SlideShare une entreprise Scribd logo
1  sur  41
Télécharger pour lire hors ligne
Avril 2013

Présenté par:
DIALLO Boubacar ISSIM
1
I.
II.
III.

IV.
V.
1.

2.
3.
4.
5.
VI.
VII.

Les systèmes de management
La sécurité de l’information
Les Systèmes de Management de la Sécurité de
l’Informatique (SMSI)
Les normes de la famille ISO/CEI 2700x
La norme ISO/CEI 27001
Présentation
La phase « PLAN » du PDCA
La phase « DO » du PDCA
La phase « CHECK » du PDCA
La phase « ACT » du PDCA
Mise en place d’un SMSI
Utilisation des normes
2






Définition selon ISO 9000: c’est un système permettant d’établir une
politique, des objectifs et atteindre ces objectifs

Un Système de Management: est un ensemble de mesures
organisationnelles et techniques permettant d’atteindre un objectif une
fois atteint, d’y rester dans la durée.

Le fonctionnement d’un système de management se fait selon le modèle
PDCA (Roue de Deming) de l’anglais Plan, Do, Check, Act, en français
planifier, faire, contrôler et corriger.

3








Roue de Deming: Inventer par Walter Andrew SHEWHART (Statisticien
Américain)
Appelé « roue de Shewhart » par William Edwards DEMING
(Scientifique Américain inventeur des principes de qualité) et qu’il lui
a emprunté en 1922.
Le model PDCA (Roue de Deming): se définit en 4 étapes récurrentes:
1. Plan : dire ce que l’on va réaliser dans un domaine particulier.
2. Do : faire ce qui a été annoncé.
3. Check : vérifier les écarts entre les phases « plan » et «do ».
4. Act : ajuster les écarts constatés de la phase « check ».
Notons que le modèle PDCA s’applique au système de management
dans son ensemble ainsi qu’à chacun de ses processus.

4


On retrouve les systèmes de management dans des secteurs
d’activités aussi variés que:
la santé et la sécurité du travail (SMSST) avec la norme
OHSAS 18001;
l’environnement (SME) avec la norme ISO 14001;
les services informatiques avec le référentiel ISO/CEI
20000: pas encore sur le modèle PDCA;
la sécurité alimentaire (SMSA) avec la norme ISO 22000;
La qualité(SMQ) avec la norme ISO 9001;
la sécurité de l’information (SMSI) avec la norme ISO/CEI
27001 que nous allons traiter au cours de cet exposé.

5
6






L’information est à prendre au sens large du terme; Elle doit être
étudiée sous toutes ses formes indépendamment de son support,
humain, papier, logiciel, etc.
Le terme sécurité doit être compris comme l’ensemble des moyens
déployés pour se protéger contre les actes de malveillance.
La sécurité de l’information est définie à travers les notions:
 Confidentialité : seuls les entités, personnes et processus autorisés, ont accès à
l’information.
 Intégrité : l’information ne peut être modifiée que par ceux qui en ont le droit.
 Disponibilité : l’information doit être accessible à l’entité, la personne ou le
processus qui a un droit d’accès.

 Ces trois principes de sécurité peuvent être étendus, la SI intègre
d’autres notions telles que l’authentification, la traçabilité, la nonrépudiation, l’imputabilité qui constituent des mécanismes de
sécurité que l’on déploie en fonction des besoins de sécurité de
l’organisme

7






Plusieurs appellation:
o SMSI: Système de Management de la Sécurité de l’Information
o SGSSI: Système de Gestion de la Sécurité des Systèmes
d’Information
o SGSI: Système de Gestion de Sécurité de l’Information
o ISMS: Information Security Management System
Un SMSI : est un ensemble d’éléments interactifs permettant à un
organisme de fixer une politique et des objectifs de sécurité de
l’information, d’appliquer la politique, d’atteindre ces objectifs, de
les contrôler et de les améliorer.
Les objectifs sont fixés sur un périmètre défini et doivent être en
adéquation avec les besoins de l’organisme concerné: les mesures
de sécurité sont à déployer en fonction du contexte, avec un juste
dosage, sans exagérations, ni trop de tolérance avec comme finalité
la protection des actifs d’information.

8
9
Historique
 L’ISO (Organisation Internationale de Normalisation) est le fruit d’une collaboration
entre différents organismes de normalisation nationaux.
 Au début du XXIème siècle, L’American Institute of Electrical Engineer invite quatre
autres instituts professionnels pour constituer une première organisation nationale,
l’AESC (American Engineering Standards Committee) qui aura pour objectif de
publier des standards industriels communs avant de prendre le nom d’ASA
(American Standards Association) et d’établir des procédures standardisées pour la
production militaire pendant la seconde guerre mondiale.
 En 1947, l’ASA, le BSI (British Standards Institute), l’AFNOR (Association Française
de Normalisation) et les organisations de normalisation de 22 autres pays fondent
l’Organisation Internationale de Normalisation (ISO).
 La CEI (Commission Electronique Internationale) est chargée de la normalisation
d’équipements électriques.
 Il est courant de voir ISO/CEI pour nommer une norme élaborée conjointement par
les deux organismes.
 En 1987, l’ISO et le CEI créent le Joint Technical Committee (JTC1) pour la
normalisation des Technologies de l’Information (TI).
 Le JTC1 est composé de plusieurs comités techniques qui traitent de sujets tels que
la biométrie, la téléinformatique, les interfaces utilisateurs ou encore les
techniques de sécurité de l’information relatives aux normes de la série ISO/CEI
2700x.

10


Dans la famille ISO/CEI on trouve deux catégories de normes.
 Celles qui émettent des exigences : ISO/CEI 27001
 celles qui formulent des recommandations : ISO/CEI 27002

 Notons que certaines normes sont encore en cours de
rédaction,
 c’est le cas des normes ISO/CEI 27007 « Audit des SMSI »
 et ISO/CEI 27008 « Audit des mesures de sécurité ».
 La norme ISO/CEI 27001 formule les exigences relatives aux
SMSI et fournit une liste de mesures de sécurité pouvant être
intégrées au système.

11
L’ISO/CEI 27000: Principe et vocabulaire




Publiée pour répondre au besoin de définir une terminologie pour les
SMSI.
L’ISO/CEI 27000 est structurée en trois parties:
I.

La première, définit 46 termes tels que, la confidentialité, l’intégrité,
la disponibilité, l’authenticité, tous principalement axés sur
l’appréciation et l’analyse des risques, des menaces, de la
vulnérabilité, etc.
II. La deuxième partie développe la notion de processus avec le modèle
PDCA et présente les concepts propres aux SMSI comme par
exemple, l’importance de l’engagement de la direction.
III. La troisième partie, est une présentation de l’ensemble des normes
de la famille ISO/CEI 2700x.
 L’ISO/CEI 27000 fourni les notions et le vocabulaire commun permettant
une bonne compréhension des SMSI.

12
L’ISO/CEI 27002: Guide de bonne pratique (Mesure de sécurité)
 publiée en juillet 2007 par l'ISO (remplace ISO 17799 depuis), définie le
code de bonnes pratiques pour la gestion de la sécurité de l'information
 Cette norme propose sur onze chapitres, une liste de 133 mesures de
sécurité accompagnées chacune de points à aborder pour la mise en
place d’un SMSI.

Chacun des 11 chapitres
◦ spécifie les objectifs à atteindre
◦ énumère un ensemble de 133 mesures ou « best practices » pour atteindre ces
objectifs
 La norme ISO ne détaille pas ces mesures car:
◦ chaque organisation est différente
◦ les risques sont différents pour chaque organisation
◦ l’évaluation des risques et de leur impact sont donc propre à l’organisation
◦ les « best practices » sont donc plus ou moins appropriées
 En résumé, l’ISO/CEI 27002 est un guide de bonnes pratiques, une série de
préconisations concrètes, abordant les aspects tant organisationnels que
techniques, qui permettent de mener à bien les différentes actions dans la mise en
place d’un SMSI.


