SlideShare une entreprise Scribd logo
1  sur  69
Télécharger pour lire hors ligne
Homologation SSI
Agence nationale de la Sécurité des Systèmes d’Information
Bureau Assistance et Conseil
conseil.anssi[at]ssi.gouv.fr
Plan de la présentation
Introduction
1. L’adoption d’une démarche globale
Seule solution pour sécuriser les informations face aux menaces hétérogènes
2. La gestion des risques est au cœur de toute réflexion de SSI
Des normes et des outils : Guide ISO/CEI 73, ISO/CEI 31000, EBIOS…
3. Le concept de maturité permet d’adapter la SSI aux enjeux réels
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 2
Quelques références : Guide Maturité SSI, ISO/CEI 21827…
4. Vers une amélioration continue : le système de management de la SSI
L’ISO/CEI 27001 en décrit les activités
5. La SSI devait être intégrée tout le long du cycle de vie des systèmes
Le guide GISSIP présente différentes manières d’y parvenir selon les enjeux SSI
6. L’homologation, un engagement systématique
Démarche, livrables
7. Les labels SSI améliorent la confiance
Produits, systèmes de management, systèmes d’information et personnes
Conclusion
Introduction
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 3
Le contexte mondial : l’incertitude stratégique
La mondialisation est une situation nouvelle dans laquelle la diffusion de l’information
et de la connaissance, la transformation des échanges économiques et la
modification des rapports de forces internationaux ont, d’emblée, un impact mondial.
Elle crée une interaction et une interdépendance généralisées et non maîtrisées entre
tous les États. Elle permet à une multitude nouvelle d’acteurs non étatiques et
d’individus de tirer le parti maximum des possibilités de circulation internationale
accélérée des hommes comme des données et des biens, matériels et immatériels.
[…] La mondialisation ne crée un monde ni meilleur ni plus dangereux qu’il y a deux
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 4
[…] La mondialisation ne crée un monde ni meilleur ni plus dangereux qu’il y a deux
décennies. Elle dessine en revanche les contours d’un système international
nettement plus instable, moins contrôlé, et donc plus inquiétant, qui appelle des
réponses à la fois globales et très spécifiques.
[Livre blanc « Défense et sécurité nationale »]
Quelques effets néfastes de la conjoncture actuelle
Diffusion rapide de toutes les formes de crises
Accélération foudroyante de la circulation de l’information
Des régions entières demeurent à l’écart des bénéfices de la croissance mondiale
Évolution des formes de violence (terrorisme, guerre…)
Quelques nouvelles d’Internet…
une journée parmi d’autres
MAURITANIE - La dictature militaire
mauritanienne a utilisé des techniques de
"cyber-guerre" pour rendre indisponible deux
sites Internet de l'opposition. Les autorités ont
loué les services de plusieurs réseaux de
machines zombies pour lancer ces attaques en
déni de service distribué à l'encontre de ces
sites. Cet événement rappelle qu'au Myanmar,
en Russie et en Chine, le pouvoir politique a usé
des mêmes tactiques.
FRANCE - Une enquête de police a permis de
saisir plus de 2 000 fichiers vidéo à caractère
pédopornographique sur le réseau informatique
d'Air France. L'enquête a débuté en janvier 2007
à la suite d'une plainte déposée par une
association qui avait découvert des fichiers
pédophiles en circulation via une société
française. Une perquisition effectuée au domicile
d'un employé de la compagnie aérienne nationale
avait alors permis la saisie de 100 000 images de
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 5
des mêmes tactiques.
[source Internet : Strategy Page]
ÉTATS-UNIS - Un ordinateur portable contenant
les informations personnelles (noms, adresses
et numéros de sécurité sociale) de 97 000
salariés de la société Starbucks a été dérobé le
29 octobre dernier. La société aurait affiché sur
son site Internet cette information en
recommandant à ses employés de prendre des
mesures appropriées en cas de retrait suspect.
Starsbucks offre à ses employés une assistance
gratuite permettant d'être immédiatement averti
de toute opération financière sur leurs comptes
bancaires.
[source Internet : Seattle Post-Intelligencer]
avait alors permis la saisie de 100 000 images de
mineurs d'une capacité totale de 90 Go.
[source Internet : Bakchich.info]
RÉPUBLIQUE DU CONGO - Parution du premier
livre sur la sécurité informatique du pays : l'auteur
souligne que des réseaux de cyber-attaquants de
plus en plus structurés sont virtuellement ou
physiquement situés sur le continent africain. Il
révèle aussi que par le biais de réseaux sociaux
et autres moyens de communications Internet
d'énormes capitaux transitent vers des paradis
fiscaux.
[source Internet : Categorynet]
L’évolution du contexte…
Les systèmes informatiques évoluent…
« Avant, on tentait d’empêcher les missiles de détruire les salles
enfermant les machines ; on essaie maintenant d’empêcher les machines
d’utiliser les missiles. »
Les systèmes informatiques changent dynamiquement, se complexifient,
s’interconnectent et changent la valeur de l’information
Les technologies évoluent (programmation orientée objet, agents intelligents…)
La menace évolue…
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 6
La menace évolue…
On doit considérer les menaces d’origine accidentelle et celles d’origine intentionnelle
Vulgarisation des outils d’attaques (disponibles sur Internet, manipulation simple)
Automatisation des attaques (recherche de machines, casseurs automatisés de mots
de passe, intrusion dans les systèmes…)
Une faible qualité des logiciels et produits disponibles (augmentation du nombre
d’alertes)
Les impacts évoluent…
Sur les missions, les personnes, l’image, les tiers, la sécurité de l’État, l’environnement,
financiers, juridiques…
… a fait évoluer
la sécurité de l’information
La protection de l’information ne se limite pas à l’informatique
Biens techniques : matériels, logiciels, réseaux, supports d’informations
Biens non techniques : organisations, sites, locaux, personnels
L’information est omniprésente, extrêmement répartie et en circulation permanente
Les problématiques sectorielles convergent (qualité, sécurité des personnes,
environnement, risques opérationnels…)
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 7
Il n’est donc plus possible de tout protéger efficacement contre tout
C’est pourquoi il convient d’adopter des démarches et outils méthodologiques
Prendre des décisions rationnelles
Partager un vocabulaire commun
Gérer la complexité
La gestion des risques est le seul moyen rationnel pour prendre des décisions
La mise en œuvre d’un système de management de la sécurité de l’information (ISO/CEI 27001)
repose sur la gestion des risques
L’ISO/CEI 31000 (gestion des risques au sens large) et l’ISO/CEI 27005 (application à la sécurité de
l’information) en décrivent la démarche générale
La méthode EBIOS permet de mettre en œuvre l‘ISO/CEI 27005
1. Adopter une démarche
globale
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 8
globale
Sécurité des système d’information (SSI) :
de quoi parle-t-on ?
Un système d’information (SI) est :
un système (combinaison d’éléments en interaction organisés pour
atteindre un ou plusieurs buts définis [ISO/IEC 15288]),
qui assure l’élaboration, le traitement, la transmission et le stockage
d’informations (renseignements ou éléments de connaissance).
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 9
Les informations, ainsi que les processus informationnels, constituent
les biens essentiels au cœur des éléments d’un SI.
La sécurité des systèmes d’information (SSI) a pour objectif de
protéger ces biens essentiels.
Les biens essentiels reposent sur des biens supports (réseaux,
matériels, logiciels, organisations, personnes, sites).
C’est par le biais des biens supports que la sécurité des biens
essentiels peut être atteinte.
La SSI doit être considérée globalement
L’objectif est la cohérence d’ensemble de la démarche de sécurisation des
systèmes d’information. Il convient en effet de n’oublier aucun élément pertinent,
pour éviter le maillon faible qui réduirait la sécurité apportée par tous les autres
maillons, de faire prendre chacune des décisions au juste niveau.
Il faut pour cela :
considérer tous les aspects qui peuvent avoir une influence sur la sécurité des
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 10
considérer tous les aspects qui peuvent avoir une influence sur la sécurité des
systèmes d’information, techniques (matériels, logiciels, réseaux, etc.) et non
techniques (organisations, sites, personnes…),
considérer toutes les origines de risques (origines humaines et naturelles, causes
accidentelles et délibérées),
prendre en compte la SSI au plus haut niveau hiérarchique, car comme tous les autres
domaines de la sécurité, la SSI repose sur une vision stratégique, nécessite des choix
d’autorité (les enjeux, les moyens humains et financiers, les risques résiduels
acceptés) et un contrôle des actions et de leur légitimité,
responsabiliser tous les acteurs (décideurs, maîtrises d'ouvrage, maîtrises d'œuvre,
utilisateurs…),
intégrer la SSI tout le long du cycle de vie des systèmes d'information (depuis l’étude
d’opportunité jusqu'à la fin de vie du système).
2. Fonder la SSI sur la
gestion des risques
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 11
gestion des risques
Pourquoi gérer les risques SSI ?
Lignes directrices de l’OCDE
Principe d’évaluation des risques
Principe de gestion de la sécurité
Principe de réévaluation
Maîtriser les coûts
Objectivité dans les choix (balance entre ce qu’on peut perdre et le coût pour s’en
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 12
Objectivité dans les choix (balance entre ce qu’on peut perdre et le coût pour s’en
prémunir)
Maîtriser la sécurité de ses systèmes d’information
Visibilité, cohérence et prévention
Réglementation pour le classifié de défense
L’instruction générale interministérielle N°1300 rend la réalisation d’une analyse des
risques obligatoire pour tout système traitant des informations classifiées de défense.
Qu’est-ce qu’un risque SSI ?
Ex. 1 – USA Ex. 2 – Nouvelle-Zélande Ex. 3 – Fictif
Événements
redoutés
Sources de
menace
« Attaquants » « Attaquants »
Un pirate expérimenté
engagé par un
concurrent
Biens essentiels
Données sur le
système de diagnostic
d’un avion de chasse
Processus
d’enregistrement de noms
de domaines
Informations et fonctions
présentes sur le réseau
Besoins de
sécurité
Confidentialité Intégrité Intégrité
Atteinte de l’image de l’
État, possibilité
Redirection de sites web
Perturbation du
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 13
Risques
Impacts
État, possibilité
ultérieure d’actions
contre les systèmes
des avions
Redirection de sites web
vers un autre, atteinte de
l’image des organismes
concernés
Perturbation du
fonctionnement, perte
d’avantage concurrentiel
Niveau d’impact Modéré à élevé Modéré Élevé
Scénarios de
menaces
Menaces Intrusion et collecte Accès frauduleux
Piégeage du logiciel
(introduction d’un ver)
Biens supports
Réseaux des sous-
traitants
Fonctionnalités
d’administration du site du
bureau d’enregistrement
Réseau WiFi
Vulnérabilités
Perméabilité des
réseaux des sous-
traitants
Injection SQL
Possibilité d’administrer
le réseau à distance
Niveau de
vraisemblance
Quasiment certain
(traces d‘intrusion)
Quasiment certain
(vulnérabilités connues)
Important
Un cadre pour toutes les méthodes de
gestion des risques SSI : l’ISO/CEI 27005
RISK ESTIMATION
ESTABLISH CONTEXT
RISK IDENTIFICATION
CATION
ANDREVIEW
RISK ASSESSMENT
RISK ANALYSIS
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 14
RISK TREATMENT
RISK EVALUATION
RISKCOMMUNIC
RISKMONITORINGA
RISK DECISION POINT 1
Assessment satisfactory
END OF FIRST OR SUBSEQUENT ITERATIONS
RISK DECISION POINT 2
Accept risks
Yes
No
No
Yes
RISK ACCEPTANCE
EBIOS, la méthode française permettant
de mettre en œuvre l’ISO/CEI 27005
Étude du contexte
Quel est le sujet de l’étude ?
Fixer le cadre, préparer les métriques, identifier
les biens
Étude des besoins
Quels sont les événements redoutés ?
Identifier la valeur des biens essentiels et les
impacts en cas d’atteinte
Étude des menaces
Comment les événements redoutés peuvent-ils
Module 1
Étude du
contexte
Module 2
Étude des
besoins
Module 3
Étude des
menaces
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 15
Comment les événements redoutés peuvent-ils
se réaliser ?
Identifier les menaces et les vulnérabilités des
biens supports
Étude des risques
Quels sont les scénarios qui peuvent réellement
arriver ? De quelle manière veut-on les traiter ?
Identifier les risques et les objectifs de sécurité
Étude des mesures de sécurité
Quelles sont les solutions à mettre en œuvre
pour traiter les risques ?
Déterminer les mesures (éventuellement sur la
base de l’ISO/CEI 27002) et suivre leur
application
Module 4
Étude des
risques
Module 5
Étude des
mesures de
sécurité
L’objectif : sécuriser les systèmes d’informations
Protéger les biens essentiels
Informations : données numériques ou non, savoir ou savoir-faire particulier
Processus informationnels : fonctions, processus métiers…
Maîtriser les biens supports
Réseaux : réseaux informatiques, relais et supports de communication,
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 16
Réseaux : réseaux informatiques, relais et supports de communication,
protocoles
Matériels : ordinateurs fixes et mobiles, périphériques, supports
électroniques et papiers
Logiciels : applications, systèmes de gestion de base de données,
middleware, systèmes d’exploitation, firmware
Organisations : organisations internes, relations avec des tiers
Personnes : personnes morales, personnes physiques
Sites : locaux, installations électriques, installations de traitement de fluides
Prendre en compte les références applicables
La loi et la réglementation doivent être prises en compte
Codes d’éthique des métiers des technologies de l’information
Atteintes aux personnes (vie privée, protection des données nominatives, secret
professionnel, secret de la correspondance)
Atteintes aux biens (vol, escroquerie, détournements, destructions, dégradations et
détériorations, atteintes aux systèmes d’information)
Atteintes aux intérêts fondamentaux de la Nation, terrorisme et atteintes à la confiance
publique
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 17
publique
Atteintes à la propriété intellectuelle (protection du droit d’auteur, protection des bases
de données)
Dispositions relatives à la cryptologie
Dispositions relatives à la signature électronique
Autres texte nationaux et internationaux (Union européenne, Union africaine, ONU…)
Il convient également de tenir compte des réglementations sectorielles et des
règles internes aux organismes
Respecter les besoins de sécurité
La sécurité de l'information a pour but de protéger le patrimoine
informationnel de l'organisme. Celui-ci permet son bon fonctionnement
et l'atteinte de ses objectifs.
La valeur de ce patrimoine, dit informationnel, peut en effet être
appréciée au regard :
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 18
des opportunités qu'il offre quand on l'utilise correctement,
des conséquences négatives dans le cas contraire.
Les besoins de sécurité représentent les conditions dans lesquelles les
métiers s’exercent de manière acceptable. Ils sont généralement
exprimés en termes de :
disponibilité : propriété d'accessibilité au moment voulu des biens essentiels
par les personnes autorisées
intégrité : propriété d'exactitude et de complétude des biens essentiels
confidentialité : propriété des biens essentiels de n'être accessibles qu'aux
utilisateurs autorisés
Gérer les impacts internes et externes
Impacts sur les missions
Incapacité à fournir un service, perte de savoir-faire, changement de stratégie…
Impacts sur la sécurité des personnes
Accident du travail, maladie professionnelle, perte de vies humaines, mise en danger…
Impacts financiers
Perte de chiffre d'affaire, dépenses imprévues, chute de valeur en bourse, baisse de
revenus…
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 19
revenus…
Impacts juridiques
Procès, amende, condamnation d'un dirigeant, dépôt de bilan, avenant…
Impacts sur l’image
Publication d'un article satyrique dans la presse, perte de crédibilité vis-à-vis de clients,
mécontentement des actionnaires, perte d'avance concurrentielle, perte de notoriété…
Impacts sur l’environnement
Pollution (chimique, bactériologique, radiologique, sonore, visuelle…) générée par
l'organisme et touchant son périmètre, son voisinage ou une zone…
Impacts sur les tiers
Impossibilité d'assurer un service, amendements de contrats, pénalités, conséquences
sur la production ou la distribution de biens ou de services considérés comme vitaux…
Faire face à toutes les sources de menaces
Sources humaines
Employé en fin de contrat, employé voulant se venger de son
employeur ou de ses collègues, fraudeur, employé maladroit ou
inconscient…
Militant agissant de manière idéologique ou politique, espion,
terroristes, pirate passionné, casseur ou fraudeur, concurrent avec
une motivation stratégique, visiteur, prestataire, personnel
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 20
une motivation stratégique, visiteur, prestataire, personnel
d'entretien cupide, personnel d'entretien maladroit, personne
réalisant des travaux dans le voisinage, manifestants, stagiaire
agissant de manière ludique…
Sources non humaines
Matières dangereuses, matières inflammables, eau…
Virus informatique ou autre code malveillant, nature environnante
(rivière, forêt…), météo, éléments du voisinage, temps qui s'écoule,
contingence (malchance)…
Lutter contre les menaces
Détournements d'usages
