SlideShare une entreprise Scribd logo

Presentation iso27002

S
soumaila Doumbia

Présentatio sur ISO27002

Direction et management
1  sur  23
Télécharger pour lire hors ligne
18 septembre 2013 SO/IEC 27002 : Comparatif entre la version 2013 et la version 2005
PLAN A- Introduction B- Qu’est-ce qui a changé ? C- La norme 2013 permet-elle de traiter les limites de la norme actuelle ? D- Quels impacts sur la gouvernance Sécurité ? E- Conclusion
La norme ISO/IEC 27002, c’est un :  Code de bonne pratique pour le management de la sécurité de l’information,  Document consultatif générique et non pas une spécification formelle comme la norme ISO/IEC 27001.  Elle recommande des mesures de sécurité de l’information portant sur des objectifs de contrôle de sécurité de l’information A- Introduction
Sécurité de la documentation système Il convient de protéger la documentation système contre les accès non autorisés. Fuite d’informations Toute possibilité de fuite d’informations doit être empêchée. Système d’autorisation concernant les moyens de traitement de l’information Il convient de définir et de mettre en œuvre un système de gestion des autorisations pour chaque nouveau moyen de traitement de l’information Mesures contre le code mobile Lorsque l’utilisation de code mobile est autorisée, la configuration doit garantir que le code mobile fonctionne selon une politique de sécurité clairement définie et tout code mobile non autorisé doit être bloqué. B-Changement : Disparition des mesures non utilisées
 11 chapitres  39 objectifs  133 mesures  14 chapitres  35 objectifs  113 mesures 27002:2005 27002:2013 B-Changement : Contenu ISO/IEC 2005 vs 2013
5. Security policy 6. Organization of information security 7. Asset management 8. Human resources security 9. Physical and environmental security 10. Communications and operations management 11. Access control 12. Information systems acquisition, development and maintenance 13. Information security incident management 14. Business continuitymanagement 15. Compliance 5. Information security policies 6. Organization of information security 7. Human resources security 8. Asset management 9. Access control 10. Cryptography 11. Physical and environmental security 12. Operations security 13. Communications security 14. System acquisition, development andmaintenance 15. Supplier relationships 16. Information security incident management 17. Information security aspects of businesscontinuity management 18. Compliance Plus de cohérence sur les sujets traités au sein des chapitres Une meilleure adéquation entre les chapitres et les acteurs de la DSI 27002:2005 27002:2013 B-Changement : Au niveau de la structure des chapitres [1/2]
Les nouveaux chapitres sont principalement constitués de mesures issues d’autres chapitres System acquisition, development and maintenance Cryptography Le chapitre Communications and Operations Management est coupé en 3 chapitres, clarifiant les périmètres de responsabilités d’acteurs bien distincts Operations security Communications security Supplier relationships Le chapitre Information system acquisition, development and maintenance est scindé en 2 pour mieux mettre en évidence la sujet de la cryptographie B-Changement : Au niveau de la structure des chapitres [2/2]
Objective: To maximize the effectiveness of and to minimize interference to/from the information systems audit process. There should be controls to safeguard operational systems and audit tools during information systems audits. Protection is also required to safeguard the integrity and prevent misuse of audit tools. Objective: To minimise the impact of audit activities on operational systems. 27002:2005 27002:2013 Objective: To achieve and maintain appropriate protection of organizational assets. All assets should be accounted for and have a nominated owner. Owners should be identified for all assets and the responsibility for the maintenance of appropriate controls should be assigned. The implementation of specific controls may be delegated by the owner as appropriate but the owner remains responsible for the proper protection of the assets.. Objective: To identify organizational assets and define appropriate protection responsibilities. Responsibility for assets Information systems audit considerations B-Changement : Au niveau des objectifs de sécurité [1/2] Les objectifs sont formulés de manière plus synthétique, ce qui offre une plus grande souplesse dans l’implémentation
Globalement, les modifications sont plutôt mineures mais de nombreuses mesures ont été déplacées There should be mechanisms in place to enable the types, volumes, and costs of information security incidents to be quantified and monitored. Knowledge gained from analysing and resolving information security incidents should be used to reduce the likelihood or impact of future incidents. 6 nouvelles mesures 26 mesures supprimées 29 mesures modifiées 27002:2005 27002:2013 Learning from information security incidents  Réduction des contraintes liées à la mesure : les paramètres à analyser lors d’un incident de sécurité ne sont pas spécifiés Secure log-on procedures  Modification du périmètre de la mesure : la sécurisation des accès est cadrée par la politique de contrôle des accès Access to operating systems should be controlled by a secure log- on procedure. Where required by the access control policy, access to systems and applications should be controlled by a secure log-on procedure. Security requirements analysis and specification  Simplification de la formulation de la mesure Statements of business requirements for new information systems, or enhancements to existing information systems should specify the requirements for security controls. The information security related requirements should be included in the requirements for new information systems or enhancements to existing information systems. B-Changement : Au niveau des objectifs de sécurité [2/2] 27002:201327002:2005
