SlideShare une entreprise Scribd logo
1  sur  19
S

Conseils et préconisations de
mutualisation
ISO 2700x et ISO 20000 / ITIL
Groupe de travail du Club 27001 Toulouse
3 Avril 2012
Nicole Genotelle (ON-X / Edelweb), Joris Pegli (SRC-Solution),
Emmanuel Prat (FullSave), Sébastien Rabaud (SCASSI Conseil),
Jacques Sudres (C&S)
1
S

Agenda
•
•
•
•
•
•
•
•

Introduction
Constats du premier groupe de travail
Analyses et compléments
Ce qui a changé
Contexte et objectifs du groupe de travail
Présentation de l’étude
Conclusion
Et pour la suite …

Groupe de travail ISO27001 / ISO20000 / ITIL - Présentation du 03/04/2012
S

Introduction
• Nouveau groupe de travail ITIL du Club 27001, composé
de cinq personnes du Club 27001 Toulousain.
• Le groupe se réunit depuis le mois d’août 2011 pour
réactiver les travaux et les réflexions sur les
mutualisations possibles entre les normes ISO27001 et
ISO20000 (ITIL).

• Le groupe a tenu compte des travaux réalisés par
l’ancien groupe de travail ITIL du Club 27001.

Groupe de travail ISO27001 / ISO20000 / ITIL - Présentation du 03/04/2012
N

Premier groupe de travail
Objectif
 Fournir des fiches de mutualisation des services ITIL/ISO27001

Couverture
 ITIL concerne l’informatique
 ISO 27001 concerne l’information

Nature
 ITIL : Bonnes pratiques : aucun caractère contraignant
 ISO 27001: Exigences : obligation de tout mettre en œuvre
entre les chapitres 4 et 8 de la norme

Groupe de travail ISO27001 / ISO20000 / ITIL - Présentation du 03/04/2012
N

Analyse et compléments

Domaines

Exigences

Bonnes pratiques

Services informatiques

ISO 20000

ITIL

Sécurité de l’information

ISO 27001

ISO 27002

 Les rapprochements possibles sont :
• ITIL et ISO 27002 : bonnes pratiques
• ISO 20000 et ISO 27001 : objectifs de certification

Groupe de travail ISO27001 / ISO20000 / ITIL - Présentation du 03/04/2012
N

Ce qui a changé …

Mai 2007

Août 2007

Mai 2011

Août 2011

Groupe de travail ISO27001 / ISO20000 / ITIL - Présentation du 03/04/2012
N

Ce qui a changé …
Guidelines on the integrated implementation of ISO 27001 and ISO 20000-1 - En cours
de validation (40.20 – enquête / mise au vote – 15/11/2011)

Guide d’optimisation de la mise en place simultanée des 2 démarches en
vue d’une double certification,
Table de correspondances entre les chapitres 27001 et 20000
ISO 27013 Comparaison du vocabulaire entre 27001 et 20000 => Divergence
 ISO27001 : Distinction entre événements et incidents (liés à la sécurité de
l’information)
 ISO20000 : Tout évènement est un incident (pas de définition d’évènement)

Pas d’éléments dans le cas où les deux démarches seraient décorrélées
dans le temps.

ITIL V3

Prise en compte du cycle de vie complet du service de sa conception à sa
disparition.
Le processus central devient « Le catalogue de services » à la place de la
CMDB
Extension de la base de données des connaissances à l’ensemble des
informations IT,
Les processus font tous référence au service
Groupe de travail ISO27001 / ISO20000 / ITIL - Présentation du 03/04/2012
S

Contexte et objectifs du groupe de
travail
Hypothèses
 Préexistence de processus ITIL
 Prise en compte d’ITILv3
 Pas de comparaison ISO27001 & ISO20000  ISO27013

Objectifs
 Identifier les processus ITIL utiles dans le cadre de la mise
en œuvre d’un SMSI
 Identifier les adaptations des processus ITIL induites par la
mise en œuvre du SMSI

Démarche
 Analyse des points de convergence avec le cycle de vie et
les processus ITIL
Groupe de travail ISO27001 / ISO20000 / ITIL - Présentation du 03/04/2012
S

Vision globale

ITIL
STRATEGIE DES
SERVICES

ITIL
CONCEPTION DES
SERVICES

SMSI
ITIL
TRANSITION DES
SERVICES

ITIL
EXPLOITATION DES
SERVICES

Groupe de travail ISO27001 / ISO20000 / ITIL - Présentation du 03/04/2012
N

Politique de stratégie des services
ITIL
Stratégie
des
Services
Politique
de
stratégie
des
services

 Contribue à la définition du périmètre, du contexte
et des enjeux du SMSI (PSI, ….)
SMSI

 Contribue à l’amélioration de la communication
des risques SSI vis-à-vis des parties prenantes
(diffusion / prise en compte des politiques de
sécurité, etc.)

