French acreditation process homologation 2010-01-19

Homologation SSI
Agence nationale de la Sécurité des Systèmes d’Information
Bureau Assistance et Conseil
conseil.anssi[at]ssi.gouv.fr

Plan de la présentation
Introduction
1. L’adoption d’une démarche globale
Seule solution pour sécuriser les informations face aux menaces hétérogènes
2. La gestion des risques est au cœur de toute réflexion de SSI
Des normes et des outils : Guide ISO/CEI 73, ISO/CEI 31000, EBIOS…
3. Le concept de maturité permet d’adapter la SSI aux enjeux réels
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 2
Quelques références : Guide Maturité SSI, ISO/CEI 21827…
4. Vers une amélioration continue : le système de management de la SSI
L’ISO/CEI 27001 en décrit les activités
5. La SSI devait être intégrée tout le long du cycle de vie des systèmes
Le guide GISSIP présente différentes manières d’y parvenir selon les enjeux SSI
6. L’homologation, un engagement systématique
Démarche, livrables
7. Les labels SSI améliorent la confiance
Produits, systèmes de management, systèmes d’information et personnes
Conclusion

Introduction

Le contexte mondial : l’incertitude stratégique
La mondialisation est une situation nouvelle dans laquelle la diffusion de l’information
et de la connaissance, la transformation des échanges économiques et la
modification des rapports de forces internationaux ont, d’emblée, un impact mondial.
Elle crée une interaction et une interdépendance généralisées et non maîtrisées entre
tous les États. Elle permet à une multitude nouvelle d’acteurs non étatiques et
d’individus de tirer le parti maximum des possibilités de circulation internationale
accélérée des hommes comme des données et des biens, matériels et immatériels.
[…] La mondialisation ne crée un monde ni meilleur ni plus dangereux qu’il y a deux
[…] La mondialisation ne crée un monde ni meilleur ni plus dangereux qu’il y a deux
décennies. Elle dessine en revanche les contours d’un système international
nettement plus instable, moins contrôlé, et donc plus inquiétant, qui appelle des
réponses à la fois globales et très spécifiques.
[Livre blanc « Défense et sécurité nationale »]
Quelques effets néfastes de la conjoncture actuelle
Diffusion rapide de toutes les formes de crises
Accélération foudroyante de la circulation de l’information
Des régions entières demeurent à l’écart des bénéfices de la croissance mondiale
Évolution des formes de violence (terrorisme, guerre…)

Quelques nouvelles d’Internet…
une journée parmi d’autres
MAURITANIE - La dictature militaire
mauritanienne a utilisé des techniques de
"cyber-guerre" pour rendre indisponible deux
sites Internet de l'opposition. Les autorités ont
loué les services de plusieurs réseaux de
machines zombies pour lancer ces attaques en
déni de service distribué à l'encontre de ces
sites. Cet événement rappelle qu'au Myanmar,
en Russie et en Chine, le pouvoir politique a usé
des mêmes tactiques.
FRANCE - Une enquête de police a permis de
saisir plus de 2 000 fichiers vidéo à caractère
pédopornographique sur le réseau informatique
d'Air France. L'enquête a débuté en janvier 2007
à la suite d'une plainte déposée par une
association qui avait découvert des fichiers
pédophiles en circulation via une société
française. Une perquisition effectuée au domicile
d'un employé de la compagnie aérienne nationale
avait alors permis la saisie de 100 000 images de
des mêmes tactiques.
[source Internet : Strategy Page]
ÉTATS-UNIS - Un ordinateur portable contenant
les informations personnelles (noms, adresses
et numéros de sécurité sociale) de 97 000
salariés de la société Starbucks a été dérobé le
29 octobre dernier. La société aurait affiché sur
son site Internet cette information en
recommandant à ses employés de prendre des
mesures appropriées en cas de retrait suspect.
Starsbucks offre à ses employés une assistance
gratuite permettant d'être immédiatement averti
de toute opération financière sur leurs comptes
bancaires.
[source Internet : Seattle Post-Intelligencer]
avait alors permis la saisie de 100 000 images de
mineurs d'une capacité totale de 90 Go.
[source Internet : Bakchich.info]
RÉPUBLIQUE DU CONGO - Parution du premier
livre sur la sécurité informatique du pays : l'auteur
souligne que des réseaux de cyber-attaquants de
plus en plus structurés sont virtuellement ou
physiquement situés sur le continent africain. Il
révèle aussi que par le biais de réseaux sociaux
et autres moyens de communications Internet
d'énormes capitaux transitent vers des paradis
fiscaux.
[source Internet : Categorynet]

L’évolution du contexte…
Les systèmes informatiques évoluent…
« Avant, on tentait d’empêcher les missiles de détruire les salles
enfermant les machines ; on essaie maintenant d’empêcher les machines
d’utiliser les missiles. »
Les systèmes informatiques changent dynamiquement, se complexifient,
s’interconnectent et changent la valeur de l’information
Les technologies évoluent (programmation orientée objet, agents intelligents…)
La menace évolue…
La menace évolue…
On doit considérer les menaces d’origine accidentelle et celles d’origine intentionnelle
Vulgarisation des outils d’attaques (disponibles sur Internet, manipulation simple)
Automatisation des attaques (recherche de machines, casseurs automatisés de mots
de passe, intrusion dans les systèmes…)
Une faible qualité des logiciels et produits disponibles (augmentation du nombre
d’alertes)
Les impacts évoluent…
Sur les missions, les personnes, l’image, les tiers, la sécurité de l’État, l’environnement,
financiers, juridiques…

… a fait évoluer
la sécurité de l’information
La protection de l’information ne se limite pas à l’informatique
Biens techniques : matériels, logiciels, réseaux, supports d’informations
Biens non techniques : organisations, sites, locaux, personnels
L’information est omniprésente, extrêmement répartie et en circulation permanente
Les problématiques sectorielles convergent (qualité, sécurité des personnes,
environnement, risques opérationnels…)
Il n’est donc plus possible de tout protéger efficacement contre tout
C’est pourquoi il convient d’adopter des démarches et outils méthodologiques
Prendre des décisions rationnelles
Partager un vocabulaire commun
Gérer la complexité
La gestion des risques est le seul moyen rationnel pour prendre des décisions
La mise en œuvre d’un système de management de la sécurité de l’information (ISO/CEI 27001)
repose sur la gestion des risques
L’ISO/CEI 31000 (gestion des risques au sens large) et l’ISO/CEI 27005 (application à la sécurité de
l’information) en décrivent la démarche générale
La méthode EBIOS permet de mettre en œuvre l‘ISO/CEI 27005