13
Les 11 objectifs principaux
 Chapitre 5 : Politique de sécurité

 Ce chapitre définit la politique de sécurité (Document et Réexamen)



Chapitre 6 : Organisation de la sécurité de l’information
 Définit l’organisation interne et externe de l’organisme.



Chapitre 7 : Gestion des biens

 Identifie, classifie et définit les responsabilités relatives aux biens et leurs
utilisation.



Chapitre 8 : Sécurité liée aux ressources humaines

 Définit le rôle et la responsabilité des ressources humaine avant
recrutement, pendant la durée du contrat et à la fin ou la modification du
contrat.



Chapitre 9 : Sécurité physique et environnementale

 Définit les zones sécurisées (périmètre de sécurité) et la sécurité du
matériel ainsi que son recyclage.

14
Les 11 objectifs principaux
 Chapitre 10 : Gestion des communications et de l'exploitation
 Définit les procedures et responsibilities liées à
l’exploitation,
 Surveillance, réexamen et gestion des modifications des
services tiers,
 Planification et acceptation du système,
 Protection contre les codes malveillant et mobile
 Sauvegarde des informations
 Gestion de la sécurité des réseaux
 Manipulation des supports
 Politique et procedure d’échange des informations
 Services et commerce électronique
 Surveillance et protection des informations de journalisées

15
Les 11 objectifs principaux
 Chapitre 11 : Contrôles d’accès










Exigences métier relatives au contrôle d’accès
Gestion de l’accès utilisateur
Responsabilité des utilisateurs
Contrôle d’accès au réseau
Contrôle d’accès au système d’exploitation
Contrôle d’accès aux applications et à l’information
Informatique mobile, télécommunication et télétravail








Exigences de sécurité applicable aux systèmes d’information
Bon fonctionnement des applications
Politique d’utilisation des mesures cryptographique et la gestion de clé
Mesure relative aux logiciels d’exploitation (Sécurité des fichiers système)
Sécurité en matière de développement et d’assistance technique
Mesure relative aux vulnérabilités techniques (Gestion des vulnérabilités
techniques)

Chapitre 12 : Acquisition, développement et maintenance des
systèmes d'information

16
Les 11 objectifs principaux
 Chapitre 13 : Gestion des incidents liés à la sécurité de
l'information

 Signalement des évènements et des failles liés à la sécurité de
l’information
 Gestion des améliorations et incidents liés à la sécurité de l’information



Chapitre 14 : Gestion de la continuité d’activité

 Intégration de la sécurité de l’information dans le processus de PCA
 Elaboration, mise ne œuvre, planification, mise à l’essai, gestion et
appréciation constante des PCA intégrant la sécurité de l’information.



Chapitre 15 : Conformité légale et réglementaire






Conformité avec les exigences légales
Conformité avec la politique et les nomes de sécurité
Vérification de la conformité technique
Contrôle de l’audit des systèmes d’information
Protection des outils d’audit du système d’information

17
L’ISO/CEI 27003: Guide d’implémentation
 Publiée en janvier 2010, ISO 27003 facilite la mise en œuvre du
SMSI. Elle est utilisée en complément de la norme ISO 27001.
 L’ISO 27003 propose cinq étapes pour implémenter le SMSI.
 Ces étapes concernent l’initialisation du projet, sa politique et
son périmètre, l’analyse des exigences en matière de sécurité de
l’information, l’appréciation des risques et enfin l’élaboration du
SMSI.
 Chacune de ces étapes est divisée en activités qui font l’objet
d’une clause contenant :







un résumé de l’activité (explication de l’étape en question),
les entrées (tous les documents à utiliser au cours de l’étape),
les recommandations (détail des points à aborder),
les sorties (liste des livrables à produire).

En résumé, ISO 27003 propose un grand nombre de points à
aborder et énumère les documents à produire et à consulter.

18
L’ISO/CEI 27004: Métrique et Mesure
 Cette norme concerne la gestion des indicateurs.
 L’utilisation d’indicateurs dans le domaine de la sécurité est
nouvelle.
 La norme ISO/CEI 27001 impose leur mise en place dans le
SMSI mais sans préciser comment et leur utilisation.
 En utilisant les mesures des indicateurs l’objectif est
d’identifier les points du SMSI qui nécessitent une
amélioration ou une correction.
 Objectif : mesurer l'efficacité du système de management de
la sécurité de l’information et des mesures de sécurité

19
L’ISO/CEI 27005: Analyse de risque










Une des étapes du PDCA les plus difficiles à mettre en œuvre est « l’appréciation
des risques ».
L’ISO/CEI 27001 fixe des objectifs à atteindre pour être en conformité avec la
norme, mais ne donne aucune indication sur les moyens d’y parvenir.
L’ISO/CEI 27005 est constituée de douze chapitres. Les points les plus importants
sont traités dans les chapitres sept à douze.
 Chap7: établissement du contexte
 Chap8: appréciation du risque
 Chap9: traitement du risque
 Chap10: acceptation du risque
 Chap11: communication du risque
 Chap12: surveillance et révision du risque
En complément de ces chapitres, viennent s’ajouter six annexes proposant des
explications plus détaillées qui présentent des listes de menaces et vulnérabilités
types.
L’ISO/CEI 27005 peut aussi servir de référence aux organismes qui cherchent à
évaluer une méthode d’appréciation des risques

20
L’ISO/CEI 27005: Analyse de risque

21
L’ISO/CEI 27006: Certification
 Cette norme est une reprise enrichie de la norme ISO 17021.
 Etant destinée aux cabinets d’audit en charge de certifier les
organismes, l’ISO/CEI 27006 est moins connue que l’ISO/CEI 27001
qui s’adresse directement aux organismes souhaitant mettre en place
un SMSI.
 L’ISO/CEI 27006 fournit aux organismes de certification les
exigences qu’ils doivent faire respecter pour attribuer à leurs clients
une certification.
L’ISO/CEI 27007: Audit des SMSI
 Cette norme est à l’état de brouillon « WD »
 Working Draft: est l’état « projet » de la norme avant sa publication.
 L’ISO/CEI 27007 donnera les lignes directrices pour auditer les SMSI.

22
L’ISO/CEI 27008: Audit des mesures de sécurité
 A l’état de WD, l’ISO/CEI 27008 traitera de l’audit des SMSI en
proposant un guide qui permettra de contrôler les mesures de
sécurité.
 Elle fournira pour chacune des mesures de sécurité de la 27002,
des moyens d’analyse des besoins en contrôle, en tenant compte
de l’importance des risques et des actifs.
 On pourra ainsi déterminer les mesures à contrôler.
 Ces points sont importants car les auditeurs internes ou externes
doivent contrôler des mesures aussi variées que la gestion des
mots de passe, la procédure de gestion des incidents et le suivi
de législation en vigueur.

23
L’ISO/CEI 270xx: En préparation
 ISO/CEI 27010 Gestion de la communication inter secteur
 ISO/CEI 27031 Continuité d’activité
 ISO/CEI 27032 Cyber sécurité
 ISO/CEI 27033 Sécurité réseau
 ISO/CEI 27034 Sécurité des applications
 ISO/CEI 27035 Gestion des incidents
 ISO/CEI 27036 Audit des mesures de sécurité du SMSI
 ISO/CEI 27037 Gestion des preuves numériques


Il est à noter que certains secteurs comme les télécommunications ou
le domaine médical ont développé des normes plus spécifiques à leur
métier, ISO/CEI 27011 et ISO/CEI 27799.