Conseils / préconisations
 Ne pas se limiter au périmètre ITIL (informatique) pour définir celui du
SMSI (information)
 Qualité et pertinence des indicateurs niveau stratégique
Groupe de travail ISO27001 / ISO20000 / ITIL - Présentation du 03/04/2012
N

Gestion du catalogue et des
niveaux de service

ITIL
Conception
des
services
-

 Permet de prendre en compte dans le SMSI les niveaux
de tolérance déjà définis dans ITIL
 Permet de prendre en compte des indicateurs déjà
définis (niveau opérationnel)
 Permet de recenser les services de sécurité offerts
SMSI

Catalogue
Niveaux de
service

 Permet de prendre en compte dans les niveaux de
tolérance ITIL les critères de sécurité définis par le
SMSI
 Meilleure visibilité de la sécurité par les clients (SLA,
OLA et UC)

Groupe de travail ISO27001 / ISO20000 / ITIL - Présentation du 03/04/2012
N

Gestion du catalogue et des
niveaux de service
Conseils / Préconisations
 En pratique, le niveau de service est souvent limité au seul critère de
Disponibilité (bien qu’ITIL prenne en compte également I et C).

 Intégrer la sécurité dès la conception des services :
• Contrat de service OLA entre les ≠ responsables des processus ITIL
et le responsable du SMSI
Exemple : la gestion des changements implique systématiquement
les acteurs SSI :
 Prise en compte des changements sur la sécurité (mise à jour du risque)
 Sécurité dans les changements (tests de non-régression)

 Adapter le niveau de sécurité à la demande client (SLR dans ITIL)
• Intégrer dans les OLA (contrat de service interne) les exigences du
SMSI
• Éventuellement dans les SLA (contrat de service client si spécifié
dans les SLR)
Groupe de travail ISO27001 / ISO20000 / ITIL - Présentation du 03/04/2012
Gestion des capacités, de la
disponibilité, de la continuité, des
fournisseurs

ITIL
Conception
des services
Capacités
Disponibilité
Continuité
Fournisseurs

 Permet de recenser les mesures de sécurité
existantes avec leurs niveaux de maturité (capacité)
 Contribue à l’identification des tiers (fournisseurs)
 Contribue au PCA (continuité)
SMSI

 Permet de prendre en compte l’évaluation des
risques (continuité, disponibilité, fournisseurs,
capacité)
 Permet de prendre en compte les exigences de
sécurité vis à vis des tiers (fournisseurs)

Conseils / préconisations
 Limite du périmètre ITIL (informatique) ≠ SMSI (information) [ex : Continuité]
 Limite du périmètre Fournisseurs (ITIL) ≠ Tiers (SMSI)
Groupe de travail ISO27001 / ISO20000 / ITIL - Présentation du 03/04/2012

N
S

Gestion des actifs et des configurations

ITIL
Transition
des services
-

 CMDB contribue à l’identification des actifs en
support (27005)
 CMDB contribue à certaines activités sécurité :
périmètre de la veille, actifs servant à l’analyse de
risque liées aux vulnérabilités courantes, ..
 Approche PDCA en continu : prise en compte des
mises à jour de la CMDB dans la gestion des risques

SMSI

Actifs
Configurations

 Enrichissement de la CMDB : type des actifs
primordiaux ou en support, niveau de tolérance DICT, …

Conseils / préconisations
 Niveau de finesse du contenu dans la CMDB à bien calibrer (assez d’information
pour être pertinent mais pas trop pour ne pas avoir de mise à jour continuelle)
 CMDB est susceptible d’intégrer tous types d’actifs. Cf. ISO20000-2-§9.1.2.NOTE
 « other items that may be considered as CI : people, business units, other
assets, facilities… »
Groupe de travail ISO27001 / ISO20000 / ITIL - Présentation du 03/04/2012
S

Gestion des changements et mises en
production
ITIL
Transition des
services
-

Changements
Mises en
production

 Permet de prendre en compte de manière
continue les évolutions du SI (mise à jour gestion
des risques, périmètre de la veille, …)
 La présence de champs DICT dans la CMDB
contribue à l’évaluation des risques liés aux
changements,

SMSI

 Prise en compte de la sécurité dans la gestion
des changements (ex : tests de non régression)
 Permet de définir les priorités des demandes de
changement (ex : changement urgent pour une
vulnérabilité critique)

Conseils / préconisations
 Implication nécessaire des acteurs SSI dans la gestion des
changements  adaptation des contrats de services internes (OLA) et
des procédures de gestion des changements
Groupe de travail ISO27001 / ISO20000 / ITIL - Présentation du 03/04/2012
S

Gestion des événements, incidents
et problèmes
ITIL
Exploitation
des services
Évènements
Incidents
Problèmes

 Contribue à identifier des évènements et
incidents de sécurité parmi les évènements et
incidents du SI
 Contribue à définir des mesures de prévention
de l’occurrence des incidents de sécurité
(problèmes)

SMSI

 Prise en compte des mesures liées aux incidents
de sécurité (ex : identification systématique des
incidents de sécurité, analyse et traitement des
incidents à posteriori, …)

Conseils / préconisations
 Difficulté à adapter le processus de qualification des incidents (à priori et à posteriori) pour
permettre l’identification exhaustive des incidents de sécurité
 Compétences des opérateurs en général insuffisante ou inefficace pour identifier les
évènements de sécurité
Groupe de travail ISO27001 / ISO20000 / ITIL - Présentation du 03/04/2012
N

Conclusion
ITIL
STRATEGIE DES
SERVICES
-Politique de stratégie
des services

ITIL
CONCEPTION DES
SERVICES

•DICT / Critères et
niveau de tolérances

•Périmètre
•Communication

•Mesures de sécurité

- Catalogue et niveaux de
services
- Capacités, Disponibilité,
Continuité, Fournisseurs

