Flash Tof donne le classement des meilleurs photos exposées sur http://www.mesphotosenligne.com, et reporte l'actualité du site.
dimanche 26 juin 2011
dimanche 20 février 2011
jeudi 17 février 2011
Galerie - Catégorie: Claire (agde) - Image: Claire
Galerie - Catégorie: Claire (agde) - Image: Claire: "– Envoyé à l'aide de la barre d'outils Google"
samedi 12 février 2011
Créer sa boîte sans business plan : une nouvelle méthode débarque en France - Capital.fr
Créer sa boîte sans business plan : une nouvelle méthode débarque en France - Capital.fr: "Créer sa boîte sans business plan : une nouvelle méthode débarque en France
Créer sa boîte sans business plan : une nouvelle méthode débarque en France
Créer sa boîte sans business plan : une nouvelle méthode débarque en France
© REA
L'Agence pour la création d'entreprise (APCE) présente une méthodologie en vogue au Canada pour faciliter la création d'entreprise. Objectif : supprimer l'étape souvent dissuasive du 'business plan'.
Trop complexe, trop fastidieux, trop rigide… Au placard le bon vieux 'business plan'. 'Ce document né dans les années 70 retarde les projets et bride la créativité des entrepreneurs', assure Claude Ananou, enseignant à HEC Montréal et créateur d'une méthode alternative, nommée SynOpp.
Déjà utilisée depuis deux ans au Québec, cette technique a déjà permis à 30.000 porteurs de projet canadiens de se lancer. Dans la même veine, le ' lean start up ' (démarrage agile) se développe, notamment aux Etats-Unis ou en Suisse.
Pas question de théoriser sur un papier le développement hypothétique d'une entreprise ou de mener une étude de marché comme dans un plan d'affaires classique. 'Le travail consiste à dessiner l'ADN du projet', explique Claude Ananou.
Identifier un besoin
Pour bâtir sa méthodologie, ce serial-entrepreneur est parti d'un constat : 'les plus grands succès tels Microsoft, Facebook ou Google ne sont pas nés d'un business plan pré-établi mais d'une intuition'. Dans la méthode SynOpp, tout commence donc par identifier un besoin, puis la solution pour y répondre. Pour réussir, le porteur de projet doit bien sûr analyser le marché, mais surtout, trouver 'un avantage prépondérant' par rapport à la concurrence.
Tester son concept
Pour valider ces hypothèses, la seconde étape consiste à identifier les 'adeptes' – 'ceux qui ont ce besoin de façon exacerbée', précise Claude Ananou - afin de valider son projet en grandeur nature. 'Il faut tester sa formule comme une cellule-souche. Avant de monter un restaurant, par exemple, il s'agit de le valider auprès de vos amis fins gourmets', détaille Claude Ananou. En fonction de l'accueil réservé, le créateur doit alors renoncer ou adapter sa solution.
Analyser sa propre sensibilité
Avant de faire le grand saut, une phase d'introspection s'impose. Elle consiste à mesurer la sensibilité aux pertes du futur entrepreneur. 'Il doit s'interroger : 'qu'est-ce que je suis prêt à perdre sur le plan financier, personnel, réputation, estime de soi ?', recommande Claude Ananou. L'idée est de vérifier que le créateur est lui-même en phase avec son projet, afin de limiter les risques d'échec. Une fois le concept verrouillé, reste le plus délicat : convaincre les banquiers de renoncer au sacro-saint 'business plan'. Plus corsé…
© Capital.fr
– Envoyé à l'aide de la barre d'outils Google"
Créer sa boîte sans business plan : une nouvelle méthode débarque en France
Créer sa boîte sans business plan : une nouvelle méthode débarque en France
© REA
L'Agence pour la création d'entreprise (APCE) présente une méthodologie en vogue au Canada pour faciliter la création d'entreprise. Objectif : supprimer l'étape souvent dissuasive du 'business plan'.
Trop complexe, trop fastidieux, trop rigide… Au placard le bon vieux 'business plan'. 'Ce document né dans les années 70 retarde les projets et bride la créativité des entrepreneurs', assure Claude Ananou, enseignant à HEC Montréal et créateur d'une méthode alternative, nommée SynOpp.
Déjà utilisée depuis deux ans au Québec, cette technique a déjà permis à 30.000 porteurs de projet canadiens de se lancer. Dans la même veine, le ' lean start up ' (démarrage agile) se développe, notamment aux Etats-Unis ou en Suisse.
Pas question de théoriser sur un papier le développement hypothétique d'une entreprise ou de mener une étude de marché comme dans un plan d'affaires classique. 'Le travail consiste à dessiner l'ADN du projet', explique Claude Ananou.