24
Présentation
 Publiée en octobre 2005 et qui succède à la norme BS 7799-2
de BSI (British Standards Institution)
 Elle est une norme d'origine britannique dédiée au système de
management de la sécurité de l'information.
 L'ensemble ISO 27000 est décliné en plusieurs sous-normes
indicées, thématiques et sectorielles.
 Elle traite aussi bien de la gestion des risques que du pilotage
de la fonction (indicateurs et tableaux de bord). La norme ISO
27001 est orientée processus et propose en toute logique une
démarche d'amélioration continue de type PDCA.
 La norme ISO/CEI 27001 décrit les exigences pour la mise en
place d'un SMSI

25
Objectifs
 Spécifier les exigences pour
Mettre en place
Exploiter
Améliorer
 Un SMSI documenté
 Spécifier les exigences pour la mise en place de mesures de
sécurité
Adaptées aux besoins de l’organisation
Adéquates
Proportionnées

26
La phase « PLAN » du PDCA




Cette phase consiste à fixer les objectifs du
SMSI en suivant quatre grandes étapes:
 La politique et le périmètre du système
de management de la sécurité de
l’information,
 L’appréciation des risques,
 Le traitement des risques; décider en
tenant en compte des risques résiduels
 La sélection des mesures de sécurité
présentées dans le SoA(Statement of
Applicability).
Le Statement of Applicability: est un document
sous forme de tableau qui énumère les
mesures de sécurité du SMSI ainsi que celles
non appliquées

27
La phase « PLAN » du PDCA


La politique et le périmètre du SMSI: L’objectif est d’y inclure les activités pour
lesquelles les parties prenantes exigent un certain niveau de confiance.
 la politique: précise le niveau de sécurité qui sera appliqué au sein du périmètre du
SMSI.
 Le périmètre: peut être restreint ou peut couvrir l’ensemble des activités de
l’organisme

 L’appréciation des risques : cette étape concerne un des points les plus
importants de l’ISO/CEI 27001.
 Le problème de l’appréciation des risques n’est pas nouveau et est traité par
de nombreuses méthodes développées dans différents secteurs privés,
académiques et agences gouvernementales.
 En France, les plus connues sont EBIOS et MEHARI, aux Etats-Unis, OCTAVE.
L’ISO/CEI propose aussi une méthode, la norme ISO/CEI 27005, mais ne
l’impose pas.
 L’ISO/CEI 27001 ne fait que fixer un cahier des charges spécifiant chacune
des étapes clefs de l’appréciation des risques.

28
La phase « PLAN » du PDCA


Le processus d’appréciation des risques se déroule en sept étapes:
1. Identification des actifs: lister tous les actifs
2. Identification des propriétaires d’actifs: attribuer un
propriétaire à chaque actif
3. Identification des vulnérabilités: identifier les
vulnérabilités des actifs recensés
4. Identification des menaces: identifier les menaces
qui pèsent sur les actifs recensés
5. Identification des impactes: évaluer l’impact d’une
perte de confidentialité, de la disponibilité ou de
l’intégrité sur les actifs.
6. Evaluation de la vraisemblance: évaluer la
vraisemblance des précédentes étapes processus en
plaçant dans leur contexte les actifs.
7. Estimation des niveaux de risque: attribuer une
note finale reflétant le risque pour chacun des actifs.
29
La phase « PLAN » du PDCA




Le traitement des risques: cette étape concerne le choix du
traitement des risques.
L‟ISO/CEI 27001 a identifié quatre traitements possibles du risque:
1. Accepter: ne déployer aucune mesure de sécurité autre que celles déjà en place
si le risque n’aucun impact constaté sur l’organisme.
2. Eviter: supprimer l’activité ou le matériel offrant le risque.
3. Transférer: Lorsque l’organisme ne peut ou ne souhaite pas mettre en place les
mesures de sécurité qui permettrait de le réduire (souscription d’assurance ou
sous-traitance)
4. Réduire: prendre de mesures techniques et organisationnelles pour ramener le
risque à un niveau acceptable. C’est le traitement le plus courant.





Après avoir sélectionné le traitement et mis en place les mesures de
sécurité, un risque peut persister.
Il convient de traiter ce risque comme les autres (l’accepter, l’éviter,
le transférer ou le réduire).

30
La phase « PLAN » du PDCA










Le sélection des mesures de sécurité: cette étape consiste à sélectionner
les mesures de sécurité.
La norme ISO/CEI 27001 propose dans son annexe A, 133 mesures de
sécurité réparties sur onze chapitres (vue dans ISO/CEI 27002).
A ce stade, le travail consiste à dresser un tableau, appelé SoA (Statement
of Applicability) dans lequel figurent les 133 mesures qu’il faut déclarer
applicables ou non applicables, pour réduire les risques du SMSI.
Notons que les 133 mesures proposées par l’ISO/CEI 27001 répertorient
presque tout ce qui peut être entrepris en matière de sécurité de
l’information cependant, cette liste ne comporte pas d’exemples ni
d’explications sur le déploiement des mesures à entreprendre.
Une fois choisies la politique et le périmètre du SMSI, appréciés et traités
les risques, et sélectionnées les 133 mesures de sécurité dans le tableau
SoA, il faut passer à la mise en œuvre des objectifs fixés de la phase «
Plan » du PDCA.

31
La phase « DO » du PDCA


Cette phase consiste à décrire la mise en œuvre des mesures de
sécurité sélectionnées dans le SoA à travers quatre étapes.

1. Plan de traitement: gérer l’interdépendance des actions à entreprendre;
ce travail revient à établir un plan de traitement qui peut être assimilé à
de la gestion de projet.
 Ce travail terminé, il faut déployer les mesures de sécurité en suivant le
plan de traitement. Le responsable du projet doit donc définir des
mesures d’efficacité pour contrôler le bon fonctionnement du SMSI.
2. Choix des indicateurs: mettre en place des indicateurs de performance
pour vérifier l’efficacité des mesures de sécurité ainsi que des
indicateurs de conformité pour contrôler la conformité du SMSI.
 Il est à noter que la norme ne préconise pas d’indicateurs précis à utiliser
mais L’ISO/CEI 27004 propose une démarche qui peut aider au choix de
l’indicateur.

32
La phase « DO » du PDCA
3. Formation et sensibilisation des collaborateurs: la sensibilisation à la
sécurité du système d’information concerne tous les collaborateurs.
 Etant donné que les mesures de sécurité de l’information couvrent de
nombreux domaines allant de la sécurité organisationnelle à la sécurité
physique, en passant par la sécurité des réseaux et autres, les
collaborateurs doivent donc maîtriser les outils de sécurité déployer dans
les différents domaines.
4. Maintenance du SMSI: cette démarche consiste à garantir le bon
fonctionnement du SMSI et de vérifier que leur documentation est à jour.

Cette action permet donc aux auditeurs externe de contrôler la gestion
du SMSI. Tous les systèmes de management ISO sont concernés par
maintenance.

Maintenant que, les mesures identifiées du SoA fonctionnent, les
indicateurs sont implémentés et les collaborateurs formés et sensibilisés
à la sécurité du SMSI, la phase Check du PDCA peut être déclancée.

33
La phase « CHECK» du PDCA



1.

2.

3.

Cette phase concerne les moyens de contrôle à mettre en place pour
assurer l’efficacité du SMSI et sa conformité au cahier des charges de
la norme ISO/CEI 27001.
Pour répondre à ces deux exigences, l’organisme doit employer:
Les contrôles internes: s’assurer au quotidien que les collaborateurs
appliquent correctement leurs procédures
Les audits internes: contrôler la conformité et l’efficacité du SMSI en
recherchant les écarts entre la documentation du système et les activités
de l’organisme. La norme exige que la méthode utiliser pour l’audit soit
documentée dans une procédure et que les rapports soient enregistrés
pour être utilisés lors des revues de direction.
Les revues de direction: réunions annuelle qui permettent aux dirigeants
de l’organisme d’analyser les évènements qui se sont déroulés sur
l’année en cours.

34
La phase « ACT» du PDCA




1.

2.

3.