Et sur le fond ? Les big bang [1/3]  suppression de l’objectif « correct processing in applications » (validation des données en entrée et en sortie, intégrité des messages, etc.)  Les mesures font un focus sur les applications sensibles: sur les réseaux publics et gérant des transactions  Les bonnes pratiques de sécurité applicative sont renforcées  Le sujet de la gestion des données de tests est abordé dans ce chapitre et non plus dans « operations et communication management » 14 System acquisition, development and maintenance La norme demande de prendre en compte la sécurité dans la gestion de projet, quels que soient les types de projets (chapitre organization of information security)  Les exigences sont plus générales et s’appliquent mieux à toute sorte de projet de développement Security related requirements included in the requirements for systems Secure system engineering principles System acceptance testing (code analysis tool,) vulnerability scanners Secure development policy System security testing during development Secure development environment Outsourced developement Sécurité applicative Objective: to ensure that information security is designed and implemented within the developement lifecycle of information systems B-Changement : Sur le fond [1/3]
Et sur le fond ? Les big bang [2/3]  La norme traite maintenant de la continuité de la sécurité de l’information et non de la continuité business !  Les mesures sont organisées selon une logique PDCA  Un objectif de sécurité complémentaire « redundancies » concerne la disponibilité des « information processing facilities »  Une unique mesure demande de mettre en place de la redondance des composants ou des architectures pour répondre aux exigences de disponibilité  Une note indique que les informations sur le business continuity management sont disponibles dans les normes ISO 22301, 27301, 22313 Implementing Verify, review and evaluate 17 Information security aspects ofbusiness continuity management Objective: Information security continuity should be embedded in the organization’s business continuity management systems Planning B-Changement : Sur le fond [2/3]
Et sur le fond ? Les big bang [3/3]  Suppression du contrôle d’accès réseau  Suppression du contrôle d’accès à l’OS  Suppression du télétravail  25  14 mesures  Le cycle de vie des habilitations est plus complet  La gestion du mot de passe est élargie à la gestion des « secret authentication »  Un focus spécifique est fait sur l’accès au code source 9 Access control  Le chapitre se concentre sur la gestion des accès des utilisateurs et sur l’accès aux applications et aux systèmes Review of user access rights User access provisioning Management of secret authentication information of users Removal or adjustment of access rights Objective: to ensure authorized user access and to prevent unauthorized access to systems and services User registration and de-registration B-Changement : Sur le fond [3/3]
 Suppression des éléments liés à la sécurité des « external parties »  Ces points sont partiellement repris dans le chapitre « supplier relationships »  Intégration d’un objectif relatif aux « mobile devices » et au télétravail Organization of information 6  Tous les sujets relatifs à la gestion des biens sont regroupés au sein de ce chapitre, ce qui inclut :  « Return of assets » issu du chapitre « human resource security »  « Media handling » issu du chapitre « operations and communication management » Asset management 8  Une phase de « assessment of and decision on information security events » pour décider si les évènements sont considérés comme des incidents de sécurité  Une phase de traitement « response to information security incidents »  La phase d’apprentissage suite à l’analyse des incidents est assouplie : il n’est plus nécessaire d’évaluer le type, le volume et les coûts des incidents Information securityincident management  Ajout de quelques précisions dans la gestion des incidents 16 B-Changement : Les nouveautés [1/2]
Et sur le fond ? Les petites nouveautés [2/2]  Ce chapitre concentre tous les mesures liées au réseau Il reprend :  Celles issues du chapitre « operation and communication management » : « network security management » et « exchange of information »  Celles issues du chapitre « access control » en ne conservant que la mesure « segregation of networks » Communications Security 13   Ce chapitre conserve les mesures propres à l’exploitation  Operational procedures and responsibilities  Protection from malware  Back up  Logging and monitoring  Il est complété par quelques mesures issues d’autres chapitres  Control of operational software  Technical vulnerability management  Information systems audit considerations Operations security 12  Ce chapitre concentre toutes les mesures liées à la gestion des fournisseurs, en remplaçant la notion de  « third party » par « supplier »  Une nouvelle mesure est ajoutée sur le report des exigences de sécurité sur la chaine de sous-traitance  La mesure sur « identification of risks related to external parties » a été supprimée Supplier relationships 15 B-Changement : Les nouveautés [2/2]
