Il y a quelques jours, j'évoquais la norme ISO 27001 et le rôle qu'elle pouvait jouer dans une démarche d'intelligence stratégique visant à la protection du patrimoine informationnel (et immatériel) des entreprises (
Entrer dans l'univers de la norme 27001 pour en découvrir les bénéfices -
https://tinyurl.com/qrqeapm). Mais il faut aussi reconnaître que cette norme n'est pas la seule qui se soit intéressée à la question. Et aussi qu'entrer dans ces univers n'est pas, pour de nombreux entrepreneurs, une sinécure.
La thèse de Arnaud Garrigues, en 2009, dans le cadre de son Master en management des systèmes d'information, nous apporte un éclairage intéressant sur le sujet (
Optimiser la sécurité de l'information - «Entre normes, standards et approches humaines» -
https://tinyurl.com/r4mgf7r). Il nous y parle, outre des normes ISO 2700X, des normes et méthodes ITIL , COBIT, MEHARI, EBIOS qu'il pourrait être intéressant d'incorporer dans une réflexion plus globale en matière de protection de l'information et des systèmes d'information.
- ITIL («Information Technology Infrastructure Library» pour «Bibliothèque pour l'infrastructure des technologies de l'information») est un ensemble d'ouvrages recensant les bonnes pratiques («best practices») du management du système d'information (https://tinyurl.com/onn5s8q)
- COBIT («Control Objectives for Information and related Technology», ou «objectifs de contrôle de l'information et des technologies associées») est un référentiel de bonnes pratiques d'audit informatique et de gouvernance des systèmes d'information d'origine américaine (https://tinyurl.com/s83pfu9).
- La méthode harmonisée d'analyse des risques (MEHARI) est une méthode de gestion de risque associée à la sécurité de l'information d'une entreprise ou d'un organisme ... MEHARI répond aux lignes directrices édictées par la norme ISO 27005 (https://tinyurl.com/u92boax).
- La méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) est un outil complet de gestion des risques SSI conforme au RGS et aux dernières normes ISO 27001, 27005 et 31000. ... Elle permet d'apprécier et de traiter les risques relatifs à la sécurité des systèmes d'information (SSI) (https://tinyurl.com/hw2n7ll).