PECB Webinaire: Certification ISO 27001, mythes et réalités

490 vues

Publié le

Les points qui seront abordés :

1- Faire un état-des-lieux clairvoyant,
2- Délimiter un périmètre réaliste … mais évolutif,
3- Etablir un plan d’actions pragmatique en s’appuyant sur ses points forts !

Participez au webinaire animé par Sébastien RABAUD, Consultant Senior SCASSI : En route vers ISO 27001!

Publié dans : Formation
0 commentaire
1 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
490
Sur SlideShare
0
Issues des intégrations
0
Intégrations
13
Actions
Partages
0
Téléchargements
0
Commentaires
0
J’aime
1
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

PECB Webinaire: Certification ISO 27001, mythes et réalités

  1. 1. ISO 27001, mythes et réalités Webinar PECB – 23 septembre 2015 Ce webinar est proposé et animé par Sébastien RABAUD, Consultant Senior & Associé chez SCASSI
  2. 2. ISO 27001, pour quoi faire ? Pour quels objectifs ? Pour quels bénéfices ? Avec ou sans certification ? ISO27001, quoi faire ? Révisions Points-clés, pièges, bonnes pratiques, … ISO 27001, comment faire ? Un état des lieux et un plan d’action détaillé En route vers la certification … Agenda 2 Reproduction interdite sans autorisation explicite de SCASSI
  3. 3. ISO 27001, pourquoi faire ? Pour quels objectifs ? Pour quels bénéfices ? Avec ou sans certification ? ISO27001, quoi faire ? Révisions Points-clés, pièges, bonnes pratiques, … ISO 27001, comment faire ? Un état des lieux et un plan d’action détaillés En route vers la certification … En route vers ISO 27001 3 Reproduction interdite sans autorisation explicite de SCASSI
  4. 4. ISO 27001, pourquoi faire ? Quels objectifs* ? 4 Reproduction interdite sans autorisation explicite de SCASSI Avantage concurrentiel Confiance Conformité (*) Arguments « directs », « traditionnels » …
  5. 5. ISO 27001, pourquoi faire ? Pour quels objectifs ? Pour quels bénéfices ? Avec ou sans certification ? ISO27001, quoi faire ? Révisions Points-clés, pièges, bonnes, pratiques, … ISO 27001, comment faire ? Un état des lieux et un plan d’action détaillés En route vers la certification … Agenda 5 Reproduction interdite sans autorisation explicite de SCASSI
  6. 6. ISO 27001, pourquoi faire ? Quels bénéfices (« indirects » / « réels ») ? 6 Reproduction interdite sans autorisation explicite de SCASSI Image de marque Adhésion / responsabilisation Optimisation des coûts * (*) Diminution de la charge des audits externes (*) Baisse du coût des incidents (occurrence / impact) (*) Rationalisation des activités sécurité Sécurité = positif !
  7. 7. ISO 27001, pourquoi faire ? Pour quels objectifs ? Pour quels bénéfices réels ? Avec ou sans certification ? ISO27001, quoi faire ? Révisions Points-clés, pièges, bonnes, pratiques, … ISO 27001, comment faire ? Un état des lieux et un plan d’action détaillés En route vers la certification … Agenda 7 Reproduction interdite sans autorisation explicite de SCASSI
  8. 8. ISO 27001, pourquoi faire ? Avec ou sans certification ? 8 Reproduction interdite sans autorisation explicite de SCASSI AVEC SANS Objectifs de délais, de « niveau de risque », … Best effort * Adhésion / support de la direction Best effort * Investissement des acteurs Best effort * Niveau de priorité important Best effort * (*) Avec tout ce que cela implique …
  9. 9. ISO 27001, pourquoi faire ? Pour quels objectifs espérés ? Pour quels bénéfices réels ? Avec ou sans certification ? ISO27001, quoi faire ? Révisions Points-clés, pièges, bonnes, pratiques, … ISO 27001, comment faire ? Un état des lieux et un plan d’action détaillés En route vers la certification … Agenda 9 Reproduction interdite sans autorisation explicite de SCASSI
  10. 10. ISO27001, quoi faire ? ISO 27001 décrit un système de management (clauses 4 à 10) de la sécurité de l’information (Annexe A) Révisions … 10 Reproduction interdite sans autorisation explicite de SCASSI Analyse de risques Plan de traitement des risques Organisation Rôles et responsabilités Sensibilisation Projets sécurité Clauses 4 à 10 Politiques Annexe A DdA / SoA Opérations Audit interne Incidents / Problèmes Indicateurs Tests d’intrusions Pilotage / SuiviRevues périodiques Annexe A DO PLANCHECK ACT
  11. 11. ISO 27001, pourquoi faire ? Pour quels objectifs espérés ? Pour quels bénéfices réels ? Avec ou sans certification ? ISO27001, quoi faire ? Révisions Points-clés, pièges, bonnes, pratiques, … ISO 27001, comment faire ? Un état des lieux et un plan d’action détaillés En route vers la certification … Agenda 11 Reproduction interdite sans autorisation explicite de SCASSI