Identifier un besoin
Pour bâtir sa méthodologie, ce serial-entrepreneur est parti d'un constat : 'les plus grands succès tels Microsoft, Facebook ou Google ne sont pas nés d'un business plan pré-établi mais d'une intuition'. Dans la méthode SynOpp, tout commence donc par identifier un besoin, puis la solution pour y répondre. Pour réussir, le porteur de projet doit bien sûr analyser le marché, mais surtout, trouver 'un avantage prépondérant' par rapport à la concurrence.
Tester son concept
Pour valider ces hypothèses, la seconde étape consiste à identifier les 'adeptes' – 'ceux qui ont ce besoin de façon exacerbée', précise Claude Ananou - afin de valider son projet en grandeur nature. 'Il faut tester sa formule comme une cellule-souche. Avant de monter un restaurant, par exemple, il s'agit de le valider auprès de vos amis fins gourmets', détaille Claude Ananou. En fonction de l'accueil réservé, le créateur doit alors renoncer ou adapter sa solution.
Analyser sa propre sensibilité
Avant de faire le grand saut, une phase d'introspection s'impose. Elle consiste à mesurer la sensibilité aux pertes du futur entrepreneur. 'Il doit s'interroger : 'qu'est-ce que je suis prêt à perdre sur le plan financier, personnel, réputation, estime de soi ?', recommande Claude Ananou. L'idée est de vérifier que le créateur est lui-même en phase avec son projet, afin de limiter les risques d'échec. Une fois le concept verrouillé, reste le plus délicat : convaincre les banquiers de renoncer au sacro-saint 'business plan'. Plus corsé…
© Capital.fr
– Envoyé à l'aide de la barre d'outils Google"
ISO/CEI 27001 - Wikipédia
ISO/CEI 27001 - Wikipédia: "ISO/CEI 27001
Un article de Wikipédia, l'encyclopédie libre.
Aller à : Navigation, rechercher
Suite ISO/CEI 27000
ISO/CEI 27000:2009
ISO/CEI 27001:2005
ISO/CEI 27002:2005
ISO/CEI 27003 (en préparation)
ISO/CEI 27004 (en préparation)
ISO/CEI 27005:2008
ISO/CEI 27006:2007
ISO/CEI 27007 (en préparation)
ISO/CEI 27011 (en préparation)
L'ISO/CEI 27001 est une norme internationale de système de gestion de la sécurité de l'information, publiée en octobre 2005 par l'ISO dont le titre est Technologies de l'information - Techniques de sécurité - Systèmes de gestion de sécurité de l'information - Exigences.
Sommaire
[masquer]
* 1 Objectifs
* 2 La structure de la norme
* 3 Processus de certification
* 4 Avantages
* 5 Limites
* 6 Autour de la norme
* 7 Références
* 8 Voir aussi
* 9 Liens externes
Objectifs[modifier]
La norme ISO 27001 publiée en octobre 2005 succède à la norme BS 7799-2. Elle s’adresse à tous les types d’organismes (entreprises commerciales, ONG, administrations, …). La norme ISO/CEI 27001 décrit les exigences pour la mise en place d'un Système de Management de la Sécurité de l'Information (SMSI). Le SMSI est destiné à choisir les mesures de sécurité afin d'assurer la protection des biens sensibles d'une entreprise sur un périmètre défini. C'est le modèle de qualité PDCA (Plan-Do-Check-Act) qui est recommandé pour établir un SMSI afin d'assurer une amélioration continue de la sécurité du système d'information.
La norme dicte également les exigences en matières de mesures de sécurité propres à chaque organisme, c’est-à-dire que la mesure n’est pas la même d’un organisme à l’autre. Les mesures doivent être adéquates et proportionnées à l’organisme pour ne pas être ni trop laxistes ni trop sévères. La norme ISO 27001 intègre aussi le fait que la mise en place d’un SMSI et d’outils de mesures de sécurité aient pour but de garantir la protection des actifs informationnels. L’objectif est de protéger les informations de toute perte ou intrusion. Cela apportera la confiance des parties prenantes.
L'ISO/CEI 27001 définit l'ensemble des contrôles à effectuer pour s'assurer de la pertinence du SMSI, à l'exploiter et à le faire évoluer. Plus précisément, l'annexe A de la norme est composée des 133 mesures de sécurité de la norme ISO/CEI 27002 (anciennement ISO/CEI 17799), classées dans 11 sections. Comme pour les normes ISO 9001 et ISO 14001, il est possible de se faire certifier ISO 27001.
Un point a disparu par rapport à la norme BS 7799-2. L’ISO 27001 n’incorpore plus l’amélioration de la compétitivité, des cash flow, de la profitabilité, le respect de la réglementation et l’image de marque. En effet, la norme BS 7799-2 est issue d’un organisme britannique où il n’est pas incorrect d’afficher ouvertement la volonté de gagner de l’argent.
La structure de la norme[modifier]
Les SMSI fonctionnent selon un modèle cyclique en 4 étapes appelé « PDCA » c’est-à-dire Plan, Do, Check, Act.
