SlideShare une entreprise Scribd logo
CELLIER PHILIPPE
Promotion ESD6 2016-2017
Présentation
Sommaire
 Qu’est-ce que l’ISO ?
 Qu’est-ce qu’une norme ?
 Délégations
 Ne pas confondre avec réglementation
Présentation
Acronyme de Organisation Internationale de Normalisation
 Organisation internationale non gouvernementale, indépendante, dont le siège se situe à
Genève en Suisse. Créée en 1947.
 Disponible dans 161 pays membres, chacun comportant un organisme national de
normalisation.
 Elle produit des normes internationales dans les domaines industriels et commerciaux.
L'ISO a publié plus de 22064 normes.
Qu’est-ce que l’ISO ?
Présentation
 Document qui fournit des exigences, des spécifications, des directives ou caractéristiques.
 Les normes garantissent que les produits et services sont sûrs, fiables et de bonne qualité. Elles
sont des outils stratégiques qui diminuent les coûts en réduisant les déchets et erreurs.
Qu’est-ce qu’une norme ?
 La réglementation relève des pouvoirs publics. Elle est l’expression d’une loi, d’un règlement et
son application est imposée. GDPR / RGPD
 Les normes revêtent un caractère volontaire. S’y conformer n’est pas une obligation. Elles
traduisent l’engagement des entreprises à satisfaire un niveau de qualité et sécurité reconnu et
approuvé.
Ne pas confondre avec réglementation
Présentation
Délégations
Découverte de la norme
Sommaire
 Informations
 Objectifs de la norme
 Qu’est-ce qu’un SMSI ?
 Vue d’ensemble des normes ISO 27000
 Qui se conforme ?
 Pourquoi se conformer / Certifier ?
 Une fois certifié
 Cas de demande de conformité
Découverte de la norme
Technologies de l'information -- Techniques de sécurité -- Systèmes de
management de la sécurité de l'information – Exigences
 Norme internationale qui succède à la norme BS 7799-2 de BSI (British Standards Institution)
 Publiée en 2005 et révisée en 2013.
 Fait partie de la suite ISO 27000 - Systèmes de gestion de sécurité de l'information.
 Permet de certifier des organisations.
Informations
Découverte de la norme
Elle définit les exigences de conformité pour la mise en place, la mise en œuvre, le
maintien, l’amélioration continue d’un Système de Management de la Sécurité de
l‘Information (SMSI).
Objectifs de la norme
Le SMSI est conçu pour aider à gérer les risques liés à l’IT et à protéger la confidentialité, l’intégrité
et la disponibilité de l’information.
Qu’est-ce qu’un SMSI ?
Découverte de la norme
Vue d’ensemble des normes ISO 27000
ISO 27001
SMSI
ISO 27006
Audit de SMSI
ISO 27000
Vocabulaire
ISO 27002
Mesures
ISO 27005
Analyse de risques
ISO 27004
Métrique
Exigences
Guides Secteurs ISO 270034
Sécurité des
applications
Découverte de la norme
Qui se conformer ?
 Toutes les organisations de tout secteurs et de toutes tailles qui tiennent à la confidentialité de
leurs informations.
 Il n’est pas obligatoire de certifier une entité complète (Site, Direction, Etc …)
 Mais les activités périmétriques en bénéficieront.
 Une personne qui est certifiée :
 ISO 27001 Lead Auditor : certifie que les professionnels possèdent les connaissances et les
compétences pour auditer la conformité d’un SMSI.
 ISO 27001 Lead Implementer : garantis que les candidats possèdent les connaissances et les
compétences nécessaires pour mettre en œuvre un SMSI.
Découverte de la norme
Pourquoi se conformer / certifier
 On se conforme volontairement à la norme.
 Démontre une assurance aux partenaires, clients, fournisseurs = on s’engage à maintenir
un niveau de sécurité de l’information.
 Se démarquer de la concurrence.
 Que l’on maîtrise son SI.
 Renouvellement tous les 3 ans.
 Avec un audit de renouvellement.
Une fois certifié
Découverte de la norme
Cas de demande de conformité
 L’entreprise intègre un groupe déjà conforme.