1. Adopter une démarche
globale
globale

Sécurité des système d’information (SSI) :
de quoi parle-t-on ?
Un système d’information (SI) est :
un système (combinaison d’éléments en interaction organisés pour
atteindre un ou plusieurs buts définis [ISO/IEC 15288]),
qui assure l’élaboration, le traitement, la transmission et le stockage
d’informations (renseignements ou éléments de connaissance).
Les informations, ainsi que les processus informationnels, constituent
les biens essentiels au cœur des éléments d’un SI.
La sécurité des systèmes d’information (SSI) a pour objectif de
protéger ces biens essentiels.
Les biens essentiels reposent sur des biens supports (réseaux,
matériels, logiciels, organisations, personnes, sites).
C’est par le biais des biens supports que la sécurité des biens
essentiels peut être atteinte.

La SSI doit être considérée globalement
L’objectif est la cohérence d’ensemble de la démarche de sécurisation des
systèmes d’information. Il convient en effet de n’oublier aucun élément pertinent,
pour éviter le maillon faible qui réduirait la sécurité apportée par tous les autres
maillons, de faire prendre chacune des décisions au juste niveau.
Il faut pour cela :
considérer tous les aspects qui peuvent avoir une influence sur la sécurité des
considérer tous les aspects qui peuvent avoir une influence sur la sécurité des
systèmes d’information, techniques (matériels, logiciels, réseaux, etc.) et non
techniques (organisations, sites, personnes…),
considérer toutes les origines de risques (origines humaines et naturelles, causes
accidentelles et délibérées),
prendre en compte la SSI au plus haut niveau hiérarchique, car comme tous les autres
domaines de la sécurité, la SSI repose sur une vision stratégique, nécessite des choix
d’autorité (les enjeux, les moyens humains et financiers, les risques résiduels
acceptés) et un contrôle des actions et de leur légitimité,
responsabiliser tous les acteurs (décideurs, maîtrises d'ouvrage, maîtrises d'œuvre,
utilisateurs…),
intégrer la SSI tout le long du cycle de vie des systèmes d'information (depuis l’étude
d’opportunité jusqu'à la fin de vie du système).

2. Fonder la SSI sur la
gestion des risques
gestion des risques

Pourquoi gérer les risques SSI ?
Lignes directrices de l’OCDE
Principe d’évaluation des risques
Principe de gestion de la sécurité
Principe de réévaluation
Maîtriser les coûts
Objectivité dans les choix (balance entre ce qu’on peut perdre et le coût pour s’en
Objectivité dans les choix (balance entre ce qu’on peut perdre et le coût pour s’en
prémunir)
Maîtriser la sécurité de ses systèmes d’information
Visibilité, cohérence et prévention
Réglementation pour le classifié de défense
L’instruction générale interministérielle N°1300 rend la réalisation d’une analyse des
risques obligatoire pour tout système traitant des informations classifiées de défense.

Qu’est-ce qu’un risque SSI ?
Ex. 1 – USA Ex. 2 – Nouvelle-Zélande Ex. 3 – Fictif
Événements
redoutés
Sources de
menace
« Attaquants » « Attaquants »
Un pirate expérimenté
engagé par un
concurrent
Biens essentiels
Données sur le
système de diagnostic
d’un avion de chasse
Processus
d’enregistrement de noms
de domaines
Informations et fonctions
présentes sur le réseau
Besoins de
sécurité
Confidentialité Intégrité Intégrité
Atteinte de l’image de l’
État, possibilité
Redirection de sites web
Perturbation du
Risques
Impacts
État, possibilité
ultérieure d’actions
contre les systèmes
des avions
Redirection de sites web
vers un autre, atteinte de
l’image des organismes
concernés
Perturbation du
fonctionnement, perte
d’avantage concurrentiel
Niveau d’impact Modéré à élevé Modéré Élevé
Scénarios de
menaces
Menaces Intrusion et collecte Accès frauduleux
Piégeage du logiciel
(introduction d’un ver)
Biens supports
Réseaux des sous-
traitants
Fonctionnalités
d’administration du site du
bureau d’enregistrement
Réseau WiFi
Vulnérabilités
Perméabilité des
réseaux des sous-
traitants
Injection SQL
Possibilité d’administrer
le réseau à distance
Niveau de
vraisemblance
Quasiment certain
(traces d‘intrusion)
Quasiment certain
(vulnérabilités connues)
Important

Un cadre pour toutes les méthodes de
gestion des risques SSI : l’ISO/CEI 27005
RISK ESTIMATION
ESTABLISH CONTEXT
RISK IDENTIFICATION
CATION
ANDREVIEW
RISK ASSESSMENT
RISK ANALYSIS
RISK TREATMENT
RISK EVALUATION
RISKCOMMUNIC
RISKMONITORINGA
RISK DECISION POINT 1
Assessment satisfactory
END OF FIRST OR SUBSEQUENT ITERATIONS
RISK DECISION POINT 2
Accept risks
Yes
No
No
Yes
RISK ACCEPTANCE

EBIOS, la méthode française permettant
de mettre en œuvre l’ISO/CEI 27005
Étude du contexte
Quel est le sujet de l’étude ?
Fixer le cadre, préparer les métriques, identifier
les biens
Étude des besoins
Quels sont les événements redoutés ?
Identifier la valeur des biens essentiels et les
impacts en cas d’atteinte
Étude des menaces
Comment les événements redoutés peuvent-ils
Module 1
Étude du
contexte
Module 2
Étude des
besoins
Module 3
Étude des
menaces
Comment les événements redoutés peuvent-ils
se réaliser ?
Identifier les menaces et les vulnérabilités des
biens supports
Étude des risques
Quels sont les scénarios qui peuvent réellement
arriver ? De quelle manière veut-on les traiter ?
Identifier les risques et les objectifs de sécurité
Étude des mesures de sécurité
Quelles sont les solutions à mettre en œuvre
pour traiter les risques ?
Déterminer les mesures (éventuellement sur la
base de l’ISO/CEI 27002) et suivre leur
application
Module 4
Étude des
risques
Module 5
Étude des
mesures de
sécurité