1. Phase Plan : consiste à planifier les actions que l’entreprise va entreprendre en termes de sécurité
2. Phase Do : l’entreprise réalise ce qu’elle a planifié dans ce domaine
3. Phase Check : l’entreprise vérifie qu’il n’existe pas d’écart entre ce qu’elle a dit et ce qu’elle a fait
4. Phase Act : consiste à entreprendre des actions correctives pour les écarts qui ont été constatés précédemment
La norme 27001 comporte 9 chapitres dont 5 (les chapitres 4 à 8) doivent obligatoirement être respectés pour répondre à cette norme et obtenir une certification. Le chapitre 4 est au cœur de la norme et est divisé en plusieurs parties correspondant aux 4 phases du PDCA. Il détermine la mise en place du SMSI, son implémentation et son exploitation, le contrôle du SMSI et son amélioration. Le chapitre 5 définit les engagements et responsabilités de la direction, le chapitre 6 développe les questions d’audits internes du SMSI tandis que les 7ème et 8ème précisent respectivement le réexamen du SMSI par la direction et son amélioration.
Phase Plan : fixe les objectifs du SMSI La phase Plan du SMSI comprend 4 étapes :
* Etape 1 : Définir la politique et le périmètre du SMSI
Périmètre : domaine d’application du SMSI. Son choix est libre mais doit être bien défini car il doit inclure toutes les activités pour lesquelles les parties prenantes exigent de la confiance. Politique : niveau de sécurité (intégrité, confidentialité, disponibilité de l’information) qui sera pratiqué au sein de l’entreprise. La norme n’impose pas de niveau minimum de sécurité à atteindre dans le SMSI.
Le choix du périmètre et de la politique étant libre, ces deux éléments sont des « leviers de souveraineté » pour l’entreprise. Ainsi une entreprise peut être certifiée ISO 27001 tout en définissant un périmètre très réduit et une politique de sécurité peu stricte et sans répondre aux exigences de ses clients en termes de sécurité.
* Etape 2 : Identifier et évaluer les risques liés à la sécurité et élaborer la politique de sécurité
La norme ISO 27001 ne donne pas de directives sur la méthode d’appréciation des risques à adopter. Les entreprises peuvent donc en inventer une en veillant à bien respecter le cahier des charges ou en choisir une parmi les plus courantes notamment la méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) mise en place en France par l'ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information). Le cahier des charges relatif à l’appréciation des risques se développe en 7 points :
1. Identifier les actifs
2. Identifier les personnes responsables
3. Identifier les vulnérabilités
4. Identifier les menaces
5. Identifier les impacts
6. Evaluer la vraisemblance
7. Estimer les niveaux de risque
* Etape 3 : Traiter le risque et identifier le risque résiduel par un plan de gestion
Il existe 4 traitements possibles de chacun des risques identifiés :
1. L’acceptation : ne mettre en place aucune mesure de sécurité supplémentaire car les conséquences de cette attaque sont faibles (exemple : vol d’un ordinateur portable ne comportant pas de données primordiales pour l’entreprise, piratage de la vitrine web…). Cette solution ne doit être que ponctuelle pour éviter la perte de confiance des parties prenantes.
2. L’évitement : politique mise en place si l’incident est jugé inacceptable
3. Le transfert : lorsque le risque ne peut pas être évité et qu’elle ne peut pas mettre en place les mesures de sécurité nécessaires elle transfère le risque par le biais de la souscription d’une assurance ou de l’appel à la sous-traitance.
4. La réduction : le rendre à un niveau acceptable par la mise en œuvre de mesures techniques et organisationnelles, solution la plus utilisée.
Lorsque la décision de traitement du risque est prise l’entreprise doit identifier les risques résiduels c’est-à-dire ceux qui persistent après la mise en place des mesures de sécurité. S'ils sont jugés inacceptables, il faut définir des mesures de sécurité supplémentaires.
* Etape 4 : Sélection des mesures de sécurité à mettre en place
La norme ISO 27001 dispose d’une annexe A qui propose 133 mesures de sécurité classées en 11 catégories (politique de sécurité, sécurité du personnel, contrôle des accès…) et numérotées sur 3 niveaux. Toutefois cette annexe n’est qu’une liste qui ne donne aucun conseil de mise en œuvre au sein de l’entreprise.
Phase Do : met en place les objectifs fixés Elle se découpe en plusieurs étapes :
1. Etablir un plan de traitement des risques
2. Déployer les mesures de sécurité
3. Générer des indicateurs
* De performance pour savoir si les mesures de sécurité sont efficaces
* De conformité qui permettent de savoir si le SMSI est conforme à ses spécifications
4. Former et sensibiliser le personnel
Phase Check : consiste à gérer le SMSI au quotidien et à détecter les incidents en permanence pour y réagir rapidement 3 outils peuvent être mis en place pour détecter ces incidents :
1. Les audits internes qui vérifient la conformité et l’efficacité du système de management. Ces audits sont ponctuels et planifiés à l’avance.