 L’entreprise fait partie d’un groupe qui se met en conformité.
 L’entreprise fait partie d’un groupe étranger lui imposant la mise en conformité.
 Demande imposée par un fournisseur/partenaire pour conserver un marché.
 L’entreprise doit se mettre en conformité avec la norme pour pouvoir répondre à certains
appels d’offres.
 Demande la direction interne.
Structure de la norme
Sommaire
 Informations
 Objectifs principaux
 Phases d'établissements
 Processus de certification
Structure de la norme
 Composé de 10 chapitres et une annexe.
 Annexe : Composée de 114 mesures réparties en 14 sections.
 ISO 27002 : Qui permet de donner les bonnes pratiques pour l’implémentation du SMSI.
 Il n'est pas admis qu'une organisation s'affranchisse de l'une des exigences spécifiées aux
chapitres 4 à 10 lorsqu'elle revendique la conformité.
Informations
Structure de la norme
 Politique de sécurité
 Organisation de la sécurité de l’information
 Gestion des biens
 Sécurité liée aux ressources humaines
 Sécurité physique et environnementale
 Gestion des communications et de l'exploitation
 Contrôles d’accès
 Acquisition, développement et maintenance des systèmes d'information
 Gestion des incidents liés à la sécurité de l'information
 Gestion de la continuité d’activité
 Conformité légale et réglementaire
Objectifs principaux
Structure de la norme
Phases d'établissements
• Revue périodique
• Audit interne
• Test d’intrusions
• Maintenance et
amélioration
• Incidents / Problèmes
• Sensibilisation
• Projets de sécurité
• Analyse
• Objectifs
• Politique de Sécurité
• Définie le traitement
des risques
PLAN DO
CHECKACT
Structure de la norme
• Analyse
• Objectifs
• Politique de Sécurité
• Définie le traitement
des risques
PLAN
Cette phase consiste à fixer les objectifs avec 4 grandes étapes :
1. La politique et le périmètre du SMSI.
2. L’appréciation des risques.
3. Le traitement des risques (en tenant compte des risques résiduels).
4. La sélection des mesures de sécurité présentes dans Annexe A.
Structure de la norme
• Incidents / Problèmes
• Sensibilisation
• Projets de sécurité
DO
Cette phase consiste à décrire la mise en œuvre des mesures à travers quatre étapes :
1. Un plan de traitement des risques.
2. Déploiement des mesures de sécurité.
3. Formation et sensibilisation des collaborateurs.
4. Choix des indicateurs :
 Performance : Vérification de l’efficacité des mesures.
 Conformité : Pour contrôler la conformité du SMSI.
Structure de la norme
• Revue périodique
• Audit interne
• Test d’intrusions
CHECK
Cette phase concerne les moyens de contrôle pour assurer l’efficacité du SMSI et sa conformité :
1. Des contrôles internes.
2. Des audits internes.
3. Les revues : qui garantissent périodiquement l’adéquation du SMSI avec son environnement.
Structure de la norme
• Maintenance et
amélioration
ACT
Mise en place d’actions correctives, préventives ou d’amélioration pour les incidents et écarts
constatés lors de la phase Check
1. Actions correctives
2. Actions préventives
3. Actions d’amélioration
Structure de la norme
Processus de certification
 Audit porte sur l’ensemble du SMSI.
 La durée est déterminée dans l’annexe C de la norme ISO/CEI 27006.
 L’auditeur ne donne pas la certification, il donne juste un avis qui sera étudié par un comité de
validation technique, puis par un comité de certification.
 Après cela que la certification est délivrée pour une durée de trois ans.
 Dans le cas contraire, un audit complémentaire.
 L’organisme devra, durant ce délai, corriger les problèmes décelés lors de l’audit initial pour
obtenir le certificat.
Conclusion
Conclusion
Vous avez toutes les informations en mains pour pouvoir :
 Aider à mettre en place un SMSI.
 Aider une organisation à se préparer ainsi qu’à se certifier.
 Vous ou votre organisation.
Questions ?