Cette phase consiste à prendre les mesures résultant des
constatations faites lors de la phase de vérification (Check) .
Trois actions sont possible au cours de cette phase:
Actions correctives: intervention de manière corrective lors qu’un
dysfonctionnement ou écart est constaté. Tout d’abord, agir sur les
écarts ou dysfonctionnement puis les causes pour éviter qu’il ne se
reproduisent.
Actions préventives: emploi des actions préventives quand une situation
à risque est détectée. Agir sur les causes avant que l’écart ou le
dysfonctionnement ne se produisent.
Actions d’améliorations: ces actions ont pour objectif l’amélioration de
la performance du SMSI.
Les résultats des différentes actions doivent êtres enregistrés et
communiqués aux parties prenantes.

35
Pour une bonne mise en place d’un SMSI il faut:
 Trouver/Choisir/désigner/se faire choisir un chef de
projet: futur propriétaire du SMSI;
 Constituer une équipe que mènera le projet SMSI à
terme;
 Décider des objectifs du SMSI;
 Déterminer le périmètre;
 Faire le point sur l’existant et mettre à jour la
documentation
 Décider des actifs sensibles;
 Faire l’analyse des risques pour ces actifs sensibles;


36













Sélectionner les mesures de sécurité;
Rédiger et mettre en place les procédures;
Auditer les membres du comité du SMSI;
Communiquer;
Mettre en place un programme d’audits internes;
Rechercher et tester des indicateurs;
Refaire l’analyse de risque;
Revoir la liste des actifs;
Réexaminer le périmètre;
Faire soi-même, ne pas faire faire à d’autres;
Ne pas nécessairement suivre l’ordre de L’ISO/CEI
27001
37
Pour adopter les bonnes pratiques en SSI: ISO/CEI 27001
et ISO/CEI 27002
 Permet d’adopter les bonnes pratiques en matières de
SSI;
 Assure un processus d’amélioration continue; le niveau
de sécurité a tendance à croître.
 Offre une meilleure maîtrise des risques et une bonne
méthodologie d’analyse de risque;
 Permet la diminution de l’usage des mesures sécurité
qui ne servent pas;
 Peut permettre d’évoluer, le moment venu, vers une
certification.

38
Pour homogénéiser: ISO/CEI 27001 et ISO/CEI 27002
 Permet des comparaisons entre entités, sites, pays
 Facilite les échanges d’expérience et la communication
interne
 Facilite les liens avec les autres métiers et les autres
référentiels
 Facilite la communication aux auditeurs hors de la SSI
Pour les tableaux de bord: ISO/CEI 27001, ISO/CEI 27002 et
ISO/CEI 27004
 ISO/CEI 27001 pour le SMSI nécessaire à l’élaboration de
métriques
 ISO/CEI 27002 pour les mesures de sécurité
 ISO/CEI 27004 pour les métrages et métriques du SMSI
39
Pour les audits/conseils en sécurité: ISO/CEI 27002, ISO/CEI
27007 et ISI/CEI 27008
 ISO/CEI 27002: comme guide de la bonne pratique pour
les systèmes de gestion de la sécurité de l’information
 ISO/CEI 27007: pour l’audit du SMSI
 ISO/CEI 27008: pour l’audit des mesure de sécurité du
SMSI
Pour réduire les coûts: Mutualisation des audits
 Diminution d’usage de mesures de sécurité inutiles
 Processus en lui-même plutôt moins coûteux que d’autres
en SSI

40
41

Contenu connexe

Tendances

BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliShellmates
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001lancedafric.org
 
Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationAymen Foudhaili
 
Présentation audits de sécurité
Présentation   audits de sécuritéPrésentation   audits de sécurité
Présentation audits de sécuritéHarvey Francois
 
La protection de données, La classification un premier pas
La protection de données, La classification un premier pasLa protection de données, La classification un premier pas
La protection de données, La classification un premier pasAlghajati
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIAlghajati
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéPECB
 
Effets du système de management de la sécurité de l'information sur la perfor...
Effets du système de management de la sécurité de l'information sur la perfor...Effets du système de management de la sécurité de l'information sur la perfor...
Effets du système de management de la sécurité de l'information sur la perfor...Harold NGUEGANG
 
Normes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptxNormes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptxAmorFranois
 
Programme de travail de la mission audit de la sécurité des SI
Programme de travail  de la mission audit de la sécurité des SIProgramme de travail  de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SIAmmar Sassi
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk ManagerComsoce
 
Gouvernance du système d'information et parties prenantes
Gouvernance du système d'information et parties prenantesGouvernance du système d'information et parties prenantes
Gouvernance du système d'information et parties prenantesAbdeslam Menacere
 
Gestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéGestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéPECB
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'informationFranck Franchin
 

Tendances (20)

BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis Remli
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
 
Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'information
 
Présentation audits de sécurité
Présentation   audits de sécuritéPrésentation   audits de sécurité
Présentation audits de sécurité
 
La protection de données, La classification un premier pas
La protection de données, La classification un premier pasLa protection de données, La classification un premier pas
La protection de données, La classification un premier pas
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SI
 
Mehari
MehariMehari
Mehari
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformité
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Effets du système de management de la sécurité de l'information sur la perfor...
Effets du système de management de la sécurité de l'information sur la perfor...Effets du système de management de la sécurité de l'information sur la perfor...
Effets du système de management de la sécurité de l'information sur la perfor...
 
Normes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptxNormes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptx
 
Ebios
EbiosEbios
Ebios
 
Mehari
MehariMehari
Mehari
 
Programme de travail de la mission audit de la sécurité des SI
Programme de travail  de la mission audit de la sécurité des SIProgramme de travail  de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SI
 
La Gouvernance IT
La Gouvernance ITLa Gouvernance IT
La Gouvernance IT
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk Manager
 
Presentation iso27002
Presentation iso27002Presentation iso27002
Presentation iso27002
 
Gouvernance du système d'information et parties prenantes
Gouvernance du système d'information et parties prenantesGouvernance du système d'information et parties prenantes
Gouvernance du système d'information et parties prenantes
 
Gestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéGestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivité
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
 

En vedette

CobIT presentation
CobIT presentationCobIT presentation
CobIT presentationMarc Vael
 
La gouvernance au cœur de la transformation numérique - Le contexte et la sit...
La gouvernance au cœur de la transformation numérique - Le contexte et la sit...La gouvernance au cœur de la transformation numérique - Le contexte et la sit...
La gouvernance au cœur de la transformation numérique - Le contexte et la sit...Antoine Vigneron
 
Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information ISACA Chapitre de Québec
 
Gouvernance et gestion des Technologies de l’information
Gouvernance et gestion des Technologies de l’informationGouvernance et gestion des Technologies de l’information
Gouvernance et gestion des Technologies de l’informationMiguel Iriart
 
Cobit5 - Outil de la performance
Cobit5   - Outil de la performanceCobit5   - Outil de la performance
Cobit5 - Outil de la performanceAntoine Vigneron
 
Certification ISO/CEI 27001
Certification ISO/CEI 27001Certification ISO/CEI 27001
Certification ISO/CEI 27001Valoricert Group
 

En vedette (11)

Les nouveautés de Cobit 5
Les nouveautés de Cobit 5Les nouveautés de Cobit 5
Les nouveautés de Cobit 5
 
Cobit
Cobit Cobit
Cobit
 
CobIT presentation
CobIT presentationCobIT presentation
CobIT presentation
 
Gouvernance ITIL:2011 - ISO/CEI 20000
Gouvernance ITIL:2011 - ISO/CEI 20000Gouvernance ITIL:2011 - ISO/CEI 20000
Gouvernance ITIL:2011 - ISO/CEI 20000
 
La gouvernance au cœur de la transformation numérique - Le contexte et la sit...
La gouvernance au cœur de la transformation numérique - Le contexte et la sit...La gouvernance au cœur de la transformation numérique - Le contexte et la sit...
La gouvernance au cœur de la transformation numérique - Le contexte et la sit...
 
