4.

2 ÉTAPE 2:
DÉTERMINER LE
SCOPE
• Comprendre l’organisme et son contexte
• Comprendre le besoin et les attentes des parties
prenantes
• Déterminer le scope du SMSI
• SMSI
SYSTEME DE MANAGEMENT DE LA SECURITE DE
L’INFORMATION
Processus d’implémentation d’un SMSI

Étape 5:
Étape 1: Méthod Étape 8: Étape
Étape 4: Étape 6: Étape 7:
Support Étape 3: ologie Évaluati Étape 9: 10:
Étape 2: Inventai Évaluati Traitem
de Politiqu de on de la Amélior Audit de
Scope re de on des ent des
Manage e SI gestion perform ation certifica
l'actif risques risques
ment des ance tion
risques
COMPRENDRE LA STRUCTURE DE LA NORME
4. Activités obligatoires : Contexte de
l’organisation
Plan du projet

Management de la Sécurité de l'Information: ISO 27001/27002 │PR. YASSINE MALEH│ SEPTEMBRE 2024 │ 150
 Clauses applicables

4. 1 C o mp r éh e ns io n d e
l ’o r g an is at i on et de so n
c o n t e x te

4. 2 C o mp r éh e ns io n d es
Etape 2 b es oi n s et de s at t e nt e s de s
p a r t i e s i n té r e s s é e s

4. 3 D ét e r mi n at i on du
d om ai n e d ’a pp l ic at i on du
S ys t èm e d e ma na g em en t d e
l a s é c u r i té d e l ' i n f o r m a ti o n

4. 4 S ys t èm e d e ma na g em en t
d e l a s é c u r i t é d e l 'i n f o r m a t i o n
COMPRENDRE LA STRUCTURE DE LA NORME
4 .1 C om pr é h e ns ion de l’o r ga ni s a ti on
e t de s on c ont e x te

4.1
Activité requise
L'organisme détermine les questions externes et internes en rapport avec son
objectif et affectant sa capacité à atteindre les résultats escomptés du système de
Management de la sécurité de l'information (SMSI).

Management de la Sécurité de l'Information: ISO 27001/27002 │PR. YASSINE MALEH│ SEPTEMBRE 2024 │ 152
Analyse du contexte
Objectif

Scope du SMSI
Comprendre le contexte afin de déterminer
le champ d'application du SMSI.

Risques et opportunités
Analyser le contexte afin de déterminer les
risques et les opportunités.

Adaptation
Comprendre le contexte afin d'adapter
l'organisation à l'évolution des problèmes.
SCOPE DU SMSI

4.1 Compréhension de l’organisation et de

son contexte (Externe)

Management de la Sécurité de l'Information: ISO 27001/27002 │PR. YASSINE MALEH│ SEPTEMBRE 2024 │ 154
SCOPE DU SMSI

4.1 Compréhension de l’organisation et de

son contexte (Interne)

Management de la Sécurité de l'Information: ISO 27001/27002 │PR. YASSINE MALEH│ SEPTEMBRE 2024 │ 155
SCOPE DU SMSI

4.1 Guidance d’implémentation

Examen de l'environnement Question

▪ Identifier les questions externes pertinentes La question est toujours la même : "Comment
▪ Les questions externes ne sont pas du un aspect affecte-t-il les objectifs de sécurité de
ressort d'un 0. l'information ?

Examen des aspects internes • Confidentialité

▪ Identifier les questions internes pertinentes • Intégrité
▪ Les questions internes sont sous le contrôle • Disponibilité
d'un 0.

Management de la Sécurité de l'Information: ISO 27001/27002 │PR. YASSINE MALEH│ SEPTEMBRE 2024 │ 156
SCOPE DU SMSI
4 .2 C om pr é h e ns ion de s be s oi ns e t
de s a tt e nt e s de s pa r t ie s i nt é r e s s é e s

4.2
Activité requise
L'organisme détermine les parties intéressées par le SMSI et leurs exigences en
matière de sécurité de l'information.

Management de la Sécurité de l'Information: ISO 27001/27002 │PR. YASSINE MALEH│ SEPTEMBRE 2024 │ 157
 "Une personne ou une organisation qui peut affecter, être
affectée ou se percevoir comme étant affectée par une
décision ou une activité.

