{"id":4866,"date":"2010-03-01T22:00:02","date_gmt":"2010-03-01T22:00:02","guid":{"rendered":"https:\/\/multiacademstg.wpengine.com\/27001academy\/blog\/010\/03\/01\/securite-de-linformation-ou-securite-informatique\/"},"modified":"2022-07-17T15:31:20","modified_gmt":"2022-07-17T15:31:20","slug":"securite-de-linformation-ou-securite-informatique","status":"publish","type":"post","link":"https:\/\/staging.advisera.com\/27001academy\/fr\/blog\/2010\/03\/01\/securite-de-linformation-ou-securite-informatique\/","title":{"rendered":"S\u00e9curit\u00e9 de l\u2019information ou s\u00e9curit\u00e9 informatique?"},"content":{"rendered":"

Mis \u00e0 jour le 11 aout 2014. Le nombre de contr\u00f4les a \u00e9t\u00e9 mis \u00e0 jour pour correspondre \u00e0 la version 2013 de la norme ISO27001.<\/em><\/p>\n

On pourrait croire que ces termes sont synonymes \u2013 apr\u00e8s tout, la s\u00e9curit\u00e9 de l\u2019information ne concerne-t-elle pas surtout les ordinateurs?<\/p>\n

Pas exactement. Le fait fondamental est le suivant\u00a0: vous pouvez avoir des mesures de s\u00e9curit\u00e9 informatiques parfaites mais un seul acte malveillant r\u00e9alis\u00e9, par exemple par un administrateur syst\u00e8me, peut mettre tout le syst\u00e8me informatique en panne. Ce risque n\u2019a rien \u00e0 voir avec les ordinateurs, mais avec les personnes, les processus, la supervision, etc.<\/p>\n

De plus, les informations importantespourraient bien ne pas se trouver sous une forme digitale. Elles peuvent \u00eatre sur papier\u00a0: un contrat important sign\u00e9 avec votre plus gros client, des notes personnelles du directeur g\u00e9n\u00e9ral, le mot de passe administrateur mis \u00e0 l\u2019abri dans un coffre (1)<\/a>.<\/em><\/p>\n

Donc, comme je le dis toujours \u00e0 mes clients\u00a0: la s\u00e9curit\u00e9 informatique c\u2019est 50% de s\u00e9curit\u00e9 de l\u2019information parce que la s\u00e9curit\u00e9 de l\u2019information comprend \u00e9galement la s\u00e9curit\u00e9 physique, ma gestion des ressources humaines, la protection l\u00e9gale et juridique, l\u2019organisation, les processus etc. L\u2019objet de la s\u00e9curit\u00e9 de l\u2019information est de construire un syst\u00e8me qui tienne compte de tous les risques possibles pour la s\u00e9curit\u00e9 de l\u2019information (li\u00e9s \u00e0 l\u2019informatique ou non) et de mettre en \u0153uvre des contr\u00f4les exhaustifs qui r\u00e9duisent toutes les sortes de risques inacceptables.<\/p>\n

Cette approche int\u00e9gr\u00e9e de la s\u00e9curit\u00e9 de l\u2019information est bien d\u00e9finie dans la norme ISO 27001<\/a>, la norme internationale majeure pour le management (2)<\/a> de la s\u00e9curit\u00e9 de l\u2019information. En bref, la norme exige une \u00e9valuation des risques sur tous les actifs de l\u2019organisation (y compris mat\u00e9riel, logiciel, documentation, personnel, fournisseurs, partenaires, etc.) et de choisir les contr\u00f4les acceptables pour r\u00e9duire ces risques.<\/p>\n

ISO27001 propose 114 contr\u00f4les dans son annexe A. J\u2019ai r\u00e9alis\u00e9 une br\u00e8ve analyse des contr\u00f4les et les r\u00e9sultats sont les suivants\u00a0:<\/p>\n