excerpt":{"rendered":"<p>Quand on \u00e9voque la s\u00e9curit\u00e9 de l&rsquo;information, on fait souvent r\u00e9f\u00e9rence \u00e0 la norme ISO 27001. Mais, en fait, de quoi s&rsquo;agit-il vraiment? Qu&rsquo;est-ce que cette norme? Qui est concern\u00e9? En quoi consiste une certification ISO 27001? La r\u00e9ponse \u00e0 toutes ces questions et \u00e0 bien d&rsquo;autres se trouve dans cet article.<\/p>\n<div class=\"sharedaddy sd-sharing-enabled\"><div class=\"robots-nocontent sd-block sd-social sd-social-icon-text sd-sharing\"><h3 class=\"sd-title\">Partager\u00a0:<\/h3><div class=\"sd-content\"><ul><li class=\"share-print\"><a rel=\"nofollow noopener noreferrer\" data-shared=\"\" class=\"share-print sd-button share-icon\" href=\"http:\/\/www.ab-consulting.fr\/blog\/securite\/isoiec-27001\/guide-iso-27001-a-2-z\" target=\"_blank\" title=\"Cliquer pour imprimer\" ><span>Imprimer<\/span><\/a><\/li><li class=\"share-email\"><a rel=\"nofollow noopener noreferrer\" data-shared=\"\" class=\"share-email sd-button share-icon\" href=\"mailto:?subject=%5BArticle%20partag%C3%A9%5D%20Guide%20ISO%2027001%20%3A%20de%20A%20jusqu%27%C3%A0%20Z&body=http%3A%2F%2Fwww.ab-consulting.fr%2Fblog%2Fsecurite%2Fisoiec-27001%2Fguide-iso-27001-a-2-z&share=email\" target=\"_blank\" title=\"Cliquer pour envoyer un lien par e-mail \u00e0 un ami\" data-email-share-error-title=\"Votre messagerie est-elle configur\u00e9e\u00a0?\" data-email-share-error-text=\"Si vous rencontrez des probl\u00e8mes de partage par e-mail, votre messagerie n\u2019est peut-\u00eatre pas configur\u00e9e pour votre navigateur. Vous devrez peut-\u00eatre cr\u00e9er vous-m\u00eame une nouvelle messagerie.\" data-email-share-nonce=\"62dea606ee\" data-email-share-track-url=\"http:\/\/www.ab-consulting.fr\/blog\/securite\/isoiec-27001\/guide-iso-27001-a-2-z?share=email\"><span>E-mail<\/span><\/a><\/li><li class=\"share-facebook\"><a rel=\"nofollow noopener noreferrer\" data-shared=\"sharing-facebook-8980\" class=\"share-facebook sd-button share-icon\" href=\"http:\/\/www.ab-consulting.fr\/blog\/securite\/isoiec-27001\/guide-iso-27001-a-2-z?share=facebook\" target=\"_blank\" title=\"Cliquez pour partager sur Facebook\" ><span>Facebook<\/span><\/a><\/li><li class=\"share-twitter\"><a rel=\"nofollow noopener noreferrer\" data-shared=\"sharing-twitter-8980\" class=\"share-twitter sd-button share-icon\" href=\"http:\/\/www.ab-consulting.fr\/blog\/securite\/isoiec-27001\/guide-iso-27001-a-2-z?share=twitter\" target=\"_blank\" title=\"Cliquez pour partager sur Twitter\" ><span>Twitter<\/span><\/a><\/li><li class=\"share-linkedin\"><a rel=\"nofollow noopener noreferrer\" data-shared=\"sharing-linkedin-8980\" class=\"share-linkedin sd-button share-icon\" href=\"http:\/\/www.ab-consulting.fr\/blog\/securite\/isoiec-27001\/guide-iso-27001-a-2-z?share=linkedin\" target=\"_blank\" title=\"Cliquez pour partager sur LinkedIn\" ><span>LinkedIn<\/span><\/a><\/li><li class=\"share-tumblr\"><a rel=\"nofollow noopener noreferrer\" data-shared=\"\" class=\"share-tumblr sd-button share-icon\" href=\"http:\/\/www.ab-consulting.fr\/blog\/securite\/isoiec-27001\/guide-iso-27001-a-2-z?share=tumblr\" target=\"_blank\" title=\"Cliquez pour partager sur Tumblr\" ><span>Tumblr<\/span><\/a><\/li><li class=\"share-pinterest\"><a rel=\"nofollow noopener noreferrer\" data-shared=\"sharing-pinterest-8980\" class=\"share-pinterest sd-button share-icon\" href=\"http:\/\/www.ab-consulting.fr\/blog\/securite\/isoiec-27001\/guide-iso-27001-a-2-z?share=pinterest\" target=\"_blank\" title=\"Cliquez