Interested Party
ISO/IEC 27000:2018

Management de la Sécurité de l'Information: ISO 27001/27002 │PR. YASSINE MALEH│ SEPTEMBRE 2024 │ 158
SCOPE DU SMSI

Types de parties intéressantes

• Pertinent pour le SMSI

Externe • Besoins, attentes et exigences spécifiques en matière de sécurité de l'information

• Pertinent pour le SMSI

Interne • Besoins, attentes et exigences spécifiques en matière de sécurité de l'information

Management de la Sécurité de l'Information: ISO 27001/27002 │PR. YASSINE MALEH│ SEPTEMBRE 2024 │ 159
SCOPE DU SMSI

Parties externes

Banques Législateurs

Actionnaires
Clients

Concurrents Fournisseurs

Management de la Sécurité de l'Information: ISO 27001/27002 │PR. YASSINE MALEH│ SEPTEMBRE 2024 │ 160
SCOPE DU SMSI

Parties internes Management

Propriétaires
process
Propriétaires
d'informations

Conseil des Propriétaires

employées système

Département HR

Département
commercial
Employées

Management de la Sécurité de l'Information: ISO 27001/27002 │PR. YASSINE MALEH│ SEPTEMBRE 2024 │ 161
SCOPE DU SMSI

Guidance d’implémentation

Gouvernement Client clé

• Respect de la réglementation en matière de • Certification ISO 27001
protection de la vie privée • Disponibilité des services
• Respect des accords de niveau de service
(SLA)
Employés
• Lieu de travail sécurisé Comité des employées
• Politiques et lignes directrices claires • Conformité avec les réglementations en
matière de protection de la vie privée

Management de la Sécurité de l'Information: ISO 27001/27002 │PR. YASSINE MALEH│ SEPTEMBRE 2024 │ 162
SCOPE DU SMSI
4 .3 D é te r m i na ti on du dom a i ne d ’a pp lic a t ion
du S y s tè m e de m a na g e m e nt de la s é c u r ité
de l'i nf or m a ti on

4.3
Activité requise
L'organisation détermine les limites et l'applicabilité du SMSI afin d'en
établir le scope.

Management de la Sécurité de l'Information: ISO 27001/27002 │PR. YASSINE MALEH│ SEPTEMBRE 2024 │ 163
Le scope définit où et pourquoi
exactement le SMSI est applicable
et où et pourquoi il ne l'est pas.
ISO 27003:2017
SCOPE DU SMSI

Scope SMSI

Scope organisationnel
Entités juridiques, processus,
fournisseurs, départements, etc.

Scope TIC
Fonctions, services, etc.

Scope physique
Sites, sections spécifiques, etc.

Management de la Sécurité de l'Information: ISO 27001/27002 │PR. YASSINE MALEH│ SEPTEMBRE 2024 │ 165
SCOPE DU SMSI

Système de Management
Scope

Scope
Partie dans laquelle une
déclaration est valable.

Management de la Sécurité de l'Information: ISO 27001/27002 │PR. YASSINE MALEH│ SEPTEMBRE 2024 │ 166
SCOPE DU SMSI

Système de Management
Scope

Trois dimensions à prendre en

considération:

Management de la Sécurité de l'Information: ISO 27001/27002 │PR. YASSINE MALEH│ SEPTEMBRE 2024 │ 167
SCOPE DU SMSI

Système de Management
Scope: Directives pour Définir le Scope
Quelques limites à considérer :
▪ Activités de l'entreprise
▪ Lieu spécifique
▪ Canal spécifique, p. ex. transactions en ligne
Produits / services spécifiques
▪ Considérations du point de vue de vos clients

La portée doit être suffisamment large pour être

significative et utile.

