La norme ISO/IEC 27004:2016, Technologies de l’information – Techniques de sécurité – Management de la sécurité de l’information – Surveillance, mesurage, analyse et évaluation, récemment mise à jour, offre des lignes directrices pour évaluer l’efficacité de votre SMSI ISO/IEC 27001. Elle explique comment élaborer et mettre en œuvre des processus de mesure, et comment évaluer et présenter les résultats d’un ensemble de paramètres de mesure de la sécurité de l’information.
Pour Edward Humphreys, l’Animateur du groupe de travail (ISO/IEC JTC 1/SC 27) qui a élaboré la norme, « les cyber-attaques sont parmi les pires menaces qui pèsent sur les organisations. Cette version nettement améliorée d’ISO/IEC 27004 est un élément de référence essentiel concret pour les nombreuses organisations ayant adopté la démarche ISO/IEC 27001 pour se protéger contre les attaques de tous ordres visant aujourd’hui la sécurité des entreprises ».
Les métriques de sécurité permettront d’avoir une idée de l’efficacité d’un SMSI et, à ce titre, elles occupent désormais une place centrale. Que vous soyez un ingénieur ou un consultant sécurité chargé de rendre compte à la direction, ou un dirigeant en quête d’informations plus précises pour prendre des décisions, ces métriques sont maintenant un mode de communication important pour indiquer l’état actuel d’un programme de sécurité d’entreprise et son aptitude à gérer les cyber-risques.
Comme l’explique M. Humphreys, « il n’est pas facile, pour les organisations, de savoir si leur mode de management de la sécurité de l’information est efficace, apte à réagir, à assurer une bonne protection et à faire face à l’évolution constante de l’environnement de cyber-risques dans lequel elles se trouvent. L’aide que peut leur apporter, à cet égard, la norme ISO/IEC 27004 présente de nombreux avantages ».
ISO/IEC 27004:2016 montre comment élaborer un programme de mesurage de la sécurité de l’information, comment sélectionner les paramètres à mesurer, et comment mettre en œuvre les processus de mesure nécessaires, avec des exemples détaillés des différents types de mesures et de la manière d’en évaluer l’efficacité.
Le recours à ISO/IEC 27004 apporte de nombreux avantages aux organisations :
- Meilleure responsabilisation
- Amélioration de la performance de la sécurité de l’information et des processus du SMSI
- Preuve du respect des exigences d’ISO/IEC 27001 ainsi que des lois, règles et réglementations applicables
ISO/IEC 27004:2016 remplace l’édition de 2009. Cette version a été mise à jour et étoffée pour s’aligner sur la norme révisée ISO/IEC 27001 afin d’offrir aux organisations une plus grande valeur ajoutée et un surcroît de confiance
ISO/IEC 27004:2016 a été élaborée par le comité technique mixte ISO/IEC JTC 1, Technologies de l’information, sous-comité SC 27, Techniques de sécurité des technologies de l’information, dont le secrétariat est assuré par le DIN, le membre de l’ISO pour l’Allemagne. Cette norme est disponible auprès du membre de l’ISO dans votre pays ou sur l’ISO Store.