pour partager sur Pinterest\" ><span>Pinterest<\/span><\/a><\/li><li class=\"share-end\"><\/li><\/ul><\/div><\/div><\/div>","protected":false},"author":1,"featured_media":8982,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"advgb_blocks_editor_width":"","advgb_blocks_columns_visual_guide":"","jetpack_post_was_ever_published":false,"jetpack_publicize_message":"D\u00e9couvrez notre Guide ISO 27001 : de A jusqu'\u00e0 Z","jetpack_is_tweetstorm":false,"jetpack_publicize_feature_enabled":true},"categories":[25,62],"tags":[1874,109,269,3120,3985,1876],"jetpack_publicize_connections":[],"author_meta":{"display_name":"Alain Bonneaud","author_link":"http:\/\/www.ab-consulting.fr\/blog\/author\/abonneaud"},"featured_img":"https:\/\/i0.wp.com\/www.ab-consulting.fr\/blog\/wp-content\/uploads\/2019\/04\/iso-27001-A-Z-blog.jpg?fit=300%2C197","yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v17.9 (Yoast SEO v17.9) - https:\/\/yoast.com\/wordpress\/plugins\/seo\/ -->\n<title>Guide ISO 27001 : de A jusqu&#039;\u00e0 Z - Blog de la Transformation Digitale<\/title>\n<meta name=\"description\" content=\"Le certification d&#039;un SMSI \u00e0 la norme ISO 27001 est un enjeu strat\u00e9gique pour les organisations. D\u00e9couvrez les \u00e9l\u00e9ments cl\u00e9s dans ce guide de A jusqu&#039;\u00e0 Z.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/www.ab-consulting.fr\/blog\/securite\/isoiec-27001\/guide-iso-27001-a-2-z\" \/>\n<meta property=\"og:locale\" content=\"fr_FR\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Guide ISO 27001 : de A jusqu&#039;\u00e0 Z\" \/>\n<meta property=\"og:description\" content=\"Le certification d&#039;un SMSI \u00e0 la norme ISO 27001 est un enjeu strat\u00e9gique pour les organisations. D\u00e9couvrez les \u00e9l\u00e9ments cl\u00e9s dans ce guide de A jusqu&#039;\u00e0 Z.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/www.ab-consulting.fr\/blog\/securite\/isoiec-27001\/guide-iso-27001-a-2-z\" \/>\n<meta property=\"og:site_name\" content=\"Blog de la Transformation Digitale\" \/>\n<meta property=\"article:publisher\" content=\"https:\/\/www.facebook.com\/abconsultingci\/\" \/>\n<meta property=\"article:published_time\" content=\"2019-04-29T08:30:27+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2019-04-30T12:43:21+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/i0.wp.com\/www.ab-consulting.fr\/blog\/wp-content\/uploads\/2019\/04\/iso-27001-A-Z-blog.jpg?fit=1199%2C786&#038;ssl=1\" \/>\n\t<meta property=\"og:image:width\" content=\"1199\" \/>\n\t<meta property=\"og:image:height\" content=\"786\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:creator\" content=\"@abonneaud\" \/>\n<meta name=\"twitter:site\" content=\"@abonneaud\" \/>\n<meta name=\"twitter:label1\" content=\"\u00c9crit par\" \/>\n\t<meta name=\"twitter:data1\" content=\"Alain Bonneaud\" \/>\n\t<meta name=\"twitter:label2\" content=\"Dur\u00e9e de lecture est.\" \/>\n\t<meta name=\"twitter:data2\" content=\"23 minutes\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"Organization\",\"@id\":\"http:\/\/www.ab-consulting.fr\/blog\/#organization\",\"name\":\"2AB & Associates\",\"url\":\"http:\/\/www.ab-consulting.fr\/blog\/\",\"sameAs\":[\"https:\/\/www.facebook.com\/abconsultingci\/\",\"https:\/\/www.linkedin.com\/in\/alainbonneaud\/\",\"https:\/\/twitter.com\/abonneaud\"],\"logo\":{\"@type\":\"ImageObject\",\"@id\":\"http:\/\/www.ab-consulting.fr\/blog\/#logo\",\"inLanguage\":\"fr-FR\",\"url\":\"https:\/\/i2.wp.com\/www.ab-consulting.fr\/blog\/wp-content\/uploads\/2015\/04\/AB-Consulting-logo-h-vs.gif?fit=540%2C107\",\"contentUrl\":\"https:\/\/i2.wp.com\/www.ab-consulting.fr\/blog\/wp-content\/uploads\/2015\/04\/AB-Consulting-logo-h-vs.gif?fit=540%2C107\",\"width\":540,\"height\":107,\"caption\":\"2AB & Associates\"},\"image\":{\"@id\":\"http:\/\/www.ab-consulting.fr\/blog\/#logo\"}},{\"@type\":\"WebSite\",\"@id\":\"http:\/\/www.ab-consulting.fr\/blog\/#website\",\"url\":\"http:\/\/www.ab-consulting.fr\/blog\/\",\"name\":\"Blog de la Transformation Digitale\",\"description\":\"COBIT\\u00ae, VeriSM, ITIL\\u00ae, RESILIA, ISO 27001, ISO 20000\",\"publisher\":{\"@id\":\"http:\/\/www.ab-consulting.fr\/blog\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"http:\/\/www.ab-consulting.fr\/blog\/?s={search_term_string}\"},\"query-input\":\"required name=search_term_string\"}],\"inLanguage\":\"fr-FR\"},{\"@type\":\"ImageObject\",\"@id\":\"https:\/\/www.ab-consulting.fr\/blog\/securite\/isoiec-27001\/guide-iso-27001-a-2-z#primaryimage\",\"inLanguage\":\"fr-FR\",\"url\":\"https:\/\/i0.wp.com\/www.ab-consulting.fr\/blog\/wp-content\/uploads\/2019\/04\/iso-27001-A-Z-blog.jpg?fit=1199%2C786\",\"contentUrl\":\"https:\/\/i0.wp.com\/www.ab-consulting.fr\/blog\/wp-content\/uploads\/2019\/04\/iso-27001-A-Z-blog.jpg?fit=1199%2C786\",\"width\":1199,\"height\":786,\"caption\":\"Cr\\u00e9dit \\u00a9 rawpixel.com 2019\"},{\"@type\":\"WebPage\",\"@id\":\"https:\/\/www.ab-consulting.fr\/blog\/securite\/isoiec-27001\/guide-iso-27001-a-2-z#webpage\",\"url\":\"https:\/\/www.ab-consulting.fr\/blog\/securite\/isoiec-27001\/guide-iso-27001-a-2-z\",\"name\":\"Guide ISO 27001 : de A jusqu'\\u00e0 Z - Blog de la Transformation Digitale\",\"isPartOf\":{\"@id\":\"http:\/\/www.ab-consulting.fr\/blog\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\/\/www.ab-consulting.fr\/blog\/securite\/isoiec-27001\/guide-iso-27001-a-2-z#primaryimage\"},\"datePublished\":\"2019-04-29T08:30:27+00:00\",\"dateModified\":\"2019-04-30T12:43:21+00:00\",\"description\":\"Le certification d'un SMSI \\u00e0 la norme ISO 27001 est un enjeu strat\\u00e9gique pour les organisations. D\\u00e9couvrez les \\u00e9l\\u00e9ments cl\\u00e9s dans ce guide de A jusqu'\\u00e0 Z.\",\"breadcrumb\":{\"@id\":\"https:\/\/www.ab-consulting.fr\/blog\/securite\/isoiec-27001\/guide-iso-27001-a-2-z#breadcrumb\"},\"inLanguage\":\"fr-FR\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/www.ab-consulting.fr\/blog\/securite\/isoiec-27001\/guide-iso-27001-a-2-z\"]}]},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/www.ab-consulting.fr\/blog\/securite\/isoiec-27001\/guide-iso-27001-a-2-z#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Accueil\",\"item\":\"http:\/\/www.ab-consulting.fr\/blog\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"S\\u00e9curit\\u00e9\",\"item\":\"http:\/\/www.ab-consulting.fr\/blog\/category\/securite\"},{\"@type\":\"ListItem\",\"position\":3,\"name\":\"ISO\/IEC 27001\",\"item\":\"https:\/\/www.ab-consulting.fr\/blog\/category\/securite\/isoiec-27001\"},{\"@type\":\"ListItem\",\"position\":4,\"name\":\"Guide ISO 27001 : de A jusqu&rsquo;\\u00e0 Z\"}]},{\"@type\":\"Article\",\"@id\":\"https:\/\/www.ab-consulting.fr\/blog\/securite\/isoiec-27001\/guide-iso-27001-a-2-z#article\",\"isPartOf\":{\"@id\":\"https:\/\/www.ab-consulting.fr\/blog\/securite\/isoiec-27001\/guide-iso-27001-a-2-z#webpage\"},\"author\":{\"@id\":\"http:\/\/www.ab-consulting.fr\/blog\/#\/schema\/person\/56962e20fa3aaac4e03764204c57b25c\"},\"headline\":\"Guide ISO 27001 : de A jusqu&rsquo;\\u00e0 