Contenu connexe

Tendances

BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis Remli
Shellmates
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
Franck Franchin
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
Mohamed Ali Hadhri
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
lancedafric.org
 
Normes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptxNormes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptx
AmorFranois
 
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage :  Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...Mémoire de stage :  Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Ammar Sassi
 
Processus Audit SI
Processus Audit SIProcessus Audit SI
Processus Audit SI
Arsène Ngato
 
Iso QSE 2016
Iso QSE 2016Iso QSE 2016
Iso QSE 2016
Yassine Gharbi
 
Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1
PRONETIS
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
EyesOpen Association
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001
Intellectus services and consulting
 
Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'information
Aymen Foudhaili
 
Sécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'InformationSécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'Information
Shema Labidi
 
Présentation audits de sécurité
Présentation   audits de sécuritéPrésentation   audits de sécurité
Présentation audits de sécurité
Harvey Francois
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatique
etienne
 
Les guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACALes guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACA
Yann Riviere CCSK, CISSP, CRISC, CISM
 
Cobit5 - Outil de la performance
Cobit5   - Outil de la performanceCobit5   - Outil de la performance
Cobit5 - Outil de la performance
Antoine Vigneron
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
PECB
 
ANALYSE DE RISQUES
ANALYSE DE RISQUESANALYSE DE RISQUES
ANALYSE DE RISQUES
ndelannoy
 
Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1
saqrjareh
 

Tendances (20)

BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis Remli
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
 
Normes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptxNormes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptx
 
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage :  Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...Mémoire de stage :  Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
 
Processus Audit SI
Processus Audit SIProcessus Audit SI
Processus Audit SI
 
Iso QSE 2016
Iso QSE 2016Iso QSE 2016
Iso QSE 2016
 
Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001
 
Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'information
 
Sécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'InformationSécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'Information
 
Présentation audits de sécurité
Présentation   audits de sécuritéPrésentation   audits de sécurité
Présentation audits de sécurité
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatique
 
Les guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACALes guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACA
 
Cobit5 - Outil de la performance
Cobit5   - Outil de la performanceCobit5   - Outil de la performance
Cobit5 - Outil de la performance
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
 
ANALYSE DE RISQUES
ANALYSE DE RISQUESANALYSE DE RISQUES
ANALYSE DE RISQUES
 
Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1
 

Similaire à ISO 27001

Topo-Audit.pdf cas de l'entreprise Renault
Topo-Audit.pdf cas de l'entreprise RenaultTopo-Audit.pdf cas de l'entreprise Renault
Topo-Audit.pdf cas de l'entreprise Renault
WaelAmranu
 
Topo-Audit.pdf audit stratégique définitions
Topo-Audit.pdf  audit stratégique définitionsTopo-Audit.pdf  audit stratégique définitions
Topo-Audit.pdf audit stratégique définitions
WaelAmranu
 
Topo-Audit.pdf Audit stratégique definition
Topo-Audit.pdf  Audit stratégique definitionTopo-Audit.pdf  Audit stratégique definition
Topo-Audit.pdf Audit stratégique definition
WaelAmranu
 
Guide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptxGuide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptx
Tech4nulls
 
Cinq raisons de certifier son organisation ISO 27001
Cinq raisons de certifier son organisation ISO 27001Cinq raisons de certifier son organisation ISO 27001
Cinq raisons de certifier son organisation ISO 27001
Mielabelo
 
Is27001 li formation-iso-iec-27001-lead-implementer
Is27001 li formation-iso-iec-27001-lead-implementerIs27001 li formation-iso-iec-27001-lead-implementer
Is27001 li formation-iso-iec-27001-lead-implementer
CERTyou Formation
 
Chap2 gouvernance des SI.pptx
Chap2 gouvernance des SI.pptxChap2 gouvernance des SI.pptx
Chap2 gouvernance des SI.pptx
InformatiqueL22022
 
Is27001 la formation-iso-iec-27001-lead-auditor
Is27001 la formation-iso-iec-27001-lead-auditorIs27001 la formation-iso-iec-27001-lead-auditor
Is27001 la formation-iso-iec-27001-lead-auditor
CERTyou Formation
 
Cours Préparation à l’ISO 27001 version 2022.pdf
Cours Préparation à l’ISO 27001 version 2022.pdfCours Préparation à l’ISO 27001 version 2022.pdf
Cours Préparation à l’ISO 27001 version 2022.pdf
ssuserc72852
 
Les certifications QHSE
Les certifications QHSELes certifications QHSE
Les certifications QHSE
Needeo
 
Risk Based thinking - une nouvelle démarche pour un système de management de ...
Risk Based thinking - une nouvelle démarche pour un système de management de ...Risk Based thinking - une nouvelle démarche pour un système de management de ...
Risk Based thinking - une nouvelle démarche pour un système de management de ...
PECB
 
Certification qualité
Certification qualitéCertification qualité
Certification qualité
fattahrma
 