Et sur le fond ? Circulez, y a rien à voir ! [1/2]  Au lieu d’une politique de sécurité unique, la norme fait maintenant référence à un ensemble de politiques à plusieurs niveaux  Une « Information security policy » qui décrit les objectifs et les principes de sécurité  Des « topic-specific policies » Information securitypolicies 5  Les tiers ne font plus partie des cibles de ce chapitre  Les « contractors » sont toujours adressés  Les sujets « return of assets » et « removal of access rights » sont maintenant traités respectivement dans les chapitres « asset management » et « access control » Human resource security 7  Peu de modifications  Une précision est apportée sur la gestion des clés tout au long du cycle de vie (génération, stockage, archivage, etc.) Cryptography 10 B-Changement : Circule librement [1/2]
Et sur le fond ? Circulez, y a rien à voir ! [2/2] Physical and environmental security 11  Conservation de toutes les mesures, certaines sont légèrement reformulées  Ajout des 2 mesures sur « unattended user equipement » et « clear desk and clear screen policy » issues du chapitre « access control »  Conservation de toutes les mesures, sauf de l’objectif « information systems audits considerations », qui est repris dans le chapitre « operation security » Compliance 18 B- Changement : Circuler librement [2/2]
Pas de révolution, mais des évolutions qui vont dans le bon sens Plus de cohérence des sujets abordés au sein de chaque chapitre Plus de lisibilité pour les acteurs hors périmètre sécurité Des objectifs de sécurité plus clairs Suppression des mesures obsolètes et ajout de quelques nouvelles mesures C- Limites actuelles : En synthèse
Certaines mesures sont encore peuauditables  « system administrator and system operator activities should be logged and the logs protected and regularly reviewed »  3 points de contrôle en 1 Certaines mesures « de base » ne sont pas prises en compte  Durcissement des postes de travail / des terminaux  Durcissement des socles  Réseaux sans fil… Certaines mesures restent trop macroscopiques pour constituer des « bonnes » pratiques de sécurité  « networks should be managed and controlled to protect information in systems and applications »  « groups of information services, users and information systems should be segregated on networks »   se décline en nombreux sous-points C- Limites actuelles : Des points qui ne sont toujours pas traités [1/2]
Les nouvelles menaces (cybercriminalité) et les réponses associées ne sont pas développées explicitement Même si ces sujets peuvent être extrapolés dans certaines mesures, pas de mentions explicites de :  La surveillance / corrélation des évènements de sécurité (logique SOC)  La sécurisation de l’administration (seulement la gestion des comptes à privilège et les logs des actions des administrateurs)  La sécurisation des accès à l’entreprise, notamment depuis Internet  Les dispositifs de réaction en cas de cyber-attaques (logique CERT) Les (r)évolutions technologiques ne sont pas non plus explicitement prises en compte  La virtualisation n’est pas traitée explicitement  Même si on peut décliner les mesures existantes dans un contexte virtualisé  Ex: mesures sur le cloisonnement, mesures sur la résilience, etc.   il manque peut-être une mesure sur la définition des règles de sécurité dans un contexte virtualisé  Le cloud n’est pas traité explicitement  Même si le sujet peut être vu dans le chapitre « supplier relationships » C- Limites actuelles : Des points qui ne sont toujours pas traités [2/2]
Pour les projets de certification en cours, la nouvelle norme va faciliter l’appropriation par les acteurs de la DSI qui sont impliqués dans les projets Pour les certifications existantes, la migration vers ce nouveau référentiel devrait avoir un impact limité  Beaucoup de mesures restent identiques ou proches  La norme ISO 27001:2013 incite à compléter la DDA avec des mesures complémentaires, ce qui permet de conserver les « anciennes » mesures si nécessaire  Néanmoins, une mise à jour de la DDA sera nécessaire  Le plus gros des efforts devrait porter sur le volet « prise en compte de la sécurité dansles projets et les développements » … … et finalement, ça tombe bien puisque ça reste souvent le point noir des SMSI qui sont déjà matures D- Impacts: sur les projets de certification ISO 27001
Flexibilité dans la mise en œuvre  La nouvelle version de la norme ISO 27002 reste donc une liste de mesures de sécurité, ne détaillant pas l’ensemble des caractéristiques de mise en œuvre. Comme précédemment et c’est aussi cela qui a fait son succès ! Démarche pérenne  Sa stabilité dans le temps et son caractère « indépendant des technologies » en font un outil utile dans la durée D- Impacts: Une norme qui reste « l’esperanto » de la sécurité
www.solucom.fr Contact Claire CARRE Responsable de département Tel : +33 (0)1 49 03 26 85 Mobile : +33 (0)6 10 99 01 97 Mail : claire.carre@solucom.fr E- Conclusion o La norme ISO/IEC 27002 version 2013 permet aux organismes qui l’adoptent de :  évaluer leurs risques de sécurité,  clarifier leurs objectifs de contrôle et appliquer des mesures appropriées, o Elle apporte plusieurs changements par rapport à la norme ISO/IEC 27002 au niveau des structures des chapitres et la suppression de certains. o Les objectifs de contrôle de sécurité qui y figurent sont formulés de façon synthétique, offrant ainsi une plus grande souplesse dans l’implémentation.
 http://praxiom.com/iso-home.htm  ISO/IEC 27002 Foundation Complete Certification Kit - Study Guide Book and Online Course  https://www.ansi.tn/fr/documents/comparatif_ISO27002_2013-2005.pdf  http://www.ssi-conseil.com/ssi-conseil2/www.ssi conseil.com/content/view/117/107/index.html  https://fr.wikipedia.org/wiki/ISO/CEI_27002 Bibliographie