Z\",\"datePublished\":\"2019-04-29T08:30:27+00:00\",\"dateModified\":\"2019-04-30T12:43:21+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\/\/www.ab-consulting.fr\/blog\/securite\/isoiec-27001\/guide-iso-27001-a-2-z#webpage\"},\"wordCount\":4674,\"commentCount\":6,\"publisher\":{\"@id\":\"http:\/\/www.ab-consulting.fr\/blog\/#organization\"},\"image\":{\"@id\":\"https:\/\/www.ab-consulting.fr\/blog\/securite\/isoiec-27001\/guide-iso-27001-a-2-z#primaryimage\"},\"thumbnailUrl\":\"https:\/\/i0.wp.com\/www.ab-consulting.fr\/blog\/wp-content\/uploads\/2019\/04\/iso-27001-A-Z-blog.jpg?fit=1199%2C786\",\"keywords\":[\"ISO27001\",\"s\\u00e9curit\\u00e9 de l'information\",\"s\\u00e9curit\\u00e9 du SI\",\"SMSI\",\"syst\\u00e8me de gestion\",\"syst\\u00e8me de management\"],\"articleSection\":[\"ISO\/IEC 27001\",\"S\\u00e9curit\\u00e9\"],\"inLanguage\":\"fr-FR\",\"potentialAction\":[{\"@type\":\"CommentAction\",\"name\":\"Comment\",\"target\":[\"https:\/\/www.ab-consulting.fr\/blog\/securite\/isoiec-27001\/guide-iso-27001-a-2-z#respond\"]}]},{\"@type\":\"Person\",\"@id\":\"http:\/\/www.ab-consulting.fr\/blog\/#\/schema\/person\/56962e20fa3aaac4e03764204c57b25c\",\"name\":\"Alain Bonneaud\",\"image\":{\"@type\":\"ImageObject\",\"@id\":\"http:\/\/www.ab-consulting.fr\/blog\/#personlogo\",\"inLanguage\":\"fr-FR\",\"url\":\"http:\/\/0.gravatar.com\/avatar\/6d901ed6d3a81ad26a0335a7dae96b4f?s=96&d=mm&r=g\",\"contentUrl\":\"http:\/\/0.gravatar.com\/avatar\/6d901ed6d3a81ad26a0335a7dae96b4f?s=96&d=mm&r=g\",\"caption\":\"Alain Bonneaud\"},\"sameAs\":[\"http:\/\/www.ab-consulting.fr\",\"https:\/\/twitter.com\/abonneaud\"],\"url\":\"http:\/\/www.ab-consulting.fr\/blog\/author\/abonneaud\"}]}<\/script>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"Guide ISO 27001 : de A jusqu'\u00e0 Z - Blog de la Transformation Digitale","description":"Le certification d'un SMSI \u00e0 la norme ISO 27001 est un enjeu strat\u00e9gique pour les organisations. D\u00e9couvrez les \u00e9l\u00e9ments cl\u00e9s dans ce guide de A jusqu'\u00e0 Z.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/www.ab-consulting.fr\/blog\/securite\/isoiec-27001\/guide-iso-27001-a-2-z","og_locale":"fr_FR","og_type":"article","og_title":"Guide ISO 27001 : de A jusqu'\u00e0 Z","og_description":"Le certification d'un SMSI \u00e0 la norme ISO 27001 est un enjeu strat\u00e9gique pour les organisations. D\u00e9couvrez les \u00e9l\u00e9ments cl\u00e9s dans ce guide de A jusqu'\u00e0 Z.","og_url":"https:\/\/www.ab-consulting.fr\/blog\/securite\/isoiec-27001\/guide-iso-27001-a-2-z","og_site_name":"Blog de la Transformation Digitale","article_publisher":"https:\/\/www.facebook.com\/abconsultingci\/","article_published_time":"2019-04-29T08:30:27+00:00","article_modified_time":"2019-04-30T12:43:21+00:00","og_image":[{"width":1199,"height":786,"url":"https:\/\/i0.wp.com\/www.ab-consulting.fr\/blog\/wp-content\/uploads\/2019\/04\/iso-27001-A-Z-blog.jpg?fit=1199%2C786&ssl=1","type":"image\/jpeg"}],"twitter_card":"summary_large_image","twitter_creator":"@abonneaud","twitter_site":"@abonneaud","twitter_misc":{"\u00c9crit par":"Alain Bonneaud","Dur\u00e9e de lecture est.":"23 minutes"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Organization","@id":"http:\/\/www.ab-consulting.fr\/blog\/#organization","name":"2AB & Associates","url":"http:\/\/www.ab-consulting.fr\/blog\/","sameAs":["https:\/\/www.facebook.com\/abconsultingci\/","https:\/\/www.linkedin.com\/in\/alainbonneaud\/","https:\/\/twitter.com\/abonneaud"],"logo":{"@type":"ImageObject","@id":"http:\/\/www.ab-consulting.fr\/blog\/#logo","inLanguage":"fr-FR","url":"https:\/\/i2.wp.com\/www.ab-consulting.fr\/blog\/wp-content\/uploads\/2015\/04\/AB-Consulting-logo-h-vs.gif?fit=540%2C107","contentUrl":"https:\/\/i2.wp.com\/www.ab-consulting.fr\/blog\/wp-content\/uploads\/2015\/04\/AB-Consulting-logo-h-vs.gif?fit=540%2C107","width":540,"height":107,"caption":"2AB & Associates"},"image":{"@id":"http:\/\/www.ab-consulting.fr\/blog\/#logo"}},{"@type":"WebSite","@id":"http:\/\/www.ab-consulting.fr\/blog\/#website","url":"http:\/\/www.ab-consulting.fr\/blog\/","name":"Blog de la Transformation Digitale","description":"COBIT\u00ae, VeriSM, ITIL\u00ae, RESILIA, ISO 27001, ISO 20000","publisher":{"@id":"http:\/\/www.ab-consulting.fr\/blog\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"http:\/\/www.ab-consulting.fr\/blog\/?s={search_term_string}"},"query-input":"required name=search_term_string"}],"inLanguage":"fr-FR"},{"@type":"ImageObject","@id":"https:\/\/www.ab-consulting.fr\/blog\/securite\/isoiec-27001\/guide-iso-27001-a-2-z#primaryimage","inLanguage":"fr-FR","url":"https:\/\/i0.wp.com\/www.ab-consulting.fr\/blog\/wp-content\/uploads\/2019\/04\/iso-27001-A-Z-blog.jpg?fit=1199%2C786","contentUrl":"https:\/\/i0.wp.com\/www.ab-consulting.fr\/blog\/wp-content\/uploads\/2019\/04\/iso-27001-A-Z-blog.jpg?fit=1199%2C786","width":1199,"height":786,"caption":"Cr\u00e9dit \u00a9 rawpixel.com 2019"},{"@type":"WebPage","@id":"https:\/\/www.ab-consulting.fr\/blog\/securite\/isoiec-27001\/guide-iso-27001-a-2-z#webpage","url":"https:\/\/www.ab-consulting.fr\/blog\/securite\/isoiec-27001\/guide-iso-27001-a-2-z","name":"Guide ISO 27001 : de A jusqu'\u00e0 Z - Blog de la Transformation Digitale","isPartOf":{"@id":"http:\/\/www.ab-consulting.fr\/blog\/#website"},"primaryImageOfPage":{"@id":"https:\/\/www.ab-consulting.fr\/blog\/securite\/isoiec-27001\/guide-iso-27001-a-2-z#primaryimage"},"datePublished":"2019-04-29T08:30:27+00:00","dateModified":"2019-04-30T12:43:21+00:00","description":"Le certification d'un SMSI \u00e0 la norme ISO 27001 est un enjeu strat\u00e9gique pour les organisations. D\u00e9couvrez les \u00e9l\u00e9ments cl\u00e9s dans ce guide de A jusqu'\u00e0 Z.","breadcrumb":{"@id":"https:\/\/www.ab-consulting.fr\/blog\/securite\/isoiec-27001\/guide-iso-27001-a-2-z#breadcrumb"},"inLanguage":"fr-FR","potentialAction":[{"@type":"ReadAction","target":["https:\/\/www.ab-consulting.fr\/blog\/securite\/isoiec-27001\/guide-iso-27001-a-2-z"]}]},{"@type":"BreadcrumbList","@id":"https:\/\/www.ab-consulting.fr\/blog\/securite\/isoiec-27001\/guide-iso-27001-a-2-z#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Accueil","item":"http:\/\/www.ab-consulting.fr\/blog"},{"@type":"ListItem","position":2,"name":"S\u00e9curit\u00e9","item":"http:\/\/www.ab-consulting.fr\/blog\/category\/securite"},{"@type":"ListItem","position":3,"name":"ISO\/IEC 27001","item":"https:\/\/www.ab-consulting.fr\/blog\/category\/securite\/isoiec-27001"},{"@type":"ListItem","position":4,"name":"Guide ISO 27001 : de A jusqu&rsquo;\u00e0 Z"}]},{"@type":"Article","@id":"https:\/\/www.ab-consulting.fr\/blog\/securite\/isoiec-27001\/guide-iso-27001-a-2-z#article","isPartOf":{"@id":"https:\/\/www.ab-consulting.fr\/blog\/securite\/isoiec-27001\/guide-iso-27001-a-2-z#webpage"},"author":{"@id":"http:\/\/www.ab-consulting.fr\/blog\/#\/schema\/person\/56962e20fa3aaac4e03764204c57b25c"},"headline":"Guide ISO 27001 : de A jusqu&rsquo;\u00e0 