Analyse Loi 25
Pour nous joindre
Normes & gouvernance
3 février 2023

ISO27001 — Clause 4.3 —déterminer la portée du programme de sécurité.

La portée d’un SGSI (Système de gestion de la sécurité de l’information) est cruciale, elle définit la direction et l’objectif que l’équipe de sécurité doit suivre.

Direction — Photo by Nick Fewings on Unsplash

La portée du Système de gestion de la sécurité de l’information (SGSI) correspond à l’ensemble des activités, des processus et des ressources qui sont inclus dans le système de gestion de la sécurité de l’information.

La portée détermine les limites de ce qui est couvert par le SGSI et ce qui est en dehors de sa portée.

Il est nécessaire de déterminer la portée du SGSI pour garantir que tous les aspects importants de la sécurité de l’information sont pris en compte et pour éviter de gaspiller des ressources en gérant des aspects qui ne sont pas importants pour l’entreprise.

Clause 4.3 a) et b) définir la portée

Il existe plusieurs étapes pour déterminer la portée du SGSI :

  1. Définir les objectifs de sécurité de l’information de l’entreprise pour savoir ce qui doit être inclus dans la portée du SGSI. Les objectifs de sécurité de l’information peuvent inclure les aspects classiques comme la confidentialité, l’intégrité et la disponibilité pour protection des données sensibles, la récupération après sinistre, la conformité réglementaire, etc.
  2. Connaître les risques auxquels l’entreprise est exposée pour savoir quelles activités, processus et ressources doivent être inclus dans la portée du SGSI.
  3. Définir les domaines de sécurité de l’information qui doivent être inclus dans la portée du SGSI. Ces domaines peuvent inclure la gestion des accès, la gestion des incidents, la gestion des vulnérabilités, la gestion des sauvegardes, la gestion de la continuité des activités, etc.
  4. Identifier les acteurs clés qui seront impliqués dans la mise en place et la gestion du SGSI. Ces acteurs peuvent inclure les employés, les partenaires, les fournisseurs et les autorités réglementaires.
  5. Déterminer si toutes les lignes d’affaires ou domaine d’opération de l’organisation sont incluses et couvertes par la portée du SGSI.
  6. Une fois les items plus haut inclus dans la définition de la portée, il faut aussi en définir les limites en fonction des objectifs de sécurité de l’information, de l’évaluation des risques, des domaines de sécurité, de l’information et des acteurs clés. Les limites de la portée peuvent inclure les systèmes, les données, les processus, les sites, les personnes, etc.
  7. Vérifier et valider la portée définie pour s’assurer qu’elle est complète et cohérente en demandant des commentaires aux parties prenantes et en comparant les limites de la portée aux normes et réglementations qui s’applique à votre organisation et son contexte.

Il est important de noter que la portée du SGSI peut varier en fonction des besoins et des objectifs de chaque entreprise, il est donc important de la réviser régulièrement pour s’assurer qu’elle est toujours pertinente et adaptée aux changements dans l’entreprise.

Clause 4.3 C) — Interdépendance

Pour déterminer les interfaces et dépendances des activités de l’organisation avec celle faite par d’autre organisation, il y a plusieurs manières de faire et source d’informations dont:

  1. Revoir les processus d’affaires de l’organisation et ceux d’autres organisations. Cela peut être fait en utilisant des outils tels que les diagrammes de flux de processus.
  2. Analyser les données de l’organisation pour découvrir s’il y a des dépendances entre les données utilisées par les différentes organisations. Cela peut être fait en utilisant des outils tels que les diagrammes d’entité-relation ou les modèles de données.
  3. Revoir les interactions entre les systèmes utilisés par les différentes organisations. Cela peut être fait en utilisant des outils tels que les diagrammes de système ou schémas réseau.
  4. En discutant avec les employés de ces organisations puisqu’ils traitent possiblement avec d’autres organisations dans le cadre de leur travail afin d’accomplir celui-ci.