2. Le contrôle interne qui consiste à s’assurer en permanence que les processus fonctionnent normalement.
3. Les revues (ou réexamens) qui garantissent l’adéquation du SMSI avec son environnement.
Phase Act : mettre en place des actions correctives, préventives ou d’amélioration pour les incidents et écarts constatés lors de la phase Check
* Actions correctives : agir sur les effets pour corriger les écarts puis sur les causes pour éviter que les incidents ne se reproduisent
* Actions préventives : agir sur les causes avant que l’incident ne se produise
* Actions d’amélioration : améliorer la performance d’un processus du SMSI.
Processus de certification[modifier]
La certification n’est pas un but en soi, c’est-à-dire que l’organisme qui décide de mettre en place un SMSI en suivant les exigences de l’ISO 27001, n’a pas pour obligation de se faire certifier. Cependant, c’est l’aboutissement logique de l’implémentation d’un SMSI puisque les parties prenantes n’ont confiance qu’en un système certifié par un organisme indépendant.
L’obtention du certificat ISO 27001 passe par trois audits : l’audit initial, l’audit de surveillance et l’audit de renouvellement.
L’audit initial porte sur l’ensemble du SMSI. Sa durée est déterminée dans l’annexe C de la norme ISO 27006. L’auditeur ne donne pas la certification, il donne juste un avis qui sera étudié par un comité de validation technique, puis par un comité de certification. Ce n’est qu’après cela qu’elle obtient le certificat pour une durée de trois ans. Dans le cas contraire, il y a un audit complémentaire dans le délai maximum de trois mois. L’organisme devra durant ce délai corriger les problèmes décelés lors de l’audit initial pour obtenir le certificat.
L’audit de surveillance a lieu pendant la période de validité du certificat (3 ans) afin de s’assurer que le SMSI est toujours valable. Il y en a un par an. L’audit porte sur les non-conformités relevées lors de l’audit initial ainsi que sur d’autres points :
* Le traitement des plaintes
* L’état d’avancement des activités planifiées
* L’utilisation de la marque de l’organisation certificatrice
* La viabilité du SMSI
* Différentes clauses choisies par l’auditeur.
Si l’auditeur relève des non-conformités, le certificat sera suspendu voire annulé. L’entreprise doit donc être perpétuellement mobilisée.
L’audit de renouvellement se déroule à l’échéance du certificat. Il porte sur les non-conformités du dernier audit de surveillance ainsi que sur la revue des rapports des audits de surveillance précédents et la revue des performances du SMSI sur la période.
Avantages[modifier]
* Une description pratique et détaillée de la mise en œuvre des objectifs et mesures de sécurité.
* Un audit régulier qui permet le suivi entre les risques initialement identifiés, les mesures prises et les risques nouveaux ou mis à jour, afin de mesurer l’efficacité des mesures prises.
* Sécurité :
1. Processus d'amélioration continue de la sécurité, donc le niveau de sécurité a plutôt tendance à croître.
2. Meilleure maîtrise des risques
3. Diminution de l'usage des mesures de sécurité qui ne servent pas.
* Une certification qui améliore la confiance avec les parties prenantes.
* Homogénéisation : c’est un référentiel international. Cela facilite les échanges, surtout pour les entreprises qui possèdent plusieurs sites.
* Processus simple et peu coûteux : réduction des coûts grâce à la diminution d'usage de mesures de sécurité inutiles et à la mutualisation des audits (baisse du nombre et de la durée des audits quand on obtient la certification).
* La norme fournit des indicateurs clairs et fiables ainsi que des éléments de pilotage financier aux directions générales.
* La norme permet d'identifier plus efficacement les risques et les coûts associés.
Limites[modifier]
* Faible expérience des organismes d'accréditation par rapport aux spécificités des enjeux en sécurité des systèmes d'information.
* Relations commerciales prépondérantes (achat de certification, de conseil, de produits, de services), ce qui conduit à une dévalorisation du processus d’accréditation.
* Durée des audits courte.
* Mélange des genres : les sociétés de conseil sont également des organismes de certification et vice-versa.
* La définition et la mise en place d'une méthodologie sont des tâches lourdes.
* Les normes informatiques ne réduisent pas le risque en matière de piratage et de vols d'informations confidentielles. Les intervenants effectuant du piratage ne respectent pas les règles établies et cherchent systématiquement à les contourner (exemple: Affaire Hervé Falciani). Le normes sont inopérentes dans ce domaine.
Autour de la norme[modifier]
Il existe toute une série de normes associée à l'ISO 27001, qui aide à l'implémentation d'un SMSI.
ISO/CEI 27001 est issue du standard britannique BS7799:2002 - Part 2.