SMSI
ITIL
EXPLOITATION DES
SERVICES
- Événements
- Incidents
- Problèmes

ITIL
TRANSITION DES
SERVICES

•Actifs / CMDB
•Évènements et
Incidents de sécurité

•Risques /
Changements

- Actifs, Configurations
- Changements, MEP

Groupe de travail ISO27001 / ISO20000 / ITIL - Présentation du 03/04/2012
N

Conclusion
• Périmètre différent : Informatique ≠ Information
• Efficacité de la mutualisation dépendante de la
maturité d’ITIL :
– Nombre de processus ITIL
– Maturité des processus

• Comment positionner « la sécurité » vis-à-vis d’ITIL ?
– Comme un métier (externe) => SLA
– Entièrement intégrée dans les processus ITIL => OLA
– Existant en termes de processus et organisation?
Groupe de travail ISO27001 / ISO20000 / ITIL - Présentation du 03/04/2012
Et pour la suite …

Approfondir des thématiques :
changements, incidents, etc. ?

Groupe de travail ISO27001 / ISO20000 / ITIL - Présentation du 03/04/2012

Contenu connexe

Tendances

Ofppt m16 mettre-en-ouvre-les-concepts-d-itil-
Ofppt m16 mettre-en-ouvre-les-concepts-d-itil-Ofppt m16 mettre-en-ouvre-les-concepts-d-itil-
Ofppt m16 mettre-en-ouvre-les-concepts-d-itil-Abdessamad Mountadi
 
Implémenter un service relation client avec ITIL
Implémenter un service relation client avec ITILImplémenter un service relation client avec ITIL
Implémenter un service relation client avec ITILLoïc TOURNEDOUET
 
Itil introduction iit - french
Itil introduction iit - frenchItil introduction iit - french
Itil introduction iit - frenchIITSW Company
 
Implementer ITIL
Implementer ITILImplementer ITIL
Implementer ITILhdoornbos
 
Fsts slides itil v3
Fsts   slides itil v3Fsts   slides itil v3
Fsts slides itil v3bader bader
 
Vaincre les incompréhensions autour d'ITIL V3
Vaincre les incompréhensions autour d'ITIL V3Vaincre les incompréhensions autour d'ITIL V3
Vaincre les incompréhensions autour d'ITIL V3itSMF France
 
Introduction à la certification itil foundation
Introduction à la certification itil foundationIntroduction à la certification itil foundation
Introduction à la certification itil foundationHassan EL ALLOUSSI
 
Support formation vidéo : Préparation à la certification ITIL Foundation V3 2011
Support formation vidéo : Préparation à la certification ITIL Foundation V3 2011Support formation vidéo : Préparation à la certification ITIL Foundation V3 2011
Support formation vidéo : Préparation à la certification ITIL Foundation V3 2011SmartnSkilled
 
Réussir une implantation ITIL® durable [Webinaire]
Réussir une implantation ITIL® durable [Webinaire]Réussir une implantation ITIL® durable [Webinaire]
Réussir une implantation ITIL® durable [Webinaire]Technologia Formation
 
Certifier son Centre de Services NF345 "Centre de relation client"
Certifier son Centre de Services NF345 "Centre de relation client"Certifier son Centre de Services NF345 "Centre de relation client"
Certifier son Centre de Services NF345 "Centre de relation client"itSMF France
 
La Mise en Production : un gisement d'économies inexploité
La Mise en Production : un gisement d'économies inexploitéLa Mise en Production : un gisement d'économies inexploité
La Mise en Production : un gisement d'économies inexploitéitSMF France
 
Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.
Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.
Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.Anasse Ej
 
Faire évoluer la maturité des process ICP (incidents changements et problè...
Faire  évoluer la maturité des process ICP (incidents changements et problè...Faire  évoluer la maturité des process ICP (incidents changements et problè...
Faire évoluer la maturité des process ICP (incidents changements et problè...SAID BELKAID
 
Mise en oeuvre d'une plateforme fédératrice de gestion des assets et des serv...
Mise en oeuvre d'une plateforme fédératrice de gestion des assets et des serv...Mise en oeuvre d'une plateforme fédératrice de gestion des assets et des serv...
Mise en oeuvre d'une plateforme fédératrice de gestion des assets et des serv...itSMF France
 
introduction a itil
 introduction a itil introduction a itil
introduction a itilAmine Stitou
 
M2i Webinar - ITIL 4, une évolution majeure du référentiel (12-04-2019)
M2i Webinar - ITIL 4, une évolution majeure du référentiel (12-04-2019)M2i Webinar - ITIL 4, une évolution majeure du référentiel (12-04-2019)
M2i Webinar - ITIL 4, une évolution majeure du référentiel (12-04-2019)M2i Formation
 
Stratégie de la Gestion des Services des TI
Stratégie de la Gestion des Services des TIStratégie de la Gestion des Services des TI
Stratégie de la Gestion des Services des TImglenn
 

Tendances (20)

Gestion des incidents ITIL
Gestion des incidents ITILGestion des incidents ITIL
Gestion des incidents ITIL
 