Défiguration, cybersquatting, altération de données, exploitation distante d'un réseau
sans fil, occupation de site, interception de signaux parasites (compromettants, wifi…),
écoute passive, hameçonnage, divulgation involontaire, ingénierie sociale …
Dépassements de limites de fonctionnement
Déni de service, surcharge de variables, défaillance logicielle, défaillance matérielle,
dysfonctionnement provoqué (rayonnements électromagnétiques, thermiques…),
dépassement de capacités réseaux, surmenage, défaillance de la climatisation…
Valeurdesbiens
Besoin de sécurité
SCAN
SOCIAL
ENGINEERING
SCRIPT
KIDDIES
Compétence
Disponibilité
des outils
DENI SERVICE
USURPATION
ATTAQUE
CRYPTO
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 21
dépassement de capacités réseaux, surmenage, défaillance de la climatisation…
Détériorations
Bombe logique, impulsion électromagnétique, panne matérielle, assassinat, maladie,
infection, accident, décès, dégradation physique, vandalisme, catastrophe naturelle,
sinistre majeur…
Modifications
Altération d'un logiciel par modification ou ajout de code, contagion par un code
malveillant, piégeage d’un matériel, falsification d'un support papier, intégration de
machines non maîtrisés, manipulation psychologique, travaux…
Pertes de propriété
Non renouvellement de licence, perte de codes sources, disparition d'un matériel, vol
de support de données ou de document, récupération de matériels recyclés ou mis au
rebut, licenciement, enlèvement, rachat de tout ou partie de l'organisme…
Réduire les vulnérabilités
Réseaux
Possibilité de pose d'éléments additionnels, complexité du routage entre sous-réseaux,
ouverture des réseaux, liaison de télémaintenance activée en permanence…
Matériels
Mauvaises conditions d'utilisation, fragilité des matériels, matériel facilement
démontable, matériel attractif, supports accessibles par tous, matériel transportable…
Logiciels
Fournisseur
Entreprise
Nomade
Réseau
Public
L.S.
Web
DNS
Filiale
Mail
Partenaire
Client
Client
Serveurs
publics
INTERNET
INTRANET
EXTRANET
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 22
Logiciels
Mots de passe simples à observer (forme sur un clavier, mot de passe court), logiciels
obsolètes, possibilité d'utiliser une porte dérobée dans le système d'exploitation…
Organisations
Organisation instable ou inadaptée, contrats peu clairs, clauses contractuelles
incomplètes, règles de sécurité inapplicables, consignes non respectées…
Personnes
Instabilité financière, actionnariat instable, personnel manipulable, prééminence d’une
catégorie de personnel, manque de formation, manque de motivation…
Sites
Proximité d’activités industrielles à risque, mauvais dimensionnement des ressources,
facilité de pénétrer dans les locaux, agencement des locaux inapproprié…
Faire émerger les risques réels
Si l’ordinateur portable d’un employé est volé alors qu’il ne contient aucune
information confidentielle, alors il n’y a pas de risque.
En revanche, s’il contient des informations confidentielles et que leur
compromission pourrait faire perdre des clients ou nuire gravement à l’image de
son organisme, alors le risque existe et son niveau d’impact est important.
Par ailleurs, si on estime que des concurrents ou des opposants à l’organisme
sont prêts à employer ce genre de méthode et s’en donneront les moyens, et
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 23
sont prêts à employer ce genre de méthode et s’en donneront les moyens, et
qu’en plus les employés font preuve d’inattention, alors le niveau de
vraisemblance est important.
Il est illusoire et coûteux de se protéger contre tous les risques imaginables.
Mais il est dangereux de ne pas identifier les risques auxquels on est confronté.
C’est pourquoi il convient de faire émerger les risques et d’estimer leur niveau.
Cela permettra de les hiérarchiser et de faire des choix objectivement.
Choisir les options de traitement
Réduire les risques
Action sur les vulnérabilités (prévention) et/ou les impacts
(récupération, compensation) et/ou les sources de menaces
(dissuasion) et/ou les menaces (protection, détection)
Transférer les risques
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 24
Transférer les risques
Partage des pertes avec autrui (assurance, certification…)
Éviter les risques
Changement de situation pour que le risque n’existe plus (choix
techniques, réduction du périmètre…)
Prendre les risques
Acceptation des pertes dans le cas où des sinistres arrivent
Déterminer les mesures de sécurité
Les mesures de sécurité, destinées à traiter les risques, peuvent être :
créées de toute pièce,
créées à partir de meilleures pratiques adaptées,
choisies directement parmi les meilleures pratiques.
Un exemple de catalogues de meilleures pratiques : l’ISO/CEI 27002
[…]
5. Politique de sécurité
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 25
5. Politique de sécurité
6. Organisation de la sécurité de l’information
7. Gestion des biens
8. Sécurité des ressources humaines
9. Sécurité physique et environnementale
10. Gestion des communications et opérations
11. Contrôle d’accès
12. Acquisition, développement et maintenance des systèmes d’information
13. Gestion des incidents de sécurité de l’information
14. Gestion de la continuité d’activités
15. Conformité
Les mesures de sécurité sont également destinées à prendre en compte les références
applicables
Accepter les risques résiduels
Les risques résiduels sont issus :
de risques insuffisamment réduits,
de menaces écartées,
de mesures de sécurité induisant de nouveaux risques…
Il convient de mettre en évidence les risques résiduels afin de vérifier
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 26
Il convient de mettre en évidence les risques résiduels afin de vérifier
que le niveau des risques est acceptable.
Dans le cas contraire, il convient de revoir le traitement de ces risques
en tentant de les réduire, de les transférer ou de les éviter davantage.
Cette acceptation des risques prendre généralement la forme d’une
homologation de sécurité :
déclaration, par une autorité dite d’homologation, que le sujet considéré est
apte à traiter des biens au niveau des besoins de sécurité exprimé,
conformément aux objectifs de sécurité visés, et qu’elle accepte les risques
résiduels induits.
Globalité
La défense doit être globale, ce qui signifie qu’elle englobe toutes les dimensions du système
d’information :
a) aspects organisationnels ;
b) aspects techniques ;
c) aspects mise en œuvre.
Coordination
La défense doit être coordonnée, ce qui signifie que les moyens mis en place agissent :
a) grâce à une capacité d’alerte et de diffusion ;
b) à la suite d’une corrélation des incidents.
La défense doit être dynamique, ce qui signifie que le SI dispose d’une politique de sécurité identifiant :
a) une capacité de réaction ;
Appliquer des principes
de défense en profondeur
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 27
Dynamisme
a) une capacité de réaction ;
b) une planification des actions ;
c) une échelle de gravité.
Suffisance
La défense doit être suffisante, ce qui signifie que chaque moyen de protection (organisationnel ou
technique) doit bénéficier :
a) d’une protection propre ;
b) d’un moyen de détection ;
c) de procédures de réaction.
Complétude
La défense doit être complète, ce qui signifie que :
a) les biens à protéger sont protégés en fonction de leur criticité ;
b) que chaque est protégé par au minimum trois lignes de défense ;
c) le retour d’expérience est formalisé.
Démonstration
La défense doit être démontrée, ce qui signifie que :
a) la défense est qualifiée ;
b) il existe une stratégie d’homologation ;
c) l’homologation adhère au cycle de vie du système d’information.
Résultats d’une analyse de risques
EBIOS
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 28
Cahier des chargesFEROS PP Cible
Négociation & arbitrage Responsabiliser les acteurs
TDBSSISDSSI
Plan d’action
Note de stratégiePSSI
Exemples de niveaux de détails selon la finalité
Analyse de risques PP/Cible FEROS PSSI
Schéma
directeur
Étude du contexte Détaillé Détaillé Moyen Détaillé
Expression des besoins
Détaillé Détaillé Moyen Faible
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 29
Expression des besoins
de sécurité
Détaillé Détaillé Moyen Faible
Étude des menaces
Détaillé Détaillé
Moyen à
détaillé
Faible
Identification des
objectifs de sécurité
Détaillé Détaillé Faible Faible
Détermination des
exigences de sécurité
Détaillé Aucun Faible Optionnel
3. Adapter la SSI selon les
enjeux
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 30
enjeux
L’ISO/IEC 21827
définit 5 niveaux de maturité SSI cumulatifs
1. Pratique informelle : pratiques de base mises en œuvre de manière informelle et réactive à l'initiative de ceux qui
estiment en avoir besoin.
Des actions sont réalisées en employant des pratiques de base.
2. Pratique répétable et suivie : pratiques de base mises en œuvre de façon planifiée et suivie, avec un support
relatif de l'organisme.
Les actions sont planifiées.
Les actions sont réalisées par une personne qui possède des compétences en SSI.
Certaines pratiques sont formalisées, ce qui permet la duplication et la réutilisation (éventuellement par une autre personne).
Des mesures qualitatives sont réalisées (indicateurs simples sur les résultats).
Les autorités compétentes sont tenues informées des mesures effectuées.
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 31
Les autorités compétentes sont tenues informées des mesures effectuées.
3. Processus défini : mise en œuvre d'un processus décrit, adapté à l'organisme, généralisé et bien compris.
Les actions sont réalisées conformément à un processus défini, standardisé et formalisé.
Les personnes réalisant les actions possèdent les compétences appropriées au processus.
L’organisme soutien le processus et accorde les ressources, les moyens et la formation nécessaires à son fonctionnement. Le processus est
bien compris autant par le management que par les exécutants.
4. Processus contrôlé : le processus est coordonné et contrôlé (indicateurs) pour corriger les défauts constatés.
Le processus est coordonné dans tout le périmètre choisi et pour chaque exécution.
Des mesures quantitatives sont régulièrement effectuées (en termes de performance).
Les mesures effectuées (indicateurs qualitatifs et quantitatifs) sont analysées.
Des améliorations sont apportées au processus à partir de l'analyse des mesures effectuées.
5. Processus continuellement optimisé : l'amélioration des processus est dynamique, institutionnalisée et tient
compte de l'évolution du contexte.
Le processus est adapté de façon dynamique à la situation.
L'analyse des mesures effectuées est définie, standardisée et formalisée.
L'analyse des mesures effectuées est définie, standardisée et formalisée.
L'amélioration du processus est définie, standardisée et formalisée.
Les évolutions du processus sont journalisées.
La SSI doit être gérée en adéquation par rapport aux véritables enjeux
SSI du(des) SMSI. En effet, des enjeux faibles ne requièrent pas de
gérer la SSI de manière aussi rigoureuse que lorsqu'ils sont élevés.
La démarche consiste à :
déterminer le niveau adéquat du SMSI
Maturité du SMSI
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 32
déterminer le niveau adéquat du SMSI
déterminer le niveau effectif des processus
améliorer les processus
Première itération de la progression de la maturité
0 1 2 3 4 5
Définir la stratégie SSI
Gérer les risques SSI
Gérer les règles SSI
Superviser la SSI
Concevoir les mesures SSI
Réaliser les mesures SSI
Exploiter les mesures SSI
Niveau adéquat
Géré en dehors du périmètre considéré
Seconde itération de la progression de la maturité
0 1 2 3 4 5
Définir la stratégie SSI
Gérer les risques SSI
Gérer les règles SSI
Superviser la SSI
Concevoir les mesures SSI
Réaliser les mesures SSI
Exploiter les mesures SSI
Niveau adéquat
Géré en dehors du périmètre considéré
Troisième itération de la progression de la maturité
0 1 2 3 4 5
Définir la stratégie SSI
Gérer les risques SSI
Gérer les règles SSI
Superviser la SSI
Concevoir les mesures SSI
Réaliser les mesures SSI
Exploiter les mesures SSI
Niveau adéquat
Géré en dehors du périmètre considéré
4. Viser une amélioration continue
par la mise en place d’un SMSI
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 33
par la mise en place d’un SMSI
Qu’est-ce qu’un système de management ?
Selon l’ISO/CEI 9000, un système de management est :
un ensemble d'éléments corrélés ou interactifs
permettant d'établir une politique et des objectifs
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 34
permettant d'établir une politique et des objectifs
et d'atteindre ces objectifs.
Différents systèmes de management
Le système de management d'un organisme peut inclure différents systèmes de
management.
Les différentes normes de systèmes de management sont très similaires :
elles sont basées sur les mêmes principes,
elles sont structurées quasiment à l'identique,
elles utilisent une terminologie relativement commune,
elles reposent sur les lignes directrices pour la justification et l'élaboration de normes de
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 35
elles reposent sur les lignes directrices pour la justification et l'élaboration de normes de
systèmes de management (Guide ISO/CEI 72).
Elles se distinguent et se complètent par leur objet et leur objectif :
Domaine Norme Objet Objectif
Qualité ISO/CEI 9001 Produit Satisfaction des clients
Environnement ISO/CEI 14001
Communauté
environnante
Protection de
l'environnement
Sécurité des personnes
OHSAS 18001
ILO-OSH 2001
Individu
Protection en matière
d'hygiène, santé et sécurité
Sécurité de l’information ISO/CEI 27001
Informations et processus
informationnels
Protection du patrimoine
informationnel
Qu’est-ce qu’un système de management
de la sécurité de l’information (SMSI) ?
Le système de management de la sécurité de l'information (SMSI) est :
un ensemble d'éléments corrélés ou interactifs
permettant d'établir une politique et des objectifs en matière de sécurité de
l'information
et d'atteindre ces objectifs.
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 36
Les éléments de ce système sont :
ses ressources (humaines, financières, temporelles),
ses moyens (ensemble des types de biens supports de l'information :
réseaux, matériels, logiciels, organisations, sites, personnels).
Le SMSI apporte un cadre pour la gestion de la sécurité de
l'information.
Il constitue un moyen de gérer la sécurité de l'information de manière
globale, systématique, systémique, complète et cohérente.
Le SMSI est un moyen de gouvernance
La gouvernance de la sécurité de l’information est la manière dont le
système de management de la sécurité de l'information (SMSI) est
dirigé et contrôlé
La gouvernance de la sécurité de l'information apporte
coordination et cohérence aux activités du SMSI. Ainsi, elle
structure et hiérarchise ses activités :
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 37
structure et hiérarchise ses activités :
elle active tous les processus de sécurité de l'information,
elle alimente et s’aligne sur les processus de pilotage de l'organisme pour
s'assurer de la cohérence et de la coordination nécessaires entre le SMSI
et le reste des activités de l'organisme,
elle prend appui sur les processus de support de l'organisme afin de fournir,
de manière efficace et efficiente, tous les moyens et ressources dont la
sécurité de l'information a besoin au moment approprié.
L’ISO/CEI 27001 décrit un SMSI
Mise en œuvre de la démarche ISO/CEI 27001
L’ISO/CEI 27001 spécifie un SMSI / Information Security Management
System (ISMS), structuré en 4 étapes :
1. Planifier : définir le cadre du SMSI, apprécier et spécifier le traitement
des risques SSI
2. Mettre en œuvre : implémenter et maintenir les mesures
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 38
2. Mettre en œuvre : implémenter et maintenir les mesures
3. Vérifier : vérifier que les mesures fonctionnent conformément à l’étape
Planifier et identifier les améliorations possibles du SMSI
4. Améliorer : mettre en œuvre les améliorations identifiées pour le SMSI
Positionnement par rapport aux mesures de l’ISO/CEI 27002
Catalogue de meilleures pratiques regroupant 39 objectifs de sécurité (buts
à atteindre), décomposés en 133 mesures de sécurité (explications sur les
activités permettant d’y parvenir) et relatifs à 11 domaines
Les tâches à réaliser selon l’ISO/CEI 27001
Planifier
Définir le périmètre
Définir l'approche d'appréciation des risques SSI
Identifier les risques SSI
Analyser et évaluer les risques SSI
Identifier et évaluer les options pour traiter les risques SSI
Sélectionner les objectifs et mesures de sécurité pour traiter
les risques SSI
Obtenir la validation des risques résiduels
Obtenir l'autorisation de mettre en œuvre et d'exploiter le
SGSSI
Améliorer
Mettre en œuvre les améliorations identifiées
pour le SGSSI
Prendre les mesures correctives et préventives
appropriées
Communiquer les résultats et actions, consulter
les parties prenantes
S'assurer que les révisions réalisent leurs
objectifs prévus
Vérifier
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 39
Définir la politique de sécurité
Préparer une déclaration d’applicabilité
Mettre en œuvre
Formuler un plan de traitement des risques SSI
Mettre en œuvre le plan de traitement des risques SSI
Mettre en œuvre les mesures de sécurité
Définir comment mesurer l'efficacité des mesures de sécurité
Mettre en œuvre les programmes de sensibilisation et de
formation
Gérer les opérations
Gérer les ressources
Mettre en œuvre les procédures et autres mesures pour
détecter et réagir face aux incidents de sécurité
Vérifier
Exécuter les procédures de vérification et autres
mesures
Vérifier régulièrement la performance du SGSSI