Références[modifier]
* ISO/CEI 17799:2005
* BS 7799-2:2002
* Management de la sécurité de l'information : implémentation ISO 27001 : mise en place d'un SMSI et audit de certification, Alexandre Fernandez-Toro, Paris, Eyrolles, 2007
Voir aussi[modifier]
– Envoyé à l'aide de la barre d'outils Google"
Un article de Wikipédia, l'encyclopédie libre.
Aller à : Navigation, rechercher
Suite ISO/CEI 27000
ISO/CEI 27000:2009
ISO/CEI 27001:2005
ISO/CEI 27002:2005
ISO/CEI 27003 (en préparation)
ISO/CEI 27004 (en préparation)
ISO/CEI 27005:2008
ISO/CEI 27006:2007
ISO/CEI 27007 (en préparation)
ISO/CEI 27011 (en préparation)
L'ISO/CEI 27001 est une norme internationale de système de gestion de la sécurité de l'information, publiée en octobre 2005 par l'ISO dont le titre est Technologies de l'information - Techniques de sécurité - Systèmes de gestion de sécurité de l'information - Exigences.
Sommaire
[masquer]
* 1 Objectifs
* 2 La structure de la norme
* 3 Processus de certification
* 4 Avantages
* 5 Limites
* 6 Autour de la norme
* 7 Références
* 8 Voir aussi
* 9 Liens externes
Objectifs[modifier]
La norme ISO 27001 publiée en octobre 2005 succède à la norme BS 7799-2. Elle s’adresse à tous les types d’organismes (entreprises commerciales, ONG, administrations, …). La norme ISO/CEI 27001 décrit les exigences pour la mise en place d'un Système de Management de la Sécurité de l'Information (SMSI). Le SMSI est destiné à choisir les mesures de sécurité afin d'assurer la protection des biens sensibles d'une entreprise sur un périmètre défini. C'est le modèle de qualité PDCA (Plan-Do-Check-Act) qui est recommandé pour établir un SMSI afin d'assurer une amélioration continue de la sécurité du système d'information.
La norme dicte également les exigences en matières de mesures de sécurité propres à chaque organisme, c’est-à-dire que la mesure n’est pas la même d’un organisme à l’autre. Les mesures doivent être adéquates et proportionnées à l’organisme pour ne pas être ni trop laxistes ni trop sévères. La norme ISO 27001 intègre aussi le fait que la mise en place d’un SMSI et d’outils de mesures de sécurité aient pour but de garantir la protection des actifs informationnels. L’objectif est de protéger les informations de toute perte ou intrusion. Cela apportera la confiance des parties prenantes.
L'ISO/CEI 27001 définit l'ensemble des contrôles à effectuer pour s'assurer de la pertinence du SMSI, à l'exploiter et à le faire évoluer. Plus précisément, l'annexe A de la norme est composée des 133 mesures de sécurité de la norme ISO/CEI 27002 (anciennement ISO/CEI 17799), classées dans 11 sections. Comme pour les normes ISO 9001 et ISO 14001, il est possible de se faire certifier ISO 27001.
Un point a disparu par rapport à la norme BS 7799-2. L’ISO 27001 n’incorpore plus l’amélioration de la compétitivité, des cash flow, de la profitabilité, le respect de la réglementation et l’image de marque. En effet, la norme BS 7799-2 est issue d’un organisme britannique où il n’est pas incorrect d’afficher ouvertement la volonté de gagner de l’argent.
La structure de la norme[modifier]
Les SMSI fonctionnent selon un modèle cyclique en 4 étapes appelé « PDCA » c’est-à-dire Plan, Do, Check, Act.
1. Phase Plan : consiste à planifier les actions que l’entreprise va entreprendre en termes de sécurité
2. Phase Do : l’entreprise réalise ce qu’elle a planifié dans ce domaine
3. Phase Check : l’entreprise vérifie qu’il n’existe pas d’écart entre ce qu’elle a dit et ce qu’elle a fait
4. Phase Act : consiste à entreprendre des actions correctives pour les écarts qui ont été constatés précédemment
La norme 27001 comporte 9 chapitres dont 5 (les chapitres 4 à 8) doivent obligatoirement être respectés pour répondre à cette norme et obtenir une certification. Le chapitre 4 est au cœur de la norme et est divisé en plusieurs parties correspondant aux 4 phases du PDCA. Il détermine la mise en place du SMSI, son implémentation et son exploitation, le contrôle du SMSI et son amélioration. Le chapitre 5 définit les engagements et responsabilités de la direction, le chapitre 6 développe les questions d’audits internes du SMSI tandis que les 7ème et 8ème précisent respectivement le réexamen du SMSI par la direction et son amélioration.