L’objectif : sécuriser les systèmes d’informations
Protéger les biens essentiels
Informations : données numériques ou non, savoir ou savoir-faire particulier
Processus informationnels : fonctions, processus métiers…
Maîtriser les biens supports
Réseaux : réseaux informatiques, relais et supports de communication,
Réseaux : réseaux informatiques, relais et supports de communication,
protocoles
Matériels : ordinateurs fixes et mobiles, périphériques, supports
électroniques et papiers
Logiciels : applications, systèmes de gestion de base de données,
middleware, systèmes d’exploitation, firmware
Organisations : organisations internes, relations avec des tiers
Personnes : personnes morales, personnes physiques
Sites : locaux, installations électriques, installations de traitement de fluides

Prendre en compte les références applicables
La loi et la réglementation doivent être prises en compte
Codes d’éthique des métiers des technologies de l’information
Atteintes aux personnes (vie privée, protection des données nominatives, secret
professionnel, secret de la correspondance)
Atteintes aux biens (vol, escroquerie, détournements, destructions, dégradations et
détériorations, atteintes aux systèmes d’information)
Atteintes aux intérêts fondamentaux de la Nation, terrorisme et atteintes à la confiance
publique
publique
Atteintes à la propriété intellectuelle (protection du droit d’auteur, protection des bases
de données)
Dispositions relatives à la cryptologie
Dispositions relatives à la signature électronique
Autres texte nationaux et internationaux (Union européenne, Union africaine, ONU…)
Il convient également de tenir compte des réglementations sectorielles et des
règles internes aux organismes

Respecter les besoins de sécurité
La sécurité de l'information a pour but de protéger le patrimoine
informationnel de l'organisme. Celui-ci permet son bon fonctionnement
et l'atteinte de ses objectifs.
La valeur de ce patrimoine, dit informationnel, peut en effet être
appréciée au regard :
des opportunités qu'il offre quand on l'utilise correctement,
des conséquences négatives dans le cas contraire.
Les besoins de sécurité représentent les conditions dans lesquelles les
métiers s’exercent de manière acceptable. Ils sont généralement
exprimés en termes de :
disponibilité : propriété d'accessibilité au moment voulu des biens essentiels
par les personnes autorisées
intégrité : propriété d'exactitude et de complétude des biens essentiels
confidentialité : propriété des biens essentiels de n'être accessibles qu'aux
utilisateurs autorisés

Gérer les impacts internes et externes
Impacts sur les missions
Incapacité à fournir un service, perte de savoir-faire, changement de stratégie…
Impacts sur la sécurité des personnes
Accident du travail, maladie professionnelle, perte de vies humaines, mise en danger…
Impacts financiers
Perte de chiffre d'affaire, dépenses imprévues, chute de valeur en bourse, baisse de
revenus…
revenus…
Impacts juridiques
Procès, amende, condamnation d'un dirigeant, dépôt de bilan, avenant…
Impacts sur l’image
Publication d'un article satyrique dans la presse, perte de crédibilité vis-à-vis de clients,
mécontentement des actionnaires, perte d'avance concurrentielle, perte de notoriété…
Impacts sur l’environnement
Pollution (chimique, bactériologique, radiologique, sonore, visuelle…) générée par
l'organisme et touchant son périmètre, son voisinage ou une zone…
Impacts sur les tiers
Impossibilité d'assurer un service, amendements de contrats, pénalités, conséquences
sur la production ou la distribution de biens ou de services considérés comme vitaux…

Faire face à toutes les sources de menaces
Sources humaines
Employé en fin de contrat, employé voulant se venger de son
employeur ou de ses collègues, fraudeur, employé maladroit ou
inconscient…
Militant agissant de manière idéologique ou politique, espion,
terroristes, pirate passionné, casseur ou fraudeur, concurrent avec
une motivation stratégique, visiteur, prestataire, personnel
une motivation stratégique, visiteur, prestataire, personnel
d'entretien cupide, personnel d'entretien maladroit, personne
réalisant des travaux dans le voisinage, manifestants, stagiaire
agissant de manière ludique…
Sources non humaines
Matières dangereuses, matières inflammables, eau…
Virus informatique ou autre code malveillant, nature environnante
(rivière, forêt…), météo, éléments du voisinage, temps qui s'écoule,
contingence (malchance)…

Lutter contre les menaces
Détournements d'usages
Défiguration, cybersquatting, altération de données, exploitation distante d'un réseau
sans fil, occupation de site, interception de signaux parasites (compromettants, wifi…),
écoute passive, hameçonnage, divulgation involontaire, ingénierie sociale …
Dépassements de limites de fonctionnement
Déni de service, surcharge de variables, défaillance logicielle, défaillance matérielle,
dysfonctionnement provoqué (rayonnements électromagnétiques, thermiques…),
dépassement de capacités réseaux, surmenage, défaillance de la climatisation…
Valeurdesbiens
Besoin de sécurité
SCAN
SOCIAL
ENGINEERING
SCRIPT
KIDDIES
Compétence
Disponibilité
des outils
DENI SERVICE
USURPATION
ATTAQUE
CRYPTO
dépassement de capacités réseaux, surmenage, défaillance de la climatisation…
Détériorations
Bombe logique, impulsion électromagnétique, panne matérielle, assassinat, maladie,
infection, accident, décès, dégradation physique, vandalisme, catastrophe naturelle,
sinistre majeur…
Modifications
Altération d'un logiciel par modification ou ajout de code, contagion par un code
malveillant, piégeage d’un matériel, falsification d'un support papier, intégration de
machines non maîtrisés, manipulation psychologique, travaux…
Pertes de propriété
Non renouvellement de licence, perte de codes sources, disparition d'un matériel, vol
de support de données ou de document, récupération de matériels recyclés ou mis au
rebut, licenciement, enlèvement, rachat de tout ou partie de l'organisme…