Recommandé

Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAbbes Rharrab
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesISACA Chapitre de Québec
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Bachir Benyammi
 
Présentation audits de sécurité
Présentation audits de sécuritéPrésentation audits de sécurité
Présentation audits de sécuritéHarvey Francois
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdfHajarSalimi
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'informationFranck Franchin
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk ManagerComsoce
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Bachir Benyammi
 

Recommandé

Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAbbes Rharrab
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesISACA Chapitre de Québec
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Bachir Benyammi
 
Présentation audits de sécurité
Présentation audits de sécuritéPrésentation audits de sécurité
Présentation audits de sécuritéHarvey Francois
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdfHajarSalimi
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'informationFranck Franchin
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk ManagerComsoce
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Bachir Benyammi
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SIDIALLO Boubacar
 
ISO 27001 Certification - The Benefits and Challenges
ISO 27001 Certification - The Benefits and ChallengesISO 27001 Certification - The Benefits and Challenges
ISO 27001 Certification - The Benefits and ChallengesCertification Europe
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Emna Tfifha
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerThierry Pertus
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIAlghajati
 
ISO 27001
ISO 27001ISO 27001
ISO 27001Philippe CELLIER
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Intellectus services and consulting
 
Processus Audit SI
Processus Audit SIProcessus Audit SI
Processus Audit SIArsène Ngato
 
Audit of IT Governance (Reference documents to be audited)
Audit of IT Governance (Reference documents to be audited)Audit of IT Governance (Reference documents to be audited)
Audit of IT Governance (Reference documents to be audited)Ammar Sassi
 
Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information ISACA Chapitre de Québec
 
Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1saqrjareh
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxJean-Michel Razafindrabe
 
La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) BRIVA
 
Normes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptxNormes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptxAmorFranois
 
Ssi
SsiSsi
SsiHanae Guenouni
 
Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationAymen Foudhaili
 
Iso27001
Iso27001 Iso27001
Iso27001 Arsene Allogo
 
Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)Ammar Sassi
 
Iso 27001 awareness
Iso 27001 awarenessIso 27001 awareness
Iso 27001 awarenessÃsħâr Ãâlâm
 
BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliShellmates
 
Les Outils de la CSA (Cloud Security Alliance)
Les Outils de la CSA (Cloud Security Alliance)Les Outils de la CSA (Cloud Security Alliance)
Les Outils de la CSA (Cloud Security Alliance)Yann Riviere CCSK, CISSP, CRISC, CISM
 
Sécurité & Continuité
Sécurité & ContinuitéSécurité & Continuité
Sécurité & ContinuitéBertrand Milot, CRMP, CRISC, CISM, PCSM, C|Ciso
 

Contenu connexe

Tendances

Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SIDIALLO Boubacar
 
ISO 27001 Certification - The Benefits and Challenges
ISO 27001 Certification - The Benefits and ChallengesISO 27001 Certification - The Benefits and Challenges
ISO 27001 Certification - The Benefits and ChallengesCertification Europe
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Emna Tfifha
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerThierry Pertus
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIAlghajati
 
Audit of IT Governance (Reference documents to be audited)
Audit of IT Governance (Reference documents to be audited)Audit of IT Governance (Reference documents to be audited)
Audit of IT Governance (Reference documents to be audited)Ammar Sassi
 
Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information ISACA Chapitre de Québec
 
Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1saqrjareh
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxJean-Michel Razafindrabe
 
La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) BRIVA
 
Normes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptxNormes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptxAmorFranois
 
Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationAymen Foudhaili
 
Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)Ammar Sassi
 
BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliShellmates
 

Tendances (20)

Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SI
 
ISO 27001 Certification - The Benefits and Challenges
ISO 27001 Certification - The Benefits and ChallengesISO 27001 Certification - The Benefits and Challenges
ISO 27001 Certification - The Benefits and Challenges
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk Manager
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SI
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001
 
Processus Audit SI
Processus Audit SIProcessus Audit SI
Processus Audit SI
 
Audit of IT Governance (Reference documents to be audited)
Audit of IT Governance (Reference documents to be audited)Audit of IT Governance (Reference documents to be audited)
Audit of IT Governance (Reference documents to be audited)
 
Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information
 
Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
 
La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI)
 
Normes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptxNormes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptx
 
Ssi
SsiSsi
Ssi
 
Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'information
 
Iso27001
Iso27001 Iso27001
Iso27001
 
Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)
 
Iso 27001 awareness
Iso 27001 awarenessIso 27001 awareness
Iso 27001 awareness
 
BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis Remli
 

Similaire à Presentation iso27002

Sã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationSã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationDany Rabe
 
resume-theorique-m212-cybersecurite-v1-1509-_2.pdf
resume-theorique-m212-cybersecurite-v1-1509-_2.pdfresume-theorique-m212-cybersecurite-v1-1509-_2.pdf
resume-theorique-m212-cybersecurite-v1-1509-_2.pdfFootballLovers9
 
2009-02-12 DAT211 Prendre ou reprendre le contrôle de vos instances SQL Serve...
2009-02-12 DAT211 Prendre ou reprendre le contrôle de vos instances SQL Serve...2009-02-12 DAT211 Prendre ou reprendre le contrôle de vos instances SQL Serve...
2009-02-12 DAT211 Prendre ou reprendre le contrôle de vos instances SQL Serve...Patrick Guimonet
 
Support de cours d'Administration Réseau Sous Windows/ L1 UKV 2024
Support de cours d'Administration Réseau Sous Windows/ L1 UKV 2024Support de cours d'Administration Réseau Sous Windows/ L1 UKV 2024
Support de cours d'Administration Réseau Sous Windows/ L1 UKV 2024BernardKabuatila
 
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...Microsoft Décideurs IT
 
Guide ineris-sips-1459850449
Guide ineris-sips-1459850449Guide ineris-sips-1459850449
Guide ineris-sips-1459850449M'hammed Hamdaoui
 
Sécurité de l’information et gouvernance
Sécurité de l’information et gouvernanceSécurité de l’information et gouvernance
Sécurité de l’information et gouvernancePECB
 
Sifaris conseil
Sifaris conseilSifaris conseil
Sifaris conseilSIFARIS
 
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...Walter Michael TACKA
 
PFE : ITIL - Gestion de parc informatique
PFE : ITIL - Gestion de parc informatiquePFE : ITIL - Gestion de parc informatique
PFE : ITIL - Gestion de parc informatiquechammem
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssiGaudefroy Ariane
 
Guide hygiene informatique Anssi
Guide hygiene informatique AnssiGuide hygiene informatique Anssi
Guide hygiene informatique AnssiAgathe Mercante
 
Programme de travail de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SIProgramme de travail de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SIAmmar Sassi
 
SMSSI ITIL
SMSSI ITILSMSSI ITIL
SMSSI ITILchammem
 

Similaire à Presentation iso27002 (20)

Les Outils de la CSA (Cloud Security Alliance)
Les Outils de la CSA (Cloud Security Alliance)Les Outils de la CSA (Cloud Security Alliance)
Les Outils de la CSA (Cloud Security Alliance)
 
Sécurité & Continuité
Sécurité & ContinuitéSécurité & Continuité
Sécurité & Continuité
 
Sã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationSã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'information
 
resume-theorique-m212-cybersecurite-v1-1509-_2.pdf
resume-theorique-m212-cybersecurite-v1-1509-_2.pdfresume-theorique-m212-cybersecurite-v1-1509-_2.pdf
resume-theorique-m212-cybersecurite-v1-1509-_2.pdf
 
Le modèle cobit
Le modèle cobitLe modèle cobit
Le modèle cobit
 
Ageris training 2016
Ageris training 2016Ageris training 2016
Ageris training 2016
 
2009-02-12 DAT211 Prendre ou reprendre le contrôle de vos instances SQL Serve...
2009-02-12 DAT211 Prendre ou reprendre le contrôle de vos instances SQL Serve...2009-02-12 DAT211 Prendre ou reprendre le contrôle de vos instances SQL Serve...
2009-02-12 DAT211 Prendre ou reprendre le contrôle de vos instances SQL Serve...
 