  12. 12. ISO27001, quoi faire ? Obtenir la certification, c’est surtout et avant tout … Points-clés, pièges, bonnes pratiques … 12 Reproduction interdite sans autorisation explicite de SCASSI Organiser Rôles et responsabilités : données, risques, systèmes, réseaux, applis, … Référents Instances / comités Piloter / animer en cohérence avec les risques Analyse et plan de traitement des risques, DdA Décrire / Formaliser Politiques, Continuité d’activité, Procédures (incidents, …) Contrôler et améliorer Indicateurs, revues, audits, ACP, … Mettre en œuvre Sensibilisation, Activités, …
  13. 13. ISO27001, quoi faire ? Et cela principalement avec : Des ressources humaines « existantes » De « l’huile de coude » et du bon sens Le « delta » avec ce que l’on aurait fait « de toute façon » n’est pas forcément si important … Sans forcément « d’investissements » importants Points-clés, pièges, bonnes pratiques … 13 Reproduction interdite sans autorisation explicite de SCASSI
  14. 14. ISO27001, quoi faire ? Domaine d’application / périmètre S’exprime en termes d’activités, sites, entités organisationnelles, personnels, … Ne pas hésiter à partir « petit » … (de toute façon, les activités périmétriques en bénéficieront) Ex : Exploitation vs Développement Périmètre SMSI peut-être différent du périmètre de certification Peut-être fixé définitivement « plus tard » Points-clés, pièges, bonnes pratiques … 14 Reproduction interdite sans autorisation explicite de SCASSI
  15. 15. ISO27001, quoi faire ? S’appuyer sur l’existant, réutiliser en améliorant Ne pas forcément remettre en cause immédiatement l’analyse de risque, les politiques de sécurité, s’il en existe déjà … mais les améliorer (ex : analyse de risque orientée « continuité ») Intégrer les besoins liés à la sécurité de l’information dans les processus, méthodologies et outils Gestion de projet Gestion des incidents Gestion des accès Gestion de configuration / CMDB Points-clés, pièges, bonnes pratiques … 15 Reproduction interdite sans autorisation explicite de SCASSI
  16. 16. ISO27001, quoi faire ? Importance de l’humain dans le dispositif … Car les personnels sont une composante essentielle du système de management, au même titre que l’organisation Un bonne partie de l’audit de certification consiste à interviewer des acteurs du SMSI … S’appuyer sur des référents / correspondants Points-clés, pièges, bonnes pratiques … 16 Reproduction interdite sans autorisation explicite de SCASSI … et donc de la sensibilisation / formation L’huile dans les rouages … L’humain « convaincu » est plus efficace que l’humain « contraint » !
  17. 17. ISO27001, quoi faire ? (Comment) Impliquer la direction ? « Utiliser » des risques « qui parlent » : parts de marché, chiffre d’affaire, rentabilité, productivité, … Sur les aspects communication … Ne pas oublier les tiers … ils font partie du SMSI ! Points-clés, pièges, bonnes pratiques … 17 Reproduction interdite sans autorisation explicite de SCASSI
  18. 18. ISO 27001, pourquoi faire ? Pour quels objectifs espérés ? Pour quels bénéfices réels ? Avec ou sans certification ? ISO27001, quoi faire ? Révisions Points-clés, pièges, bonnes, pratiques, … ISO 27001, comment faire ? Un état des lieux et un plan d’action détaillés En route vers la certification … Agenda 18 Reproduction interdite sans autorisation explicite de SCASSI
  19. 19. ISO27001, comment faire ? Basés principalement sur des entretiens avec « l’ensemble » des acteurs impliqués dans le SMSI Une première étape en matière de sensibilisation Approche résolument « participative » : comment çà marche ? Échanges sur les améliorations possibles ? les risques ? Sur l’ensemble des thèmes : Transverses : politiques, rôles et responsabilités, risques, … Spécifiques à l’activité Un « entrainement » pour l’audit de certification Avec un compte-rendu détaillé Liste des documents « identifiés » Non-conformités Recommandations Points « à traiter » Etat des lieux et plan d’actions 19 Reproduction interdite sans autorisation explicite de SCASSI Entretiens
  20. 20. ISO27001, comment faire ? En route vers la certification … 20 Reproduction interdite sans autorisation explicite de SCASSI Iso 27001 be ready: séquencé,sur ladurée, orientérésultat Etat des lieux et plan d’actions Mise en œuvre du plan d’actions Audit de certification Audit à blanc Entretiens, analyse documentaire, visites... Organisation SMSI, plan traitement des risques, mesures de sécurité, indicateurs et tableaux de bord, formation & sensibilisation Simulation d’un audit de certification Préparation au déroulement de l’audit, présence physique lors de l’audit
  21. 21. www.scassi.com TOULOUSE Bât. Agora 1 209 rue Jean Bart 31670 Labège +33 (0) 561 17 08 54 PARIS 52, Bd Sébastopol 75003 Paris 3 MADRID Calle Capitan Haya, 38 – 4° 28020 Madrid +34 91 360 51 18 contact@scassi.com Merci de votre attention Des questions ? La reproduction de ce document est interdite sans la permission écrite de Scassi. 12

×