Phase Plan : fixe les objectifs du SMSI La phase Plan du SMSI comprend 4 étapes :
* Etape 1 : Définir la politique et le périmètre du SMSI
Périmètre : domaine d’application du SMSI. Son choix est libre mais doit être bien défini car il doit inclure toutes les activités pour lesquelles les parties prenantes exigent de la confiance. Politique : niveau de sécurité (intégrité, confidentialité, disponibilité de l’information) qui sera pratiqué au sein de l’entreprise. La norme n’impose pas de niveau minimum de sécurité à atteindre dans le SMSI.
Le choix du périmètre et de la politique étant libre, ces deux éléments sont des « leviers de souveraineté » pour l’entreprise. Ainsi une entreprise peut être certifiée ISO 27001 tout en définissant un périmètre très réduit et une politique de sécurité peu stricte et sans répondre aux exigences de ses clients en termes de sécurité.
* Etape 2 : Identifier et évaluer les risques liés à la sécurité et élaborer la politique de sécurité
La norme ISO 27001 ne donne pas de directives sur la méthode d’appréciation des risques à adopter. Les entreprises peuvent donc en inventer une en veillant à bien respecter le cahier des charges ou en choisir une parmi les plus courantes notamment la méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) mise en place en France par l'ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information). Le cahier des charges relatif à l’appréciation des risques se développe en 7 points :
1. Identifier les actifs
2. Identifier les personnes responsables
3. Identifier les vulnérabilités
4. Identifier les menaces
5. Identifier les impacts
6. Evaluer la vraisemblance
7. Estimer les niveaux de risque
* Etape 3 : Traiter le risque et identifier le risque résiduel par un plan de gestion
Il existe 4 traitements possibles de chacun des risques identifiés :
1. L’acceptation : ne mettre en place aucune mesure de sécurité supplémentaire car les conséquences de cette attaque sont faibles (exemple : vol d’un ordinateur portable ne comportant pas de données primordiales pour l’entreprise, piratage de la vitrine web…). Cette solution ne doit être que ponctuelle pour éviter la perte de confiance des parties prenantes.
2. L’évitement : politique mise en place si l’incident est jugé inacceptable
3. Le transfert : lorsque le risque ne peut pas être évité et qu’elle ne peut pas mettre en place les mesures de sécurité nécessaires elle transfère le risque par le biais de la souscription d’une assurance ou de l’appel à la sous-traitance.
4. La réduction : le rendre à un niveau acceptable par la mise en œuvre de mesures techniques et organisationnelles, solution la plus utilisée.
Lorsque la décision de traitement du risque est prise l’entreprise doit identifier les risques résiduels c’est-à-dire ceux qui persistent après la mise en place des mesures de sécurité. S'ils sont jugés inacceptables, il faut définir des mesures de sécurité supplémentaires.
* Etape 4 : Sélection des mesures de sécurité à mettre en place
La norme ISO 27001 dispose d’une annexe A qui propose 133 mesures de sécurité classées en 11 catégories (politique de sécurité, sécurité du personnel, contrôle des accès…) et numérotées sur 3 niveaux. Toutefois cette annexe n’est qu’une liste qui ne donne aucun conseil de mise en œuvre au sein de l’entreprise.
Phase Do : met en place les objectifs fixés Elle se découpe en plusieurs étapes :
1. Etablir un plan de traitement des risques
2. Déployer les mesures de sécurité
3. Générer des indicateurs
* De performance pour savoir si les mesures de sécurité sont efficaces
* De conformité qui permettent de savoir si le SMSI est conforme à ses spécifications
4. Former et sensibiliser le personnel
Phase Check : consiste à gérer le SMSI au quotidien et à détecter les incidents en permanence pour y réagir rapidement 3 outils peuvent être mis en place pour détecter ces incidents :
1. Les audits internes qui vérifient la conformité et l’efficacité du système de management. Ces audits sont ponctuels et planifiés à l’avance.
2. Le contrôle interne qui consiste à s’assurer en permanence que les processus fonctionnent normalement.
3. Les revues (ou réexamens) qui garantissent l’adéquation du SMSI avec son environnement.
Phase Act : mettre en place des actions correctives, préventives ou d’amélioration pour les incidents et écarts constatés lors de la phase Check
* Actions correctives : agir sur les effets pour corriger les écarts puis sur les causes pour éviter que les incidents ne se reproduisent
* Actions préventives : agir sur les causes avant que l’incident ne se produise
* Actions d’amélioration : améliorer la performance d’un processus du SMSI.
Processus de certification[modifier]
La certification n’est pas un but en soi, c’est-à-dire que l’organisme qui décide de mettre en place un SMSI en suivant les exigences de l’ISO 27001, n’a pas pour obligation de se faire certifier. Cependant, c’est l’aboutissement logique de l’implémentation d’un SMSI puisque les parties prenantes n’ont confiance qu’en un système certifié par un organisme indépendant.
L’obtention du certificat ISO 27001 passe par trois audits : l’audit initial, l’audit de surveillance et l’audit de renouvellement.