Support de cours d'Administration Réseau Sous Windows/ L1 UKV 2024
Support de cours d'Administration Réseau Sous Windows/ L1 UKV 2024Support de cours d'Administration Réseau Sous Windows/ L1 UKV 2024
Support de cours d'Administration Réseau Sous Windows/ L1 UKV 2024
 
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
 
Guide ineris-sips-1459850449
Guide ineris-sips-1459850449Guide ineris-sips-1459850449
Guide ineris-sips-1459850449
 
Sécurité de l’information et gouvernance
Sécurité de l’information et gouvernanceSécurité de l’information et gouvernance
Sécurité de l’information et gouvernance
 
COBIT
COBIT COBIT
COBIT
 
Sifaris conseil
Sifaris conseilSifaris conseil
Sifaris conseil
 
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...
 
PFE : ITIL - Gestion de parc informatique
PFE : ITIL - Gestion de parc informatiquePFE : ITIL - Gestion de parc informatique
PFE : ITIL - Gestion de parc informatique
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssi
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssi
 
Guide hygiene informatique Anssi
Guide hygiene informatique AnssiGuide hygiene informatique Anssi
Guide hygiene informatique Anssi
 
Programme de travail de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SIProgramme de travail de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SI
 
SMSSI ITIL
SMSSI ITILSMSSI ITIL
SMSSI ITIL
 

Presentation iso27002

  • 1. 18 septembre 2013 SO/IEC 27002 : Comparatif entre la version 2013 et la version 2005
  • 2. PLAN A- Introduction B- Qu’est-ce qui a changé ? C- La norme 2013 permet-elle de traiter les limites de la norme actuelle ? D- Quels impacts sur la gouvernance Sécurité ? E- Conclusion
  • 3. La norme ISO/IEC 27002, c’est un :  Code de bonne pratique pour le management de la sécurité de l’information,  Document consultatif générique et non pas une spécification formelle comme la norme ISO/IEC 27001.  Elle recommande des mesures de sécurité de l’information portant sur des objectifs de contrôle de sécurité de l’information A- Introduction
  • 4. Sécurité de la documentation système Il convient de protéger la documentation système contre les accès non autorisés. Fuite d’informations Toute possibilité de fuite d’informations doit être empêchée. Système d’autorisation concernant les moyens de traitement de l’information Il convient de définir et de mettre en œuvre un système de gestion des autorisations pour chaque nouveau moyen de traitement de l’information Mesures contre le code mobile Lorsque l’utilisation de code mobile est autorisée, la configuration doit garantir que le code mobile fonctionne selon une politique de sécurité clairement définie et tout code mobile non autorisé doit être bloqué. B-Changement : Disparition des mesures non utilisées
  • 5.  11 chapitres  39 objectifs  133 mesures  14 chapitres  35 objectifs  113 mesures 27002:2005 27002:2013 B-Changement : Contenu ISO/IEC 2005 vs 2013
  • 6. 5. Security policy 6. Organization of information security 7. Asset management 8. Human resources security 9. Physical and environmental security 10. Communications and operations management 11. Access control 12. Information systems acquisition, development and maintenance 13. Information security incident management 14. Business continuitymanagement 15. Compliance 5. Information security policies 6. Organization of information security 7. Human resources security 8. Asset management 9. Access control 10. Cryptography 11. Physical and environmental security 12. Operations security 13. Communications security 14. System acquisition, development andmaintenance 15. Supplier relationships 16. Information security incident management 17. Information security aspects of businesscontinuity management 18. Compliance Plus de cohérence sur les sujets traités au sein des chapitres Une meilleure adéquation entre les chapitres et les acteurs de la DSI 27002:2005 27002:2013 B-Changement : Au niveau de la structure des chapitres [1/2]
  • 7. Les nouveaux chapitres sont principalement constitués de mesures issues d’autres chapitres System acquisition, development and maintenance Cryptography Le chapitre Communications and Operations Management est coupé en 3 chapitres, clarifiant les périmètres de responsabilités d’acteurs bien distincts Operations security Communications security Supplier relationships Le chapitre Information system acquisition, development and maintenance est scindé en 2 pour mieux mettre en évidence la sujet de la cryptographie B-Changement : Au niveau de la structure des chapitres [2/2]
  • 8. Objective: To maximize the effectiveness of and to minimize interference to/from the information systems audit process. There should be controls to safeguard operational systems and audit tools during information systems audits. Protection is also required to safeguard the integrity and prevent misuse of audit tools. Objective: To minimise the impact of audit activities on operational systems. 27002:2005 27002:2013 Objective: To achieve and maintain appropriate protection of organizational assets. All assets should be accounted for and have a nominated owner. Owners should be identified for all assets and the responsibility for the maintenance of appropriate controls should be assigned. The implementation of specific controls may be delegated by the owner as appropriate but the owner remains responsible for the proper protection of the assets.. Objective: To identify organizational assets and define appropriate protection responsibilities. Responsibility for assets Information systems audit considerations B-Changement : Au niveau des objectifs de sécurité [1/2] Les objectifs sont formulés de manière plus synthétique, ce qui offre une plus grande souplesse dans l’implémentation