Ofppt m16 mettre-en-ouvre-les-concepts-d-itil-
Ofppt m16 mettre-en-ouvre-les-concepts-d-itil-Ofppt m16 mettre-en-ouvre-les-concepts-d-itil-
Ofppt m16 mettre-en-ouvre-les-concepts-d-itil-
 
Implémenter un service relation client avec ITIL
Implémenter un service relation client avec ITILImplémenter un service relation client avec ITIL
Implémenter un service relation client avec ITIL
 
Itil introduction iit - french
Itil introduction iit - frenchItil introduction iit - french
Itil introduction iit - french
 
Implementer ITIL
Implementer ITILImplementer ITIL
Implementer ITIL
 
Fsts slides itil v3
Fsts   slides itil v3Fsts   slides itil v3
Fsts slides itil v3
 
Vaincre les incompréhensions autour d'ITIL V3
Vaincre les incompréhensions autour d'ITIL V3Vaincre les incompréhensions autour d'ITIL V3
Vaincre les incompréhensions autour d'ITIL V3
 
ITIL v3 : Présentation
ITIL v3 : PrésentationITIL v3 : Présentation
ITIL v3 : Présentation
 
Introduction à la certification itil foundation
Introduction à la certification itil foundationIntroduction à la certification itil foundation
Introduction à la certification itil foundation
 
Support formation vidéo : Préparation à la certification ITIL Foundation V3 2011
Support formation vidéo : Préparation à la certification ITIL Foundation V3 2011Support formation vidéo : Préparation à la certification ITIL Foundation V3 2011
Support formation vidéo : Préparation à la certification ITIL Foundation V3 2011
 
Réussir une implantation ITIL® durable [Webinaire]
Réussir une implantation ITIL® durable [Webinaire]Réussir une implantation ITIL® durable [Webinaire]
Réussir une implantation ITIL® durable [Webinaire]
 
Certifier son Centre de Services NF345 "Centre de relation client"
Certifier son Centre de Services NF345 "Centre de relation client"Certifier son Centre de Services NF345 "Centre de relation client"
Certifier son Centre de Services NF345 "Centre de relation client"
 
Itil 4mai09
Itil 4mai09Itil 4mai09
Itil 4mai09
 
La Mise en Production : un gisement d'économies inexploité
La Mise en Production : un gisement d'économies inexploitéLa Mise en Production : un gisement d'économies inexploité
La Mise en Production : un gisement d'économies inexploité
 
Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.
Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.
Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.
 
Faire évoluer la maturité des process ICP (incidents changements et problè...
Faire  évoluer la maturité des process ICP (incidents changements et problè...Faire  évoluer la maturité des process ICP (incidents changements et problè...
Faire évoluer la maturité des process ICP (incidents changements et problè...
 
Mise en oeuvre d'une plateforme fédératrice de gestion des assets et des serv...
Mise en oeuvre d'une plateforme fédératrice de gestion des assets et des serv...Mise en oeuvre d'une plateforme fédératrice de gestion des assets et des serv...
Mise en oeuvre d'une plateforme fédératrice de gestion des assets et des serv...
 
introduction a itil
 introduction a itil introduction a itil
introduction a itil
 
M2i Webinar - ITIL 4, une évolution majeure du référentiel (12-04-2019)
M2i Webinar - ITIL 4, une évolution majeure du référentiel (12-04-2019)M2i Webinar - ITIL 4, une évolution majeure du référentiel (12-04-2019)
M2i Webinar - ITIL 4, une évolution majeure du référentiel (12-04-2019)
 
Stratégie de la Gestion des Services des TI
Stratégie de la Gestion des Services des TIStratégie de la Gestion des Services des TI
Stratégie de la Gestion des Services des TI
 

En vedette

Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Bachir Benyammi
 
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...PMI-Montréal
 
3org conseil - Gouvinfo - RSD - Conférence patrimoine et gouvernance de l'inf...
3org conseil - Gouvinfo - RSD - Conférence patrimoine et gouvernance de l'inf...3org conseil - Gouvinfo - RSD - Conférence patrimoine et gouvernance de l'inf...
3org conseil - Gouvinfo - RSD - Conférence patrimoine et gouvernance de l'inf...Perrein Jean-Pascal
 
Certification ISO/CEI 27001
Certification ISO/CEI 27001Certification ISO/CEI 27001
Certification ISO/CEI 27001Valoricert Group
 
Infosafe ah 2014 15
Infosafe ah 2014 15Infosafe ah 2014 15
Infosafe ah 2014 15Alain Huet
 
La protection de données, La classification un premier pas
La protection de données, La classification un premier pasLa protection de données, La classification un premier pas
La protection de données, La classification un premier pasAlghajati
 
Normes et qualité et trac
Normes et qualité et tracNormes et qualité et trac
Normes et qualité et traccharlottejallut
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SIDIALLO Boubacar
 
SDN/NFV: Create a network that’s ahead of your business
SDN/NFV: Create a network that’s ahead of your businessSDN/NFV: Create a network that’s ahead of your business
SDN/NFV: Create a network that’s ahead of your businessOrange Business Services
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAbbes Rharrab
 
Hapsis - La Sécurité Numérique à la Carte
Hapsis - La Sécurité Numérique à la CarteHapsis - La Sécurité Numérique à la Carte
Hapsis - La Sécurité Numérique à la CarteHapsis
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001lancedafric.org
 
