Réf.: 963

Nouvelle version de l'ISO/CEI 17799 pour des informations encore plus sécurisées

2005-06-20

Une version améliorée de la norme commune ISO/CEI devenue, pour la communauté florissante du commerce électronique, le référentiel international en matière de gestion de sécurité de l'information vient juste d’être publiée.

Cette version révisée de l'ISO/CEI 17799, Technologies de l'information – Techniques de sécurité – Code de pratique pour la gestion de sécurité d'information, intègre les toutes dernières avancées dans le domaine pour que ce référentiel demeure le code de pratique international.

Le principal bénéficiaire de la norme est l’environnement moderne interconnecté du commerce électronique, où les informations sont maintenant exposées à un éventail de menaces et de vulnérabilités toujours plus nombreuses.

Pour Ted Humphreys, animateur du groupe de travail de l'ISO/CEI qui a élaboré l’ISO/CEI 17799:2005, «la version révisée de la norme fournit aux entreprises de nombreux compléments et adjonctions reflétant l'état de la technique en ce qui concerne les meilleures pratiques de sécurité d'information.

Par exemple, meilleure gestion des dispositifs de sécurité avec les entreprises extérieures, les entreprises de sous-traitance et les fournisseurs de services, capacité de traitement renforcée des indicateurs, traitement des problèmes associés à la gestion des fiches, aux dispositifs mobiles, aux technologies sans fil et aux codes mobiles nocifs par l'Internet, amélioration des meilleures pratiques de gestion des ressources humaines et plusieurs autres caractéristiques.»

L'ISO/CEI 17799:2005, qui est un code de bonne pratique pour la gestion de sécurité de l'information, n’est pas une norme de certification, n’a jamais été conçue dans cette optique et ne s’y prête pas. La publication de la norme sera suivie, au dernier trimestre de l'année, d'une spécification ISO/CEI 27001, Technologies de l'information – Techniques de sécurité – Systèmes de gestion de sécurité de l'information – Exigences, (publication attendue en novembre 2005), qui pourra être utilisée à des fins de certification.

La nouvelle version traite de la sécurité de l’information au sens le plus large, établissant pour tout organisme produisant et utilisant des informations, sous quelque forme que ce soit, les meilleures pratiques, les lignes directrices et les principes généraux pour la mise en œuvre, la tenue à jour et la gestion de la sécurité des informations.

Toute entreprise dispose de ressources qui sont essentielles pour sa pérennité. L’information, sous ses différentes formes, version imprimée, stockée électroniquement, affichée sur site Web ou communiquée par courrier électronique, représentée par films ou expliquée oralement est la ressource la plus importante. Pour la plupart des entreprises, la sécurité de l'information peut être essentielle pour se démarquer de la concurrence, conserver des liquidités, assurer la rentabilité, la conformité juridique et l’image commerciale. Mais pour de nombreuses entreprises, et pour la plupart des organisations à but non lucratif, les informations peuvent être la seule et unique ressource. L'absence de sécurité de l'information peut menacer leur sécurité et donc leur existence même.

L'ISO/CEI 17799:2005 reconnaît que le niveau de sécurité qui peut être obtenu exclusivement par des moyens techniques est limité. Le niveau de sécurité requis, établi par l'évaluation des niveaux de risque et les coûts associés aux violations de sécurité possibles, par rapport au coût de la mise en œuvre de la sécurité, devrait toujours être régi par des contrôles et des procédures de gestion appropriées. La gestion de sécurité de l’information exige au minimum la participation de tous les employés de l'organisme, mais aussi éventuellement la participation des actionnaires, des fournisseurs, de tiers et des clients.

L'ISO/CEI 17799:2005 identifie les contrôles qui constituent le point de départ de la sécurité de l'information. Elle couvre les aspects suivants : facteurs critiques de succès, organisation de la sécurité de l'information, gestion des avoirs, ressources humaines, sécurité physique et environnementale, gestion des communications et opérations, acquisition des systèmes d'information, développement et maintenance, gestion des incidents, gestion de la continuité des activités et la conformité. Elle est destinée à servir d’outil fondamental pour les entreprises de n'importe quel type et de n'importe quelle taille, tant dans le secteur public que dans le secteur privé.

Selon M. Ted Humphrey, «les utilisateurs de la norme peuvent également démontrer aux partenaires économiques, aux clients et aux fournisseurs qu'ils sont suffisamment solides et sûrs pour pouvoir entrer en affaires, et faire en sorte que l’investissement consenti pour sécuriser l’information ouvre des possibilités commerciales à l'entreprise.

En résumé, cette norme ISO/CEI 17799 révisée est la norme la plus importante à ce jour pour la gestion de la sécurité de l'information. Elle établit, pour que toutes les entreprises du monde puissent s’engager à faire des affaires ensemble, un langage international véritablement commun pour la sécurité de l'information.»

L’ISO/CEI 17799:2005, Technologies de l'information – Techniques de sécurité – Code de pratique pour la gestion de sécurité d'information , coûte 200 francs suisses et est disponible auprès des instituts nationaux membres de l'ISO (voir la liste complète avec les coordonnées) et du Secrétariat central de l’ISO (voir ci-dessus). Elle a été élaborée par le Comité technique mixte ISO/CEI JTC 1, Technologies de l'information, Sous-comité SC 27, Techniques de sécurité, GT 1, Exigences, services et directives de sécurité.