ISO 27001 – Annexe A.17 : Aspects liés à la sécurité de l'information dans la gestion de la continuité des activités

Quel est l’objectif de l’annexe A.17.1 ?

L'annexe A.17.1 concerne la continuité de la sécurité de l'information. L'objectif de ce contrôle de l'Annexe A est que la continuité de la sécurité de l'information soit intégrée dans les systèmes de gestion de la continuité des activités de l'organisation. Il s'agit d'un élément important du système de gestion de la sécurité de l'information (ISMS), surtout si vous souhaitez obtenir la certification ISO 27001.

A.17.1.1 Planification de la continuité de la sécurité de l'information

L'organisation doit déterminer ses exigences en matière de sécurité de l'information et de continuité de la gestion de la sécurité de l'information dans des situations défavorables, par exemple lors d'une crise ou d'un sinistre. Les meilleurs SMSI disposeront déjà de contrôles plus larges de l'Annexe A qui atténuent la nécessité de mettre en œuvre un processus de reprise après sinistre ou un plan de continuité des activités conformément à A.17.

Malgré ces efforts, des incidents perturbateurs plus importants peuvent encore se produire, il est donc important de les planifier. Que se passe-t-il lorsqu’un centre de données majeur contenant vos informations et applications devient indisponible ? Que se passe-t-il lorsqu'une violation de données majeure se produit, qu'une attaque de ransomware est lancée, qu'une personne clé de l'entreprise est hors de service, ou que le siège social subit une inondation majeure... ?

Après avoir examiné les différents événements et scénarios qui doivent être planifiés, l'organisation peut ensuite documenter le plan avec tous les détails nécessaires pour démontrer qu'elle comprend ces problèmes et les étapes nécessaires pour les résoudre.

L'ISO 22301 propose une approche plus structurée de la continuité des activités qui s'intègre très élégamment aux principales exigences de l'ISO 27001.

A.17.1.2 Mise en œuvre de la continuité de la sécurité de l'information

L'organisation doit établir, documenter, mettre en œuvre et maintenir des processus, des procédures et des contrôles pour assurer le niveau requis de continuité pour la sécurité de l'information lors d'une situation perturbatrice. Une fois les exigences identifiées, l'organisation doit mettre en œuvre des politiques, procédures et autres contrôles physiques ou techniques adéquats et proportionnés afin de répondre à ces exigences.

Description des responsabilités, des activités, des propriétaires, des délais, des travaux d'atténuation à entreprendre (au-delà des risques et des politiques déjà en vigueur, par exemple les communications de crise). Une structure de gestion et des points déclencheurs de remontée d'informations pertinents doivent être identifiés pour garantir que si et quand un événement augmente en gravité, la remontée pertinente à l'autorité compétente est effectuée efficacement et en temps opportun. Il convient également d’indiquer clairement quand il y aura un retour aux affaires comme d’habitude et quand les processus de PCA s’arrêteront.

A.17.1.3 Vérifier, examiner et évaluer la continuité de la sécurité de l'information

L'organisation doit vérifier à intervalles réguliers les contrôles de continuité de la sécurité de l'information établis et mis en œuvre afin de garantir qu'ils sont valides et efficaces dans ces situations. Les contrôles mis en œuvre pour la continuité de la sécurité de l'information doivent être testés, revus et évalués périodiquement pour garantir qu'ils sont maintenus face aux changements dans l'activité, les technologies et les niveaux de risque.

L'auditeur voudra s'assurer qu'il existe des preuves : Tests périodiques des plans et des contrôles ; Journaux des invocations de plans et des actions entreprises jusqu'à la résolution et des leçons apprises ; et un examen périodique et une gestion du changement pour garantir que les plans sont maintenus face au changement.

Quel est l’objectif de l’annexe A.17.2 ?

L'annexe A.17.2 concerne les licenciements. L’objectif de ce contrôle de l’Annexe A est de garantir la disponibilité des installations de traitement de l’information.

A.17.2.1 Disponibilité des installations de traitement de l'information

Un bon contrôle décrit comment les installations de traitement de l'information sont mises en œuvre avec une redondance suffisante pour répondre aux exigences de disponibilité. La redondance fait référence à la mise en œuvre, généralement, de matériel en double pour garantir la disponibilité des systèmes de traitement de l'information. Le principe est que si un ou plusieurs éléments tombent en panne, alors ce sont des éléments redondants qui prendront le relais.

Il est essentiel à cet égard de tester périodiquement les composants et les systèmes redondants pour garantir que le basculement sera réalisé dans un délai raisonnable. Les composants redondants doivent être protégés au même niveau ou plus que les composants principaux.

De nombreuses organisations font appel à des fournisseurs basés sur le cloud et voudront donc s'assurer que la redondance est traitée efficacement dans leurs contrats avec les fournisseurs et dans le cadre de la politique A.15.

L'auditeur s'attendra à ce que des tests soient effectués périodiquement, là où les composants et systèmes redondants sont en place et sous le contrôle de l'organisation.