Mesurer l'efficacité des mesures de sécurité
Vérifier régulièrement l'appréciation des risques,
ainsi que le niveau du risque résiduel et du
risque acceptable
Mener des audits internes réguliers du SGSSI
Vérifier régulièrement le management du SGSSI
Mettre à jour les plans de sécurité pour prendre
en compte les résultats des actions précédentes
Enregistrer les actions et événements pouvant
impacter la performance du SGSSI
Vers une intégration
des systèmes de management ?
Les systèmes de management peuvent être :
totalement séparés,
partiellement intégrés,
totalement intégrés.
L’intégration des systèmes de management permet :
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 40
L’intégration des systèmes de management permet :
une simplification (documentation, audits),
une économie (non répétition des procédures),
une exhaustivité (pas d’oubli de procédures),
une cohérence (une même logique).
Les difficultés rencontrées :
un investissement conséquent,
nécessite de « remettre à plat les différents systèmes ».
6. Intégrer la SSI dans le cycle de vie
des systèmes
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 41
des systèmes
La méthode GISSIP
GISSIP permet une intégration de la SSI structurée, complète et
adaptée aux enjeux de sécurité de chaque SI.
La méthode aide à déterminer les actions SSI à entreprendre et
les documents à produire tout au long du cycle de vie des SI, et
ce, en fonction du niveau de maturité SSI adéquat.
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 42
ce, en fonction du niveau de maturité SSI adéquat.
L’approche est à considérer avec souplesse afin de l’appliquer
en cohérence avec les pratiques et outils de chaque organisme.
Il convient de réévaluer régulièrement les enjeux de sécurité, et
donc le niveau de maturité SSI adéquat pour vérifier que les
actions entreprises apportent bien le niveau de confiance le plus
approprié.
Actions SSI par étape et par niveau de maturité
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 43
Livrables par étape et par niveau de maturité
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 44
7. Une démarche d’homologation
systématique
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 45
systématique
Qu’est ce qu’une homologation de sécurité?
Il s’agit de déclarer, au vu du dossier d’homologation, que le
système d’information considéré est apte à traiter des informations
d’un niveau de sensibilité ou de classification donné. (IGI
n°1300/SGDN/PSE/SSD du 25 août 2003)
Cette déclaration est faite par l’autorité d’homologation qui peut
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 46
Cette déclaration est faite par l’autorité d’homologation qui peut
s’appuyer sur une commission d’homologation.(IGI n°1300)
La DCSSI participe à la commission d’homologation pour les SI
traitant des informations classifiées de défense. (Rapport sur la doctrine SSI)
Pourquoi homologuer ?
Pour garantir la protection des informations conformément à la réglementation.
« Tout système d’information traitant des informations classifiées doit faire l’objet d’une
décision d’emploi formelle. Cette décision s’appuie sur l’homologation de sécurité » (IGI
n°1300)
Tout système d’information doit faire l’objet d’une homologation de sécurité par une
autorité d’homologation désignée par l’autorité administrative (RGS)
Pour être en mesure d’apporter la preuve que l’on a respecté la loi :
pour la protection des informations classifiées de défense
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 47
pour la protection des informations classifiées de défense
pour la protection des informations nominatives
Pour attester de son niveau de sécurité vis-à-vis de ses partenaires
(Organismes tiers, clients, OTAN, UE…).
Pour mettre en place un SMSI, obtenir une vision cohérente en termes
de place de la SSI dans le système d’information,
de coûts et de priorités,
des responsabilités.
Quand homologuer ?
Homologation
PSSI
Référentiel de règles et
meilleures pratiques
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 48
Valeurs stratégiques
Objectifs de sécurité
Enjeux de sécurité
Besoins utilisateurs
Fil conducteur de la confiance
RÉALISATION
ÉTUDE D’OPPORTUNITÉ
ÉTUDE D’OPPORTUNITÉ EXPLOITATION
EXPLOITATION
V V
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 49
RÉALISATION
RÉALISATION
CONCEPTION DÉTAILLÉE
CONCEPTION DÉTAILLÉE
CONCEPTION GÉNÉRALE
CONCEPTION GÉNÉRALE
ÉTUDE DE FAISABILITÉ
ÉTUDE DE FAISABILITÉ
Suivi du cycle
Validation
Incrémentation
Lot1 à Lot n
Version successives
V1 à Vn
V
V
V
Sur quelle base homologuer ?
FEROSQuelles sont mes intentions ?
PSSIComment les appliquer ?
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 50
PSSIComment les appliquer ?
AUDITSComment vérifier mes choix ?
Quels sont les risques résiduels ? Cible
Le dossier de Sécurité
Élément de décision pour l’autorité d’homologation
Le contenu dépend du niveau de maturité du système !
Contenu type d’un dossier de sécurité pour un système d’un haut niveau
de maturité
Stratégie d’homologation, note de stratégie SSI
Fiche d’expression rationnelle d’objectif de sécurité (FEROS)
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 51
Fiche d’expression rationnelle d’objectif de sécurité (FEROS)
Cible de sécurité du système
Politique de sécurité du système (PSSI)
Procédures d’exploitation de sécurité (PES)
Certificat d’évaluation des produits de sécurité intégrés
Rapport technique d’évaluation
Cible de sécurité produit
Résultats d’audit
Liste des risques résiduels
Stratégie d’homologation – Encadrement de la démarche
Présentation du système
Identification du périmètre d’homologation
Encadrement de la démarche SSI du projet
Présentation du processus d’homologation
Identification des acteurs et des responsabilités
Rappel des différents étapes et jalons de validation
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 52
Rappel des différents étapes et jalons de validation
Description des différents livrables attendus
Référencement des textes applicables
Expression des enjeux, des besoins SSI et du mode d’exploitation de sécurité
Implication au plus tôt des acteurs SSI permettant
une Intégration de la SSI dans le projet / SMSI
de prendre en compte les contraintes opérationnelles
d’éviter les retards, écueils
FEROS - Expression de la maîtrise d’ouvrage
Cahier des charges SSI de la maîtrise d’ouvrage
Besoins de sécurité du système
Contraintes auxquelles il est soumis
Menaces contre lesquelles il doit se prémunir
Objectifs de sécurité de haut niveau
Risques résiduels
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 53
Document approuvé par l'autorité responsable
Obligatoire pour les systèmes traitant des informations classifiées
Cible de sécurité - La réponse de la maîtrise d’œuvre
Identifie sans ambiguïté le périmètre sur lequel porte l’homologation
Réponse de la MOE aux objectifs de sécurité identifiés dans la FEROS
Lien entre les objectifs de la maîtrise d’ouvrage et les exigences de sécurité de
la maîtrise d’œuvre
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 54
Liste les exigences de sécurité organisationnelles et techniques
Justifie le niveau de couverture des objectifs de sécurité par les exigences
de sécurité
Identifie les risques résiduels
Garantie une traçabilité
Permet de suivre l’homologation tout au long du cycle de vie du SI
PSSI – Traduction de la stratégie de sécurité de l’organisme
Document de référence SSI applicable à l'ensemble des acteurs de l’organisme
Différentes formes en fonctions des interlocuteurs
Directives
Procédures
Codes de conduite
Règles organisationnelles et techniques
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 55
Règles organisationnelles et techniques
La PSSI inclut
les éléments stratégiques
périmètre du SI, les enjeux liés et orientations stratégiques, aspects légaux réglementaires
les principes de sécurité par domaine : organisationnel, mise en œuvre, technique
Complétée par un(s) politique(s) d’application comme les procédures d’exploitation
de la sécurité
Processus similaire à la démarche nationale
Dossier de sécurité semblable
• énoncé des impératifs de sécurité (SRS)
• applicables à un ensemble d'interconnexions (CSRS)
Dossier de sécurité – OTAN / UE / coalitions
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 56
• applicables à un ensemble d'interconnexions (CSRS)
• propres à un système (SSRS)
• applicables à une interconnexion de systèmes (SISRS)
• énoncé des impératifs de sécurité électronique (SEISRS)
• procédures d'exploitation de sécurité (SecOPS)
• rapport d’audit
SGDN, ANS pour les systèmes traitant des informations
classifiées non nationales
Les étapes de l’homologation
Identifier l’autorité d’homologation
Obtenir une validation opérationelle des utilisateurs
Monter une commission d’homologation
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 57
Bâtir le référentiel d’homologation et le valider
Auditer le système en fonction du référentiel
Mettre en avant les risques résiduels
Homologuer le système au regard des risques résiduels
Les conditions du succès - Avant l’étude
Impliquer l’organisme
La démarche doit être portée par la direction
Motivation de l’ensemble acteurs de l’organisme
Sensibiliser l’organisme aux intérêts de la démarche
Définir un chef de projet
Mise en place d’une stratégie d’homologation
Application cohérente avec le niveau de maturité SSI de l’organisme
Identifier le niveau de sécurité de l’organisme
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 58
Identifier le niveau de sécurité de l’organisme
Identifier le niveau de sensibilité nécessaire
Réponse adéquate
Identifier l’autorité d’homologation
Création d’une commission d’homologation
Création d’un comité de pilotage
groupe de suivi et de pilotage
Nommer une équipe d’audit
Constituer un dossier de sécurité
Définir les livrables
Définir le périmètre de l’étude
Sensibiliser les acteurs sur la démarche, les concepts, le vocabulaire…
Les conditions du succès – Pendant l’étude (1/2)
A chaque activité
Constituer un groupe de travail
Identifier les bons acteurs
Nommer un leader
• Arriver à un consensus ou trancher
Sensibiliser les acteurs
Rappeler l’objectif de l’activité
Présenter les concepts, le vocabulaire
S’assurer que l’ensemble des acteurs est une vision commune de la problématique
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 59
S’assurer que l’ensemble des acteurs est une vision commune de la problématique
Demande une justification
• Facilite l’argumentation
• Permet de garder une traçabilité
Collecter les informations
Réalisation d’interviews
Documents existants sur l’organisme, le projet
Documentation EBIOS
• Base de connaissances
• Guide / Meilleures pratiques
Être force de proposition
Présenter des exemples pour lancer les discussions
Synthétiser les informations récoltées pour validation au groupe de travail
Suivi et validation par le comité de pilotage
Les conditions du succès – Pendant l’étude (2/2)
Distinguer l’analyse de risques et les livrables
Adapter les livrables aux destinataires
Sous la forme d’un tableau ou texte
Exhaustif ou sous la forme d’une synthèse
Favoriser les schémas (UML, MERISE…)
Intégrer les documents existants
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 60
Intégrer les documents existants
S’adapter au vocabulaire de l’organisme
Nomenclature explicite
Libellé court et description
Validation de chaque étape par la commission d’homologation
Éviter les retours en arrière
Impliquer la direction tout au long de la réalisation du dossier de sécurité
Facilite l’homologation
7. Utiliser des labels SSI
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 61
Les produits de sécurité
peuvent être labellisés
Les produits de sécurité peuvent faire l'objet d'une évaluation de sécurité
débouchant sur une attestation de sécurité établie par la DCSSI :
une certification en vertu du décret n°2002-535 du 18 avril 2 002 (selon
l’ISO/CEI 15408) ;
une certification de sécurité de premier niveau (CSPN) ;
une qualification (au niveau standard, renforcé ou élevé) ;
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 62
une qualification (au niveau standard, renforcé ou élevé) ;
un agrément ou caution (jugeant de l’aptitude à assurer la protection
d'informations classifiées de défense ou d'informations sensibles non
classifiées de défense).
Catalogues :
Certificats : http://www.ssi.gouv.fr/fr/confiance/certificats.html
CSPN : http://www.ssi.gouv.fr/fr/confiance/certif-cspn.html
Qualifications : http://www.ssi.gouv.fr/fr/politique_produit/catalogue/index.html
Les SMSI peuvent être certifiés
La certification selon l’ISO/CEI 27001 atteste de la mise en
place effective du système de management de la sécurité de
l’information au sein d’un organisme, d’un site ou d’un
processus (prise en compte de la SSI et amélioration continue)
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 63
Elle est attribuée par un tiers certificateur sur la base du rapport
d’un auditeur (certifié ISO 27001 Lead Auditor)
La certification de SMSI est en croissance (1000 certificats en
2004, 2000 certificats en 2006), mais elle n’est beaucoup
utilisée que dans certains pays (notamment au Japon, mais
également au Royaume-Uni, en Inde…)
Que signifie une certification ISO/CEI 27001 ?
La certification ISO/CEI 27001 porte sur un ISMS, qui peut correspondre à :
un organisme entier,
une sous-partie de l’organisme (un service, un ou plusieurs processus…).
Elle assure, par une démonstration indépendante, que le SMSI est :
conforme aux exigences spécifiées,
capable de réaliser de manière fiable la politique et les objectifs qu'il a déclarés,
mis en œuvre de manière efficace.
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 64
mis en œuvre de manière efficace.
Elle peut être préparée (mise en œuvre du SMSI) en interne ou avec l’aide de
prestataires (ex. : ISO/CEI 27001 Lead Implementor).
Un audit est réalisé (selon l’ISO/CEI 19011) par un auditeur certifié (ISO/CEI
27001 Lead Auditor).
Un organisme de certification, accrédité par une autorité d’accréditation (selon
l’ISO/CEI 17021 et l’ISO/CEI 27006), évalue les résultats d’audit pour délivrer un
certificat reconnu dans les pays liés à l’IAF (International Accreditation Forum).
Des audits de surveillance ou de contrôle ont lieu au maximum une fois par an.
Un audit de renouvellement de certification a lieu tous les trois ans.
Motivations des organismes pour la
certification d’un système de management
Améliorer l’efficacité globale de l’entreprise
Améliorer l’image de l’entreprise
Répondre à une obligation client
Prévenir ou remédier à certains dysfonctionnements
Aller eu devant des exigences réglementaires
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 65
Aller eu devant des exigences réglementaires
Se différencier des concurrents
Répondre à une volonté du groupe
Faire un bilan de ce qui se faisait dans l’entreprise
Acquérir des méthodes de travail qui n’existaient pas
Parer aux contestations sociales et économiques
[Rapport d’étude AFAQ / AFNOR de mai 2005
sur les certifications qualité, sécurité des personnes et environnement]
Les systèmes peuvent être homologués
L’homologation de sécurité d’un SI est la déclaration par
l’autorité d’homologation, conformément à une note
d'orientations SSI et au vu du dossier de sécurité, que le SI
considéré est apte à traiter des informations au niveau de
besoins de sécurité exprimé conformément aux objectifs de
sécurité, et que les risques de sécurité résiduels sont acceptés
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 66
sécurité, et que les risques de sécurité résiduels sont acceptés
et maîtrisés
Cette décision se fait dans le cadre de la commission
d'homologation
Elle peut être provisoire, définitive ou bien un refus
L’homologation de sécurité reste valide tant que le SI opère
dans les conditions approuvées par l’autorité d’homologation.
Elle traduit donc l’acceptation par l’autorité d’homologation d’un
niveau de risque résiduel qualifié et quantifié en termes de
confidentialité, d’intégrité, de disponibilité…
Les personnes peuvent être certifiées
Exemples de certifications orientées « management / conseil / audit »
CISM (Certified Information Security Manager, ISACA / AFAI)
CISA (Certified Information System Auditor , ISACA / AFAI)
CISSP (Certified Information System Security Professional, ISC2)
ISO/CEI 27001 Lead Auditor (BSI anglais, LSTI…)
ProCSSI (Professionnel Certifié de la Sécurité des Systèmes d’Information, INSECA)
EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité, en cours)
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 67
EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité, en cours)
…
Exemples de certifications orientées « technique »
CEH (Certified Ethical Hacker , EC-Council)
CHFI (Computer Hacking Forensics Investigator, EC-Council)
SCNP (Security Certified Network Professional, Ascendant Learning)
SCNA (Security Certified Network Architect, Ascendant Learning)
OPSA (OSSTMM Professional Security Analyst, ISECOM)
OPST (OSSTMM Professional Security Tester, ISECOM)
OPSE (OSSTMM Professional Security Expert, ISECOM)
Certifications GIAC (Global Information Assurance Certifications, SANS)
…
Conclusion
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 68
CONCLUSION
Les grands principes peuvent se résumer ainsi :
Adopter une démarche globale
Viser une amélioration continue
Adapter la SSI selon les enjeux
Formaliser une politique SSI
Fonder la SSI sur la gestion des risques
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 69
Fonder la SSI sur la gestion des risques
Intégrer la SSI dans le cycle de vie des systèmes
Utiliser des labels SSI
Mener une homologation systématique
L’outillage pour mettre en œuvre ces principes est disponible
sur le site de la DCSSI (http://www.ssi.gouv.fr) dans la partie
méthodologie