Présentation résistante directeurs experts 20140527
Présentation résistante   directeurs experts 20140527Présentation résistante   directeurs experts 20140527
Présentation résistante directeurs experts 20140527Résistante Risk Solutions
 
ANALYSE DE RISQUES
ANALYSE DE RISQUESANALYSE DE RISQUES
ANALYSE DE RISQUESndelannoy
 
BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliShellmates
 

En vedette (20)

Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
 
Netclu09 27005
Netclu09 27005Netclu09 27005
Netclu09 27005
 
Orange consulting en 3 minutes
Orange consulting en 3 minutesOrange consulting en 3 minutes
Orange consulting en 3 minutes
 
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
 
3org conseil - Gouvinfo - RSD - Conférence patrimoine et gouvernance de l'inf...
3org conseil - Gouvinfo - RSD - Conférence patrimoine et gouvernance de l'inf...3org conseil - Gouvinfo - RSD - Conférence patrimoine et gouvernance de l'inf...
3org conseil - Gouvinfo - RSD - Conférence patrimoine et gouvernance de l'inf...
 
Certification ISO/CEI 27001
Certification ISO/CEI 27001Certification ISO/CEI 27001
Certification ISO/CEI 27001
 
Infosafe ah 2014 15
Infosafe ah 2014 15Infosafe ah 2014 15
Infosafe ah 2014 15
 
La protection de données, La classification un premier pas
La protection de données, La classification un premier pasLa protection de données, La classification un premier pas
La protection de données, La classification un premier pas
 
ISO 27001 Benefits
ISO 27001 BenefitsISO 27001 Benefits
ISO 27001 Benefits
 
Normes et qualité et trac
Normes et qualité et tracNormes et qualité et trac
Normes et qualité et trac
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SI
 
ISO 27500
ISO 27500ISO 27500
ISO 27500
 
SDN/NFV: Create a network that’s ahead of your business
SDN/NFV: Create a network that’s ahead of your businessSDN/NFV: Create a network that’s ahead of your business
SDN/NFV: Create a network that’s ahead of your business
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risques
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’information
 
Hapsis - La Sécurité Numérique à la Carte
Hapsis - La Sécurité Numérique à la CarteHapsis - La Sécurité Numérique à la Carte
Hapsis - La Sécurité Numérique à la Carte
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
 
Présentation résistante directeurs experts 20140527
Présentation résistante   directeurs experts 20140527Présentation résistante   directeurs experts 20140527
Présentation résistante directeurs experts 20140527
 
ANALYSE DE RISQUES
ANALYSE DE RISQUESANALYSE DE RISQUES
ANALYSE DE RISQUES
 
BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis Remli
 

Similaire à Mutualisation ITIL / ISO20000 & 2700x - [Club 27001] [2012] [GT]

La méthode ITIL.pptx
La méthode ITIL.pptxLa méthode ITIL.pptx
La méthode ITIL.pptxAzzizHaydar
 
Sensibilisation aux pratiques ITIL®
Sensibilisation  aux pratiques ITIL®Sensibilisation  aux pratiques ITIL®
Sensibilisation aux pratiques ITIL®SERGE ROMARIC BASSOMO
 
D'ITIL à ISO 20000 une démarche complémentaire
D'ITIL à ISO 20000 une démarche complémentaireD'ITIL à ISO 20000 une démarche complémentaire
D'ITIL à ISO 20000 une démarche complémentaireitSMF France
 
Isaw formation-introduction-a-iso-20000
Isaw formation-introduction-a-iso-20000Isaw formation-introduction-a-iso-20000
Isaw formation-introduction-a-iso-20000CERTyou Formation
 
Presentation 25 March 2010 Securitas
Presentation 25 March 2010 SecuritasPresentation 25 March 2010 Securitas
Presentation 25 March 2010 SecuritasDirk Calleeuw
 
Isf formation-iso-iec-20000-foundation
Isf formation-iso-iec-20000-foundationIsf formation-iso-iec-20000-foundation
Isf formation-iso-iec-20000-foundationCERTyou Formation
 
Présentation Service Desk 2009
Présentation Service Desk 2009Présentation Service Desk 2009
Présentation Service Desk 2009Dirk Calleeuw
 
Quelles nouveautés dans ITIL4® en 2019? [webinaire]
Quelles nouveautés dans ITIL4® en 2019? [webinaire]Quelles nouveautés dans ITIL4® en 2019? [webinaire]
Quelles nouveautés dans ITIL4® en 2019? [webinaire]Technologia Formation
 
Ilst formation-itil-st-service-lifecycle-service-transition
Ilst formation-itil-st-service-lifecycle-service-transitionIlst formation-itil-st-service-lifecycle-service-transition
Ilst formation-itil-st-service-lifecycle-service-transitionCERTyou Formation
 
Ilsd formation-itil-sd-service-lifecycle-service-design
Ilsd formation-itil-sd-service-lifecycle-service-designIlsd formation-itil-sd-service-lifecycle-service-design
Ilsd formation-itil-sd-service-lifecycle-service-designCERTyou Formation
 
Exigences de qualité des systèmes / logiciels
Exigences de qualité des systèmes / logicielsExigences de qualité des systèmes / logiciels
Exigences de qualité des systèmes / logicielsPierre
 
Presenatie Service Desk
Presenatie Service DeskPresenatie Service Desk
Presenatie Service DeskDirk Calleeuw
 