Cobit
CobitCobit
Cobit
 
Le modèle cobit
Le modèle cobitLe modèle cobit
Le modèle cobit
 
Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information
 
Gouvernance et gestion des Technologies de l’information
Gouvernance et gestion des Technologies de l’informationGouvernance et gestion des Technologies de l’information
Gouvernance et gestion des Technologies de l’information
 
Cobit5 - Outil de la performance
Cobit5   - Outil de la performanceCobit5   - Outil de la performance
Cobit5 - Outil de la performance
 
Certification ISO/CEI 27001
Certification ISO/CEI 27001Certification ISO/CEI 27001
Certification ISO/CEI 27001
 

Similaire à Le Management de la sécurité des SI

Sã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationSã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationDany Rabe
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxJean-Michel Razafindrabe
 
SMSSI ITIL
SMSSI  ITILSMSSI  ITIL
SMSSI ITILchammem
 
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...Aspets juridiques des sécurité des systèmes d'information selon le code pénal...
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...Hanen Bensaad
 
guide_hygiene_informatique_anssi.pdf
guide_hygiene_informatique_anssi.pdfguide_hygiene_informatique_anssi.pdf
guide_hygiene_informatique_anssi.pdfkhalid el hatmi
 
Ichec entrepr ah 2015
Ichec entrepr ah 2015Ichec entrepr ah 2015
Ichec entrepr ah 2015Alain Huet
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseEyesOpen Association
 
Guide hygiene informatique Anssi
Guide hygiene informatique AnssiGuide hygiene informatique Anssi
Guide hygiene informatique AnssiAgathe Mercante
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssiGaudefroy Ariane
 
Comment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By DesignComment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By DesignThierry RAMARD
 
Article de Denis Virole, publié dans MISC numéro 77 : Quel plan d’actions pou...
Article de Denis Virole, publié dans MISC numéro 77 : Quel plan d’actions pou...Article de Denis Virole, publié dans MISC numéro 77 : Quel plan d’actions pou...
Article de Denis Virole, publié dans MISC numéro 77 : Quel plan d’actions pou...Thierry RAMARD
 
La sécurité des systèmes d’information
La sécurité des systèmes d’informationLa sécurité des systèmes d’information
La sécurité des systèmes d’informationlara houda
 
2015-05-21 Atelier N°14 SSA 2015 "Politique générale de sécurité des SIS : co...
2015-05-21 Atelier N°14 SSA 2015 "Politique générale de sécurité des SIS : co...2015-05-21 Atelier N°14 SSA 2015 "Politique générale de sécurité des SIS : co...
2015-05-21 Atelier N°14 SSA 2015 "Politique générale de sécurité des SIS : co...ASIP Santé
 

Similaire à Le Management de la sécurité des SI (20)

Sã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationSã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'information
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
 
EBIOS
EBIOSEBIOS
EBIOS
 
SMSSI ITIL
SMSSI  ITILSMSSI  ITIL
SMSSI ITIL
 
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...Aspets juridiques des sécurité des systèmes d'information selon le code pénal...
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...
 
guide_hygiene_informatique_anssi.pdf
guide_hygiene_informatique_anssi.pdfguide_hygiene_informatique_anssi.pdf
guide_hygiene_informatique_anssi.pdf
 
Ichec entrepr ah 2015
Ichec entrepr ah 2015Ichec entrepr ah 2015
Ichec entrepr ah 2015
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
 
Guide hygiene informatique Anssi
Guide hygiene informatique AnssiGuide hygiene informatique Anssi
Guide hygiene informatique Anssi
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssi
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssi
 
Resume norme.docx
Resume norme.docxResume norme.docx
Resume norme.docx
 
Comment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By DesignComment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By Design
 
Ageris software 2016
Ageris software 2016Ageris software 2016
Ageris software 2016
 
Article de Denis Virole, publié dans MISC numéro 77 : Quel plan d’actions pou...
Article de Denis Virole, publié dans MISC numéro 77 : Quel plan d’actions pou...Article de Denis Virole, publié dans MISC numéro 77 : Quel plan d’actions pou...
Article de Denis Virole, publié dans MISC numéro 77 : Quel plan d’actions pou...
 
La sécurité des systèmes d’information
La sécurité des systèmes d’informationLa sécurité des systèmes d’information
La sécurité des systèmes d’information
 
Sécurité & Continuité
Sécurité & ContinuitéSécurité & Continuité
Sécurité & Continuité
 
Chap2 gouvernance des SI.pptx
Chap2 gouvernance des SI.pptxChap2 gouvernance des SI.pptx
Chap2 gouvernance des SI.pptx
 
Actes chen
Actes chenActes chen
Actes chen
 
2015-05-21 Atelier N°14 SSA 2015 "Politique générale de sécurité des SIS : co...
2015-05-21 Atelier N°14 SSA 2015 "Politique générale de sécurité des SIS : co...2015-05-21 Atelier N°14 SSA 2015 "Politique générale de sécurité des SIS : co...
2015-05-21 Atelier N°14 SSA 2015 "Politique générale de sécurité des SIS : co...
 