Cobitf formation-cobit-foundation-et-la-gouvernance-des-si
Cobitf formation-cobit-foundation-et-la-gouvernance-des-siCobitf formation-cobit-foundation-et-la-gouvernance-des-si
Cobitf formation-cobit-foundation-et-la-gouvernance-des-si
CERTyou Formation
 
Cobf formation-cobit-foundation-et-la-gouvernance-des-si
Cobf formation-cobit-foundation-et-la-gouvernance-des-siCobf formation-cobit-foundation-et-la-gouvernance-des-si
Cobf formation-cobit-foundation-et-la-gouvernance-des-si
CERTyou Formation
 
Etude comparative iso 9001 vs iso 27001.ppt
Etude comparative  iso 9001 vs iso 27001.pptEtude comparative  iso 9001 vs iso 27001.ppt
Etude comparative iso 9001 vs iso 27001.ppt
Khouloud Errachedi
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
Jean-Michel Razafindrabe
 
PECB Webinaire: Enjeux et intérêts d’implantation d’un SME dans une entreprise
PECB Webinaire: Enjeux et intérêts d’implantation d’un SME dans une entreprisePECB Webinaire: Enjeux et intérêts d’implantation d’un SME dans une entreprise
PECB Webinaire: Enjeux et intérêts d’implantation d’un SME dans une entreprise
PECB
 
Présentation résistante directeurs experts 20140527
Présentation résistante   directeurs experts 20140527Présentation résistante   directeurs experts 20140527
Présentation résistante directeurs experts 20140527
Résistante Risk Solutions
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
Sébastien GIORIA
 

Similaire à ISO 27001 (20)

Topo-Audit.pdf cas de l'entreprise Renault
Topo-Audit.pdf cas de l'entreprise RenaultTopo-Audit.pdf cas de l'entreprise Renault
Topo-Audit.pdf cas de l'entreprise Renault
 
Topo-Audit.pdf audit stratégique définitions
Topo-Audit.pdf  audit stratégique définitionsTopo-Audit.pdf  audit stratégique définitions
Topo-Audit.pdf audit stratégique définitions
 
Topo-Audit.pdf Audit stratégique definition
Topo-Audit.pdf  Audit stratégique definitionTopo-Audit.pdf  Audit stratégique definition
Topo-Audit.pdf Audit stratégique definition
 
Guide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptxGuide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptx
 
Cinq raisons de certifier son organisation ISO 27001
Cinq raisons de certifier son organisation ISO 27001Cinq raisons de certifier son organisation ISO 27001
Cinq raisons de certifier son organisation ISO 27001
 
Is27001 li formation-iso-iec-27001-lead-implementer
Is27001 li formation-iso-iec-27001-lead-implementerIs27001 li formation-iso-iec-27001-lead-implementer
Is27001 li formation-iso-iec-27001-lead-implementer
 
Chap2 gouvernance des SI.pptx
Chap2 gouvernance des SI.pptxChap2 gouvernance des SI.pptx
Chap2 gouvernance des SI.pptx
 
Is27001 la formation-iso-iec-27001-lead-auditor
Is27001 la formation-iso-iec-27001-lead-auditorIs27001 la formation-iso-iec-27001-lead-auditor
Is27001 la formation-iso-iec-27001-lead-auditor
 
Cours Préparation à l’ISO 27001 version 2022.pdf
Cours Préparation à l’ISO 27001 version 2022.pdfCours Préparation à l’ISO 27001 version 2022.pdf
Cours Préparation à l’ISO 27001 version 2022.pdf
 
Les certifications QHSE
Les certifications QHSELes certifications QHSE
Les certifications QHSE
 
Risk Based thinking - une nouvelle démarche pour un système de management de ...
Risk Based thinking - une nouvelle démarche pour un système de management de ...Risk Based thinking - une nouvelle démarche pour un système de management de ...
Risk Based thinking - une nouvelle démarche pour un système de management de ...
 
