Comment protéger votre institution de la cybercriminalité
La norme ISO 27002
La norme ISO 27002 est une norme internationale de sécurité de l’information composée de 114 mesures dites de bonnes pratiques. Elle est destinée à être utilisée par tous les responsables de la mise en place ou du maintien d’un Système de management de la sécurité de l’information (SMSI). La ISO 27002 est plus un code à mettre en pratique qu’une véritable norme ou une spécification formelle telle que l’ISO 27001 (voir ci-dessous).
La sécurité de l’information est définie au sein de la norme comme la “préservation de la confidentialité, de l’intégrité et de la disponibilité de l’information”. Les entreprises qui adoptent l’ISO 27002 doivent évaluer leurs propres risques de sécurité de l’information et appliquer les contrôles appropriés, en utilisant la norme pour orienter l’entreprise. Elle n’a pas de caractère contraignant, elle n’amène pas de certification, ce domaine étant couvert par la norme ISO 27001.
Parmi les volets que couvre cette norme, on trouve l’évaluation des risques et de traitement, la politique de sécurité de l’information, l’organisation de la sécurité de l’information ou encore la sécurité des ressources humaines.
La certification 27001
L’ISO 27001 est une norme internationale de système de gestion de la sécurité de l’information. Elle décrit les exigences pour la mise en place d’un SMSI. L’objectif de la mise en application d’une telle norme est de protéger les fonctions et informations de toute perte, vol ou altération, et les systèmes informatiques de toute intrusion et de tout sinistre informatique.
Cela fera gagner la confiance des parties prenantes.La norme précise que les exigences en matière de mesures de sécurité doivent être adéquates et proportionnées aux risques encourus. Pour ce faire, l’ISO 27001 énumère un ensemble de points de contrôle à respecter pour s’assurer de la pertinence du SMSI, permettre de l’exploiter et le faire évoluer. Il est possible de se faire certifier ISO 27001.
La loi n° 2004–5
La Tunisie dispose depuis 2004 d’une loi sur la sécurité informatique qui a pour objet, d’après ses rédacteurs, d’organiser le domaine de la sécurité informatique et de fixer les règles générales de protection des systèmes informatiques et des réseaux. C’est dans le cadre de cette loi que l’Agence nationale de la sécurité informatique a vu le jour.
Cette loi, ainsi que les décrets 2004–1249 et 2004–1250 qui la complètent, a instauré l’obligation d’un audit périodique de la sécurité des système informatiques des organismes publics et de certaines institutions privées. Cette loi a par la même occasion fixé les systèmes informatiques et les réseaux des organismes soumis à l’audit obligatoire et les critères relatifs à la nature de l’audit et à sa périodicité et aux procédures de suivi de l’application des recommandations contenues dans le rapport d’audit.
Le décret 2004–1249 stipule que les personnes habilitées à effectuer ces missions d’audit sont seulement les auditeurs certifiés par l’Agence Nationale de la Sécurité informatique. Ce décret fixe également les conditions et les procédures de certification des auditeurs dans le domaine de la sécurité informatique.