Réduire les vulnérabilités
Réseaux
Possibilité de pose d'éléments additionnels, complexité du routage entre sous-réseaux,
ouverture des réseaux, liaison de télémaintenance activée en permanence…
Matériels
Mauvaises conditions d'utilisation, fragilité des matériels, matériel facilement
démontable, matériel attractif, supports accessibles par tous, matériel transportable…
Logiciels
Fournisseur
Entreprise
Nomade
Réseau
Public
L.S.
Web
DNS
Filiale
Mail
Partenaire
Client
Client
Serveurs
publics
INTERNET
INTRANET
EXTRANET
Logiciels
Mots de passe simples à observer (forme sur un clavier, mot de passe court), logiciels
obsolètes, possibilité d'utiliser une porte dérobée dans le système d'exploitation…
Organisations
Organisation instable ou inadaptée, contrats peu clairs, clauses contractuelles
incomplètes, règles de sécurité inapplicables, consignes non respectées…
Personnes
Instabilité financière, actionnariat instable, personnel manipulable, prééminence d’une
catégorie de personnel, manque de formation, manque de motivation…
Sites
Proximité d’activités industrielles à risque, mauvais dimensionnement des ressources,
facilité de pénétrer dans les locaux, agencement des locaux inapproprié…

Faire émerger les risques réels
Si l’ordinateur portable d’un employé est volé alors qu’il ne contient aucune
information confidentielle, alors il n’y a pas de risque.
En revanche, s’il contient des informations confidentielles et que leur
compromission pourrait faire perdre des clients ou nuire gravement à l’image de
son organisme, alors le risque existe et son niveau d’impact est important.
Par ailleurs, si on estime que des concurrents ou des opposants à l’organisme
sont prêts à employer ce genre de méthode et s’en donneront les moyens, et
sont prêts à employer ce genre de méthode et s’en donneront les moyens, et
qu’en plus les employés font preuve d’inattention, alors le niveau de
vraisemblance est important.
Il est illusoire et coûteux de se protéger contre tous les risques imaginables.
Mais il est dangereux de ne pas identifier les risques auxquels on est confronté.
C’est pourquoi il convient de faire émerger les risques et d’estimer leur niveau.
Cela permettra de les hiérarchiser et de faire des choix objectivement.

Choisir les options de traitement
Réduire les risques
Action sur les vulnérabilités (prévention) et/ou les impacts
(récupération, compensation) et/ou les sources de menaces
(dissuasion) et/ou les menaces (protection, détection)
Transférer les risques
Transférer les risques
Partage des pertes avec autrui (assurance, certification…)
Éviter les risques
Changement de situation pour que le risque n’existe plus (choix
techniques, réduction du périmètre…)
Prendre les risques
Acceptation des pertes dans le cas où des sinistres arrivent

Déterminer les mesures de sécurité
Les mesures de sécurité, destinées à traiter les risques, peuvent être :
créées de toute pièce,
créées à partir de meilleures pratiques adaptées,
choisies directement parmi les meilleures pratiques.
Un exemple de catalogues de meilleures pratiques : l’ISO/CEI 27002
[…]
5. Politique de sécurité
5. Politique de sécurité
6. Organisation de la sécurité de l’information
7. Gestion des biens
8. Sécurité des ressources humaines
9. Sécurité physique et environnementale
10. Gestion des communications et opérations
11. Contrôle d’accès
12. Acquisition, développement et maintenance des systèmes d’information
13. Gestion des incidents de sécurité de l’information
14. Gestion de la continuité d’activités
15. Conformité
Les mesures de sécurité sont également destinées à prendre en compte les références
applicables

Accepter les risques résiduels
Les risques résiduels sont issus :
de risques insuffisamment réduits,
de menaces écartées,
de mesures de sécurité induisant de nouveaux risques…
Il convient de mettre en évidence les risques résiduels afin de vérifier
Il convient de mettre en évidence les risques résiduels afin de vérifier
que le niveau des risques est acceptable.
Dans le cas contraire, il convient de revoir le traitement de ces risques
en tentant de les réduire, de les transférer ou de les éviter davantage.
Cette acceptation des risques prendre généralement la forme d’une
homologation de sécurité :
déclaration, par une autorité dite d’homologation, que le sujet considéré est
apte à traiter des biens au niveau des besoins de sécurité exprimé,
conformément aux objectifs de sécurité visés, et qu’elle accepte les risques
résiduels induits.

Globalité
La défense doit être globale, ce qui signifie qu’elle englobe toutes les dimensions du système
d’information :
a) aspects organisationnels ;
b) aspects techniques ;
c) aspects mise en œuvre.
Coordination
La défense doit être coordonnée, ce qui signifie que les moyens mis en place agissent :
a) grâce à une capacité d’alerte et de diffusion ;
b) à la suite d’une corrélation des incidents.
La défense doit être dynamique, ce qui signifie que le SI dispose d’une politique de sécurité identifiant :
a) une capacité de réaction ;
Appliquer des principes
de défense en profondeur
Dynamisme
a) une capacité de réaction ;
b) une planification des actions ;
c) une échelle de gravité.
Suffisance
La défense doit être suffisante, ce qui signifie que chaque moyen de protection (organisationnel ou
technique) doit bénéficier :
a) d’une protection propre ;
b) d’un moyen de détection ;
c) de procédures de réaction.
Complétude
La défense doit être complète, ce qui signifie que :
a) les biens à protéger sont protégés en fonction de leur criticité ;
b) que chaque est protégé par au minimum trois lignes de défense ;
c) le retour d’expérience est formalisé.
Démonstration
La défense doit être démontrée, ce qui signifie que :
a) la défense est qualifiée ;
b) il existe une stratégie d’homologation ;
c) l’homologation adhère au cycle de vie du système d’information.

Résultats d’une analyse de risques
EBIOS
Cahier des chargesFEROS PP Cible
Négociation & arbitrage Responsabiliser les acteurs
TDBSSISDSSI
Plan d’action
Note de stratégiePSSI

Exemples de niveaux de détails selon la finalité
Analyse de risques PP/Cible FEROS PSSI
Schéma
directeur
Étude du contexte Détaillé Détaillé Moyen Détaillé
Expression des besoins
Détaillé Détaillé Moyen Faible
Expression des besoins
de sécurité
Détaillé Détaillé Moyen Faible
Étude des menaces
Détaillé Détaillé
Moyen à
détaillé
Faible
Identification des
objectifs de sécurité
Détaillé Détaillé Faible Faible
Détermination des
exigences de sécurité
Détaillé Aucun Faible Optionnel