  • 9. Globalement, les modifications sont plutôt mineures mais de nombreuses mesures ont été déplacées There should be mechanisms in place to enable the types, volumes, and costs of information security incidents to be quantified and monitored. Knowledge gained from analysing and resolving information security incidents should be used to reduce the likelihood or impact of future incidents. 6 nouvelles mesures 26 mesures supprimées 29 mesures modifiées 27002:2005 27002:2013 Learning from information security incidents  Réduction des contraintes liées à la mesure : les paramètres à analyser lors d’un incident de sécurité ne sont pas spécifiés Secure log-on procedures  Modification du périmètre de la mesure : la sécurisation des accès est cadrée par la politique de contrôle des accès Access to operating systems should be controlled by a secure log- on procedure. Where required by the access control policy, access to systems and applications should be controlled by a secure log-on procedure. Security requirements analysis and specification  Simplification de la formulation de la mesure Statements of business requirements for new information systems, or enhancements to existing information systems should specify the requirements for security controls. The information security related requirements should be included in the requirements for new information systems or enhancements to existing information systems. B-Changement : Au niveau des objectifs de sécurité [2/2] 27002:201327002:2005
  • 10. Et sur le fond ? Les big bang [1/3]  suppression de l’objectif « correct processing in applications » (validation des données en entrée et en sortie, intégrité des messages, etc.)  Les mesures font un focus sur les applications sensibles: sur les réseaux publics et gérant des transactions  Les bonnes pratiques de sécurité applicative sont renforcées  Le sujet de la gestion des données de tests est abordé dans ce chapitre et non plus dans « operations et communication management » 14 System acquisition, development and maintenance La norme demande de prendre en compte la sécurité dans la gestion de projet, quels que soient les types de projets (chapitre organization of information security)  Les exigences sont plus générales et s’appliquent mieux à toute sorte de projet de développement Security related requirements included in the requirements for systems Secure system engineering principles System acceptance testing (code analysis tool,) vulnerability scanners Secure development policy System security testing during development Secure development environment Outsourced developement Sécurité applicative Objective: to ensure that information security is designed and implemented within the developement lifecycle of information systems B-Changement : Sur le fond [1/3]
  • 11. Et sur le fond ? Les big bang [2/3]  La norme traite maintenant de la continuité de la sécurité de l’information et non de la continuité business !  Les mesures sont organisées selon une logique PDCA  Un objectif de sécurité complémentaire « redundancies » concerne la disponibilité des « information processing facilities »  Une unique mesure demande de mettre en place de la redondance des composants ou des architectures pour répondre aux exigences de disponibilité  Une note indique que les informations sur le business continuity management sont disponibles dans les normes ISO 22301, 27301, 22313 Implementing Verify, review and evaluate 17 Information security aspects ofbusiness continuity management Objective: Information security continuity should be embedded in the organization’s business continuity management systems Planning B-Changement : Sur le fond [2/3]
  • 12. Et sur le fond ? Les big bang [3/3]  Suppression du contrôle d’accès réseau  Suppression du contrôle d’accès à l’OS  Suppression du télétravail  25  14 mesures  Le cycle de vie des habilitations est plus complet  La gestion du mot de passe est élargie à la gestion des « secret authentication »  Un focus spécifique est fait sur l’accès au code source 9 Access control  Le chapitre se concentre sur la gestion des accès des utilisateurs et sur l’accès aux applications et aux systèmes Review of user access rights User access provisioning Management of secret authentication information of users Removal or adjustment of access rights Objective: to ensure authorized user access and to prevent unauthorized access to systems and services User registration and de-registration B-Changement : Sur le fond [3/3]