Contenu connexe

Tendances

Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016PRONETIS
 
Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1PRONETIS
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)Diane de Haan
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatiqueYves Van Gheem
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseEyesOpen Association
 
Comment construire un plan de continuité d'activité ?
Comment construire un plan de continuité d'activité ?Comment construire un plan de continuité d'activité ?
Comment construire un plan de continuité d'activité ?BRIVA
 
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...Alphorm
 
EBIOS RM - Cryptovirus & COVID-19
EBIOS RM - Cryptovirus & COVID-19EBIOS RM - Cryptovirus & COVID-19
EBIOS RM - Cryptovirus & COVID-19Thierry Pertus
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésFranck Franchin
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéPECB
 
La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatiqueSaber Ferjani
 
1- Les bases de la sécurité informatique.pdf
1- Les bases de la sécurité informatique.pdf1- Les bases de la sécurité informatique.pdf
1- Les bases de la sécurité informatique.pdfbadrboutouja1
 
Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]Technologia Formation
 
Securite informatique
Securite informatiqueSecurite informatique
Securite informatiqueSouhaib El
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SIDIALLO Boubacar
 
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Sylvain Maret
 

Tendances (20)

Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016
 
Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatique
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
 
EBIOS
EBIOSEBIOS
EBIOS
 
Mehari
MehariMehari
Mehari
 
Comment construire un plan de continuité d'activité ?
Comment construire un plan de continuité d'activité ?Comment construire un plan de continuité d'activité ?
Comment construire un plan de continuité d'activité ?
 
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
 
EBIOS RM - Cryptovirus & COVID-19
EBIOS RM - Cryptovirus & COVID-19EBIOS RM - Cryptovirus & COVID-19
EBIOS RM - Cryptovirus & COVID-19
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts Clés
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformité
 
La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatique
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdf
 
1- Les bases de la sécurité informatique.pdf
1- Les bases de la sécurité informatique.pdf1- Les bases de la sécurité informatique.pdf
1- Les bases de la sécurité informatique.pdf
 
Ebios
EbiosEbios
Ebios
 
Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]
 
Securite informatique
Securite informatiqueSecurite informatique
Securite informatique
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SI
 
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2
 

En vedette

Maitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industrielsMaitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industrielsBee_Ware
 
2016 Top 10 Critical Infrastructures and SCADA/ICS Cyber Security Vulnerabili...
2016 Top 10 Critical Infrastructures and SCADA/ICS Cyber Security Vulnerabili...2016 Top 10 Critical Infrastructures and SCADA/ICS Cyber Security Vulnerabili...
2016 Top 10 Critical Infrastructures and SCADA/ICS Cyber Security Vulnerabili...Eran Goldstein
 
S - resume__securite
  S  -  resume__securite  S  -  resume__securite
S - resume__securiteRabah HELAL
 
Analyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industrielleAnalyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industriellePatrice Bock
 
ANALYSE DE RISQUES
ANALYSE DE RISQUESANALYSE DE RISQUES
ANALYSE DE RISQUESndelannoy
 

En vedette (10)

Maitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industrielsMaitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industriels
 
Pompe dimensionnement
Pompe dimensionnementPompe dimensionnement
Pompe dimensionnement
 
2016 Top 10 Critical Infrastructures and SCADA/ICS Cyber Security Vulnerabili...
2016 Top 10 Critical Infrastructures and SCADA/ICS Cyber Security Vulnerabili...2016 Top 10 Critical Infrastructures and SCADA/ICS Cyber Security Vulnerabili...
2016 Top 10 Critical Infrastructures and SCADA/ICS Cyber Security Vulnerabili...
 