3. Adapter la SSI selon les
enjeux
enjeux

L’ISO/IEC 21827
définit 5 niveaux de maturité SSI cumulatifs
1. Pratique informelle : pratiques de base mises en œuvre de manière informelle et réactive à l'initiative de ceux qui
estiment en avoir besoin.
Des actions sont réalisées en employant des pratiques de base.
2. Pratique répétable et suivie : pratiques de base mises en œuvre de façon planifiée et suivie, avec un support
relatif de l'organisme.
Les actions sont planifiées.
Les actions sont réalisées par une personne qui possède des compétences en SSI.
Certaines pratiques sont formalisées, ce qui permet la duplication et la réutilisation (éventuellement par une autre personne).
Des mesures qualitatives sont réalisées (indicateurs simples sur les résultats).
Les autorités compétentes sont tenues informées des mesures effectuées.
Les autorités compétentes sont tenues informées des mesures effectuées.
3. Processus défini : mise en œuvre d'un processus décrit, adapté à l'organisme, généralisé et bien compris.
Les actions sont réalisées conformément à un processus défini, standardisé et formalisé.
Les personnes réalisant les actions possèdent les compétences appropriées au processus.
L’organisme soutien le processus et accorde les ressources, les moyens et la formation nécessaires à son fonctionnement. Le processus est
bien compris autant par le management que par les exécutants.
4. Processus contrôlé : le processus est coordonné et contrôlé (indicateurs) pour corriger les défauts constatés.
Le processus est coordonné dans tout le périmètre choisi et pour chaque exécution.
Des mesures quantitatives sont régulièrement effectuées (en termes de performance).
Les mesures effectuées (indicateurs qualitatifs et quantitatifs) sont analysées.
Des améliorations sont apportées au processus à partir de l'analyse des mesures effectuées.
5. Processus continuellement optimisé : l'amélioration des processus est dynamique, institutionnalisée et tient
compte de l'évolution du contexte.
Le processus est adapté de façon dynamique à la situation.
L'analyse des mesures effectuées est définie, standardisée et formalisée.
L'analyse des mesures effectuées est définie, standardisée et formalisée.
L'amélioration du processus est définie, standardisée et formalisée.
Les évolutions du processus sont journalisées.

La SSI doit être gérée en adéquation par rapport aux véritables enjeux
SSI du(des) SMSI. En effet, des enjeux faibles ne requièrent pas de
gérer la SSI de manière aussi rigoureuse que lorsqu'ils sont élevés.
La démarche consiste à :
déterminer le niveau adéquat du SMSI
Maturité du SMSI
déterminer le niveau adéquat du SMSI
déterminer le niveau effectif des processus
améliorer les processus
Première itération de la progression de la maturité
0 1 2 3 4 5
Définir la stratégie SSI
Gérer les risques SSI
Gérer les règles SSI
Superviser la SSI
Concevoir les mesures SSI
Réaliser les mesures SSI
Exploiter les mesures SSI
Niveau adéquat
Géré en dehors du périmètre considéré
Seconde itération de la progression de la maturité
0 1 2 3 4 5
Superviser la SSI
Niveau adéquat
Troisième itération de la progression de la maturité
0 1 2 3 4 5
Superviser la SSI
Niveau adéquat

4. Viser une amélioration continue
par la mise en place d’un SMSI
par la mise en place d’un SMSI

Qu’est-ce qu’un système de management ?
Selon l’ISO/CEI 9000, un système de management est :
un ensemble d'éléments corrélés ou interactifs
permettant d'établir une politique et des objectifs
permettant d'établir une politique et des objectifs
et d'atteindre ces objectifs.

Différents systèmes de management
Le système de management d'un organisme peut inclure différents systèmes de
management.
Les différentes normes de systèmes de management sont très similaires :
elles sont basées sur les mêmes principes,
elles sont structurées quasiment à l'identique,
elles utilisent une terminologie relativement commune,
elles reposent sur les lignes directrices pour la justification et l'élaboration de normes de
elles reposent sur les lignes directrices pour la justification et l'élaboration de normes de
systèmes de management (Guide ISO/CEI 72).
Elles se distinguent et se complètent par leur objet et leur objectif :
Domaine Norme Objet Objectif
Qualité ISO/CEI 9001 Produit Satisfaction des clients
Environnement ISO/CEI 14001
Communauté
environnante
Protection de
l'environnement
Sécurité des personnes
OHSAS 18001
ILO-OSH 2001
Individu
Protection en matière
d'hygiène, santé et sécurité
Sécurité de l’information ISO/CEI 27001
Informations et processus
informationnels
Protection du patrimoine
informationnel

Qu’est-ce qu’un système de management
de la sécurité de l’information (SMSI) ?
Le système de management de la sécurité de l'information (SMSI) est :
un ensemble d'éléments corrélés ou interactifs
permettant d'établir une politique et des objectifs en matière de sécurité de
l'information
et d'atteindre ces objectifs.
Les éléments de ce système sont :
ses ressources (humaines, financières, temporelles),
ses moyens (ensemble des types de biens supports de l'information :
réseaux, matériels, logiciels, organisations, sites, personnels).
Le SMSI apporte un cadre pour la gestion de la sécurité de
l'information.
Il constitue un moyen de gérer la sécurité de l'information de manière
globale, systématique, systémique, complète et cohérente.

Le SMSI est un moyen de gouvernance
La gouvernance de la sécurité de l’information est la manière dont le
système de management de la sécurité de l'information (SMSI) est
dirigé et contrôlé
La gouvernance de la sécurité de l'information apporte
coordination et cohérence aux activités du SMSI. Ainsi, elle
structure et hiérarchise ses activités :
structure et hiérarchise ses activités :
elle active tous les processus de sécurité de l'information,
elle alimente et s’aligne sur les processus de pilotage de l'organisme pour
s'assurer de la cohérence et de la coordination nécessaires entre le SMSI
et le reste des activités de l'organisme,
elle prend appui sur les processus de support de l'organisme afin de fournir,
de manière efficace et efficiente, tous les moyens et ressources dont la
sécurité de l'information a besoin au moment approprié.