Certification qualité
Certification qualitéCertification qualité
Certification qualité
 
Cobitf formation-cobit-foundation-et-la-gouvernance-des-si
Cobitf formation-cobit-foundation-et-la-gouvernance-des-siCobitf formation-cobit-foundation-et-la-gouvernance-des-si
Cobitf formation-cobit-foundation-et-la-gouvernance-des-si
 
Cobf formation-cobit-foundation-et-la-gouvernance-des-si
Cobf formation-cobit-foundation-et-la-gouvernance-des-siCobf formation-cobit-foundation-et-la-gouvernance-des-si
Cobf formation-cobit-foundation-et-la-gouvernance-des-si
 
36 sms-et-mase1
36 sms-et-mase136 sms-et-mase1
36 sms-et-mase1
 
Etude comparative iso 9001 vs iso 27001.ppt
Etude comparative  iso 9001 vs iso 27001.pptEtude comparative  iso 9001 vs iso 27001.ppt
Etude comparative iso 9001 vs iso 27001.ppt
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
 
PECB Webinaire: Enjeux et intérêts d’implantation d’un SME dans une entreprise
PECB Webinaire: Enjeux et intérêts d’implantation d’un SME dans une entreprisePECB Webinaire: Enjeux et intérêts d’implantation d’un SME dans une entreprise
PECB Webinaire: Enjeux et intérêts d’implantation d’un SME dans une entreprise
 
Présentation résistante directeurs experts 20140527
Présentation résistante   directeurs experts 20140527Présentation résistante   directeurs experts 20140527
Présentation résistante directeurs experts 20140527
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
 