ISO 27500
ISO 27500ISO 27500
ISO 27500
 
ISO 27005 Risk Assessment
ISO 27005 Risk AssessmentISO 27005 Risk Assessment
ISO 27005 Risk Assessment
 
S - resume__securite
  S  -  resume__securite  S  -  resume__securite
S - resume__securite
 
Les extincteurs
Les extincteursLes extincteurs
Les extincteurs
 
Analyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industrielleAnalyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industrielle
 
ANALYSE DE RISQUES
ANALYSE DE RISQUESANALYSE DE RISQUES
ANALYSE DE RISQUES
 
Sécurité vs Continuité -rev2-
Sécurité vs Continuité -rev2-Sécurité vs Continuité -rev2-
Sécurité vs Continuité -rev2-
 

Similaire à French acreditation process homologation 2010-01-19

Competitic sécurite informatique - numerique en entreprise
Competitic   sécurite informatique - numerique en entrepriseCompetitic   sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCOMPETITIC
 
Valdes cyberguerre-barcamp2012
Valdes cyberguerre-barcamp2012Valdes cyberguerre-barcamp2012
Valdes cyberguerre-barcamp2012Valdes Nzalli
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEpolenumerique33
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001lancedafric.org
 
Introduction à la sécurité des SI
Introduction à la sécurité des SIIntroduction à la sécurité des SI
Introduction à la sécurité des SIJean-Michel Tyszka
 
Cnil guide securite_personnelle
Cnil guide securite_personnelleCnil guide securite_personnelle
Cnil guide securite_personnelleDominique Gayraud
 
CNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnellesCNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnellesChristophe Elut
 
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31ssuser0da89f
 
Sã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationSã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationDany Rabe
 
cybersecurite-passons-lechelle-rapport.pdf
cybersecurite-passons-lechelle-rapport.pdfcybersecurite-passons-lechelle-rapport.pdf
cybersecurite-passons-lechelle-rapport.pdfGaudefroy Ariane
 
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverSortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverPECB
 
cyberedu_module_1_notions_de_base.pptx
cyberedu_module_1_notions_de_base.pptxcyberedu_module_1_notions_de_base.pptx
cyberedu_module_1_notions_de_base.pptxKhalil BOUKRI
 
Conférence - Le métier du RSSI en pleine évolution - #ACSS2019
Conférence - Le métier du RSSI en pleine évolution -  #ACSS2019Conférence - Le métier du RSSI en pleine évolution -  #ACSS2019
Conférence - Le métier du RSSI en pleine évolution - #ACSS2019African Cyber Security Summit
 
Cybersécurité et Cyberdéfense: Etat des lieux et perspective en Afrique
Cybersécurité et Cyberdéfense: Etat des lieux et perspective en AfriqueCybersécurité et Cyberdéfense: Etat des lieux et perspective en Afrique
Cybersécurité et Cyberdéfense: Etat des lieux et perspective en AfriqueFrancois-Xavier DJIMGOU
 
Econocom - Livre Blanc IoT
Econocom - Livre Blanc IoTEconocom - Livre Blanc IoT
Econocom - Livre Blanc IoTJean-Luc Lemire
 

Similaire à French acreditation process homologation 2010-01-19 (20)

Competitic sécurite informatique - numerique en entreprise
Competitic   sécurite informatique - numerique en entrepriseCompetitic   sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entreprise
 
Valdes cyberguerre-barcamp2012
Valdes cyberguerre-barcamp2012Valdes cyberguerre-barcamp2012
Valdes cyberguerre-barcamp2012
 
Manifeste ResistanceCYBER 18.05.17
Manifeste ResistanceCYBER 18.05.17Manifeste ResistanceCYBER 18.05.17
Manifeste ResistanceCYBER 18.05.17
 
Manifeste ResistanceCYBER 19.05.17
Manifeste ResistanceCYBER 19.05.17Manifeste ResistanceCYBER 19.05.17
Manifeste ResistanceCYBER 19.05.17
 
Manifeste ResistanceCYBER 29.05.17
Manifeste ResistanceCYBER 29.05.17Manifeste ResistanceCYBER 29.05.17
Manifeste ResistanceCYBER 29.05.17
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PME
 
CyberséCurité Et Vie PrivéE
CyberséCurité Et Vie PrivéECyberséCurité Et Vie PrivéE
CyberséCurité Et Vie PrivéE
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
 
Introduction à la sécurité des SI
Introduction à la sécurité des SIIntroduction à la sécurité des SI
Introduction à la sécurité des SI
 
Cnil guide securite_personnelle
Cnil guide securite_personnelleCnil guide securite_personnelle
Cnil guide securite_personnelle
 
CNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnellesCNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnelles
 
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
 
Sã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationSã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'information
 
Manifeste ResistanceCYBER 17.05.17
Manifeste ResistanceCYBER 17.05.17Manifeste ResistanceCYBER 17.05.17
Manifeste ResistanceCYBER 17.05.17
 
cybersecurite-passons-lechelle-rapport.pdf
cybersecurite-passons-lechelle-rapport.pdfcybersecurite-passons-lechelle-rapport.pdf
cybersecurite-passons-lechelle-rapport.pdf
 
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverSortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
 
cyberedu_module_1_notions_de_base.pptx
cyberedu_module_1_notions_de_base.pptxcyberedu_module_1_notions_de_base.pptx
cyberedu_module_1_notions_de_base.pptx
 
Conférence - Le métier du RSSI en pleine évolution - #ACSS2019
Conférence - Le métier du RSSI en pleine évolution -  #ACSS2019Conférence - Le métier du RSSI en pleine évolution -  #ACSS2019
Conférence - Le métier du RSSI en pleine évolution - #ACSS2019
 
Cybersécurité et Cyberdéfense: Etat des lieux et perspective en Afrique
Cybersécurité et Cyberdéfense: Etat des lieux et perspective en AfriqueCybersécurité et Cyberdéfense: Etat des lieux et perspective en Afrique
Cybersécurité et Cyberdéfense: Etat des lieux et perspective en Afrique
 
Econocom - Livre Blanc IoT
Econocom - Livre Blanc IoTEconocom - Livre Blanc IoT
Econocom - Livre Blanc IoT
 