L’ISO/CEI 27001 décrit un SMSI
Mise en œuvre de la démarche ISO/CEI 27001
L’ISO/CEI 27001 spécifie un SMSI / Information Security Management
System (ISMS), structuré en 4 étapes :
1. Planifier : définir le cadre du SMSI, apprécier et spécifier le traitement
des risques SSI
2. Mettre en œuvre : implémenter et maintenir les mesures
2. Mettre en œuvre : implémenter et maintenir les mesures
3. Vérifier : vérifier que les mesures fonctionnent conformément à l’étape
Planifier et identifier les améliorations possibles du SMSI
4. Améliorer : mettre en œuvre les améliorations identifiées pour le SMSI
Positionnement par rapport aux mesures de l’ISO/CEI 27002
Catalogue de meilleures pratiques regroupant 39 objectifs de sécurité (buts
à atteindre), décomposés en 133 mesures de sécurité (explications sur les
activités permettant d’y parvenir) et relatifs à 11 domaines

Les tâches à réaliser selon l’ISO/CEI 27001
Planifier
Définir le périmètre
Définir l'approche d'appréciation des risques SSI
Identifier les risques SSI
Analyser et évaluer les risques SSI
Identifier et évaluer les options pour traiter les risques SSI
Sélectionner les objectifs et mesures de sécurité pour traiter
les risques SSI
Obtenir la validation des risques résiduels
Obtenir l'autorisation de mettre en œuvre et d'exploiter le
SGSSI
Améliorer
Mettre en œuvre les améliorations identifiées
pour le SGSSI
Prendre les mesures correctives et préventives
appropriées
Communiquer les résultats et actions, consulter
les parties prenantes
S'assurer que les révisions réalisent leurs
objectifs prévus
Vérifier
Définir la politique de sécurité
Préparer une déclaration d’applicabilité
Mettre en œuvre
Formuler un plan de traitement des risques SSI
Mettre en œuvre le plan de traitement des risques SSI
Mettre en œuvre les mesures de sécurité
Définir comment mesurer l'efficacité des mesures de sécurité
Mettre en œuvre les programmes de sensibilisation et de
formation
Gérer les opérations
Gérer les ressources
Mettre en œuvre les procédures et autres mesures pour
détecter et réagir face aux incidents de sécurité
Vérifier
Exécuter les procédures de vérification et autres
mesures
Vérifier régulièrement la performance du SGSSI
Mesurer l'efficacité des mesures de sécurité
Vérifier régulièrement l'appréciation des risques,
ainsi que le niveau du risque résiduel et du
risque acceptable
Mener des audits internes réguliers du SGSSI
Vérifier régulièrement le management du SGSSI
Mettre à jour les plans de sécurité pour prendre
en compte les résultats des actions précédentes
Enregistrer les actions et événements pouvant
impacter la performance du SGSSI

Vers une intégration
des systèmes de management ?
Les systèmes de management peuvent être :
totalement séparés,
partiellement intégrés,
totalement intégrés.
L’intégration des systèmes de management permet :
L’intégration des systèmes de management permet :
une simplification (documentation, audits),
une économie (non répétition des procédures),
une exhaustivité (pas d’oubli de procédures),
une cohérence (une même logique).
Les difficultés rencontrées :
un investissement conséquent,
nécessite de « remettre à plat les différents systèmes ».

6. Intégrer la SSI dans le cycle de vie
des systèmes
des systèmes

La méthode GISSIP
GISSIP permet une intégration de la SSI structurée, complète et
adaptée aux enjeux de sécurité de chaque SI.
La méthode aide à déterminer les actions SSI à entreprendre et
les documents à produire tout au long du cycle de vie des SI, et
ce, en fonction du niveau de maturité SSI adéquat.
ce, en fonction du niveau de maturité SSI adéquat.
L’approche est à considérer avec souplesse afin de l’appliquer
en cohérence avec les pratiques et outils de chaque organisme.
Il convient de réévaluer régulièrement les enjeux de sécurité, et
donc le niveau de maturité SSI adéquat pour vérifier que les
actions entreprises apportent bien le niveau de confiance le plus
approprié.

Actions SSI par étape et par niveau de maturité

Livrables par étape et par niveau de maturité

7. Une démarche d’homologation
systématique
systématique

Qu’est ce qu’une homologation de sécurité?
Il s’agit de déclarer, au vu du dossier d’homologation, que le
système d’information considéré est apte à traiter des informations
d’un niveau de sensibilité ou de classification donné. (IGI
n°1300/SGDN/PSE/SSD du 25 août 2003)
Cette déclaration est faite par l’autorité d’homologation qui peut
Cette déclaration est faite par l’autorité d’homologation qui peut
s’appuyer sur une commission d’homologation.(IGI n°1300)
La DCSSI participe à la commission d’homologation pour les SI
traitant des informations classifiées de défense. (Rapport sur la doctrine SSI)

Pourquoi homologuer ?
Pour garantir la protection des informations conformément à la réglementation.
« Tout système d’information traitant des informations classifiées doit faire l’objet d’une
décision d’emploi formelle. Cette décision s’appuie sur l’homologation de sécurité » (IGI
n°1300)
Tout système d’information doit faire l’objet d’une homologation de sécurité par une
autorité d’homologation désignée par l’autorité administrative (RGS)
Pour être en mesure d’apporter la preuve que l’on a respecté la loi :
pour la protection des informations classifiées de défense
pour la protection des informations classifiées de défense
pour la protection des informations nominatives
Pour attester de son niveau de sécurité vis-à-vis de ses partenaires
(Organismes tiers, clients, OTAN, UE…).
Pour mettre en place un SMSI, obtenir une vision cohérente en termes
de place de la SSI dans le système d’information,
de coûts et de priorités,
des responsabilités.

Quand homologuer ?
Homologation
PSSI
Référentiel de règles et
meilleures pratiques
Valeurs stratégiques
Objectifs de sécurité
Enjeux de sécurité
Besoins utilisateurs

Fil conducteur de la confiance
RÉALISATION
ÉTUDE D’OPPORTUNITÉ
ÉTUDE D’OPPORTUNITÉ EXPLOITATION
EXPLOITATION
V V
RÉALISATION
RÉALISATION
CONCEPTION DÉTAILLÉE
CONCEPTION DÉTAILLÉE
CONCEPTION GÉNÉRALE
CONCEPTION GÉNÉRALE
ÉTUDE DE FAISABILITÉ
ÉTUDE DE FAISABILITÉ
Suivi du cycle
Validation
Incrémentation
Lot1 à Lot n
Version successives
V1 à Vn
V
V
V

