Normes et méthodes

Liste des normes sur lesquelles porte notre programme de formations

  • ISO/IEC 27001 : Technologies de l’information – Techniques de sécurité – Systèmes de management de la sécurité de l’information – Exigences
  • ISO/IEC 27002 : Technologies de l’information – Techniques de sécurité – Code de bonne pratique pour le management de la sécurité de l’information
  • ISO/IEC 27005 : Technologies de l’information – Techniques de sécurité – Gestion des risques liés à la sécurité de l’information (SI)  
  • ISO/IEC 27034 : Technologies de l’information – Techniques de sécurité – Sécurité des applications (SA)
  • ISO 31000 : Management du risque – Lignes directrices
  • ISO 37001 : Systèmes de management anti-corruption – Exigences et recommandations de mise en œuvre
  • Mehari : Méthodologie intégrée et complète d’évaluation et de management des risques associés à l’information et à ses traitements  

 

Description des normes et listes des formations associées offertes par l'Académie Cogentas

 

Norme ISO/IEC 27001

Technologies de l’information – Techniques de sécurité – Systèmes de management de la sécurité de l’information – Exigences

ISO/IEC 27001 spécifie les exigences relatives à :

  • l'établissement,
  • la mise en œuvre,
  • la mise à jour, et
  • l'amélioration continue d'un système de management de la sécurité de l'information (SMSI) dans le contexte d'une organisation.

Elle comporte également des exigences sur l'appréciation et le traitement des risques de sécurité de l'information, adaptées aux besoins de l'organisation.

Les exigences fixées dans l'ISO/IEC 27001 sont génériques et prévues pour s'appliquer à toute organisation, quels que soient son type, sa taille et sa nature. Il n'est pas admis qu'une organisation s'affranchisse de l'une des exigences spécifiées aux Articles 4 à 10 lorsqu'elle revendique la conformité à l'ISO/IEC 27001.

Formations offertes

  • ISO/IEC 27001 Introduction (I)
  • ISO/IEC 27001 Foundation (F)
  • ISO/IEC 27001 Lead Auditor (LA)
  • ISO/IEC 27001 Lead Implementer (LI)

Source : ISO – Organisation internationale de normalisation

 

Norme ISO/IEC 27002

Technologies de l’information – Techniques de sécurité – Code de bonne pratique pour le management de la sécurité de l’information

L'ISO 27002 donne des lignes directrices en matière de normes organisationnelles relatives à :

  • la sécurité de l'information,
  • les bonnes pratiques de management de la sécurité de l'information, incluant :
    • la sélection, la mise en œuvre et la gestion de mesures de sécurité,
    • la prise en compte des environnement(s) de risques de sécurité de l'information de l'organisation.

L'ISO 27002 est élaborée à l'intention des organisations désireuses de :

  • sélectionner les mesures nécessaires dans le cadre du processus de mise en œuvre d'un système de management de la sécurité de l'information (SMSI) selon l'ISO/CEI 27001;
  • de mettre en œuvre des mesures de sécurité de l'information largement reconnues; et
  • d'élaborer leurs propres lignes directrices de management de la sécurité de l'information.

Formations offertes

  • ISO/IEC 27002 Introduction (I)
  • ISO/IEC 27002 Foundation (F)
  • ISO/IEC 27002 Lead Implementer (LI)
  • ISO/IEC 27002 Lead Manager (LM)
  • ISO/IEC 27002 Manager

Source : ISO – Organisation internationale de normalisation

 

Norme ISO/IEC 27005  

Technologies de l’information – Techniques de sécurité – Gestion des risques liés à la sécurité de l’information (SI)  

ISO/IEC 27005 contient des lignes directrices relatives à la gestion des risques en sécurité de l'information.

  • Elle appuie les concepts généraux énoncés dans l'ISO/IEC 27001;
  • Elle est conçue pour aider là mettre en place la SI en se basant sur une approche de gestion des risques.
  • La connaissance des concepts, des modèles, des processus et des terminologies décrites dans l'ISO/IEC 27001 et l'ISO/IEC 27002 permet de bien comprendre la portée de cette norme.
  • La norme ISO/IEC 27005 est applicable à tout type d'organisations, telles que :
    • les entreprises commerciales,
    • les agences gouvernementales,
    • les organisations à but non lucratif.