French acreditation process homologation 2010-01-19

  • 1. Homologation SSI Agence nationale de la Sécurité des Systèmes d’Information Bureau Assistance et Conseil conseil.anssi[at]ssi.gouv.fr
  • 2. Plan de la présentation Introduction 1. L’adoption d’une démarche globale Seule solution pour sécuriser les informations face aux menaces hétérogènes 2. La gestion des risques est au cœur de toute réflexion de SSI Des normes et des outils : Guide ISO/CEI 73, ISO/CEI 31000, EBIOS… 3. Le concept de maturité permet d’adapter la SSI aux enjeux réels Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 2 Quelques références : Guide Maturité SSI, ISO/CEI 21827… 4. Vers une amélioration continue : le système de management de la SSI L’ISO/CEI 27001 en décrit les activités 5. La SSI devait être intégrée tout le long du cycle de vie des systèmes Le guide GISSIP présente différentes manières d’y parvenir selon les enjeux SSI 6. L’homologation, un engagement systématique Démarche, livrables 7. Les labels SSI améliorent la confiance Produits, systèmes de management, systèmes d’information et personnes Conclusion
  • 3. Introduction Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 3
  • 4. Le contexte mondial : l’incertitude stratégique La mondialisation est une situation nouvelle dans laquelle la diffusion de l’information et de la connaissance, la transformation des échanges économiques et la modification des rapports de forces internationaux ont, d’emblée, un impact mondial. Elle crée une interaction et une interdépendance généralisées et non maîtrisées entre tous les États. Elle permet à une multitude nouvelle d’acteurs non étatiques et d’individus de tirer le parti maximum des possibilités de circulation internationale accélérée des hommes comme des données et des biens, matériels et immatériels. […] La mondialisation ne crée un monde ni meilleur ni plus dangereux qu’il y a deux Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 4 […] La mondialisation ne crée un monde ni meilleur ni plus dangereux qu’il y a deux décennies. Elle dessine en revanche les contours d’un système international nettement plus instable, moins contrôlé, et donc plus inquiétant, qui appelle des réponses à la fois globales et très spécifiques. [Livre blanc « Défense et sécurité nationale »] Quelques effets néfastes de la conjoncture actuelle Diffusion rapide de toutes les formes de crises Accélération foudroyante de la circulation de l’information Des régions entières demeurent à l’écart des bénéfices de la croissance mondiale Évolution des formes de violence (terrorisme, guerre…)
  • 5. Quelques nouvelles d’Internet… une journée parmi d’autres MAURITANIE - La dictature militaire mauritanienne a utilisé des techniques de "cyber-guerre" pour rendre indisponible deux sites Internet de l'opposition. Les autorités ont loué les services de plusieurs réseaux de machines zombies pour lancer ces attaques en déni de service distribué à l'encontre de ces sites. Cet événement rappelle qu'au Myanmar, en Russie et en Chine, le pouvoir politique a usé des mêmes tactiques. FRANCE - Une enquête de police a permis de saisir plus de 2 000 fichiers vidéo à caractère pédopornographique sur le réseau informatique d'Air France. L'enquête a débuté en janvier 2007 à la suite d'une plainte déposée par une association qui avait découvert des fichiers pédophiles en circulation via une société française. Une perquisition effectuée au domicile d'un employé de la compagnie aérienne nationale avait alors permis la saisie de 100 000 images de Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 5 des mêmes tactiques. [source Internet : Strategy Page] ÉTATS-UNIS - Un ordinateur portable contenant les informations personnelles (noms, adresses et numéros de sécurité sociale) de 97 000 salariés de la société Starbucks a été dérobé le 29 octobre dernier. La société aurait affiché sur son site Internet cette information en recommandant à ses employés de prendre des mesures appropriées en cas de retrait suspect. Starsbucks offre à ses employés une assistance gratuite permettant d'être immédiatement averti de toute opération financière sur leurs comptes bancaires. [source Internet : Seattle Post-Intelligencer] avait alors permis la saisie de 100 000 images de mineurs d'une capacité totale de 90 Go. [source Internet : Bakchich.info] RÉPUBLIQUE DU CONGO - Parution du premier livre sur la sécurité informatique du pays : l'auteur souligne que des réseaux de cyber-attaquants de plus en plus structurés sont virtuellement ou physiquement situés sur le continent africain. Il révèle aussi que par le biais de réseaux sociaux et autres moyens de communications Internet d'énormes capitaux transitent vers des paradis fiscaux. [source Internet : Categorynet]
  • 6. L’évolution du contexte… Les systèmes informatiques évoluent… « Avant, on tentait d’empêcher les missiles de détruire les salles enfermant les machines ; on essaie maintenant d’empêcher les machines d’utiliser les missiles. » Les systèmes informatiques changent dynamiquement, se complexifient, s’interconnectent et changent la valeur de l’information Les technologies évoluent (programmation orientée objet, agents intelligents…) La menace évolue… Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 6 La menace évolue… On doit considérer les menaces d’origine accidentelle et celles d’origine intentionnelle Vulgarisation des outils d’attaques (disponibles sur Internet, manipulation simple) Automatisation des attaques (recherche de machines, casseurs automatisés de mots de passe, intrusion dans les systèmes…) Une faible qualité des logiciels et produits disponibles (augmentation du nombre d’alertes) Les impacts évoluent… Sur les missions, les personnes, l’image, les tiers, la sécurité de l’État, l’environnement, financiers, juridiques…
  • 7. … a fait évoluer la sécurité de l’information La protection de l’information ne se limite pas à l’informatique Biens techniques : matériels, logiciels, réseaux, supports d’informations Biens non techniques : organisations, sites, locaux, personnels L’information est omniprésente, extrêmement répartie et en circulation permanente Les problématiques sectorielles convergent (qualité, sécurité des personnes, environnement, risques opérationnels…) Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 7 Il n’est donc plus possible de tout protéger efficacement contre tout C’est pourquoi il convient d’adopter des démarches et outils méthodologiques Prendre des décisions rationnelles Partager un vocabulaire commun Gérer la complexité La gestion des risques est le seul moyen rationnel pour prendre des décisions La mise en œuvre d’un système de management de la sécurité de l’information (ISO/CEI 27001) repose sur la gestion des risques L’ISO/CEI 31000 (gestion des risques au sens large) et l’ISO/CEI 27005 (application à la sécurité de l’information) en décrivent la démarche générale La méthode EBIOS permet de mettre en œuvre l‘ISO/CEI 27005
  • 8. 1. Adopter une démarche globale Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 8 globale
  • 9. Sécurité des système d’information (SSI) : de quoi parle-t-on ? Un système d’information (SI) est : un système (combinaison d’éléments en interaction organisés pour atteindre un ou plusieurs buts définis [ISO/IEC 15288]), qui assure l’élaboration, le traitement, la transmission et le stockage d’informations (renseignements ou éléments de connaissance). Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 9 Les informations, ainsi que les processus informationnels, constituent les biens essentiels au cœur des éléments d’un SI. La sécurité des systèmes d’information (SSI) a pour objectif de protéger ces biens essentiels. Les biens essentiels reposent sur des biens supports (réseaux, matériels, logiciels, organisations, personnes, sites). C’est par le biais des biens supports que la sécurité des biens essentiels peut être atteinte.
  • 10. La SSI doit être considérée globalement L’objectif est la cohérence d’ensemble de la démarche de sécurisation des systèmes d’information. Il convient en effet de n’oublier aucun élément pertinent, pour éviter le maillon faible qui réduirait la sécurité apportée par tous les autres maillons, de faire prendre chacune des décisions au juste niveau. Il faut pour cela : considérer tous les aspects qui peuvent avoir une influence sur la sécurité des Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 10 considérer tous les aspects qui peuvent avoir une influence sur la sécurité des systèmes d’information, techniques (matériels, logiciels, réseaux, etc.) et non techniques (organisations, sites, personnes…), considérer toutes les origines de risques (origines humaines et naturelles, causes accidentelles et délibérées), prendre en compte la SSI au plus haut niveau hiérarchique, car comme tous les autres domaines de la sécurité, la SSI repose sur une vision stratégique, nécessite des choix d’autorité (les enjeux, les moyens humains et financiers, les risques résiduels acceptés) et un contrôle des actions et de leur légitimité, responsabiliser tous les acteurs (décideurs, maîtrises d'ouvrage, maîtrises d'œuvre, utilisateurs…), intégrer la SSI tout le long du cycle de vie des systèmes d'information (depuis l’étude d’opportunité jusqu'à la fin de vie du système).
  • 11. 2. Fonder la SSI sur la gestion des risques Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 11 gestion des risques
  • 12. Pourquoi gérer les risques SSI ? Lignes directrices de l’OCDE Principe d’évaluation des risques Principe de gestion de la sécurité Principe de réévaluation Maîtriser les coûts Objectivité dans les choix (balance entre ce qu’on peut perdre et le coût pour s’en Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 12 Objectivité dans les choix (balance entre ce qu’on peut perdre et le coût pour s’en prémunir) Maîtriser la sécurité de ses systèmes d’information Visibilité, cohérence et prévention Réglementation pour le classifié de défense L’instruction générale interministérielle N°1300 rend la réalisation d’une analyse des risques obligatoire pour tout système traitant des informations classifiées de défense.
  • 13. Qu’est-ce qu’un risque SSI ? Ex. 1 – USA Ex. 2 – Nouvelle-Zélande Ex. 3 – Fictif Événements redoutés Sources de menace « Attaquants » « Attaquants » Un pirate expérimenté engagé par un concurrent Biens essentiels Données sur le système de diagnostic d’un avion de chasse Processus d’enregistrement de noms de domaines Informations et fonctions présentes sur le réseau Besoins de sécurité Confidentialité Intégrité Intégrité Atteinte de l’image de l’ État, possibilité Redirection de sites web Perturbation du Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 13 Risques Impacts État, possibilité ultérieure d’actions contre les systèmes des avions Redirection de sites web vers un autre, atteinte de l’image des organismes concernés Perturbation du fonctionnement, perte d’avantage concurrentiel Niveau d’impact Modéré à élevé Modéré Élevé Scénarios de menaces Menaces Intrusion et collecte Accès frauduleux Piégeage du logiciel (introduction d’un ver) Biens supports Réseaux des sous- traitants Fonctionnalités d’administration du site du bureau d’enregistrement Réseau WiFi Vulnérabilités Perméabilité des réseaux des sous- traitants Injection SQL Possibilité d’administrer le réseau à distance Niveau de vraisemblance Quasiment certain (traces d‘intrusion) Quasiment certain (vulnérabilités connues) Important
  • 14. Un cadre pour toutes les méthodes de gestion des risques SSI : l’ISO/CEI 27005 RISK ESTIMATION ESTABLISH CONTEXT RISK IDENTIFICATION CATION ANDREVIEW RISK ASSESSMENT RISK ANALYSIS Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 14 RISK TREATMENT RISK EVALUATION RISKCOMMUNIC RISKMONITORINGA RISK DECISION POINT 1 Assessment satisfactory END OF FIRST OR SUBSEQUENT ITERATIONS RISK DECISION POINT 2 Accept risks Yes No No Yes RISK ACCEPTANCE
  • 15. EBIOS, la méthode française permettant de mettre en œuvre l’ISO/CEI 27005 Étude du contexte Quel est le sujet de l’étude ? Fixer le cadre, préparer les métriques, identifier les biens Étude des besoins Quels sont les événements redoutés ? Identifier la valeur des biens essentiels et les impacts en cas d’atteinte Étude des menaces Comment les événements redoutés peuvent-ils Module 1 Étude du contexte Module 2 Étude des besoins Module 3 Étude des menaces Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 15 Comment les événements redoutés peuvent-ils se réaliser ? Identifier les menaces et les vulnérabilités des biens supports Étude des risques Quels sont les scénarios qui peuvent réellement arriver ? De quelle manière veut-on les traiter ? Identifier les risques et les objectifs de sécurité Étude des mesures de sécurité Quelles sont les solutions à mettre en œuvre pour traiter les risques ? Déterminer les mesures (éventuellement sur la base de l’ISO/CEI 27002) et suivre leur application Module 4 Étude des risques Module 5 Étude des mesures de sécurité
  • 16. L’objectif : sécuriser les systèmes d’informations Protéger les biens essentiels Informations : données numériques ou non, savoir ou savoir-faire particulier Processus informationnels : fonctions, processus métiers… Maîtriser les biens supports Réseaux : réseaux informatiques, relais et supports de communication, Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 16 Réseaux : réseaux informatiques, relais et supports de communication, protocoles Matériels : ordinateurs fixes et mobiles, périphériques, supports électroniques et papiers Logiciels : applications, systèmes de gestion de base de données, middleware, systèmes d’exploitation, firmware Organisations : organisations internes, relations avec des tiers Personnes : personnes morales, personnes physiques Sites : locaux, installations électriques, installations de traitement de fluides
  • 17. Prendre en compte les références applicables La loi et la réglementation doivent être prises en compte Codes d’éthique des métiers des technologies de l’information Atteintes aux personnes (vie privée, protection des données nominatives, secret professionnel, secret de la correspondance) Atteintes aux biens (vol, escroquerie, détournements, destructions, dégradations et détériorations, atteintes aux systèmes d’information) Atteintes aux intérêts fondamentaux de la Nation, terrorisme et atteintes à la confiance publique Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 17 publique Atteintes à la propriété intellectuelle (protection du droit d’auteur, protection des bases de données) Dispositions relatives à la cryptologie Dispositions relatives à la signature électronique Autres texte nationaux et internationaux (Union européenne, Union africaine, ONU…) Il convient également de tenir compte des réglementations sectorielles et des règles internes aux organismes
  • 18. Respecter les besoins de sécurité La sécurité de l'information a pour but de protéger le patrimoine informationnel de l'organisme. Celui-ci permet son bon fonctionnement et l'atteinte de ses objectifs. La valeur de ce patrimoine, dit informationnel, peut en effet être appréciée au regard : Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 18 des opportunités qu'il offre quand on l'utilise correctement, des conséquences négatives dans le cas contraire. Les besoins de sécurité représentent les conditions dans lesquelles les métiers s’exercent de manière acceptable. Ils sont généralement exprimés en termes de : disponibilité : propriété d'accessibilité au moment voulu des biens essentiels par les personnes autorisées intégrité : propriété d'exactitude et de complétude des biens essentiels confidentialité : propriété des biens essentiels de n'être accessibles qu'aux utilisateurs autorisés
  • 19. Gérer les impacts internes et externes Impacts sur les missions Incapacité à fournir un service, perte de savoir-faire, changement de stratégie… Impacts sur la sécurité des personnes Accident du travail, maladie professionnelle, perte de vies humaines, mise en danger… Impacts financiers Perte de chiffre d'affaire, dépenses imprévues, chute de valeur en bourse, baisse de revenus… Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 19 revenus… Impacts juridiques Procès, amende, condamnation d'un dirigeant, dépôt de bilan, avenant… Impacts sur l’image Publication d'un article satyrique dans la presse, perte de crédibilité vis-à-vis de clients, mécontentement des actionnaires, perte d'avance concurrentielle, perte de notoriété… Impacts sur l’environnement Pollution (chimique, bactériologique, radiologique, sonore, visuelle…) générée par l'organisme et touchant son périmètre, son voisinage ou une zone… Impacts sur les tiers Impossibilité d'assurer un service, amendements de contrats, pénalités, conséquences sur la production ou la distribution de biens ou de services considérés comme vitaux…
  • 20. Faire face à toutes les sources de menaces Sources humaines Employé en fin de contrat, employé voulant se venger de son employeur ou de ses collègues, fraudeur, employé maladroit ou inconscient… Militant agissant de manière idéologique ou politique, espion, terroristes, pirate passionné, casseur ou fraudeur, concurrent avec une motivation stratégique, visiteur, prestataire, personnel Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 20 une motivation stratégique, visiteur, prestataire, personnel d'entretien cupide, personnel d'entretien maladroit, personne réalisant des travaux dans le voisinage, manifestants, stagiaire agissant de manière ludique… Sources non humaines Matières dangereuses, matières inflammables, eau… Virus informatique ou autre code malveillant, nature environnante (rivière, forêt…), météo, éléments du voisinage, temps qui s'écoule, contingence (malchance)…