Z","datePublished":"2019-04-29T08:30:27+00:00","dateModified":"2019-04-30T12:43:21+00:00","mainEntityOfPage":{"@id":"https:\/\/www.ab-consulting.fr\/blog\/securite\/isoiec-27001\/guide-iso-27001-a-2-z#webpage"},"wordCount":4674,"commentCount":6,"publisher":{"@id":"http:\/\/www.ab-consulting.fr\/blog\/#organization"},"image":{"@id":"https:\/\/www.ab-consulting.fr\/blog\/securite\/isoiec-27001\/guide-iso-27001-a-2-z#primaryimage"},"thumbnailUrl":"https:\/\/i0.wp.com\/www.ab-consulting.fr\/blog\/wp-content\/uploads\/2019\/04\/iso-27001-A-Z-blog.jpg?fit=1199%2C786","keywords":["ISO27001","s\u00e9curit\u00e9 de l'information","s\u00e9curit\u00e9 du SI","SMSI","syst\u00e8me de gestion","syst\u00e8me de management"],"articleSection":["ISO\/IEC 27001","S\u00e9curit\u00e9"],"inLanguage":"fr-FR","potentialAction":[{"@type":"CommentAction","name":"Comment","target":["https:\/\/www.ab-consulting.fr\/blog\/securite\/isoiec-27001\/guide-iso-27001-a-2-z#respond"]}]},{"@type":"Person","@id":"http:\/\/www.ab-consulting.fr\/blog\/#\/schema\/person\/56962e20fa3aaac4e03764204c57b25c","name":"Alain Bonneaud","image":{"@type":"ImageObject","@id":"http:\/\/www.ab-consulting.fr\/blog\/#personlogo","inLanguage":"fr-FR","url":"http:\/\/0.gravatar.com\/avatar\/6d901ed6d3a81ad26a0335a7dae96b4f?s=96&d=mm&r=g","contentUrl":"http:\/\/0.gravatar.com\/avatar\/6d901ed6d3a81ad26a0335a7dae96b4f?s=96&d=mm&r=g","caption":"Alain Bonneaud"},"sameAs":["http:\/\/www.ab-consulting.fr","https:\/\/twitter.com\/abonneaud"],"url":"http:\/\/www.ab-consulting.fr\/blog\/author\/abonneaud"}]}},"coauthors":[],"tax_additional":{"categories":{"linked":["<a href=\"http:\/\/www.ab-consulting.fr\/blog\/category\/securite\/isoiec-27001\" class=\"advgb-post-tax-term\">ISO\/IEC 27001<\/a>","<a href=\"http:\/\/www.ab-consulting.fr\/blog\/category\/securite\" class=\"advgb-post-tax-term\">S\u00e9curit\u00e9<\/a>"],"unlinked":["<span class=\"advgb-post-tax-term\">ISO\/IEC 27001<\/span>","<span class=\"advgb-post-tax-term\">S\u00e9curit\u00e9<\/span>"]},"tags":{"linked":["<a href=\"http:\/\/www.ab-consulting.fr\/blog\/category\/securite\" class=\"advgb-post-tax-term\">ISO27001<\/a>","<a href=\"http:\/\/www.ab-consulting.fr\/blog\/category\/securite\" class=\"advgb-post-tax-term\">s\u00e9curit\u00e9 de l&#039;information<\/a>","<a href=\"http:\/\/www.ab-consulting.fr\/blog\/category\/securite\" class=\"advgb-post-tax-term\">s\u00e9curit\u00e9 du SI<\/a>","<a href=\"http:\/\/www.ab-consulting.fr\/blog\/category\/securite\" class=\"advgb-post-tax-term\">SMSI<\/a>","<a href=\"http:\/\/www.ab-consulting.fr\/blog\/category\/securite\" class=\"advgb-post-tax-term\">syst\u00e8me de gestion<\/a>","<a href=\"http:\/\/www.ab-consulting.fr\/blog\/category\/securite\" class=\"advgb-post-tax-term\">syst\u00e8me de management<\/a>"],"unlinked":["<span class=\"advgb-post-tax-term\">ISO27001<\/span>","<span class=\"advgb-post-tax-term\">s\u00e9curit\u00e9 de l&#039;information<\/span>","<span class=\"advgb-post-tax-term\">s\u00e9curit\u00e9 du SI<\/span>","<span class=\"advgb-post-tax-term\">SMSI<\/span>","<span class=\"advgb-post-tax-term\">syst\u00e8me de gestion<\/span>","<span class=\"advgb-post-tax-term\">syst\u00e8me de management<\/span>"]}},"comment_count":"6","relative_dates":{"created":"Posted 7 ans ago","modified":"Updated 7 ans ago"},"absolute_dates":{"created":"Posted on 29 avril 2019","modified":"Updated on 30 avril 2019"},"absolute_dates_time":{"created":"Posted on 29 avril 2019 10 h 30 min","modified":"Updated on 30 avril 2019 14 h 43 min"},"featured_img_caption":"Cr\u00e9dit \u00a9 rawpixel.com 