Osa formation-itil-osa-service-capability-operational-support-analysis
Osa formation-itil-osa-service-capability-operational-support-analysisOsa formation-itil-osa-service-capability-operational-support-analysis
Osa formation-itil-osa-service-capability-operational-support-analysisCERTyou Formation
 
Iso 9001 approche processus
Iso 9001 approche processusIso 9001 approche processus
Iso 9001 approche processusazfgr
 
Examen-blanc-02-itil-v3-foundation
 Examen-blanc-02-itil-v3-foundation Examen-blanc-02-itil-v3-foundation
Examen-blanc-02-itil-v3-foundationAmine Stitou
 

Similaire à Mutualisation ITIL / ISO20000 & 2700x - [Club 27001] [2012] [GT] (20)

La méthode ITIL.pptx
La méthode ITIL.pptxLa méthode ITIL.pptx
La méthode ITIL.pptx
 
Sensibilisation aux pratiques ITIL®
Sensibilisation  aux pratiques ITIL®Sensibilisation  aux pratiques ITIL®
Sensibilisation aux pratiques ITIL®
 
D'ITIL à ISO 20000 une démarche complémentaire
D'ITIL à ISO 20000 une démarche complémentaireD'ITIL à ISO 20000 une démarche complémentaire
D'ITIL à ISO 20000 une démarche complémentaire
 
Isaw formation-introduction-a-iso-20000
Isaw formation-introduction-a-iso-20000Isaw formation-introduction-a-iso-20000
Isaw formation-introduction-a-iso-20000
 
Presentation 25 March 2010 Securitas
Presentation 25 March 2010 SecuritasPresentation 25 March 2010 Securitas
Presentation 25 March 2010 Securitas
 
Isf formation-iso-iec-20000-foundation
Isf formation-iso-iec-20000-foundationIsf formation-iso-iec-20000-foundation
Isf formation-iso-iec-20000-foundation
 
Présentation Service Desk 2009
Présentation Service Desk 2009Présentation Service Desk 2009
Présentation Service Desk 2009
 
Iso QSE 2016
Iso QSE 2016Iso QSE 2016
Iso QSE 2016
 
Formation ITIL.ppt
Formation ITIL.pptFormation ITIL.ppt
Formation ITIL.ppt
 
Quelles nouveautés dans ITIL4® en 2019? [webinaire]
Quelles nouveautés dans ITIL4® en 2019? [webinaire]Quelles nouveautés dans ITIL4® en 2019? [webinaire]
Quelles nouveautés dans ITIL4® en 2019? [webinaire]
 
Ilst formation-itil-st-service-lifecycle-service-transition
Ilst formation-itil-st-service-lifecycle-service-transitionIlst formation-itil-st-service-lifecycle-service-transition
Ilst formation-itil-st-service-lifecycle-service-transition
 
Itil foundation v3 2011-Maroc
Itil foundation v3 2011-MarocItil foundation v3 2011-Maroc
Itil foundation v3 2011-Maroc
 
Chap2 gouvernance des SI.pptx
Chap2 gouvernance des SI.pptxChap2 gouvernance des SI.pptx
Chap2 gouvernance des SI.pptx
 
Ilsd formation-itil-sd-service-lifecycle-service-design
Ilsd formation-itil-sd-service-lifecycle-service-designIlsd formation-itil-sd-service-lifecycle-service-design
Ilsd formation-itil-sd-service-lifecycle-service-design
 
Exigences de qualité des systèmes / logiciels
Exigences de qualité des systèmes / logicielsExigences de qualité des systèmes / logiciels
Exigences de qualité des systèmes / logiciels
 
Presenatie Service Desk
Presenatie Service DeskPresenatie Service Desk
Presenatie Service Desk
 
Indispensable_IT_Operation_Consulting.PDF
Indispensable_IT_Operation_Consulting.PDFIndispensable_IT_Operation_Consulting.PDF
Indispensable_IT_Operation_Consulting.PDF
 
Osa formation-itil-osa-service-capability-operational-support-analysis
Osa formation-itil-osa-service-capability-operational-support-analysisOsa formation-itil-osa-service-capability-operational-support-analysis
Osa formation-itil-osa-service-capability-operational-support-analysis
 
Iso 9001 approche processus
Iso 9001 approche processusIso 9001 approche processus
Iso 9001 approche processus
 
Examen-blanc-02-itil-v3-foundation
 Examen-blanc-02-itil-v3-foundation Examen-blanc-02-itil-v3-foundation
Examen-blanc-02-itil-v3-foundation
 

Mutualisation ITIL / ISO20000 & 2700x - [Club 27001] [2012] [GT]