Le Management de la sécurité des SI

  • 2. I. II. III. IV. V. 1. 2. 3. 4. 5. VI. VII. Les systèmes de management La sécurité de l’information Les Systèmes de Management de la Sécurité de l’Informatique (SMSI) Les normes de la famille ISO/CEI 2700x La norme ISO/CEI 27001 Présentation La phase « PLAN » du PDCA La phase « DO » du PDCA La phase « CHECK » du PDCA La phase « ACT » du PDCA Mise en place d’un SMSI Utilisation des normes 2
  • 3.    Définition selon ISO 9000: c’est un système permettant d’établir une politique, des objectifs et atteindre ces objectifs Un Système de Management: est un ensemble de mesures organisationnelles et techniques permettant d’atteindre un objectif une fois atteint, d’y rester dans la durée. Le fonctionnement d’un système de management se fait selon le modèle PDCA (Roue de Deming) de l’anglais Plan, Do, Check, Act, en français planifier, faire, contrôler et corriger. 3
  • 4.     Roue de Deming: Inventer par Walter Andrew SHEWHART (Statisticien Américain) Appelé « roue de Shewhart » par William Edwards DEMING (Scientifique Américain inventeur des principes de qualité) et qu’il lui a emprunté en 1922. Le model PDCA (Roue de Deming): se définit en 4 étapes récurrentes: 1. Plan : dire ce que l’on va réaliser dans un domaine particulier. 2. Do : faire ce qui a été annoncé. 3. Check : vérifier les écarts entre les phases « plan » et «do ». 4. Act : ajuster les écarts constatés de la phase « check ». Notons que le modèle PDCA s’applique au système de management dans son ensemble ainsi qu’à chacun de ses processus. 4
  • 5.  On retrouve les systèmes de management dans des secteurs d’activités aussi variés que: la santé et la sécurité du travail (SMSST) avec la norme OHSAS 18001; l’environnement (SME) avec la norme ISO 14001; les services informatiques avec le référentiel ISO/CEI 20000: pas encore sur le modèle PDCA; la sécurité alimentaire (SMSA) avec la norme ISO 22000; La qualité(SMQ) avec la norme ISO 9001; la sécurité de l’information (SMSI) avec la norme ISO/CEI 27001 que nous allons traiter au cours de cet exposé. 5
  • 6. 6
  • 7.    L’information est à prendre au sens large du terme; Elle doit être étudiée sous toutes ses formes indépendamment de son support, humain, papier, logiciel, etc. Le terme sécurité doit être compris comme l’ensemble des moyens déployés pour se protéger contre les actes de malveillance. La sécurité de l’information est définie à travers les notions:  Confidentialité : seuls les entités, personnes et processus autorisés, ont accès à l’information.  Intégrité : l’information ne peut être modifiée que par ceux qui en ont le droit.  Disponibilité : l’information doit être accessible à l’entité, la personne ou le processus qui a un droit d’accès.  Ces trois principes de sécurité peuvent être étendus, la SI intègre d’autres notions telles que l’authentification, la traçabilité, la nonrépudiation, l’imputabilité qui constituent des mécanismes de sécurité que l’on déploie en fonction des besoins de sécurité de l’organisme 7
  • 8.    Plusieurs appellation: o SMSI: Système de Management de la Sécurité de l’Information o SGSSI: Système de Gestion de la Sécurité des Systèmes d’Information o SGSI: Système de Gestion de Sécurité de l’Information o ISMS: Information Security Management System Un SMSI : est un ensemble d’éléments interactifs permettant à un organisme de fixer une politique et des objectifs de sécurité de l’information, d’appliquer la politique, d’atteindre ces objectifs, de les contrôler et de les améliorer. Les objectifs sont fixés sur un périmètre défini et doivent être en adéquation avec les besoins de l’organisme concerné: les mesures de sécurité sont à déployer en fonction du contexte, avec un juste dosage, sans exagérations, ni trop de tolérance avec comme finalité la protection des actifs d’information. 8
  • 9. 9
  • 10. Historique  L’ISO (Organisation Internationale de Normalisation) est le fruit d’une collaboration entre différents organismes de normalisation nationaux.  Au début du XXIème siècle, L’American Institute of Electrical Engineer invite quatre autres instituts professionnels pour constituer une première organisation nationale, l’AESC (American Engineering Standards Committee) qui aura pour objectif de publier des standards industriels communs avant de prendre le nom d’ASA (American Standards Association) et d’établir des procédures standardisées pour la production militaire pendant la seconde guerre mondiale.  En 1947, l’ASA, le BSI (British Standards Institute), l’AFNOR (Association Française de Normalisation) et les organisations de normalisation de 22 autres pays fondent l’Organisation Internationale de Normalisation (ISO).  La CEI (Commission Electronique Internationale) est chargée de la normalisation d’équipements électriques.  Il est courant de voir ISO/CEI pour nommer une norme élaborée conjointement par les deux organismes.  En 1987, l’ISO et le CEI créent le Joint Technical Committee (JTC1) pour la normalisation des Technologies de l’Information (TI).  Le JTC1 est composé de plusieurs comités techniques qui traitent de sujets tels que la biométrie, la téléinformatique, les interfaces utilisateurs ou encore les techniques de sécurité de l’information relatives aux normes de la série ISO/CEI 2700x. 10
  • 11.  Dans la famille ISO/CEI on trouve deux catégories de normes.  Celles qui émettent des exigences : ISO/CEI 27001  celles qui formulent des recommandations : ISO/CEI 27002  Notons que certaines normes sont encore en cours de rédaction,  c’est le cas des normes ISO/CEI 27007 « Audit des SMSI »  et ISO/CEI 27008 « Audit des mesures de sécurité ».  La norme ISO/CEI 27001 formule les exigences relatives aux SMSI et fournit une liste de mesures de sécurité pouvant être intégrées au système. 11
  • 12. L’ISO/CEI 27000: Principe et vocabulaire   Publiée pour répondre au besoin de définir une terminologie pour les SMSI. L’ISO/CEI 27000 est structurée en trois parties: I. La première, définit 46 termes tels que, la confidentialité, l’intégrité, la disponibilité, l’authenticité, tous principalement axés sur l’appréciation et l’analyse des risques, des menaces, de la vulnérabilité, etc. II. La deuxième partie développe la notion de processus avec le modèle PDCA et présente les concepts propres aux SMSI comme par exemple, l’importance de l’engagement de la direction. III. La troisième partie, est une présentation de l’ensemble des normes de la famille ISO/CEI 2700x.  L’ISO/CEI 27000 fourni les notions et le vocabulaire commun permettant une bonne compréhension des SMSI. 12
  • 13. L’ISO/CEI 27002: Guide de bonne pratique (Mesure de sécurité)  publiée en juillet 2007 par l'ISO (remplace ISO 17799 depuis), définie le code de bonnes pratiques pour la gestion de la sécurité de l'information  Cette norme propose sur onze chapitres, une liste de 133 mesures de sécurité accompagnées chacune de points à aborder pour la mise en place d’un SMSI. Chacun des 11 chapitres ◦ spécifie les objectifs à atteindre ◦ énumère un ensemble de 133 mesures ou « best practices » pour atteindre ces objectifs  La norme ISO ne détaille pas ces mesures car: ◦ chaque organisation est différente ◦ les risques sont différents pour chaque organisation ◦ l’évaluation des risques et de leur impact sont donc propre à l’organisation ◦ les « best practices » sont donc plus ou moins appropriées  En résumé, l’ISO/CEI 27002 est un guide de bonnes pratiques, une série de préconisations concrètes, abordant les aspects tant organisationnels que techniques, qui permettent de mener à bien les différentes actions dans la mise en place d’un SMSI.  13
  • 14. Les 11 objectifs principaux  Chapitre 5 : Politique de sécurité  Ce chapitre définit la politique de sécurité (Document et Réexamen)  Chapitre 6 : Organisation de la sécurité de l’information  Définit l’organisation interne et externe de l’organisme.  Chapitre 7 : Gestion des biens  Identifie, classifie et définit les responsabilités relatives aux biens et leurs utilisation.  Chapitre 8 : Sécurité liée aux ressources humaines  Définit le rôle et la responsabilité des ressources humaine avant recrutement, pendant la durée du contrat et à la fin ou la modification du contrat.  Chapitre 9 : Sécurité physique et environnementale  Définit les zones sécurisées (périmètre de sécurité) et la sécurité du matériel ainsi que son recyclage. 14
