CHAPITRE 3 : LES NORMES D’AUDIT DE LA SECURITE INFORMATIQUE 1- La Norme BS 7799-2 La norme BS7799 a été publiée pour la première fois par le British Standard Institute en 1995. Son objectif est de permettre la mise en place d'un système de management de la sécurité de l'information ou SMSI (ISMS ou Information Security Management System) dans l'entreprise. Pour cela, la BS 7799 impose le modèle PDCA (Plan, Do, Check, Act ) qui oblige tous les processus relatifs à la sécurité à être cycliquement : planifiés, mis en place, vérifiés puis améliorés. La norme est caractérisée par sa simplicité et son pragmatisme. Un pragmatisme qui a permis à la norme de connaître un essor rapide. L'ISO en a tiré l'ISO17799, en cours de révision, qui se limite pour le moment à donner une liste de bonnes pratiques en matière de sécurité. la norme n'impose pas de formalisme particulier et laisse libre du choix des méthodes utilisées pour l'analyse de risques et le contrôle.

Les apports de la BS 7799 dans la vie quotidienne du système d'information 1) Certification BS7799 : Le processus de certification BS7799 peut couvrir l'ensemble du SI de l'entreprise. Cependant, le coût économique et humain d'un tel projet à l'échelle globale du SI est tel que seuls quelques processus stratégiques bien ciblés sont retenus pour la certification. La certification BS7799 entraîne l'entreprise dans un cycle de contrôles récurrents sur trois ans. 2) Formaliser les procédures relatives à la sécurité : l'intérêt principal de cette norme est de permettre la mise en place effective de procédures relatives à la sécurité. La réflexion BS7799 oblige à faire le point sur ce qui est important et sur ce qui l'est moins, sur ce qu'il faut protéger, et comment. Elle oblige surtout à mettre en application le fruit de cette réflexion. Elle contribue par là à une amélioration notable de la sécurité du système d'information.
1/11

3) Passer à la tradition écrite : La norme BS7799 contraint toutes les parties