C’est Dredi et je vous souhaite une bonne soirée, Je souhaite apporter à votre attention un petit logiciel qui devrait vous permettre d’implémenter une gestion de la sécurité conforme à l’ISO 27001.
La documentation se trouve là : https://dbarzin.github.io/deming/index.fr/ Et le GitHub du projet est ici : https://github.com/dbarzin/deming/blob/main/README.fr.md Bon Week End > Le 23 févr. 2024 à 15:15, Maxime DERCHE <max...@mouet-mouet.net> a écrit : > > Bonjour, > > Le 21/02/2024 à 14:56, Stéphane Rivière a écrit : >>> Note que les questionnaires de gestion des tierces parties sont >>> généralement calqués sur le framework offert par ISO 27001/27002 >> Y a t'il un endroit où l'on peut lire un exemple détaillé de mise en œuvre >> des 27001/27002 ? >> J'ai trouvé quelques liens pour newbies mais rien de bien pratique : >> https://www.interfacing.com/fr/comparing-iso-27001-vs-iso-27002 >> https://en.wikipedia.org/wiki/ISO/IEC_27001 >> https://en.wikipedia.org/wiki/ISO/IEC_27002 > > Les textes des normes ne sont pas accessibles publiquement, il faut les > acheter, par exemple sur la boutique de l'AFNOR (cf [1], [2], [3] et [4], tu > peux prendre les normes ISO rebrandées NF sans te poser de question). > > Pour simplifier, ISO 27001 édicte des exigences génériques et ISO 27002 > fournit une checklist d'actions concrètes permettant d'y répondre, exigence > par exigence. > > À partir de ces deux listes, l'une plutôt management et l'autre plutôt > technique, tu peux te construire ton management sécurité à ta sauce en > piochant les choses qui t'intéressent, et c'est clairement fait pour cela > puisque la démarche d'ISO 27001 est une démarche itérative où tu construis > ton système de management de la sécurité de l'information (SMSI) au fur et à > mesure de tes moyens/investissements/risques, idéalement en améliorant ton > SMSI (et/ou en réduisant tes risques si tu crois ou pas à la religion de la > gestion de risque) d'année en année, de cycle en cycle. > > J'avoue ne pas avoir sous la main de récit type "from zero to ISO 27001" mais > ça doit largement exister, et puis tu peux aussi te renseigner chez tes > confrères et consœurs qui peuvent avoir des retours très variés. > > Mais tu n'es absolument pas obligé d'adhérer à une démarche de certification, > en tout cas pas en première intention. > > Un point important à prendre en compte est que ces textes constituent un > langage commun pour les gens qui font de la sécurité, de la conformité, de la > gestion de risque, de la protection des données personnelles (ISO 27701, qui > est une extension d'ISO 27001). Donc montrer que tu peux calquer ta propre > démarche sur le cadre fourni par la norme te permettra de te faire > immédiatement comprendre de personnes très loin des professions techniques. > > Cela veut dire que tu seras immédiatement pris au sérieux par l'ensemble des > parties prenantes dès l'instant où tu présenteras tes affaires en conformité > sur la forme, même si sur le fond tu es loin d'être certifiable (ou que par > principe la norme t'ennuie ou t'inquiète). Tu montres que tu as réfléchi au > problème et qu'on peut discuter avec toi, tu ne fais pas partie des gens qui > vont refuser d'installer un antivirus au fallacieux prétexte qu'il agrandit > la sacro-sainte surface d'attaque (ahem). > > D'où l'idée de présenter à ta clientèle tes mesures de sécurité dans un > document-type plan d'assurance qualité/sécurité en reprenant le format > proposé par ISO 27001+27002, même si tu n'est pas à 100% aligné sur toutes > les exigences (mais personne ne l'est). Au pire tu te retrouves à discuter > avec la sécurité du client d'une roadmap datée pour corriger les points > rédhibitoires, et au mieux tu évites complètement de remplir les > questionnaires qui, disons-le franchement, emmerdent tout autant celles et > ceux qui doivent les relire et les évaluer... > > > [1] : > <https://www.boutique.afnor.org/fr-fr/norme/nf-en-iso-iec-27001/securite-de-linformation-cybersecurite-et-protection-de-la-vie-privee-syste/fa206487/349230> > [2] : > <https://www.boutique.afnor.org/fr-fr/norme/iso-iec-270012022/securite-de-linformation-cybersecurite-et-protection-de-la-vie-privee-syste/xs142301/336842> > [3] : > <https://www.boutique.afnor.org/fr-fr/norme/nf-en-iso-iec-27002/securite-de-linformation-cybersecurite-et-protection-de-la-vie-privee-mesur/fa204874/341766> > [4] : > <https://www.boutique.afnor.org/fr-fr/norme/iso-iec-270022022/securite-de-linformation-cybersecurite-et-protection-de-la-vie-privee-mesur/xs138637/320531> > > > Bien cordialement, > -- > Maxime DERCHE > OpenPGP public key ID : 0xAE5264B5 > OpenPGP public key fingerprint : 7221 4C4F D57C 456F 8E40 3257 47F7 29A6 AE52 > 64B5 > <https://www.mouet-mouet.net/maxime/blog/> > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