  • 1. S Conseils et préconisations de mutualisation ISO 2700x et ISO 20000 / ITIL Groupe de travail du Club 27001 Toulouse 3 Avril 2012 Nicole Genotelle (ON-X / Edelweb), Joris Pegli (SRC-Solution), Emmanuel Prat (FullSave), Sébastien Rabaud (SCASSI Conseil), Jacques Sudres (C&S) 1
  • 2. S Agenda • • • • • • • • Introduction Constats du premier groupe de travail Analyses et compléments Ce qui a changé Contexte et objectifs du groupe de travail Présentation de l’étude Conclusion Et pour la suite … Groupe de travail ISO27001 / ISO20000 / ITIL - Présentation du 03/04/2012
  • 3. S Introduction • Nouveau groupe de travail ITIL du Club 27001, composé de cinq personnes du Club 27001 Toulousain. • Le groupe se réunit depuis le mois d’août 2011 pour réactiver les travaux et les réflexions sur les mutualisations possibles entre les normes ISO27001 et ISO20000 (ITIL). • Le groupe a tenu compte des travaux réalisés par l’ancien groupe de travail ITIL du Club 27001. Groupe de travail ISO27001 / ISO20000 / ITIL - Présentation du 03/04/2012
  • 4. N Premier groupe de travail Objectif  Fournir des fiches de mutualisation des services ITIL/ISO27001 Couverture  ITIL concerne l’informatique  ISO 27001 concerne l’information Nature  ITIL : Bonnes pratiques : aucun caractère contraignant  ISO 27001: Exigences : obligation de tout mettre en œuvre entre les chapitres 4 et 8 de la norme Groupe de travail ISO27001 / ISO20000 / ITIL - Présentation du 03/04/2012
  • 5. N Analyse et compléments Domaines Exigences Bonnes pratiques Services informatiques ISO 20000 ITIL Sécurité de l’information ISO 27001 ISO 27002  Les rapprochements possibles sont : • ITIL et ISO 27002 : bonnes pratiques • ISO 20000 et ISO 27001 : objectifs de certification Groupe de travail ISO27001 / ISO20000 / ITIL - Présentation du 03/04/2012
  • 6. N Ce qui a changé … Mai 2007 Août 2007 Mai 2011 Août 2011 Groupe de travail ISO27001 / ISO20000 / ITIL - Présentation du 03/04/2012
  • 7. N Ce qui a changé … Guidelines on the integrated implementation of ISO 27001 and ISO 20000-1 - En cours de validation (40.20 – enquête / mise au vote – 15/11/2011) Guide d’optimisation de la mise en place simultanée des 2 démarches en vue d’une double certification, Table de correspondances entre les chapitres 27001 et 20000 ISO 27013 Comparaison du vocabulaire entre 27001 et 20000 => Divergence  ISO27001 : Distinction entre événements et incidents (liés à la sécurité de l’information)  ISO20000 : Tout évènement est un incident (pas de définition d’évènement) Pas d’éléments dans le cas où les deux démarches seraient décorrélées dans le temps. ITIL V3 Prise en compte du cycle de vie complet du service de sa conception à sa disparition. Le processus central devient « Le catalogue de services » à la place de la CMDB Extension de la base de données des connaissances à l’ensemble des informations IT, Les processus font tous référence au service Groupe de travail ISO27001 / ISO20000 / ITIL - Présentation du 03/04/2012
  • 8. S Contexte et objectifs du groupe de travail Hypothèses  Préexistence de processus ITIL  Prise en compte d’ITILv3  Pas de comparaison ISO27001 & ISO20000  ISO27013 Objectifs  Identifier les processus ITIL utiles dans le cadre de la mise en œuvre d’un SMSI  Identifier les adaptations des processus ITIL induites par la mise en œuvre du SMSI Démarche  Analyse des points de convergence avec le cycle de vie et les processus ITIL Groupe de travail ISO27001 / ISO20000 / ITIL - Présentation du 03/04/2012
  • 9. S Vision globale ITIL STRATEGIE DES SERVICES ITIL CONCEPTION DES SERVICES SMSI ITIL TRANSITION DES SERVICES ITIL EXPLOITATION DES SERVICES Groupe de travail ISO27001 / ISO20000 / ITIL - Présentation du 03/04/2012
  • 10. N Politique de stratégie des services ITIL Stratégie des Services Politique de stratégie des services  Contribue à la définition du périmètre, du contexte et des enjeux du SMSI (PSI, ….) SMSI  Contribue à l’amélioration de la communication des risques SSI vis-à-vis des parties prenantes (diffusion / prise en compte des politiques de sécurité, etc.) Conseils / préconisations  Ne pas se limiter au périmètre ITIL (informatique) pour définir celui du SMSI (information)  Qualité et pertinence des indicateurs niveau stratégique Groupe de travail ISO27001 / ISO20000 / ITIL - Présentation du 03/04/2012
  • 11. N Gestion du catalogue et des niveaux de service ITIL Conception des services -  Permet de prendre en compte dans le SMSI les niveaux de tolérance déjà définis dans ITIL  Permet de prendre en compte des indicateurs déjà définis (niveau opérationnel)  Permet de recenser les services de sécurité offerts SMSI Catalogue Niveaux de service  Permet de prendre en compte dans les niveaux de tolérance ITIL les critères de sécurité définis par le SMSI  Meilleure visibilité de la sécurité par les clients (SLA, OLA et UC) Groupe de travail ISO27001 / ISO20000 / ITIL - Présentation du 03/04/2012