Formations offertes

  • ISO/IEC 27005 Introduction (I)
  • ISO/IEC 27005 Foundation (F)
  • ISO/IEC 27005 Risk Manager (RM)

Source : ISO – Organisation internationale de normalisation

 

Série de normes ISO/IEC 27034

Technologies de l’information – Techniques de sécurité – Sécurité des applications (SA)

Une application ou un système informatique (système TI) inclut le logiciel et ses données. Les applications peuvent être utilisées dans de nombreux contextes et à plusieurs fins. Les personnes qui développent, fournissent, acquièrent ou utilisent une application peuvent vivre au Canada, en Chine ou en Europe. Dans tous les cas, l'application doit être conforme aux lois et réglementations en vigueur dans les pays où elle est déployée et utilisée.

Dans ce contexte, il devient essentiel que les organisations puissent être en mesure de gérer les risques de sécurité au niveau des applications. La série de normes ISO/IEC 27034 propose des cadres de références de sécurité des applications (SA) qui s'appuient sur une démarche de gestion des risques; cette dernière permet la mise en place et la vérification des contrôles de sécurité de l'application qui sont mesurables et dont les preuves d'efficacité peuvent être démontrées. La série de normes ISO/IEC 27034 comporte 8 parties, soit  :

  • Partie 1 : Vue d'ensemble et concepts
  • Partie 2 : Cadre normatif de l’organisation
  • Partie 3 : Processus de gestion de la sécurité des applications
  • Partie 4 : Validation et vérification de la sécurité des applications
  • Partie 5 : Protocoles et structure des données des contrôles de sécurité des applications
  • Partie 5-1 : Protocoles et structure des données des contrôles de sécurité des applications – Schéma XML
  • Partie 6 : Études de cas
  • Partie 7 : Cadre d’assurance de prédiction

ISO/IEC 27034 propose des principes et des concepts spécifiques en matière de sécurité des applications :

  • un mécanisme de mise en œuvre la SA, étape par étape, afin d’aider les organisations à comprendre comment développer, acquérir, implanter, utiliser et maintenir des applications à un niveau de confiance préalablement ciblé par l’organisation, et ce, à un coût acceptable;
  • des composants et des processus pouvant fournir des preuves vérifiables confirmant l’atteinte et le maintien des exigences de SA au niveau de confiance ciblé;
  • la mise en place d’éléments de la structure 27034 et l’intégration de contrôles de sécurité des applications (CSA) de façon transparente, et ce, tout au long du cycle de vie des applications;
  • une SA qui s’intègre non seulement au logiciel d'une application, mais aussi à l’ensemble des autres facteurs qui influent sur la sécurité, tels :
    • le contexte technologique,
    • le contexte réglementaire,
    • le contexte d'affaires,
    • les spécifications,
    • la sensibilité de ses données,
    • les processus et les acteurs intervenant tout au long du cycle de vie de l’application.
  • un cadre normatif qui s’applique à toutes les tailles et à tous les types d'organisations exposées à des risques de sécurité menaçant les informations liées à leurs applications. Il ne s'agit pas seulement de grandes entreprises commerciales, d'organismes gouvernementaux ou d'organismes sans but lucratif qui utilisent des applications, mais aussi les grandes, moyennes et petites entreprises qui développent des logiciels, des applications et des services d’affaires.

Formations offertes

  • ISO/IEC 27034 Introduction (I)
  • ISO/IEC 27034 Foundation (F)
  • ISO/IEC 27034 Lead Auditor (LA)
  • ISO/IEC 27034 Lead Implementer (LI)

Sources : Cogentas et ISO – Organisation internationale de normalisation 

 

Norme ISO 31000

Management du risque – Lignes directrices

ISO 31000 fournit :

  • des lignes directrices concernant le management du risque auquel sont confrontés les organismes. L'application de ces lignes directrices peut être adaptée à tout organisme et à son contexte;
  • une approche générique permettant de gérer toute forme de risque et n'est pas spécifique à une industrie ou un secteur.

ISO 31000 peut être :

  • utilisée tout au long de la vie de l'organisme
  • appliquée à toute activité, y compris la prise de décisions, et ce, à tous les niveaux.