  • 21. Lutter contre les menaces Détournements d'usages Défiguration, cybersquatting, altération de données, exploitation distante d'un réseau sans fil, occupation de site, interception de signaux parasites (compromettants, wifi…), écoute passive, hameçonnage, divulgation involontaire, ingénierie sociale … Dépassements de limites de fonctionnement Déni de service, surcharge de variables, défaillance logicielle, défaillance matérielle, dysfonctionnement provoqué (rayonnements électromagnétiques, thermiques…), dépassement de capacités réseaux, surmenage, défaillance de la climatisation… Valeurdesbiens Besoin de sécurité SCAN SOCIAL ENGINEERING SCRIPT KIDDIES Compétence Disponibilité des outils DENI SERVICE USURPATION ATTAQUE CRYPTO Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 21 dépassement de capacités réseaux, surmenage, défaillance de la climatisation… Détériorations Bombe logique, impulsion électromagnétique, panne matérielle, assassinat, maladie, infection, accident, décès, dégradation physique, vandalisme, catastrophe naturelle, sinistre majeur… Modifications Altération d'un logiciel par modification ou ajout de code, contagion par un code malveillant, piégeage d’un matériel, falsification d'un support papier, intégration de machines non maîtrisés, manipulation psychologique, travaux… Pertes de propriété Non renouvellement de licence, perte de codes sources, disparition d'un matériel, vol de support de données ou de document, récupération de matériels recyclés ou mis au rebut, licenciement, enlèvement, rachat de tout ou partie de l'organisme…
  • 22. Réduire les vulnérabilités Réseaux Possibilité de pose d'éléments additionnels, complexité du routage entre sous-réseaux, ouverture des réseaux, liaison de télémaintenance activée en permanence… Matériels Mauvaises conditions d'utilisation, fragilité des matériels, matériel facilement démontable, matériel attractif, supports accessibles par tous, matériel transportable… Logiciels Fournisseur Entreprise Nomade Réseau Public L.S. Web DNS Filiale Mail Partenaire Client Client Serveurs publics INTERNET INTRANET EXTRANET Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 22 Logiciels Mots de passe simples à observer (forme sur un clavier, mot de passe court), logiciels obsolètes, possibilité d'utiliser une porte dérobée dans le système d'exploitation… Organisations Organisation instable ou inadaptée, contrats peu clairs, clauses contractuelles incomplètes, règles de sécurité inapplicables, consignes non respectées… Personnes Instabilité financière, actionnariat instable, personnel manipulable, prééminence d’une catégorie de personnel, manque de formation, manque de motivation… Sites Proximité d’activités industrielles à risque, mauvais dimensionnement des ressources, facilité de pénétrer dans les locaux, agencement des locaux inapproprié…
  • 23. Faire émerger les risques réels Si l’ordinateur portable d’un employé est volé alors qu’il ne contient aucune information confidentielle, alors il n’y a pas de risque. En revanche, s’il contient des informations confidentielles et que leur compromission pourrait faire perdre des clients ou nuire gravement à l’image de son organisme, alors le risque existe et son niveau d’impact est important. Par ailleurs, si on estime que des concurrents ou des opposants à l’organisme sont prêts à employer ce genre de méthode et s’en donneront les moyens, et Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 23 sont prêts à employer ce genre de méthode et s’en donneront les moyens, et qu’en plus les employés font preuve d’inattention, alors le niveau de vraisemblance est important. Il est illusoire et coûteux de se protéger contre tous les risques imaginables. Mais il est dangereux de ne pas identifier les risques auxquels on est confronté. C’est pourquoi il convient de faire émerger les risques et d’estimer leur niveau. Cela permettra de les hiérarchiser et de faire des choix objectivement.
  • 24. Choisir les options de traitement Réduire les risques Action sur les vulnérabilités (prévention) et/ou les impacts (récupération, compensation) et/ou les sources de menaces (dissuasion) et/ou les menaces (protection, détection) Transférer les risques Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 24 Transférer les risques Partage des pertes avec autrui (assurance, certification…) Éviter les risques Changement de situation pour que le risque n’existe plus (choix techniques, réduction du périmètre…) Prendre les risques Acceptation des pertes dans le cas où des sinistres arrivent
  • 25. Déterminer les mesures de sécurité Les mesures de sécurité, destinées à traiter les risques, peuvent être : créées de toute pièce, créées à partir de meilleures pratiques adaptées, choisies directement parmi les meilleures pratiques. Un exemple de catalogues de meilleures pratiques : l’ISO/CEI 27002 […] 5. Politique de sécurité Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 25 5. Politique de sécurité 6. Organisation de la sécurité de l’information 7. Gestion des biens 8. Sécurité des ressources humaines 9. Sécurité physique et environnementale 10. Gestion des communications et opérations 11. Contrôle d’accès 12. Acquisition, développement et maintenance des systèmes d’information 13. Gestion des incidents de sécurité de l’information 14. Gestion de la continuité d’activités 15. Conformité Les mesures de sécurité sont également destinées à prendre en compte les références applicables
  • 26. Accepter les risques résiduels Les risques résiduels sont issus : de risques insuffisamment réduits, de menaces écartées, de mesures de sécurité induisant de nouveaux risques… Il convient de mettre en évidence les risques résiduels afin de vérifier Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 26 Il convient de mettre en évidence les risques résiduels afin de vérifier que le niveau des risques est acceptable. Dans le cas contraire, il convient de revoir le traitement de ces risques en tentant de les réduire, de les transférer ou de les éviter davantage. Cette acceptation des risques prendre généralement la forme d’une homologation de sécurité : déclaration, par une autorité dite d’homologation, que le sujet considéré est apte à traiter des biens au niveau des besoins de sécurité exprimé, conformément aux objectifs de sécurité visés, et qu’elle accepte les risques résiduels induits.
  • 27. Globalité La défense doit être globale, ce qui signifie qu’elle englobe toutes les dimensions du système d’information : a) aspects organisationnels ; b) aspects techniques ; c) aspects mise en œuvre. Coordination La défense doit être coordonnée, ce qui signifie que les moyens mis en place agissent : a) grâce à une capacité d’alerte et de diffusion ; b) à la suite d’une corrélation des incidents. La défense doit être dynamique, ce qui signifie que le SI dispose d’une politique de sécurité identifiant : a) une capacité de réaction ; Appliquer des principes de défense en profondeur Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 27 Dynamisme a) une capacité de réaction ; b) une planification des actions ; c) une échelle de gravité. Suffisance La défense doit être suffisante, ce qui signifie que chaque moyen de protection (organisationnel ou technique) doit bénéficier : a) d’une protection propre ; b) d’un moyen de détection ; c) de procédures de réaction. Complétude La défense doit être complète, ce qui signifie que : a) les biens à protéger sont protégés en fonction de leur criticité ; b) que chaque est protégé par au minimum trois lignes de défense ; c) le retour d’expérience est formalisé. Démonstration La défense doit être démontrée, ce qui signifie que : a) la défense est qualifiée ; b) il existe une stratégie d’homologation ; c) l’homologation adhère au cycle de vie du système d’information.
  • 28. Résultats d’une analyse de risques EBIOS Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 28 Cahier des chargesFEROS PP Cible Négociation & arbitrage Responsabiliser les acteurs TDBSSISDSSI Plan d’action Note de stratégiePSSI
  • 29. Exemples de niveaux de détails selon la finalité Analyse de risques PP/Cible FEROS PSSI Schéma directeur Étude du contexte Détaillé Détaillé Moyen Détaillé Expression des besoins Détaillé Détaillé Moyen Faible Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 29 Expression des besoins de sécurité Détaillé Détaillé Moyen Faible Étude des menaces Détaillé Détaillé Moyen à détaillé Faible Identification des objectifs de sécurité Détaillé Détaillé Faible Faible Détermination des exigences de sécurité Détaillé Aucun Faible Optionnel
  • 30. 3. Adapter la SSI selon les enjeux Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 30 enjeux
  • 31. L’ISO/IEC 21827 définit 5 niveaux de maturité SSI cumulatifs 1. Pratique informelle : pratiques de base mises en œuvre de manière informelle et réactive à l'initiative de ceux qui estiment en avoir besoin. Des actions sont réalisées en employant des pratiques de base. 2. Pratique répétable et suivie : pratiques de base mises en œuvre de façon planifiée et suivie, avec un support relatif de l'organisme. Les actions sont planifiées. Les actions sont réalisées par une personne qui possède des compétences en SSI. Certaines pratiques sont formalisées, ce qui permet la duplication et la réutilisation (éventuellement par une autre personne). Des mesures qualitatives sont réalisées (indicateurs simples sur les résultats). Les autorités compétentes sont tenues informées des mesures effectuées. Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 31 Les autorités compétentes sont tenues informées des mesures effectuées. 3. Processus défini : mise en œuvre d'un processus décrit, adapté à l'organisme, généralisé et bien compris. Les actions sont réalisées conformément à un processus défini, standardisé et formalisé. Les personnes réalisant les actions possèdent les compétences appropriées au processus. L’organisme soutien le processus et accorde les ressources, les moyens et la formation nécessaires à son fonctionnement. Le processus est bien compris autant par le management que par les exécutants. 4. Processus contrôlé : le processus est coordonné et contrôlé (indicateurs) pour corriger les défauts constatés. Le processus est coordonné dans tout le périmètre choisi et pour chaque exécution. Des mesures quantitatives sont régulièrement effectuées (en termes de performance). Les mesures effectuées (indicateurs qualitatifs et quantitatifs) sont analysées. Des améliorations sont apportées au processus à partir de l'analyse des mesures effectuées. 5. Processus continuellement optimisé : l'amélioration des processus est dynamique, institutionnalisée et tient compte de l'évolution du contexte. Le processus est adapté de façon dynamique à la situation. L'analyse des mesures effectuées est définie, standardisée et formalisée. L'analyse des mesures effectuées est définie, standardisée et formalisée. L'amélioration du processus est définie, standardisée et formalisée. Les évolutions du processus sont journalisées.
  • 32. La SSI doit être gérée en adéquation par rapport aux véritables enjeux SSI du(des) SMSI. En effet, des enjeux faibles ne requièrent pas de gérer la SSI de manière aussi rigoureuse que lorsqu'ils sont élevés. La démarche consiste à : déterminer le niveau adéquat du SMSI Maturité du SMSI Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 32 déterminer le niveau adéquat du SMSI déterminer le niveau effectif des processus améliorer les processus Première itération de la progression de la maturité 0 1 2 3 4 5 Définir la stratégie SSI Gérer les risques SSI Gérer les règles SSI Superviser la SSI Concevoir les mesures SSI Réaliser les mesures SSI Exploiter les mesures SSI Niveau adéquat Géré en dehors du périmètre considéré Seconde itération de la progression de la maturité 0 1 2 3 4 5 Définir la stratégie SSI Gérer les risques SSI Gérer les règles SSI Superviser la SSI Concevoir les mesures SSI Réaliser les mesures SSI Exploiter les mesures SSI Niveau adéquat Géré en dehors du périmètre considéré Troisième itération de la progression de la maturité 0 1 2 3 4 5 Définir la stratégie SSI Gérer les risques SSI Gérer les règles SSI Superviser la SSI Concevoir les mesures SSI Réaliser les mesures SSI Exploiter les mesures SSI Niveau adéquat Géré en dehors du périmètre considéré
  • 33. 4. Viser une amélioration continue par la mise en place d’un SMSI Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 33 par la mise en place d’un SMSI
  • 34. Qu’est-ce qu’un système de management ? Selon l’ISO/CEI 9000, un système de management est : un ensemble d'éléments corrélés ou interactifs permettant d'établir une politique et des objectifs Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 34 permettant d'établir une politique et des objectifs et d'atteindre ces objectifs.
  • 35. Différents systèmes de management Le système de management d'un organisme peut inclure différents systèmes de management. Les différentes normes de systèmes de management sont très similaires : elles sont basées sur les mêmes principes, elles sont structurées quasiment à l'identique, elles utilisent une terminologie relativement commune, elles reposent sur les lignes directrices pour la justification et l'élaboration de normes de Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 35 elles reposent sur les lignes directrices pour la justification et l'élaboration de normes de systèmes de management (Guide ISO/CEI 72). Elles se distinguent et se complètent par leur objet et leur objectif : Domaine Norme Objet Objectif Qualité ISO/CEI 9001 Produit Satisfaction des clients Environnement ISO/CEI 14001 Communauté environnante Protection de l'environnement Sécurité des personnes OHSAS 18001 ILO-OSH 2001 Individu Protection en matière d'hygiène, santé et sécurité Sécurité de l’information ISO/CEI 27001 Informations et processus informationnels Protection du patrimoine informationnel
  • 36. Qu’est-ce qu’un système de management de la sécurité de l’information (SMSI) ? Le système de management de la sécurité de l'information (SMSI) est : un ensemble d'éléments corrélés ou interactifs permettant d'établir une politique et des objectifs en matière de sécurité de l'information et d'atteindre ces objectifs. Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 36 Les éléments de ce système sont : ses ressources (humaines, financières, temporelles), ses moyens (ensemble des types de biens supports de l'information : réseaux, matériels, logiciels, organisations, sites, personnels). Le SMSI apporte un cadre pour la gestion de la sécurité de l'information. Il constitue un moyen de gérer la sécurité de l'information de manière globale, systématique, systémique, complète et cohérente.
  • 37. Le SMSI est un moyen de gouvernance La gouvernance de la sécurité de l’information est la manière dont le système de management de la sécurité de l'information (SMSI) est dirigé et contrôlé La gouvernance de la sécurité de l'information apporte coordination et cohérence aux activités du SMSI. Ainsi, elle structure et hiérarchise ses activités : Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 37 structure et hiérarchise ses activités : elle active tous les processus de sécurité de l'information, elle alimente et s’aligne sur les processus de pilotage de l'organisme pour s'assurer de la cohérence et de la coordination nécessaires entre le SMSI et le reste des activités de l'organisme, elle prend appui sur les processus de support de l'organisme afin de fournir, de manière efficace et efficiente, tous les moyens et ressources dont la sécurité de l'information a besoin au moment approprié.
  • 38. L’ISO/CEI 27001 décrit un SMSI Mise en œuvre de la démarche ISO/CEI 27001 L’ISO/CEI 27001 spécifie un SMSI / Information Security Management System (ISMS), structuré en 4 étapes : 1. Planifier : définir le cadre du SMSI, apprécier et spécifier le traitement des risques SSI 2. Mettre en œuvre : implémenter et maintenir les mesures Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 38 2. Mettre en œuvre : implémenter et maintenir les mesures 3. Vérifier : vérifier que les mesures fonctionnent conformément à l’étape Planifier et identifier les améliorations possibles du SMSI 4. Améliorer : mettre en œuvre les améliorations identifiées pour le SMSI Positionnement par rapport aux mesures de l’ISO/CEI 27002 Catalogue de meilleures pratiques regroupant 39 objectifs de sécurité (buts à atteindre), décomposés en 133 mesures de sécurité (explications sur les activités permettant d’y parvenir) et relatifs à 11 domaines
  • 39. Les tâches à réaliser selon l’ISO/CEI 27001 Planifier Définir le périmètre Définir l'approche d'appréciation des risques SSI Identifier les risques SSI Analyser et évaluer les risques SSI Identifier et évaluer les options pour traiter les risques SSI Sélectionner les objectifs et mesures de sécurité pour traiter les risques SSI Obtenir la validation des risques résiduels Obtenir l'autorisation de mettre en œuvre et d'exploiter le SGSSI Améliorer Mettre en œuvre les améliorations identifiées pour le SGSSI Prendre les mesures correctives et préventives appropriées Communiquer les résultats et actions, consulter les parties prenantes S'assurer que les révisions réalisent leurs objectifs prévus Vérifier Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 39 Définir la politique de sécurité Préparer une déclaration d’applicabilité Mettre en œuvre Formuler un plan de traitement des risques SSI Mettre en œuvre le plan de traitement des risques SSI Mettre en œuvre les mesures de sécurité Définir comment mesurer l'efficacité des mesures de sécurité Mettre en œuvre les programmes de sensibilisation et de formation Gérer les opérations Gérer les ressources Mettre en œuvre les procédures et autres mesures pour détecter et réagir face aux incidents de sécurité Vérifier Exécuter les procédures de vérification et autres mesures Vérifier régulièrement la performance du SGSSI Mesurer l'efficacité des mesures de sécurité Vérifier régulièrement l'appréciation des risques, ainsi que le niveau du risque résiduel et du risque acceptable Mener des audits internes réguliers du SGSSI Vérifier régulièrement le management du SGSSI Mettre à jour les plans de sécurité pour prendre en compte les résultats des actions précédentes Enregistrer les actions et événements pouvant impacter la performance du SGSSI