  • 12. N Gestion du catalogue et des niveaux de service Conseils / Préconisations  En pratique, le niveau de service est souvent limité au seul critère de Disponibilité (bien qu’ITIL prenne en compte également I et C).  Intégrer la sécurité dès la conception des services : • Contrat de service OLA entre les ≠ responsables des processus ITIL et le responsable du SMSI Exemple : la gestion des changements implique systématiquement les acteurs SSI :  Prise en compte des changements sur la sécurité (mise à jour du risque)  Sécurité dans les changements (tests de non-régression)  Adapter le niveau de sécurité à la demande client (SLR dans ITIL) • Intégrer dans les OLA (contrat de service interne) les exigences du SMSI • Éventuellement dans les SLA (contrat de service client si spécifié dans les SLR) Groupe de travail ISO27001 / ISO20000 / ITIL - Présentation du 03/04/2012
  • 13. Gestion des capacités, de la disponibilité, de la continuité, des fournisseurs ITIL Conception des services Capacités Disponibilité Continuité Fournisseurs  Permet de recenser les mesures de sécurité existantes avec leurs niveaux de maturité (capacité)  Contribue à l’identification des tiers (fournisseurs)  Contribue au PCA (continuité) SMSI  Permet de prendre en compte l’évaluation des risques (continuité, disponibilité, fournisseurs, capacité)  Permet de prendre en compte les exigences de sécurité vis à vis des tiers (fournisseurs) Conseils / préconisations  Limite du périmètre ITIL (informatique) ≠ SMSI (information) [ex : Continuité]  Limite du périmètre Fournisseurs (ITIL) ≠ Tiers (SMSI) Groupe de travail ISO27001 / ISO20000 / ITIL - Présentation du 03/04/2012 N
  • 14. S Gestion des actifs et des configurations ITIL Transition des services -  CMDB contribue à l’identification des actifs en support (27005)  CMDB contribue à certaines activités sécurité : périmètre de la veille, actifs servant à l’analyse de risque liées aux vulnérabilités courantes, ..  Approche PDCA en continu : prise en compte des mises à jour de la CMDB dans la gestion des risques SMSI Actifs Configurations  Enrichissement de la CMDB : type des actifs primordiaux ou en support, niveau de tolérance DICT, … Conseils / préconisations  Niveau de finesse du contenu dans la CMDB à bien calibrer (assez d’information pour être pertinent mais pas trop pour ne pas avoir de mise à jour continuelle)  CMDB est susceptible d’intégrer tous types d’actifs. Cf. ISO20000-2-§9.1.2.NOTE  « other items that may be considered as CI : people, business units, other assets, facilities… » Groupe de travail ISO27001 / ISO20000 / ITIL - Présentation du 03/04/2012
  • 15. S Gestion des changements et mises en production ITIL Transition des services - Changements Mises en production  Permet de prendre en compte de manière continue les évolutions du SI (mise à jour gestion des risques, périmètre de la veille, …)  La présence de champs DICT dans la CMDB contribue à l’évaluation des risques liés aux changements, SMSI  Prise en compte de la sécurité dans la gestion des changements (ex : tests de non régression)  Permet de définir les priorités des demandes de changement (ex : changement urgent pour une vulnérabilité critique) Conseils / préconisations  Implication nécessaire des acteurs SSI dans la gestion des changements  adaptation des contrats de services internes (OLA) et des procédures de gestion des changements Groupe de travail ISO27001 / ISO20000 / ITIL - Présentation du 03/04/2012
  • 16. S Gestion des événements, incidents et problèmes ITIL Exploitation des services Évènements Incidents Problèmes  Contribue à identifier des évènements et incidents de sécurité parmi les évènements et incidents du SI  Contribue à définir des mesures de prévention de l’occurrence des incidents de sécurité (problèmes) SMSI  Prise en compte des mesures liées aux incidents de sécurité (ex : identification systématique des incidents de sécurité, analyse et traitement des incidents à posteriori, …) Conseils / préconisations  Difficulté à adapter le processus de qualification des incidents (à priori et à posteriori) pour permettre l’identification exhaustive des incidents de sécurité  Compétences des opérateurs en général insuffisante ou inefficace pour identifier les évènements de sécurité Groupe de travail ISO27001 / ISO20000 / ITIL - Présentation du 03/04/2012
  • 17. N Conclusion ITIL STRATEGIE DES SERVICES -Politique de stratégie des services ITIL CONCEPTION DES SERVICES •DICT / Critères et niveau de tolérances •Périmètre •Communication •Mesures de sécurité - Catalogue et niveaux de services - Capacités, Disponibilité, Continuité, Fournisseurs SMSI ITIL EXPLOITATION DES SERVICES - Événements - Incidents - Problèmes ITIL TRANSITION DES SERVICES •Actifs / CMDB •Évènements et Incidents de sécurité •Risques / Changements - Actifs, Configurations - Changements, MEP Groupe de travail ISO27001 / ISO20000 / ITIL - Présentation du 03/04/2012
  • 18. N Conclusion • Périmètre différent : Informatique ≠ Information • Efficacité de la mutualisation dépendante de la maturité d’ITIL : – Nombre de processus ITIL – Maturité des processus • Comment positionner « la sécurité » vis-à-vis d’ITIL ? – Comme un métier (externe) => SLA – Entièrement intégrée dans les processus ITIL => OLA – Existant en termes de processus et organisation? Groupe de travail ISO27001 / ISO20000 / ITIL - Présentation du 03/04/2012
  • 19. Et pour la suite … Approfondir des thématiques : changements, incidents, etc. ? Groupe de travail ISO27001 / ISO20000 / ITIL - Présentation du 03/04/2012