Formations offertes

  • ISO 31000 Introduction (I)
  • ISO 31000 Foundation (F)
  • ISO 31000 Lead Risk Manager (LRM)
  • ISO 31000 Risk Manager (RM)

Source : ISO – Organisation internationale de normalisation

 

Norme ISO 37001

Systèmes de management anti-corruption – Exigences et recommandations de mise en œuvre

La corruption est l’un des fléaux les plus nuisibles et difficiles à contrer à l’échelle mondiale.  Avec plus de 1000 milliards $USD de pots-de-vin versés chaque année*, les conséquences de la corruption sont désastreuses, avec une qualité de vie amoindrie, une pauvreté accrue et une confiance entamée du public.

En dépit des efforts mis en œuvre aux niveaux national et international pour lutter contre ce fléau, la corruption demeure une question centrale.

L'ISO 37001 définit des exigences et fournit des préconisations pour l'établissement, la mise en œuvre, la tenue à jour, la revue et l'amélioration d'un système de management anti-corruption. Le système peut être autonome ou intégré à un système de management global. L'ISO 37001 couvre les aspects suivants en ce qui concerne les activités de l'organisme :

  • corruption dans les secteurs public, privé et à but non lucratif;
  • corruption par l'organisme;
  • corruption par le personnel de l'organisme agissant pour le compte de l'organisme ou dans son intérêt;
  • corruption par les partenaires commerciaux de l'organisme agissant pour le compte de l'organisme ou dans son intérêt;
  • corruption de l'organisme;
  • corruption du personnel de l'organisme dans le cadre des activités de l'organisme;
  • corruption des partenaires commerciaux de l'organisme dans le cadre des activités de l'organisme;
  • corruption directe et indirecte (par exemple, un pot-de-vin offert ou accepté par une tierce partie).

L'ISO 37001 est applicable à la corruption uniquement. Il définit des exigences et fournit des préconisations pour les systèmes de management conçus pour aider les organismes à prévenir, détecter et lutter contre la corruption, et à respecter les lois anti-corruption et leurs engagements volontaires applicables à leurs activités.

L'ISO 37001 n'aborde pas spécifiquement la fraude, les ententes et autres délits anti-trust/de concurrence, le blanchiment d'argent ou autres activités liées à des manœuvres frauduleuses, même si l'organisme peut choisir d'étendre le périmètre du système de management afin d'inclure de telles activités.

Les exigences du présent document sont génériques et destinées à s'appliquer à tous les organismes (ou parties d'organisme), indépendamment du type, de la taille et de la nature de l'activité, qu'ils évoluent dans le secteur public, privé ou à but non lucratif. L'étendue de l'application de ces exigences dépend des facteurs décrits en 4.1, 4.2 et 4.5.

*Source : OCDE

Formations offertes

  • ISO 37001 Introduction (I)

Source : ISO – Organisation internationale de normalisation

 

Méthodologie Mehari

Méthodologie intégrée et complète d’évaluation et de management des risques associés à l’information et à ses traitements

Conçue en 1996 par le CLUSIF, et mise à jour depuis par l’association, cette méthode est désormais développée et diffusée par le CLUSIQ (Club de la sécurité de l’information québécois) avec qui le CLUSIF a établi un partenariat en 2015. Les démarches de la méthode actuellement diffusées sont les suivantes :

  • la méthode MEHARI respecte les lignes directrices tracées par la norme ISO 27005:2009 et permet une intégration dans une démarche complète qui permet d’être utilisée aussi dans le cadre d’un Système de Management de la Sécurité de l’Information (ISO 27001:2005) grâce à sa capacité à impliquer et sensibiliser la Direction de l’entité comme les responsables opérationnels;
  • la méthode MEHARI peut être réalisée selon plusieurs démarches, basées sur le même modèle de risque, intégrant l’évaluation des enjeux business, des menaces et des vulnérabilités attachées aux actifs dans des situations de risque;
  • le niveau de gravité des scénarios de risque est déterminé à partir des niveaux de potentialité et d’impact, et la structure de la méthode permet de sélectionner les mesures de sécurité susceptibles de traiter (réduire son niveau) chaque risque au mieux des ressources de l’organisation.

Formation offerte

  • MEHARI Risk Manager (RM)

Source : CLUSIF