Sur quelle base homologuer ?
FEROSQuelles sont mes intentions ?
PSSIComment les appliquer ?
PSSIComment les appliquer ?
AUDITSComment vérifier mes choix ?
Quels sont les risques résiduels ? Cible

Le dossier de Sécurité
Élément de décision pour l’autorité d’homologation
Le contenu dépend du niveau de maturité du système !
Contenu type d’un dossier de sécurité pour un système d’un haut niveau
de maturité
Stratégie d’homologation, note de stratégie SSI
Fiche d’expression rationnelle d’objectif de sécurité (FEROS)
Fiche d’expression rationnelle d’objectif de sécurité (FEROS)
Cible de sécurité du système
Politique de sécurité du système (PSSI)
Procédures d’exploitation de sécurité (PES)
Certificat d’évaluation des produits de sécurité intégrés
Rapport technique d’évaluation
Cible de sécurité produit
Résultats d’audit
Liste des risques résiduels

Stratégie d’homologation – Encadrement de la démarche
Présentation du système
Identification du périmètre d’homologation
Encadrement de la démarche SSI du projet
Présentation du processus d’homologation
Identification des acteurs et des responsabilités
Rappel des différents étapes et jalons de validation
Rappel des différents étapes et jalons de validation
Description des différents livrables attendus
Référencement des textes applicables
Expression des enjeux, des besoins SSI et du mode d’exploitation de sécurité
Implication au plus tôt des acteurs SSI permettant
une Intégration de la SSI dans le projet / SMSI
de prendre en compte les contraintes opérationnelles
d’éviter les retards, écueils

FEROS - Expression de la maîtrise d’ouvrage
Cahier des charges SSI de la maîtrise d’ouvrage
Besoins de sécurité du système
Contraintes auxquelles il est soumis
Menaces contre lesquelles il doit se prémunir
Objectifs de sécurité de haut niveau
Risques résiduels
Document approuvé par l'autorité responsable
Obligatoire pour les systèmes traitant des informations classifiées

Cible de sécurité - La réponse de la maîtrise d’œuvre
Identifie sans ambiguïté le périmètre sur lequel porte l’homologation
Réponse de la MOE aux objectifs de sécurité identifiés dans la FEROS
Lien entre les objectifs de la maîtrise d’ouvrage et les exigences de sécurité de
la maîtrise d’œuvre
Liste les exigences de sécurité organisationnelles et techniques
Justifie le niveau de couverture des objectifs de sécurité par les exigences
de sécurité
Identifie les risques résiduels
Garantie une traçabilité
Permet de suivre l’homologation tout au long du cycle de vie du SI

PSSI – Traduction de la stratégie de sécurité de l’organisme
Document de référence SSI applicable à l'ensemble des acteurs de l’organisme
Différentes formes en fonctions des interlocuteurs
Directives
Procédures
Codes de conduite
Règles organisationnelles et techniques
Règles organisationnelles et techniques
La PSSI inclut
les éléments stratégiques
périmètre du SI, les enjeux liés et orientations stratégiques, aspects légaux réglementaires
les principes de sécurité par domaine : organisationnel, mise en œuvre, technique
Complétée par un(s) politique(s) d’application comme les procédures d’exploitation
de la sécurité

Processus similaire à la démarche nationale
Dossier de sécurité semblable
• énoncé des impératifs de sécurité (SRS)
• applicables à un ensemble d'interconnexions (CSRS)
Dossier de sécurité – OTAN / UE / coalitions
• applicables à un ensemble d'interconnexions (CSRS)
• propres à un système (SSRS)
• applicables à une interconnexion de systèmes (SISRS)
• énoncé des impératifs de sécurité électronique (SEISRS)
• procédures d'exploitation de sécurité (SecOPS)
• rapport d’audit
SGDN, ANS pour les systèmes traitant des informations
classifiées non nationales

Les étapes de l’homologation
Identifier l’autorité d’homologation
Obtenir une validation opérationelle des utilisateurs
Monter une commission d’homologation
Bâtir le référentiel d’homologation et le valider
Auditer le système en fonction du référentiel
Mettre en avant les risques résiduels
Homologuer le système au regard des risques résiduels

Les conditions du succès - Avant l’étude
Impliquer l’organisme
La démarche doit être portée par la direction
Motivation de l’ensemble acteurs de l’organisme
Sensibiliser l’organisme aux intérêts de la démarche
Définir un chef de projet
Mise en place d’une stratégie d’homologation
Application cohérente avec le niveau de maturité SSI de l’organisme
Identifier le niveau de sécurité de l’organisme
Identifier le niveau de sécurité de l’organisme
Identifier le niveau de sensibilité nécessaire
Réponse adéquate
Identifier l’autorité d’homologation
Création d’une commission d’homologation
Création d’un comité de pilotage
groupe de suivi et de pilotage
Nommer une équipe d’audit
Constituer un dossier de sécurité
Définir les livrables
Définir le périmètre de l’étude
Sensibiliser les acteurs sur la démarche, les concepts, le vocabulaire…

Les conditions du succès – Pendant l’étude (1/2)
A chaque activité
Constituer un groupe de travail
Identifier les bons acteurs
Nommer un leader
• Arriver à un consensus ou trancher
Sensibiliser les acteurs
Rappeler l’objectif de l’activité
Présenter les concepts, le vocabulaire
S’assurer que l’ensemble des acteurs est une vision commune de la problématique
S’assurer que l’ensemble des acteurs est une vision commune de la problématique
Demande une justification
• Facilite l’argumentation
• Permet de garder une traçabilité
Collecter les informations
Réalisation d’interviews
Documents existants sur l’organisme, le projet
Documentation EBIOS
• Base de connaissances
• Guide / Meilleures pratiques
Être force de proposition
Présenter des exemples pour lancer les discussions
Synthétiser les informations récoltées pour validation au groupe de travail
Suivi et validation par le comité de pilotage

Les conditions du succès – Pendant l’étude (2/2)
Distinguer l’analyse de risques et les livrables
Adapter les livrables aux destinataires
Sous la forme d’un tableau ou texte
Exhaustif ou sous la forme d’une synthèse
Favoriser les schémas (UML, MERISE…)
Intégrer les documents existants
Intégrer les documents existants
S’adapter au vocabulaire de l’organisme
Nomenclature explicite
Libellé court et description
Validation de chaque étape par la commission d’homologation
Éviter les retours en arrière
Impliquer la direction tout au long de la réalisation du dossier de sécurité
Facilite l’homologation