ISO 27001

  • 3. Sommaire  Qu’est-ce que l’ISO ?  Qu’est-ce qu’une norme ?  Délégations  Ne pas confondre avec réglementation
  • 4. Présentation Acronyme de Organisation Internationale de Normalisation  Organisation internationale non gouvernementale, indépendante, dont le siège se situe à Genève en Suisse. Créée en 1947.  Disponible dans 161 pays membres, chacun comportant un organisme national de normalisation.  Elle produit des normes internationales dans les domaines industriels et commerciaux. L'ISO a publié plus de 22064 normes. Qu’est-ce que l’ISO ?
  • 5. Présentation  Document qui fournit des exigences, des spécifications, des directives ou caractéristiques.  Les normes garantissent que les produits et services sont sûrs, fiables et de bonne qualité. Elles sont des outils stratégiques qui diminuent les coûts en réduisant les déchets et erreurs. Qu’est-ce qu’une norme ?  La réglementation relève des pouvoirs publics. Elle est l’expression d’une loi, d’un règlement et son application est imposée. GDPR / RGPD  Les normes revêtent un caractère volontaire. S’y conformer n’est pas une obligation. Elles traduisent l’engagement des entreprises à satisfaire un niveau de qualité et sécurité reconnu et approuvé. Ne pas confondre avec réglementation
  • 8. Sommaire  Informations  Objectifs de la norme  Qu’est-ce qu’un SMSI ?  Vue d’ensemble des normes ISO 27000  Qui se conforme ?  Pourquoi se conformer / Certifier ?  Une fois certifié  Cas de demande de conformité
  • 9. Découverte de la norme Technologies de l'information -- Techniques de sécurité -- Systèmes de management de la sécurité de l'information – Exigences  Norme internationale qui succède à la norme BS 7799-2 de BSI (British Standards Institution)  Publiée en 2005 et révisée en 2013.  Fait partie de la suite ISO 27000 - Systèmes de gestion de sécurité de l'information.  Permet de certifier des organisations. Informations
  • 10. Découverte de la norme Elle définit les exigences de conformité pour la mise en place, la mise en œuvre, le maintien, l’amélioration continue d’un Système de Management de la Sécurité de l‘Information (SMSI). Objectifs de la norme Le SMSI est conçu pour aider à gérer les risques liés à l’IT et à protéger la confidentialité, l’intégrité et la disponibilité de l’information. Qu’est-ce qu’un SMSI ?
  • 11. Découverte de la norme Vue d’ensemble des normes ISO 27000 ISO 27001 SMSI ISO 27006 Audit de SMSI ISO 27000 Vocabulaire ISO 27002 Mesures ISO 27005 Analyse de risques ISO 27004 Métrique Exigences Guides Secteurs ISO 270034 Sécurité des applications
  • 12. Découverte de la norme Qui se conformer ?  Toutes les organisations de tout secteurs et de toutes tailles qui tiennent à la confidentialité de leurs informations.  Il n’est pas obligatoire de certifier une entité complète (Site, Direction, Etc …)  Mais les activités périmétriques en bénéficieront.  Une personne qui est certifiée :  ISO 27001 Lead Auditor : certifie que les professionnels possèdent les connaissances et les compétences pour auditer la conformité d’un SMSI.  ISO 27001 Lead Implementer : garantis que les candidats possèdent les connaissances et les compétences nécessaires pour mettre en œuvre un SMSI.
  • 13. Découverte de la norme Pourquoi se conformer / certifier  On se conforme volontairement à la norme.  Démontre une assurance aux partenaires, clients, fournisseurs = on s’engage à maintenir un niveau de sécurité de l’information.  Se démarquer de la concurrence.  Que l’on maîtrise son SI.  Renouvellement tous les 3 ans.  Avec un audit de renouvellement. Une fois certifié
  • 14. Découverte de la norme Cas de demande de conformité  L’entreprise intègre un groupe déjà conforme.  L’entreprise fait partie d’un groupe qui se met en conformité.  L’entreprise fait partie d’un groupe étranger lui imposant la mise en conformité.  Demande imposée par un fournisseur/partenaire pour conserver un marché.  L’entreprise doit se mettre en conformité avec la norme pour pouvoir répondre à certains appels d’offres.  Demande la direction interne.
  • 16. Sommaire  Informations  Objectifs principaux  Phases d'établissements  Processus de certification
  • 17. Structure de la norme  Composé de 10 chapitres et une annexe.  Annexe : Composée de 114 mesures réparties en 14 sections.  ISO 27002 : Qui permet de donner les bonnes pratiques pour l’implémentation du SMSI.  Il n'est pas admis qu'une organisation s'affranchisse de l'une des exigences spécifiées aux chapitres 4 à 10 lorsqu'elle revendique la conformité. Informations
  • 18. Structure de la norme  Politique de sécurité  Organisation de la sécurité de l’information  Gestion des biens  Sécurité liée aux ressources humaines  Sécurité physique et environnementale  Gestion des communications et de l'exploitation  Contrôles d’accès  Acquisition, développement et maintenance des systèmes d'information  Gestion des incidents liés à la sécurité de l'information  Gestion de la continuité d’activité  Conformité légale et réglementaire Objectifs principaux
  • 19. Structure de la norme Phases d'établissements • Revue périodique • Audit interne • Test d’intrusions • Maintenance et amélioration • Incidents / Problèmes • Sensibilisation • Projets de sécurité • Analyse • Objectifs • Politique de Sécurité • Définie le traitement des risques PLAN DO CHECKACT
  • 20. Structure de la norme • Analyse • Objectifs • Politique de Sécurité • Définie le traitement des risques PLAN Cette phase consiste à fixer les objectifs avec 4 grandes étapes : 1. La politique et le périmètre du SMSI. 2. L’appréciation des risques. 3. Le traitement des risques (en tenant compte des risques résiduels). 4. La sélection des mesures de sécurité présentes dans Annexe A.
  • 21. Structure de la norme • Incidents / Problèmes • Sensibilisation • Projets de sécurité DO Cette phase consiste à décrire la mise en œuvre des mesures à travers quatre étapes : 1. Un plan de traitement des risques. 2. Déploiement des mesures de sécurité. 3. Formation et sensibilisation des collaborateurs. 4. Choix des indicateurs :  Performance : Vérification de l’efficacité des mesures.  Conformité : Pour contrôler la conformité du SMSI.
  • 22. Structure de la norme • Revue périodique • Audit interne • Test d’intrusions CHECK Cette phase concerne les moyens de contrôle pour assurer l’efficacité du SMSI et sa conformité : 1. Des contrôles internes. 2. Des audits internes. 3. Les revues : qui garantissent périodiquement l’adéquation du SMSI avec son environnement.
  • 23. Structure de la norme • Maintenance et amélioration ACT Mise en place d’actions correctives, préventives ou d’amélioration pour les incidents et écarts constatés lors de la phase Check 1. Actions correctives 2. Actions préventives 3. Actions d’amélioration
  • 24. Structure de la norme Processus de certification  Audit porte sur l’ensemble du SMSI.  La durée est déterminée dans l’annexe C de la norme ISO/CEI 27006.  L’auditeur ne donne pas la certification, il donne juste un avis qui sera étudié par un comité de validation technique, puis par un comité de certification.  Après cela que la certification est délivrée pour une durée de trois ans.  Dans le cas contraire, un audit complémentaire.  L’organisme devra, durant ce délai, corriger les problèmes décelés lors de l’audit initial pour obtenir le certificat.
  • 26. Conclusion Vous avez toutes les informations en mains pour pouvoir :  Aider à mettre en place un SMSI.  Aider une organisation à se préparer ainsi qu’à se certifier.  Vous ou votre organisation.