  • 40. Vers une intégration des systèmes de management ? Les systèmes de management peuvent être : totalement séparés, partiellement intégrés, totalement intégrés. L’intégration des systèmes de management permet : Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 40 L’intégration des systèmes de management permet : une simplification (documentation, audits), une économie (non répétition des procédures), une exhaustivité (pas d’oubli de procédures), une cohérence (une même logique). Les difficultés rencontrées : un investissement conséquent, nécessite de « remettre à plat les différents systèmes ».
  • 41. 6. Intégrer la SSI dans le cycle de vie des systèmes Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 41 des systèmes
  • 42. La méthode GISSIP GISSIP permet une intégration de la SSI structurée, complète et adaptée aux enjeux de sécurité de chaque SI. La méthode aide à déterminer les actions SSI à entreprendre et les documents à produire tout au long du cycle de vie des SI, et ce, en fonction du niveau de maturité SSI adéquat. Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 42 ce, en fonction du niveau de maturité SSI adéquat. L’approche est à considérer avec souplesse afin de l’appliquer en cohérence avec les pratiques et outils de chaque organisme. Il convient de réévaluer régulièrement les enjeux de sécurité, et donc le niveau de maturité SSI adéquat pour vérifier que les actions entreprises apportent bien le niveau de confiance le plus approprié.
  • 43. Actions SSI par étape et par niveau de maturité Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 43
  • 44. Livrables par étape et par niveau de maturité Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 44
  • 45. 7. Une démarche d’homologation systématique Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 45 systématique
  • 46. Qu’est ce qu’une homologation de sécurité? Il s’agit de déclarer, au vu du dossier d’homologation, que le système d’information considéré est apte à traiter des informations d’un niveau de sensibilité ou de classification donné. (IGI n°1300/SGDN/PSE/SSD du 25 août 2003) Cette déclaration est faite par l’autorité d’homologation qui peut Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 46 Cette déclaration est faite par l’autorité d’homologation qui peut s’appuyer sur une commission d’homologation.(IGI n°1300) La DCSSI participe à la commission d’homologation pour les SI traitant des informations classifiées de défense. (Rapport sur la doctrine SSI)
  • 47. Pourquoi homologuer ? Pour garantir la protection des informations conformément à la réglementation. « Tout système d’information traitant des informations classifiées doit faire l’objet d’une décision d’emploi formelle. Cette décision s’appuie sur l’homologation de sécurité » (IGI n°1300) Tout système d’information doit faire l’objet d’une homologation de sécurité par une autorité d’homologation désignée par l’autorité administrative (RGS) Pour être en mesure d’apporter la preuve que l’on a respecté la loi : pour la protection des informations classifiées de défense Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 47 pour la protection des informations classifiées de défense pour la protection des informations nominatives Pour attester de son niveau de sécurité vis-à-vis de ses partenaires (Organismes tiers, clients, OTAN, UE…). Pour mettre en place un SMSI, obtenir une vision cohérente en termes de place de la SSI dans le système d’information, de coûts et de priorités, des responsabilités.
  • 48. Quand homologuer ? Homologation PSSI Référentiel de règles et meilleures pratiques Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 48 Valeurs stratégiques Objectifs de sécurité Enjeux de sécurité Besoins utilisateurs
  • 49. Fil conducteur de la confiance RÉALISATION ÉTUDE D’OPPORTUNITÉ ÉTUDE D’OPPORTUNITÉ EXPLOITATION EXPLOITATION V V Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 49 RÉALISATION RÉALISATION CONCEPTION DÉTAILLÉE CONCEPTION DÉTAILLÉE CONCEPTION GÉNÉRALE CONCEPTION GÉNÉRALE ÉTUDE DE FAISABILITÉ ÉTUDE DE FAISABILITÉ Suivi du cycle Validation Incrémentation Lot1 à Lot n Version successives V1 à Vn V V V
  • 50. Sur quelle base homologuer ? FEROSQuelles sont mes intentions ? PSSIComment les appliquer ? Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 50 PSSIComment les appliquer ? AUDITSComment vérifier mes choix ? Quels sont les risques résiduels ? Cible
  • 51. Le dossier de Sécurité Élément de décision pour l’autorité d’homologation Le contenu dépend du niveau de maturité du système ! Contenu type d’un dossier de sécurité pour un système d’un haut niveau de maturité Stratégie d’homologation, note de stratégie SSI Fiche d’expression rationnelle d’objectif de sécurité (FEROS) Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 51 Fiche d’expression rationnelle d’objectif de sécurité (FEROS) Cible de sécurité du système Politique de sécurité du système (PSSI) Procédures d’exploitation de sécurité (PES) Certificat d’évaluation des produits de sécurité intégrés Rapport technique d’évaluation Cible de sécurité produit Résultats d’audit Liste des risques résiduels
  • 52. Stratégie d’homologation – Encadrement de la démarche Présentation du système Identification du périmètre d’homologation Encadrement de la démarche SSI du projet Présentation du processus d’homologation Identification des acteurs et des responsabilités Rappel des différents étapes et jalons de validation Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 52 Rappel des différents étapes et jalons de validation Description des différents livrables attendus Référencement des textes applicables Expression des enjeux, des besoins SSI et du mode d’exploitation de sécurité Implication au plus tôt des acteurs SSI permettant une Intégration de la SSI dans le projet / SMSI de prendre en compte les contraintes opérationnelles d’éviter les retards, écueils
  • 53. FEROS - Expression de la maîtrise d’ouvrage Cahier des charges SSI de la maîtrise d’ouvrage Besoins de sécurité du système Contraintes auxquelles il est soumis Menaces contre lesquelles il doit se prémunir Objectifs de sécurité de haut niveau Risques résiduels Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 53 Document approuvé par l'autorité responsable Obligatoire pour les systèmes traitant des informations classifiées
  • 54. Cible de sécurité - La réponse de la maîtrise d’œuvre Identifie sans ambiguïté le périmètre sur lequel porte l’homologation Réponse de la MOE aux objectifs de sécurité identifiés dans la FEROS Lien entre les objectifs de la maîtrise d’ouvrage et les exigences de sécurité de la maîtrise d’œuvre Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 54 Liste les exigences de sécurité organisationnelles et techniques Justifie le niveau de couverture des objectifs de sécurité par les exigences de sécurité Identifie les risques résiduels Garantie une traçabilité Permet de suivre l’homologation tout au long du cycle de vie du SI
  • 55. PSSI – Traduction de la stratégie de sécurité de l’organisme Document de référence SSI applicable à l'ensemble des acteurs de l’organisme Différentes formes en fonctions des interlocuteurs Directives Procédures Codes de conduite Règles organisationnelles et techniques Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 55 Règles organisationnelles et techniques La PSSI inclut les éléments stratégiques périmètre du SI, les enjeux liés et orientations stratégiques, aspects légaux réglementaires les principes de sécurité par domaine : organisationnel, mise en œuvre, technique Complétée par un(s) politique(s) d’application comme les procédures d’exploitation de la sécurité
  • 56. Processus similaire à la démarche nationale Dossier de sécurité semblable • énoncé des impératifs de sécurité (SRS) • applicables à un ensemble d'interconnexions (CSRS) Dossier de sécurité – OTAN / UE / coalitions Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 56 • applicables à un ensemble d'interconnexions (CSRS) • propres à un système (SSRS) • applicables à une interconnexion de systèmes (SISRS) • énoncé des impératifs de sécurité électronique (SEISRS) • procédures d'exploitation de sécurité (SecOPS) • rapport d’audit SGDN, ANS pour les systèmes traitant des informations classifiées non nationales
  • 57. Les étapes de l’homologation Identifier l’autorité d’homologation Obtenir une validation opérationelle des utilisateurs Monter une commission d’homologation Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 57 Bâtir le référentiel d’homologation et le valider Auditer le système en fonction du référentiel Mettre en avant les risques résiduels Homologuer le système au regard des risques résiduels
  • 58. Les conditions du succès - Avant l’étude Impliquer l’organisme La démarche doit être portée par la direction Motivation de l’ensemble acteurs de l’organisme Sensibiliser l’organisme aux intérêts de la démarche Définir un chef de projet Mise en place d’une stratégie d’homologation Application cohérente avec le niveau de maturité SSI de l’organisme Identifier le niveau de sécurité de l’organisme Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 58 Identifier le niveau de sécurité de l’organisme Identifier le niveau de sensibilité nécessaire Réponse adéquate Identifier l’autorité d’homologation Création d’une commission d’homologation Création d’un comité de pilotage groupe de suivi et de pilotage Nommer une équipe d’audit Constituer un dossier de sécurité Définir les livrables Définir le périmètre de l’étude Sensibiliser les acteurs sur la démarche, les concepts, le vocabulaire…
  • 59. Les conditions du succès – Pendant l’étude (1/2) A chaque activité Constituer un groupe de travail Identifier les bons acteurs Nommer un leader • Arriver à un consensus ou trancher Sensibiliser les acteurs Rappeler l’objectif de l’activité Présenter les concepts, le vocabulaire S’assurer que l’ensemble des acteurs est une vision commune de la problématique Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 59 S’assurer que l’ensemble des acteurs est une vision commune de la problématique Demande une justification • Facilite l’argumentation • Permet de garder une traçabilité Collecter les informations Réalisation d’interviews Documents existants sur l’organisme, le projet Documentation EBIOS • Base de connaissances • Guide / Meilleures pratiques Être force de proposition Présenter des exemples pour lancer les discussions Synthétiser les informations récoltées pour validation au groupe de travail Suivi et validation par le comité de pilotage
  • 60. Les conditions du succès – Pendant l’étude (2/2) Distinguer l’analyse de risques et les livrables Adapter les livrables aux destinataires Sous la forme d’un tableau ou texte Exhaustif ou sous la forme d’une synthèse Favoriser les schémas (UML, MERISE…) Intégrer les documents existants Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 60 Intégrer les documents existants S’adapter au vocabulaire de l’organisme Nomenclature explicite Libellé court et description Validation de chaque étape par la commission d’homologation Éviter les retours en arrière Impliquer la direction tout au long de la réalisation du dossier de sécurité Facilite l’homologation
  • 61. 7. Utiliser des labels SSI Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 61
  • 62. Les produits de sécurité peuvent être labellisés Les produits de sécurité peuvent faire l'objet d'une évaluation de sécurité débouchant sur une attestation de sécurité établie par la DCSSI : une certification en vertu du décret n°2002-535 du 18 avril 2 002 (selon l’ISO/CEI 15408) ; une certification de sécurité de premier niveau (CSPN) ; une qualification (au niveau standard, renforcé ou élevé) ; Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 62 une qualification (au niveau standard, renforcé ou élevé) ; un agrément ou caution (jugeant de l’aptitude à assurer la protection d'informations classifiées de défense ou d'informations sensibles non classifiées de défense). Catalogues : Certificats : http://www.ssi.gouv.fr/fr/confiance/certificats.html CSPN : http://www.ssi.gouv.fr/fr/confiance/certif-cspn.html Qualifications : http://www.ssi.gouv.fr/fr/politique_produit/catalogue/index.html
  • 63. Les SMSI peuvent être certifiés La certification selon l’ISO/CEI 27001 atteste de la mise en place effective du système de management de la sécurité de l’information au sein d’un organisme, d’un site ou d’un processus (prise en compte de la SSI et amélioration continue) Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 63 Elle est attribuée par un tiers certificateur sur la base du rapport d’un auditeur (certifié ISO 27001 Lead Auditor) La certification de SMSI est en croissance (1000 certificats en 2004, 2000 certificats en 2006), mais elle n’est beaucoup utilisée que dans certains pays (notamment au Japon, mais également au Royaume-Uni, en Inde…)
  • 64. Que signifie une certification ISO/CEI 27001 ? La certification ISO/CEI 27001 porte sur un ISMS, qui peut correspondre à : un organisme entier, une sous-partie de l’organisme (un service, un ou plusieurs processus…). Elle assure, par une démonstration indépendante, que le SMSI est : conforme aux exigences spécifiées, capable de réaliser de manière fiable la politique et les objectifs qu'il a déclarés, mis en œuvre de manière efficace. Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 64 mis en œuvre de manière efficace. Elle peut être préparée (mise en œuvre du SMSI) en interne ou avec l’aide de prestataires (ex. : ISO/CEI 27001 Lead Implementor). Un audit est réalisé (selon l’ISO/CEI 19011) par un auditeur certifié (ISO/CEI 27001 Lead Auditor). Un organisme de certification, accrédité par une autorité d’accréditation (selon l’ISO/CEI 17021 et l’ISO/CEI 27006), évalue les résultats d’audit pour délivrer un certificat reconnu dans les pays liés à l’IAF (International Accreditation Forum). Des audits de surveillance ou de contrôle ont lieu au maximum une fois par an. Un audit de renouvellement de certification a lieu tous les trois ans.
  • 65. Motivations des organismes pour la certification d’un système de management Améliorer l’efficacité globale de l’entreprise Améliorer l’image de l’entreprise Répondre à une obligation client Prévenir ou remédier à certains dysfonctionnements Aller eu devant des exigences réglementaires Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 65 Aller eu devant des exigences réglementaires Se différencier des concurrents Répondre à une volonté du groupe Faire un bilan de ce qui se faisait dans l’entreprise Acquérir des méthodes de travail qui n’existaient pas Parer aux contestations sociales et économiques [Rapport d’étude AFAQ / AFNOR de mai 2005 sur les certifications qualité, sécurité des personnes et environnement]
  • 66. Les systèmes peuvent être homologués L’homologation de sécurité d’un SI est la déclaration par l’autorité d’homologation, conformément à une note d'orientations SSI et au vu du dossier de sécurité, que le SI considéré est apte à traiter des informations au niveau de besoins de sécurité exprimé conformément aux objectifs de sécurité, et que les risques de sécurité résiduels sont acceptés Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 66 sécurité, et que les risques de sécurité résiduels sont acceptés et maîtrisés Cette décision se fait dans le cadre de la commission d'homologation Elle peut être provisoire, définitive ou bien un refus L’homologation de sécurité reste valide tant que le SI opère dans les conditions approuvées par l’autorité d’homologation. Elle traduit donc l’acceptation par l’autorité d’homologation d’un niveau de risque résiduel qualifié et quantifié en termes de confidentialité, d’intégrité, de disponibilité…
  • 67. Les personnes peuvent être certifiées Exemples de certifications orientées « management / conseil / audit » CISM (Certified Information Security Manager, ISACA / AFAI) CISA (Certified Information System Auditor , ISACA / AFAI) CISSP (Certified Information System Security Professional, ISC2) ISO/CEI 27001 Lead Auditor (BSI anglais, LSTI…) ProCSSI (Professionnel Certifié de la Sécurité des Systèmes d’Information, INSECA) EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité, en cours) Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 67 EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité, en cours) … Exemples de certifications orientées « technique » CEH (Certified Ethical Hacker , EC-Council) CHFI (Computer Hacking Forensics Investigator, EC-Council) SCNP (Security Certified Network Professional, Ascendant Learning) SCNA (Security Certified Network Architect, Ascendant Learning) OPSA (OSSTMM Professional Security Analyst, ISECOM) OPST (OSSTMM Professional Security Tester, ISECOM) OPSE (OSSTMM Professional Security Expert, ISECOM) Certifications GIAC (Global Information Assurance Certifications, SANS) …
  • 68. Conclusion Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 68
  • 69. CONCLUSION Les grands principes peuvent se résumer ainsi : Adopter une démarche globale Viser une amélioration continue Adapter la SSI selon les enjeux Formaliser une politique SSI Fonder la SSI sur la gestion des risques Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 69 Fonder la SSI sur la gestion des risques Intégrer la SSI dans le cycle de vie des systèmes Utiliser des labels SSI Mener une homologation systématique L’outillage pour mettre en œuvre ces principes est disponible sur le site de la DCSSI (http://www.ssi.gouv.fr) dans la partie méthodologie