  • 15. Les 11 objectifs principaux  Chapitre 10 : Gestion des communications et de l'exploitation  Définit les procedures et responsibilities liées à l’exploitation,  Surveillance, réexamen et gestion des modifications des services tiers,  Planification et acceptation du système,  Protection contre les codes malveillant et mobile  Sauvegarde des informations  Gestion de la sécurité des réseaux  Manipulation des supports  Politique et procedure d’échange des informations  Services et commerce électronique  Surveillance et protection des informations de journalisées 15
  • 16. Les 11 objectifs principaux  Chapitre 11 : Contrôles d’accès         Exigences métier relatives au contrôle d’accès Gestion de l’accès utilisateur Responsabilité des utilisateurs Contrôle d’accès au réseau Contrôle d’accès au système d’exploitation Contrôle d’accès aux applications et à l’information Informatique mobile, télécommunication et télétravail       Exigences de sécurité applicable aux systèmes d’information Bon fonctionnement des applications Politique d’utilisation des mesures cryptographique et la gestion de clé Mesure relative aux logiciels d’exploitation (Sécurité des fichiers système) Sécurité en matière de développement et d’assistance technique Mesure relative aux vulnérabilités techniques (Gestion des vulnérabilités techniques) Chapitre 12 : Acquisition, développement et maintenance des systèmes d'information 16
  • 17. Les 11 objectifs principaux  Chapitre 13 : Gestion des incidents liés à la sécurité de l'information  Signalement des évènements et des failles liés à la sécurité de l’information  Gestion des améliorations et incidents liés à la sécurité de l’information  Chapitre 14 : Gestion de la continuité d’activité  Intégration de la sécurité de l’information dans le processus de PCA  Elaboration, mise ne œuvre, planification, mise à l’essai, gestion et appréciation constante des PCA intégrant la sécurité de l’information.  Chapitre 15 : Conformité légale et réglementaire      Conformité avec les exigences légales Conformité avec la politique et les nomes de sécurité Vérification de la conformité technique Contrôle de l’audit des systèmes d’information Protection des outils d’audit du système d’information 17
  • 18. L’ISO/CEI 27003: Guide d’implémentation  Publiée en janvier 2010, ISO 27003 facilite la mise en œuvre du SMSI. Elle est utilisée en complément de la norme ISO 27001.  L’ISO 27003 propose cinq étapes pour implémenter le SMSI.  Ces étapes concernent l’initialisation du projet, sa politique et son périmètre, l’analyse des exigences en matière de sécurité de l’information, l’appréciation des risques et enfin l’élaboration du SMSI.  Chacune de ces étapes est divisée en activités qui font l’objet d’une clause contenant :      un résumé de l’activité (explication de l’étape en question), les entrées (tous les documents à utiliser au cours de l’étape), les recommandations (détail des points à aborder), les sorties (liste des livrables à produire). En résumé, ISO 27003 propose un grand nombre de points à aborder et énumère les documents à produire et à consulter. 18
  • 19. L’ISO/CEI 27004: Métrique et Mesure  Cette norme concerne la gestion des indicateurs.  L’utilisation d’indicateurs dans le domaine de la sécurité est nouvelle.  La norme ISO/CEI 27001 impose leur mise en place dans le SMSI mais sans préciser comment et leur utilisation.  En utilisant les mesures des indicateurs l’objectif est d’identifier les points du SMSI qui nécessitent une amélioration ou une correction.  Objectif : mesurer l'efficacité du système de management de la sécurité de l’information et des mesures de sécurité 19
  • 20. L’ISO/CEI 27005: Analyse de risque      Une des étapes du PDCA les plus difficiles à mettre en œuvre est « l’appréciation des risques ». L’ISO/CEI 27001 fixe des objectifs à atteindre pour être en conformité avec la norme, mais ne donne aucune indication sur les moyens d’y parvenir. L’ISO/CEI 27005 est constituée de douze chapitres. Les points les plus importants sont traités dans les chapitres sept à douze.  Chap7: établissement du contexte  Chap8: appréciation du risque  Chap9: traitement du risque  Chap10: acceptation du risque  Chap11: communication du risque  Chap12: surveillance et révision du risque En complément de ces chapitres, viennent s’ajouter six annexes proposant des explications plus détaillées qui présentent des listes de menaces et vulnérabilités types. L’ISO/CEI 27005 peut aussi servir de référence aux organismes qui cherchent à évaluer une méthode d’appréciation des risques 20
  • 22. L’ISO/CEI 27006: Certification  Cette norme est une reprise enrichie de la norme ISO 17021.  Etant destinée aux cabinets d’audit en charge de certifier les organismes, l’ISO/CEI 27006 est moins connue que l’ISO/CEI 27001 qui s’adresse directement aux organismes souhaitant mettre en place un SMSI.  L’ISO/CEI 27006 fournit aux organismes de certification les exigences qu’ils doivent faire respecter pour attribuer à leurs clients une certification. L’ISO/CEI 27007: Audit des SMSI  Cette norme est à l’état de brouillon « WD »  Working Draft: est l’état « projet » de la norme avant sa publication.  L’ISO/CEI 27007 donnera les lignes directrices pour auditer les SMSI. 22
  • 23. L’ISO/CEI 27008: Audit des mesures de sécurité  A l’état de WD, l’ISO/CEI 27008 traitera de l’audit des SMSI en proposant un guide qui permettra de contrôler les mesures de sécurité.  Elle fournira pour chacune des mesures de sécurité de la 27002, des moyens d’analyse des besoins en contrôle, en tenant compte de l’importance des risques et des actifs.  On pourra ainsi déterminer les mesures à contrôler.  Ces points sont importants car les auditeurs internes ou externes doivent contrôler des mesures aussi variées que la gestion des mots de passe, la procédure de gestion des incidents et le suivi de législation en vigueur. 23
  • 24. L’ISO/CEI 270xx: En préparation  ISO/CEI 27010 Gestion de la communication inter secteur  ISO/CEI 27031 Continuité d’activité  ISO/CEI 27032 Cyber sécurité  ISO/CEI 27033 Sécurité réseau  ISO/CEI 27034 Sécurité des applications  ISO/CEI 27035 Gestion des incidents  ISO/CEI 27036 Audit des mesures de sécurité du SMSI  ISO/CEI 27037 Gestion des preuves numériques  Il est à noter que certains secteurs comme les télécommunications ou le domaine médical ont développé des normes plus spécifiques à leur métier, ISO/CEI 27011 et ISO/CEI 27799. 24
  • 25. Présentation  Publiée en octobre 2005 et qui succède à la norme BS 7799-2 de BSI (British Standards Institution)  Elle est une norme d'origine britannique dédiée au système de management de la sécurité de l'information.  L'ensemble ISO 27000 est décliné en plusieurs sous-normes indicées, thématiques et sectorielles.  Elle traite aussi bien de la gestion des risques que du pilotage de la fonction (indicateurs et tableaux de bord). La norme ISO 27001 est orientée processus et propose en toute logique une démarche d'amélioration continue de type PDCA.  La norme ISO/CEI 27001 décrit les exigences pour la mise en place d'un SMSI 25
  • 26. Objectifs  Spécifier les exigences pour Mettre en place Exploiter Améliorer  Un SMSI documenté  Spécifier les exigences pour la mise en place de mesures de sécurité Adaptées aux besoins de l’organisation Adéquates Proportionnées 26
  • 27. La phase « PLAN » du PDCA   Cette phase consiste à fixer les objectifs du SMSI en suivant quatre grandes étapes:  La politique et le périmètre du système de management de la sécurité de l’information,  L’appréciation des risques,  Le traitement des risques; décider en tenant en compte des risques résiduels  La sélection des mesures de sécurité présentées dans le SoA(Statement of Applicability). Le Statement of Applicability: est un document sous forme de tableau qui énumère les mesures de sécurité du SMSI ainsi que celles non appliquées 27
  • 28. La phase « PLAN » du PDCA  La politique et le périmètre du SMSI: L’objectif est d’y inclure les activités pour lesquelles les parties prenantes exigent un certain niveau de confiance.  la politique: précise le niveau de sécurité qui sera appliqué au sein du périmètre du SMSI.  Le périmètre: peut être restreint ou peut couvrir l’ensemble des activités de l’organisme  L’appréciation des risques : cette étape concerne un des points les plus importants de l’ISO/CEI 27001.  Le problème de l’appréciation des risques n’est pas nouveau et est traité par de nombreuses méthodes développées dans différents secteurs privés, académiques et agences gouvernementales.  En France, les plus connues sont EBIOS et MEHARI, aux Etats-Unis, OCTAVE. L’ISO/CEI propose aussi une méthode, la norme ISO/CEI 27005, mais ne l’impose pas.  L’ISO/CEI 27001 ne fait que fixer un cahier des charges spécifiant chacune des étapes clefs de l’appréciation des risques. 28