2019","jetpack_featured_media_url":"https:\/\/i0.wp.com\/www.ab-consulting.fr\/blog\/wp-content\/uploads\/2019\/04\/iso-27001-A-Z-blog.jpg?fit=1199%2C786","jetpack_sharing_enabled":true,"jetpack_shortlink":"https:\/\/wp.me\/p3OrbX-2kQ","jetpack_likes_enabled":true,"jetpack-related-posts":[{"id":6879,"url":"http:\/\/www.ab-consulting.fr\/blog\/securite\/isoiec-27001\/smsi-iso-27001-vs-rgpd","url_meta":{"origin":8980,"position":0},"title":"SMSI certifi\u00e9 ISO 27001 vs conformit\u00e9  RGPD","date":"2 d\u00e9cembre 2018","format":false,"excerpt":"Le RGPD et la norme ISO 27001 ont beaucoup en commun. Tous deux visent \u00e0 renforcer la s\u00e9curit\u00e9 des donn\u00e9es et r\u00e9duire le risque de failles de s\u00e9curit\u00e9. De m\u00eame, tous deux exigent des entreprises qu\u2019elles assurent la confidentialit\u00e9, l\u2019int\u00e9grit\u00e9 et la disponibilit\u00e9 des donn\u00e9es sensibles. ISO 27001 est une\u2026","rel":"","context":"Dans &quot;GDPR&quot;","img":{"alt_text":"ISO 27001 : un SMSI certifi\u00e9s est-il la solution pour la conformit\u00e9 RGPD?","src":"https:\/\/i0.wp.com\/www.ab-consulting.fr\/blog\/wp-content\/uploads\/2018\/11\/ISO-27001-vs-RGPD-blog.jpg?fit=1200%2C309&resize=350%2C200","width":350,"height":200},"classes":[]},{"id":462,"url":"http:\/\/www.ab-consulting.fr\/blog\/it-sm\/iso-20000\/cyber-securite-recherche-professionnels","url_meta":{"origin":8980,"position":1},"title":"Cyber-s\u00e9curit\u00e9: une demande forte pour un profil rare","date":"19 septembre 2015","format":false,"excerpt":"\u00a0 L\u2019actuelle p\u00e9nurie de professionnels qualifi\u00e9s en\u00a0cyber-s\u00e9curit\u00e9 continue de constituer un probl\u00e8me majeur pour\u00a0toutes les industries aux Etats-Unis, en Europe, mais aussi dans le reste du monde. James Trainor, directeur adjoint par int\u00e9rim de la Division Cyber du FBI, a r\u00e9cemment d\u00e9clar\u00e9 que l'industrie de la cyber-s\u00e9curit\u00e9 doit absolument \"doubler\u2026","rel":"","context":"Dans &quot;COBIT&quot;","img":{"alt_text":"professionnel en cyber-s\u00c3\u00a9curit\u00c3\u00a9","src":"https:\/\/i0.wp.com\/www.ab-consulting.fr\/blog\/wp-content\/uploads\/2015\/09\/professionnel-securite-300x226.jpeg?resize=350%2C200","width":350,"height":200},"classes":[]},{"id":964,"url":"http:\/\/www.ab-consulting.fr\/blog\/securite\/10-indices-hameconnage","url_meta":{"origin":8980,"position":2},"title":"10 trucs pour reconna\u00eetre un mail d&rsquo;hame\u00e7onnage","date":"17 octobre 2015","format":false,"excerpt":"Malheureusement, il n'y a pas qu'une seule technique qui fonctionnerait dans toutes les situations. Il est, par cons\u00e9quent, difficile de d\u00e9tecter un email d'hame\u00e7onnage. Cependant il existe des indices qui permettent d'\u00e9veiller les soup\u00e7ons. Cet article r\u00e9pertorie 10 d'entre eux.","rel":"","context":"Dans &quot;cybers\u00e9curit\u00e9&quot;","img":{"alt_text":"10 indices pour reconna\u00eetre un mail d'hame\u00e7onnage","src":"https:\/\/i0.wp.com\/www.ab-consulting.fr\/blog\/wp-content\/uploads\/2015\/10\/phishing.jpeg?fit=424%2C283&resize=350%2C200","width":350,"height":200},"classes":[]},{"id":665,"url":"http:\/\/www.ab-consulting.fr\/blog\/securite\/cyber-attaque-t-mobile","url_meta":{"origin":8980,"position":3},"title":"Un op\u00e9rateur mobile victime d&rsquo;une cyber-attaque","date":"6 octobre 2015","format":false,"excerpt":"Environ 15 millions de personnes qui se sont abonn\u00e9es dans les trois derni\u00e8res ann\u00e9es aux services sans fil de T-Mobile, quatri\u00e8me op\u00e9rateur de t\u00e9l\u00e9phonie mobile