L’audit initial porte sur l’ensemble du SMSI. Sa durée est déterminée dans l’annexe C de la norme ISO 27006. L’auditeur ne donne pas la certification, il donne juste un avis qui sera étudié par un comité de validation technique, puis par un comité de certification. Ce n’est qu’après cela qu’elle obtient le certificat pour une durée de trois ans. Dans le cas contraire, il y a un audit complémentaire dans le délai maximum de trois mois. L’organisme devra durant ce délai corriger les problèmes décelés lors de l’audit initial pour obtenir le certificat.
L’audit de surveillance a lieu pendant la période de validité du certificat (3 ans) afin de s’assurer que le SMSI est toujours valable. Il y en a un par an. L’audit porte sur les non-conformités relevées lors de l’audit initial ainsi que sur d’autres points :
* Le traitement des plaintes
* L’état d’avancement des activités planifiées
* L’utilisation de la marque de l’organisation certificatrice
* La viabilité du SMSI
* Différentes clauses choisies par l’auditeur.
Si l’auditeur relève des non-conformités, le certificat sera suspendu voire annulé. L’entreprise doit donc être perpétuellement mobilisée.
L’audit de renouvellement se déroule à l’échéance du certificat. Il porte sur les non-conformités du dernier audit de surveillance ainsi que sur la revue des rapports des audits de surveillance précédents et la revue des performances du SMSI sur la période.
Avantages[modifier]
* Une description pratique et détaillée de la mise en œuvre des objectifs et mesures de sécurité.
* Un audit régulier qui permet le suivi entre les risques initialement identifiés, les mesures prises et les risques nouveaux ou mis à jour, afin de mesurer l’efficacité des mesures prises.
* Sécurité :
1. Processus d'amélioration continue de la sécurité, donc le niveau de sécurité a plutôt tendance à croître.
2. Meilleure maîtrise des risques
3. Diminution de l'usage des mesures de sécurité qui ne servent pas.
* Une certification qui améliore la confiance avec les parties prenantes.
* Homogénéisation : c’est un référentiel international. Cela facilite les échanges, surtout pour les entreprises qui possèdent plusieurs sites.
* Processus simple et peu coûteux : réduction des coûts grâce à la diminution d'usage de mesures de sécurité inutiles et à la mutualisation des audits (baisse du nombre et de la durée des audits quand on obtient la certification).
* La norme fournit des indicateurs clairs et fiables ainsi que des éléments de pilotage financier aux directions générales.
* La norme permet d'identifier plus efficacement les risques et les coûts associés.
Limites[modifier]
* Faible expérience des organismes d'accréditation par rapport aux spécificités des enjeux en sécurité des systèmes d'information.
* Relations commerciales prépondérantes (achat de certification, de conseil, de produits, de services), ce qui conduit à une dévalorisation du processus d’accréditation.
* Durée des audits courte.
* Mélange des genres : les sociétés de conseil sont également des organismes de certification et vice-versa.
* La définition et la mise en place d'une méthodologie sont des tâches lourdes.
* Les normes informatiques ne réduisent pas le risque en matière de piratage et de vols d'informations confidentielles. Les intervenants effectuant du piratage ne respectent pas les règles établies et cherchent systématiquement à les contourner (exemple: Affaire Hervé Falciani). Le normes sont inopérentes dans ce domaine.
Autour de la norme[modifier]
Il existe toute une série de normes associée à l'ISO 27001, qui aide à l'implémentation d'un SMSI.
ISO/CEI 27001 est issue du standard britannique BS7799:2002 - Part 2.
Références[modifier]
* ISO/CEI 17799:2005
* BS 7799-2:2002
* Management de la sécurité de l'information : implémentation ISO 27001 : mise en place d'un SMSI et audit de certification, Alexandre Fernandez-Toro, Paris, Eyrolles, 2007
Voir aussi[modifier]
– Envoyé à l'aide de la barre d'outils Google"
LRQA France - leader de la certification des systèmes de management à valeur ajoutée - ISO/IEC 27001
LRQA France - leader de la certification des systèmes de management à valeur ajoutée - ISO/IEC 27001: "ISO/IEC 27001
La norme ISO/IEC 27001 définit les exigences organisationnelles requises pour mettre en place un système de management de la sécurité de l’information.
La norme ISO/IEC 27001 définit les exigences organisationnelles requises pour mettre en place un système de management de la sécurité de l’information. Elle s’appuie sur l’ISO/IEC 17799, guide de bonnes pratiques pour la gestion de la sécurité de l’information.
Elle est ouverte à toute entreprise soucieuse de maîtriser les risques pour la sécurité de ses données et d’en attester vis-à-vis de ses clients et des tiers.