7. Utiliser des labels SSI

Les produits de sécurité
peuvent être labellisés
Les produits de sécurité peuvent faire l'objet d'une évaluation de sécurité
débouchant sur une attestation de sécurité établie par la DCSSI :
une certification en vertu du décret n°2002-535 du 18 avril 2 002 (selon
l’ISO/CEI 15408) ;
une certification de sécurité de premier niveau (CSPN) ;
une qualification (au niveau standard, renforcé ou élevé) ;
une qualification (au niveau standard, renforcé ou élevé) ;
un agrément ou caution (jugeant de l’aptitude à assurer la protection
d'informations classifiées de défense ou d'informations sensibles non
classifiées de défense).
Catalogues :
Certificats : http://www.ssi.gouv.fr/fr/confiance/certificats.html
CSPN : http://www.ssi.gouv.fr/fr/confiance/certif-cspn.html
Qualifications : http://www.ssi.gouv.fr/fr/politique_produit/catalogue/index.html

Les SMSI peuvent être certifiés
La certification selon l’ISO/CEI 27001 atteste de la mise en
place effective du système de management de la sécurité de
l’information au sein d’un organisme, d’un site ou d’un
processus (prise en compte de la SSI et amélioration continue)
Elle est attribuée par un tiers certificateur sur la base du rapport
d’un auditeur (certifié ISO 27001 Lead Auditor)
La certification de SMSI est en croissance (1000 certificats en
2004, 2000 certificats en 2006), mais elle n’est beaucoup
utilisée que dans certains pays (notamment au Japon, mais
également au Royaume-Uni, en Inde…)

Que signifie une certification ISO/CEI 27001 ?
La certification ISO/CEI 27001 porte sur un ISMS, qui peut correspondre à :
un organisme entier,
une sous-partie de l’organisme (un service, un ou plusieurs processus…).
Elle assure, par une démonstration indépendante, que le SMSI est :
conforme aux exigences spécifiées,
capable de réaliser de manière fiable la politique et les objectifs qu'il a déclarés,
mis en œuvre de manière efficace.
mis en œuvre de manière efficace.
Elle peut être préparée (mise en œuvre du SMSI) en interne ou avec l’aide de
prestataires (ex. : ISO/CEI 27001 Lead Implementor).
Un audit est réalisé (selon l’ISO/CEI 19011) par un auditeur certifié (ISO/CEI
27001 Lead Auditor).
Un organisme de certification, accrédité par une autorité d’accréditation (selon
l’ISO/CEI 17021 et l’ISO/CEI 27006), évalue les résultats d’audit pour délivrer un
certificat reconnu dans les pays liés à l’IAF (International Accreditation Forum).
Des audits de surveillance ou de contrôle ont lieu au maximum une fois par an.
Un audit de renouvellement de certification a lieu tous les trois ans.

Motivations des organismes pour la
certification d’un système de management
Améliorer l’efficacité globale de l’entreprise
Améliorer l’image de l’entreprise
Répondre à une obligation client
Prévenir ou remédier à certains dysfonctionnements
Aller eu devant des exigences réglementaires
Aller eu devant des exigences réglementaires
Se différencier des concurrents
Répondre à une volonté du groupe
Faire un bilan de ce qui se faisait dans l’entreprise
Acquérir des méthodes de travail qui n’existaient pas
Parer aux contestations sociales et économiques
[Rapport d’étude AFAQ / AFNOR de mai 2005
sur les certifications qualité, sécurité des personnes et environnement]

Les systèmes peuvent être homologués
L’homologation de sécurité d’un SI est la déclaration par
l’autorité d’homologation, conformément à une note
d'orientations SSI et au vu du dossier de sécurité, que le SI
considéré est apte à traiter des informations au niveau de
besoins de sécurité exprimé conformément aux objectifs de
sécurité, et que les risques de sécurité résiduels sont acceptés
sécurité, et que les risques de sécurité résiduels sont acceptés
et maîtrisés
Cette décision se fait dans le cadre de la commission
d'homologation
Elle peut être provisoire, définitive ou bien un refus
L’homologation de sécurité reste valide tant que le SI opère
dans les conditions approuvées par l’autorité d’homologation.
Elle traduit donc l’acceptation par l’autorité d’homologation d’un
niveau de risque résiduel qualifié et quantifié en termes de
confidentialité, d’intégrité, de disponibilité…

Les personnes peuvent être certifiées
Exemples de certifications orientées « management / conseil / audit »
CISM (Certified Information Security Manager, ISACA / AFAI)
CISA (Certified Information System Auditor , ISACA / AFAI)
CISSP (Certified Information System Security Professional, ISC2)
ISO/CEI 27001 Lead Auditor (BSI anglais, LSTI…)
ProCSSI (Professionnel Certifié de la Sécurité des Systèmes d’Information, INSECA)
EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité, en cours)
EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité, en cours)
…
Exemples de certifications orientées « technique »
CEH (Certified Ethical Hacker , EC-Council)
CHFI (Computer Hacking Forensics Investigator, EC-Council)
SCNP (Security Certified Network Professional, Ascendant Learning)
SCNA (Security Certified Network Architect, Ascendant Learning)
OPSA (OSSTMM Professional Security Analyst, ISECOM)
OPST (OSSTMM Professional Security Tester, ISECOM)
OPSE (OSSTMM Professional Security Expert, ISECOM)
Certifications GIAC (Global Information Assurance Certifications, SANS)
…

Conclusion

CONCLUSION
Les grands principes peuvent se résumer ainsi :
Adopter une démarche globale
Viser une amélioration continue
Adapter la SSI selon les enjeux
Formaliser une politique SSI
Fonder la SSI sur la gestion des risques
Fonder la SSI sur la gestion des risques
Intégrer la SSI dans le cycle de vie des systèmes
Utiliser des labels SSI
Mener une homologation systématique
L’outillage pour mettre en œuvre ces principes est disponible
sur le site de la DCSSI (http://www.ssi.gouv.fr) dans la partie
méthodologie

French acreditation process homologation 2010-01-19

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (20)

En vedette

En vedette (10)

Similaire à French acreditation process homologation 2010-01-19

Similaire à French acreditation process homologation 2010-01-19 (20)

Dernier

Dernier (11)

French acreditation process homologation 2010-01-19