des Etats Unis avec 25 millions d'abonn\u00e9s, ont sans doute\u00a0\u00e9t\u00e9 victimes du vol de leurs informations personnelles suite \u00e0 une cyber-attaque r\u00e9ussie\u00a0contre l\u2019un de ses\u2026","rel":"","context":"Dans &quot;cybers\u00e9curit\u00e9&quot;","img":{"alt_text":"cyber-attaque contre T-Mobile","src":"https:\/\/i0.wp.com\/www.ab-consulting.fr\/blog\/wp-content\/uploads\/2015\/10\/cyber-attaque-T-mobile-300x200.jpeg?resize=350%2C200","width":350,"height":200},"classes":[]},{"id":527,"url":"http:\/\/www.ab-consulting.fr\/blog\/securite\/pare-feu-humain","url_meta":{"origin":8980,"position":4},"title":"Pare-feu humain: votre meilleure protection","date":"28 septembre 2015","format":false,"excerpt":"Suite \u00e0 un r\u00e9cent article publi\u00e9 sur ce\u00a0blog et intitul\u00e9 Cyber-s\u00e9curit\u00e9 \u2013 Ing\u00e9nierie sociale: un risque majeur, je voudrais maintenant prendre un peu de recul et tenter d'explorer ce qui pr\u00e9c\u00e8de g\u00e9n\u00e9ralement une cyber-attaque d'ing\u00e9nierie sociale r\u00e9ussie. Dans le cadre d\u2019une discussion r\u00e9cente, un expert en ing\u00e9nierie sociale m\u2018affirmait avec\u2026","rel":"","context":"Dans &quot;cybers\u00e9curit\u00e9&quot;","img":{"alt_text":"maillon faible humain","src":"https:\/\/i0.wp.com\/www.ab-consulting.fr\/blog\/wp-content\/uploads\/2015\/09\/maillon-faible-300x226.jpeg?resize=350%2C200","width":350,"height":200},"classes":[]},{"id":1682,"url":"http:\/\/www.ab-consulting.fr\/blog\/securite\/gdpr-protection-des-donnees","url_meta":{"origin":8980,"position":5},"title":"GDPR et protection des donn\u00e9es en Afrique","date":"30 octobre 2016","format":false,"excerpt":"Les exigences et les cons\u00e9quences du GDPR La r\u00e8glementation g\u00e9n\u00e9rale sur la protection des donn\u00e9es (GDPR: General Data Protection R\u00e9gulation) est applicable \u00e0 partir du 25 mai 2018. Elle deviendra donc, de fait, une loi applicable dans chacun des pays de la Communaut\u00e9 Europ\u00e9enne \u00e0 cette date. Encore une r\u00e9glementation\u2026","rel":"","context":"Dans &quot;COBIT&quot;","img":{"alt_text":"GDPR - Quels risques pour l'Afrique?","src":"https:\/\/i0.wp.com\/www.ab-consulting.fr\/blog\/wp-content\/uploads\/2016\/10\/GDPR-risques.jpg?fit=425%2C282&resize=350%2C200","width":350,"height":200},"classes":[]}],"amp_enabled":true,"_links":{"self":[{"href":"http:\/\/www.ab-consulting.fr\/blog\/wp-json\/wp\/v2\/posts\/8980"}],"collection":[{"href":"http:\/\/www.ab-consulting.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/www.ab-consulting.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/www.ab-consulting.fr\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"http:\/\/www.ab-consulting.fr\/blog\/wp-json\/wp\/v2\/comments?post=8980"}],"version-history":[{"count":48,"href":"http:\/\/www.ab-consulting.fr\/blog\/wp-json\/wp\/v2\/posts\/8980\/revisions"}],"predecessor-version":[{"id":10429,"href":"http:\/\/www.ab-consulting.fr\/blog\/wp-json\/wp\/v2\/posts\/8980\/revisions\/10429"}],"wp:featuredmedia":[{"embeddable":true,"href":"http:\/\/www.ab-consulting.fr\/blog\/wp-json\/wp\/v2\/media\/8982"}],"wp:attachment":[{"href":"http:\/\/www.ab-consulting.fr\/blog\/wp-json\/wp\/v2\/media?parent=8980"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/www.ab-consulting.fr\/blog\/wp-json\/wp\/v2\/categories?post=8980"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/www.ab-consulting.fr\/blog\/wp-json\/wp\/v2\/tags?post=8980"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}