Bénéfices
*
S’appuyer sur un modèle internationalement reconnu intégrant les meilleures pratiques des experts en sécurité de l’information
*
Identifier et maîtriser les risques pour la sécurité de ses données (une étude menée en 2006 par le DTI évalue à 10 milliards £ les dommages annuels subis par les entreprises britanniques sur leurs systèmes d’information)
*
Systématiser un processus d’amélioration continue dans la même logique que le système de management global de l’entreprise
*
Répondre aux exigences légales et réglementaires concernant la protection de l’information et la garantie de continuité de l’activité
*
Assurer aux donneurs d’ordre et aux tiers la garantie de sécurité des données partagées
*
Garantir la pérennité de l’entreprise en maîtrisant les risques de défaillance informatique
Les + LRQA
*
Les auditeurs ISO 27001 LRQA répondent à des exigences élevées de compétences IT - expertise garantie
*
100% des auditeurs LRQA sont qualifiés IRCA - compétence garantie
*
Pragmatisme opérationnel des auditeurs - optimisation de la valeur ajoutée des audits garantie
*
La reconnaissance internationale de vos certificats dûment accrédités et enregistrés (www.iso27001certificates.com)
*
LRQA, acteur engagé dans le management des systèmes d’information, est partenaires de l’itSMF et d’organismes experts en IT
Notre méthode : Business Assurance Certification
Pour nous la certification n’est pas qu’une assurance de conformité. LRQA est capable d’inscrire la certification dans le cadre global de la chaîne d’approvisionnement. Vous pourrez ainsi remonter à la racine du risque et le limiter. Au-delà d’une méthodologie classique (audit initial – visite de surveillance – audit triennal), nos visites, organisées autour de thèmes stratégiques, permettent la surveillance de vos risques majeurs en les repositionnant dans un contexte global et systémique. Plus spécifiquement un outil unique, le « tracking log », nous permet de gérer cette surveillance dans une logique d’«amélioration continue».
Toute notre méthodologie est finalement calibrée pour que l’auditeur puisse vous orienter vers les pistes d’amélioration les plus appropriées afin que les risques identifiés ne se transforment pas en crise.
Eradiquer les doutes qui pourraient émailler votre processus de décision est notre objectif final.
– Envoyé à l'aide de la barre d'outils Google"
La norme ISO/IEC 27001 définit les exigences organisationnelles requises pour mettre en place un système de management de la sécurité de l’information.
La norme ISO/IEC 27001 définit les exigences organisationnelles requises pour mettre en place un système de management de la sécurité de l’information. Elle s’appuie sur l’ISO/IEC 17799, guide de bonnes pratiques pour la gestion de la sécurité de l’information.
Elle est ouverte à toute entreprise soucieuse de maîtriser les risques pour la sécurité de ses données et d’en attester vis-à-vis de ses clients et des tiers.
Bénéfices
*
S’appuyer sur un modèle internationalement reconnu intégrant les meilleures pratiques des experts en sécurité de l’information
*
Identifier et maîtriser les risques pour la sécurité de ses données (une étude menée en 2006 par le DTI évalue à 10 milliards £ les dommages annuels subis par les entreprises britanniques sur leurs systèmes d’information)
*
Systématiser un processus d’amélioration continue dans la même logique que le système de management global de l’entreprise
*
Répondre aux exigences légales et réglementaires concernant la protection de l’information et la garantie de continuité de l’activité
*
Assurer aux donneurs d’ordre et aux tiers la garantie de sécurité des données partagées
*
Garantir la pérennité de l’entreprise en maîtrisant les risques de défaillance informatique
Les + LRQA
*
Les auditeurs ISO 27001 LRQA répondent à des exigences élevées de compétences IT - expertise garantie
*
100% des auditeurs LRQA sont qualifiés IRCA - compétence garantie
*
Pragmatisme opérationnel des auditeurs - optimisation de la valeur ajoutée des audits garantie
*
La reconnaissance internationale de vos certificats dûment accrédités et enregistrés (www.iso27001certificates.com)
*
LRQA, acteur engagé dans le management des systèmes d’information, est partenaires de l’itSMF et d’organismes experts en IT
Notre méthode : Business Assurance Certification
Pour nous la certification n’est pas qu’une assurance de conformité. LRQA est capable d’inscrire la certification dans le cadre global de la chaîne d’approvisionnement. Vous pourrez ainsi remonter à la racine du risque et le limiter. Au-delà d’une méthodologie classique (audit initial – visite de surveillance – audit triennal), nos visites, organisées autour de thèmes stratégiques, permettent la surveillance de vos risques majeurs en les repositionnant dans un contexte global et systémique. Plus spécifiquement un outil unique, le « tracking log », nous permet de gérer cette surveillance dans une logique d’«amélioration continue».
Toute notre méthodologie est finalement calibrée pour que l’auditeur puisse vous orienter vers les pistes d’amélioration les plus appropriées afin que les risques identifiés ne se transforment pas en crise.
Eradiquer les doutes qui pourraient émailler votre processus de décision est notre objectif final.
– Envoyé à l'aide de la barre d'outils Google"
samedi 15 janvier 2011
Inscription à :
Articles (Atom)