  • 29. La phase « PLAN » du PDCA  Le processus d’appréciation des risques se déroule en sept étapes: 1. Identification des actifs: lister tous les actifs 2. Identification des propriétaires d’actifs: attribuer un propriétaire à chaque actif 3. Identification des vulnérabilités: identifier les vulnérabilités des actifs recensés 4. Identification des menaces: identifier les menaces qui pèsent sur les actifs recensés 5. Identification des impactes: évaluer l’impact d’une perte de confidentialité, de la disponibilité ou de l’intégrité sur les actifs. 6. Evaluation de la vraisemblance: évaluer la vraisemblance des précédentes étapes processus en plaçant dans leur contexte les actifs. 7. Estimation des niveaux de risque: attribuer une note finale reflétant le risque pour chacun des actifs. 29
  • 30. La phase « PLAN » du PDCA   Le traitement des risques: cette étape concerne le choix du traitement des risques. L‟ISO/CEI 27001 a identifié quatre traitements possibles du risque: 1. Accepter: ne déployer aucune mesure de sécurité autre que celles déjà en place si le risque n’aucun impact constaté sur l’organisme. 2. Eviter: supprimer l’activité ou le matériel offrant le risque. 3. Transférer: Lorsque l’organisme ne peut ou ne souhaite pas mettre en place les mesures de sécurité qui permettrait de le réduire (souscription d’assurance ou sous-traitance) 4. Réduire: prendre de mesures techniques et organisationnelles pour ramener le risque à un niveau acceptable. C’est le traitement le plus courant.   Après avoir sélectionné le traitement et mis en place les mesures de sécurité, un risque peut persister. Il convient de traiter ce risque comme les autres (l’accepter, l’éviter, le transférer ou le réduire). 30
  • 31. La phase « PLAN » du PDCA      Le sélection des mesures de sécurité: cette étape consiste à sélectionner les mesures de sécurité. La norme ISO/CEI 27001 propose dans son annexe A, 133 mesures de sécurité réparties sur onze chapitres (vue dans ISO/CEI 27002). A ce stade, le travail consiste à dresser un tableau, appelé SoA (Statement of Applicability) dans lequel figurent les 133 mesures qu’il faut déclarer applicables ou non applicables, pour réduire les risques du SMSI. Notons que les 133 mesures proposées par l’ISO/CEI 27001 répertorient presque tout ce qui peut être entrepris en matière de sécurité de l’information cependant, cette liste ne comporte pas d’exemples ni d’explications sur le déploiement des mesures à entreprendre. Une fois choisies la politique et le périmètre du SMSI, appréciés et traités les risques, et sélectionnées les 133 mesures de sécurité dans le tableau SoA, il faut passer à la mise en œuvre des objectifs fixés de la phase « Plan » du PDCA. 31
  • 32. La phase « DO » du PDCA  Cette phase consiste à décrire la mise en œuvre des mesures de sécurité sélectionnées dans le SoA à travers quatre étapes. 1. Plan de traitement: gérer l’interdépendance des actions à entreprendre; ce travail revient à établir un plan de traitement qui peut être assimilé à de la gestion de projet.  Ce travail terminé, il faut déployer les mesures de sécurité en suivant le plan de traitement. Le responsable du projet doit donc définir des mesures d’efficacité pour contrôler le bon fonctionnement du SMSI. 2. Choix des indicateurs: mettre en place des indicateurs de performance pour vérifier l’efficacité des mesures de sécurité ainsi que des indicateurs de conformité pour contrôler la conformité du SMSI.  Il est à noter que la norme ne préconise pas d’indicateurs précis à utiliser mais L’ISO/CEI 27004 propose une démarche qui peut aider au choix de l’indicateur. 32
  • 33. La phase « DO » du PDCA 3. Formation et sensibilisation des collaborateurs: la sensibilisation à la sécurité du système d’information concerne tous les collaborateurs.  Etant donné que les mesures de sécurité de l’information couvrent de nombreux domaines allant de la sécurité organisationnelle à la sécurité physique, en passant par la sécurité des réseaux et autres, les collaborateurs doivent donc maîtriser les outils de sécurité déployer dans les différents domaines. 4. Maintenance du SMSI: cette démarche consiste à garantir le bon fonctionnement du SMSI et de vérifier que leur documentation est à jour.  Cette action permet donc aux auditeurs externe de contrôler la gestion du SMSI. Tous les systèmes de management ISO sont concernés par maintenance.  Maintenant que, les mesures identifiées du SoA fonctionnent, les indicateurs sont implémentés et les collaborateurs formés et sensibilisés à la sécurité du SMSI, la phase Check du PDCA peut être déclancée. 33
  • 34. La phase « CHECK» du PDCA   1. 2. 3. Cette phase concerne les moyens de contrôle à mettre en place pour assurer l’efficacité du SMSI et sa conformité au cahier des charges de la norme ISO/CEI 27001. Pour répondre à ces deux exigences, l’organisme doit employer: Les contrôles internes: s’assurer au quotidien que les collaborateurs appliquent correctement leurs procédures Les audits internes: contrôler la conformité et l’efficacité du SMSI en recherchant les écarts entre la documentation du système et les activités de l’organisme. La norme exige que la méthode utiliser pour l’audit soit documentée dans une procédure et que les rapports soient enregistrés pour être utilisés lors des revues de direction. Les revues de direction: réunions annuelle qui permettent aux dirigeants de l’organisme d’analyser les évènements qui se sont déroulés sur l’année en cours. 34
  • 35. La phase « ACT» du PDCA   1. 2. 3.  Cette phase consiste à prendre les mesures résultant des constatations faites lors de la phase de vérification (Check) . Trois actions sont possible au cours de cette phase: Actions correctives: intervention de manière corrective lors qu’un dysfonctionnement ou écart est constaté. Tout d’abord, agir sur les écarts ou dysfonctionnement puis les causes pour éviter qu’il ne se reproduisent. Actions préventives: emploi des actions préventives quand une situation à risque est détectée. Agir sur les causes avant que l’écart ou le dysfonctionnement ne se produisent. Actions d’améliorations: ces actions ont pour objectif l’amélioration de la performance du SMSI. Les résultats des différentes actions doivent êtres enregistrés et communiqués aux parties prenantes. 35
  • 36. Pour une bonne mise en place d’un SMSI il faut:  Trouver/Choisir/désigner/se faire choisir un chef de projet: futur propriétaire du SMSI;  Constituer une équipe que mènera le projet SMSI à terme;  Décider des objectifs du SMSI;  Déterminer le périmètre;  Faire le point sur l’existant et mettre à jour la documentation  Décider des actifs sensibles;  Faire l’analyse des risques pour ces actifs sensibles;  36
  • 37.            Sélectionner les mesures de sécurité; Rédiger et mettre en place les procédures; Auditer les membres du comité du SMSI; Communiquer; Mettre en place un programme d’audits internes; Rechercher et tester des indicateurs; Refaire l’analyse de risque; Revoir la liste des actifs; Réexaminer le périmètre; Faire soi-même, ne pas faire faire à d’autres; Ne pas nécessairement suivre l’ordre de L’ISO/CEI 27001 37
  • 38. Pour adopter les bonnes pratiques en SSI: ISO/CEI 27001 et ISO/CEI 27002  Permet d’adopter les bonnes pratiques en matières de SSI;  Assure un processus d’amélioration continue; le niveau de sécurité a tendance à croître.  Offre une meilleure maîtrise des risques et une bonne méthodologie d’analyse de risque;  Permet la diminution de l’usage des mesures sécurité qui ne servent pas;  Peut permettre d’évoluer, le moment venu, vers une certification. 38
  • 39. Pour homogénéiser: ISO/CEI 27001 et ISO/CEI 27002  Permet des comparaisons entre entités, sites, pays  Facilite les échanges d’expérience et la communication interne  Facilite les liens avec les autres métiers et les autres référentiels  Facilite la communication aux auditeurs hors de la SSI Pour les tableaux de bord: ISO/CEI 27001, ISO/CEI 27002 et ISO/CEI 27004  ISO/CEI 27001 pour le SMSI nécessaire à l’élaboration de métriques  ISO/CEI 27002 pour les mesures de sécurité  ISO/CEI 27004 pour les métrages et métriques du SMSI 39
  • 40. Pour les audits/conseils en sécurité: ISO/CEI 27002, ISO/CEI 27007 et ISI/CEI 27008  ISO/CEI 27002: comme guide de la bonne pratique pour les systèmes de gestion de la sécurité de l’information  ISO/CEI 27007: pour l’audit du SMSI  ISO/CEI 27008: pour l’audit des mesure de sécurité du SMSI Pour réduire les coûts: Mutualisation des audits  Diminution d’usage de mesures de sécurité inutiles  Processus en lui-même plutôt moins coûteux que d’autres en SSI 40
  • 41. 41