Management de la Sécurité de l'Information: ISO 27001/27002 │PR. YASSINE MALEH│ SEPTEMBRE 2024 │ 168
SCOPE DU SMSI

Enoncé du Scope
Exemple
L’énoncé du scope est public et est généralement disponible auprès de l'organisme
de certification qui a émis le certificat. Cet énoncé synthèse sera inscrit sur le
certificat. II devrait être :
1. Aussi simple que possible
2. Compréhensible par les parties externes
3. Assez précis pour exprimer ce qui est couvert par la certification

Exemple : Edition et services d’hebergement Web

Management de la Sécurité de l'Information: ISO 27001/27002 │PR. YASSINE MALEH│ SEPTEMBRE 2024 │ 169
SCOPE DU SMSI

Guidance d’implémentation

Scope Scope
Scope final Approbation
Préliminaire redéfini

Management de la Sécurité de l'Information: ISO 27001/27002 │PR. YASSINE MALEH│ SEPTEMBRE 2024 │ 170
SCOPE DU SMSI

Téléchargez votre modèle de

scope
La déclaration de périmètre est un élément clé d'un système de gestion de la
sécurité de l'information conforme à ISO 27001. Un modèle téléchargeable
est disponible pour vous aider à définir rapidement les limites de votre SMSI.

Management de la Sécurité de l'Information: ISO 27001/27002 │PR. YASSINE MALEH│ SEPTEMBRE 2024 │ 171
SCOPE DU SMSI
4 .4 Sy s t è m e de m a na ge m e n t de l a s é c ur it é
de l'i nf or m a ti on

4.4
Activité requise
L'organisation établit, met en œuvre, maintient et améliore
continuellement le SMSI.

Management de la Sécurité de l'Information: ISO 27001/27002 │PR. YASSINE MALEH│ SEPTEMBRE 2024 │ 172
SCOPE DU SMSI

Cycle de vie SMSI

Amélioration
Établir Implémenter Maintenir
continue

Management de la Sécurité de l'Information: ISO 27001/27002 │PR. YASSINE MALEH│ SEPTEMBRE 2024 │ 173
SCOPE DU SMSI

Déterminer le Scope du SMSI (15 min)

Étude de cas 1 : Détermination le scope du SMSI pour le groupe GlobalMantics

Cette mission consiste à déterminer le champ d'application d'un système de

management de la sécurité de l'information (SMSI) pour le groupe GlobalMantics.

1. Identifiez les informations clés sur lesquelles GlobalMantics devrait s'appuyer pour
exécuter efficacement ses opérations commerciales dans les différentes divisions
et départements. Vous êtes libre d'émettre des hypothèses basées sur votre propre
expérience et sur ce que vous attendez d'une entreprise manufacturière.

Management de la Sécurité de l'Information: ISO 27001/27002 │PR. YASSINE MALEH│ SEPTEMBRE 2024 │ 174
SCOPE DU SMSI

Déterminer le Scope du SMSI (60 min)

Étude de cas 1 : Détermination le scope du SMSI pour le groupe GlobalMantics
Dans ce travail, vous appliquerez vos connaissances de la norme ISO 27001 à la fiction GlobalMantics, en
déterminant le champ d'application d’un SMSI et en identifiant les questions externes et internes pertinentes,
ainsi que les parties intéressées.
• Lisez l'étude de cas : Familiarisez-vous avec l'étude de cas GlobalMantics, car ce travail est basé sur
les informations fournies dans l'étude de cas. Comprenez l'historique de l'entreprise, ses produits et
services, sa structure organisationnelle et son infrastructure informatique.
• Examiner les clauses de la norme ISO 27001 : Accordez une attention particulière aux clauses 4.1,
4.2 et 4.3, car elles sont pertinentes pour ce travail. Ces clauses décrivent les exigences relatives à la
détermination des questions externes et internes, à l'identification des parties intéressées et à la
définition du champ d'application d’un SMSI
• Modèle de champ d'application : N'hésitez pas à utiliser le modèle de périmètre fourni pour
documenter vos résultats.
1. Identifier les facteurs externes et internes pertinentes pour GlobalMantics, comme décrit dans la
clause 4.1.
2. Déterminer les parties intéressées et leurs exigences, comme décrit dans la clause 4.2.
3. Définir le champ d'application du SMSI pour GlobalMantics, comme décrit dans l'article 4.3.

Management de la Sécurité de l'Information: ISO 27001/27002 │PR. YASSINE MALEH│ SEPTEMBRE 2024 │ 175