Exemple de portée

  • Protéger l’information confidentielle de nos clients conformément à la déclaration de pertinence datée du xx/xx/xxxx.;
  • L’objectif et la portée de ce SGSI sont la préservation de la confidentialité des informations échangées par les clients ainsi que la disponibilité de ses systèmes informatiques offrant les services aux utilisateurs du service qui couvre les activités du centre de surveillance des opérations et de sécurité des clients de ABC conformément à la déclaration de pertinence datée du xx/xx/xxxx.;
  • Le SGSI s’applique au développement et au support des services de centres de contact conformément à la déclaration de pertinence datée du xx/xx/xxxx.
  • Le domaine principal du SGSI sera la gouvernance de la protection des données de ABC et de ses clients. Les domaines inclus le cycle de vie de développement de logiciels, la réussite des clients, les systèmes informatiques internes, le processus d’acquisition de clients et l’administration du SGSI, tout cela conformément à la déclaration d’applicabilité version 3 datée du xx/xx/xxxx.

Déclaration d’applicabilité

La déclaration d’applicabilité est un document officiel qui décrit les processus et les contrôles de sécurité de l’information mis en place dans l’organisation, ainsi que la manière dont ils répondent aux exigences du standard ISO 27001.

Le document reprend typiquement les contrôles de l’annexe A de la norme ISO27001 et vous devez déterminer lesquels sont applicables ou non.

Ce document a pour objectif d’indiquer les domaines de l’entreprise qui sont couverts par la mise en œuvre de la sécurité de l’information et ceux qui ne le sont pas.

La déclaration d’applicabilité est importante car elle:

  1. Prouve la conformité avec le standard ISO 27001: en démontrant les contrôles de sécurité de l’information mis en place.
  2. Guide la mise en œuvre de la sécurité de l’information: en décrivant les contrôles de sécurité de l’information mis en place, la déclaration d’applicabilité peut servir de guide pour la mise en œuvre de la sécurité de l’information au sein de l’entreprise.
  3. Facilite la communication: la déclaration d’applicabilité peut aider à communiquer les politiques et les processus de sécurité de l’information aux employés, aux partenaires commerciaux et à d’autres parties prenantes.
  4. Améliore la transparence: la déclaration d’applicabilité permet de rendre les contrôles de sécurité de l’information plus transparents pour les parties prenantes.

La portée de l’organisation se fait en fonction de la déclaration d’applicabilité puisqu’il est possible d’exclure des items, mais notre état de conformité à la norme ISO27001 se fait en fonction de ce que l’organisation déclare comme étant applicable et non applicable.

La déclaration d’applicabilité sera revue plus en profondeur dans la section 6.1.3 de la norme ISO27001.

Ouvert au public

Il est important de rester conscient que la portée définie par l’organisation sera également inscrite sur le certificat émis lors de l’obtention de la certification ISO27001 par l’organisme de certification choisi.

C’est donc une occasion pour l’organisation de communiquer ses valeurs et objectifs à ses partenaires afin de les rassurer sur le sérieux de la démarche.

Le certificat reçu pourrait être partagé à un grand nombre de personnes, y compris sur votre site web afin d’informer vos clients et partenaires d’affaires que vous avez un SGSI en place et que celui-ci a été validé et confirmer comme étant conforme à la norme ISO27001.

Par exemple, si vos clients et partenaires ont des exigences de confidentialité de l’information, il serait approprié d’affirmer dans la portée que celle-ci a pour objectif de maintenir la confidentialité des informations reçues par ses clients.

Également si vous offrez des services infonuagiques, de démontrer à vos clients que la disponibilité de l’infrastructure représente un élément que l’organisation considère également comme important.

Critère de succès

Afin de déterminer si nous avons bien répondu à la clause 4.3 de la norme ISO27001, voici quelques questions qu’un auditeur peut vous poser:

  • Où est documentée la portée de l’organisation?
  • En quoi et comment les enjeux interne et externe de l’organisation sont pris en compte?
  • Les requis de vos clients sont inclus dans la portée?
  • Montrez-moi la documentation des interfaces et dépendances des procédures de votre organisation versus les procédures des autres organisations.
  • Comment avez-vous vérifié que la portée définie couvre tous les besoins?
  • Quelle est la version de la déclaration d’applicabilité?
  • Combien d’items non applicables avez-vous et pourquoi ceux-ci ne s’appliquent pas à votre organisation?

Je vous invite à cliquer sur “Follow” pour continuer d’en apprendre plus sur le domaine de la sécurité de l’information.

Patrick Boucher
Président fondateur
25+ ans d’expérience en sécurité, piratage éthique, continuité des affaires
Écrivez-nous

Formulaire Sticky Services

Envie de travailler avec nous ?

Parlez-nous de vos enjeux. On verra rapidement si on est la bonne équipe pour vous.
Discutons ensemble