Définition de « détails » : oublis entre les lignes concepts entre 2 chaises dénis délibérés manque de discernement et d’imagination
Sondage dans la salle Qui travaille en sécurité ? Qui travaille en continuité ? Qui a déjà rédigé au complet une politique de sécurité ? Qui a déjà rédigé au complet une politique de continuité ?
… ne sont pas vues comme génératrices de revenus (batailles budgétaire) … font partie du processus global de gestion des risques. … ne créent et acquièrent de la valeur qu’en cas d’incident. … sont souvent 2 unités d’affaires différentes et séparées (batailles politiques) … sont souvent cantonnées aux services TIC. … sont les responsabilités intrinsèques de chaque salarié. (objectifs des fiches de postes et non uniquement dans les codes à signer) … sont 2 processus critiques et transverses de l’entreprise. … ont des concepts communs et complémentaires. … DEVRAIENT FONCTIONNER DE CONCERT !
PUBLIEES ISO 27000 vocabulaire et définitions (terminologie pour l'ensemble des standards). Statut : Publiée. ISO 27001 décrit les exigences d'un système de pilotage de la sécurité des informations, basé sur la BS7799. Statut : Publiée. ISO 27002 décrit un ensemble cohérent d'objectifs de contrôles de la sécurité fondé sur 11 Chapitres principaux Statut : Publiée. ISO 27003 contient un guide de mise en œuvre pour l'implémentation du SMSI . Statut : Publiée. ISO 27004 propose une base de métriques de sécurité permettant de mesurer l'efficacité de la mise en œuvre de la PSSI. Statut : Publiée. ISO 27005 propose une méthode de gestion des risques . Statut : Publiée. ISO 27006 contient un cadre pour les exercices liés à l'audit et à la certification des SMSI . Statut : Publiée. ISO 27799 Décinaison de l'ISO 27002 pour le secteur de la santé. Statut : Publiée . DRAFTS ISO 27007 proposera des instructions pour les audits accrédités en cas d'audit ISO 27001 d'un SMSI . Status : Draft ISO 27008 proposera des instructions pour les auditeurs accrédités concernant les Contrôles ISO 27002 . Status : Draft ISO 27011 proposera un guide pour le secteur des télécommunications . Statut : Draft. ISO 27012 proposera un guide pour le secteur financier . Statut : Proposée. ISO 27013 proposera un guide pour le secteur de l' Industrie lourde . Statut : Proposée. ISO 27015 proposera un guide pour l' accréditation . Statut : Proposée. ISO 27016 proposera des méthodes pour les audits et revues . Statut : Proposée. ISO 27032 proposera un guide lié à la cybersécurité (Internet) . Statut : Draft. ISO 27033-x proposera un guide pour la sécurité des réseaux . Statut : Draft. ISO 27034-1 proposera un guide pour la sécurité applicative . Statut : Draft. ISO 27035 proposera un guide de gestion des incidents de sécurité . Statut : Draft. CONTINUITE EN DRAFT ISO 27031 proposera un cadre pour la continuité d'activité . Statut : Publié en 2011
provision of disaster recovery services (ISO/IEC 24762), network security (ISO/IEC 18028), intrusion detection systems (ISO/IEC 18043), information security incident management (ISO/IEC TR 18044). ICT readiness for business continuity (ISO/IEC 27031). ISO/IEC 27031 supports clause 14 (Business Continuity Management control objectives) of ISO/IEC 27002 in the management of information security, its scope extends well beyond the information security management domain and intends to elaborate how to plan and maintain an organization's ICT readiness in support of its business continuity management effort. Contrôles de sécurité en amont du BCP Incidents de Sécurité qui mènent au BCP
Comme la ISO 17799 est issue de la BS 7799, la ISO 22301 est issue directement du cadre de la BS 25999. – BS25111 –Human Aspects of BC – BS25666 –Exercising – BS25777 –ICT BCM (Information and Communication Technology Business Continuity Manage – BS25888 –Recovery (in development) – PAS 200 –Crisis management – ISO 22301 -International Business Continuity Standard (specification) – ISO 22399 –Code of practice supporting ISO 22301 – ISO 27031 -ICT Readiness for Business Continuity J’ai cherché le jalon « sécurité » de la norme sur internet, je n’ai rien trouvé de très important. J’ai été directement lire l’ISO et voilà la cible de ce chapitre :
Chaque actif est associé à un propriétaire , le propriétaire détermine sa valeur intrinsèque pour l’organisation et définit un responsable de l'actif (owner et custodian) Une menace vise un actif Un actif présente une vulnérabilité Une menace exploite une vulnérabilité s’attaquant directement à la valeur de l’actif, c’est l’impact La probabilité de cette occurrence assimilé à son impact sur l’organisation définit le risque lié à l’actif PROBLEME : LES ACTIFS IMBRIQUES, ACTIFS IMPACTANT DIRECTEMENT D’AUTRES ACTIFS En amont, analyse de risques et d’impact En aval, sensibilisation, implantation, tests et vérifications En substance, éléments de recommandation stratégique et tactiques Depuis le 15 juin 2011, la norme ISAE 3402 a pris le relais de SAS 70, lui apportant une dimension plus internationale.
La vraie problématique de la continuité c’est sa praticité : le problème du « lance moi le binder !» et la question existentielle « les emails sont-ils un actif critique ?» Gros investissements en amont pour écrire une PCA/PRA Suivi des stratégies de haut niveau proposée par l’ISO ne permettent pas de descendre facilement au niveau tactique réel Les investissements au niveau des tests sont plus important et intéressant dans la découverte des activités métier
Nouveau concept du jour = « High », « Medium », « Low », « Critical » pour les téméraires et pour les créatifs « irritant » Le faux-incident = le voisin a pris feu tout le monde croit que c’est moi L’incident partiel à impact significatif modéré = sérieux mais pas trop Intégration dans les BIAs = NON trop couteux !
La sécurité obstacle à la continuité L’excès de sécurité crée l’incident « gris » Les contrôles préventifs de sécurité sont appliqués aux hommes et aux machines, mais très peu au processus La continuité obstacle à la sécurité La « pré-action » crée souvent la faille sécurité L’urgence régit le décisionnel et l’opérationnel > CMMI 3 à 1 par incompréhension du processus Les prises de risques se font « ad-hoc » et rarement par leurs propriétaires L’organisation ne fonctionne plus via ses contrôles habituels L’organisation risque d’être menée par ses leaders psychologiques « anti-champions » et non des learders métiers
D’autres exemples : L’alerte à la bombe avec prise en main par les forces de l’ordre. La manifestation devant une tour, le site de BCP froid plein de gens sauf les concernés.
L’analyse de conformité du plan de continuité à la politique de sécurité d’un point de vue opérationnel et de l’interopérabilité des actifs de relève tiers.
Liste des contrôle de sécurité dégradés Tableau comparatif des contrôles de sécurité applicables en temps normal, en processus d’urgence et de reprise. Processus d’autocontrôle Les post-mortem de chaque tests de continuité doivent être fait au niveau opérationnel par l’équipe de gestion des risques pour les propriétaires d’actifs eux-mêmes pour lister les actions menées en urgence et « sans-filet ».