  • 13.  Suppression des éléments liés à la sécurité des « external parties »  Ces points sont partiellement repris dans le chapitre « supplier relationships »  Intégration d’un objectif relatif aux « mobile devices » et au télétravail Organization of information 6  Tous les sujets relatifs à la gestion des biens sont regroupés au sein de ce chapitre, ce qui inclut :  « Return of assets » issu du chapitre « human resource security »  « Media handling » issu du chapitre « operations and communication management » Asset management 8  Une phase de « assessment of and decision on information security events » pour décider si les évènements sont considérés comme des incidents de sécurité  Une phase de traitement « response to information security incidents »  La phase d’apprentissage suite à l’analyse des incidents est assouplie : il n’est plus nécessaire d’évaluer le type, le volume et les coûts des incidents Information securityincident management  Ajout de quelques précisions dans la gestion des incidents 16 B-Changement : Les nouveautés [1/2]
  • 14. Et sur le fond ? Les petites nouveautés [2/2]  Ce chapitre concentre tous les mesures liées au réseau Il reprend :  Celles issues du chapitre « operation and communication management » : « network security management » et « exchange of information »  Celles issues du chapitre « access control » en ne conservant que la mesure « segregation of networks » Communications Security 13   Ce chapitre conserve les mesures propres à l’exploitation  Operational procedures and responsibilities  Protection from malware  Back up  Logging and monitoring  Il est complété par quelques mesures issues d’autres chapitres  Control of operational software  Technical vulnerability management  Information systems audit considerations Operations security 12  Ce chapitre concentre toutes les mesures liées à la gestion des fournisseurs, en remplaçant la notion de  « third party » par « supplier »  Une nouvelle mesure est ajoutée sur le report des exigences de sécurité sur la chaine de sous-traitance  La mesure sur « identification of risks related to external parties » a été supprimée Supplier relationships 15 B-Changement : Les nouveautés [2/2]
  • 15. Et sur le fond ? Circulez, y a rien à voir ! [1/2]  Au lieu d’une politique de sécurité unique, la norme fait maintenant référence à un ensemble de politiques à plusieurs niveaux  Une « Information security policy » qui décrit les objectifs et les principes de sécurité  Des « topic-specific policies » Information securitypolicies 5  Les tiers ne font plus partie des cibles de ce chapitre  Les « contractors » sont toujours adressés  Les sujets « return of assets » et « removal of access rights » sont maintenant traités respectivement dans les chapitres « asset management » et « access control » Human resource security 7  Peu de modifications  Une précision est apportée sur la gestion des clés tout au long du cycle de vie (génération, stockage, archivage, etc.) Cryptography 10 B-Changement : Circule librement [1/2]
  • 16. Et sur le fond ? Circulez, y a rien à voir ! [2/2] Physical and environmental security 11  Conservation de toutes les mesures, certaines sont légèrement reformulées  Ajout des 2 mesures sur « unattended user equipement » et « clear desk and clear screen policy » issues du chapitre « access control »  Conservation de toutes les mesures, sauf de l’objectif « information systems audits considerations », qui est repris dans le chapitre « operation security » Compliance 18 B- Changement : Circuler librement [2/2]
  • 17. Pas de révolution, mais des évolutions qui vont dans le bon sens Plus de cohérence des sujets abordés au sein de chaque chapitre Plus de lisibilité pour les acteurs hors périmètre sécurité Des objectifs de sécurité plus clairs Suppression des mesures obsolètes et ajout de quelques nouvelles mesures C- Limites actuelles : En synthèse
  • 18. Certaines mesures sont encore peuauditables  « system administrator and system operator activities should be logged and the logs protected and regularly reviewed »  3 points de contrôle en 1 Certaines mesures « de base » ne sont pas prises en compte  Durcissement des postes de travail / des terminaux  Durcissement des socles  Réseaux sans fil… Certaines mesures restent trop macroscopiques pour constituer des « bonnes » pratiques de sécurité  « networks should be managed and controlled to protect information in systems and applications »  « groups of information services, users and information systems should be segregated on networks »   se décline en nombreux sous-points C- Limites actuelles : Des points qui ne sont toujours pas traités [1/2]
  • 19. Les nouvelles menaces (cybercriminalité) et les réponses associées ne sont pas développées explicitement Même si ces sujets peuvent être extrapolés dans certaines mesures, pas de mentions explicites de :  La surveillance / corrélation des évènements de sécurité (logique SOC)  La sécurisation de l’administration (seulement la gestion des comptes à privilège et les logs des actions des administrateurs)  La sécurisation des accès à l’entreprise, notamment depuis Internet  Les dispositifs de réaction en cas de cyber-attaques (logique CERT) Les (r)évolutions technologiques ne sont pas non plus explicitement prises en compte  La virtualisation n’est pas traitée explicitement  Même si on peut décliner les mesures existantes dans un contexte virtualisé  Ex: mesures sur le cloisonnement, mesures sur la résilience, etc.   il manque peut-être une mesure sur la définition des règles de sécurité dans un contexte virtualisé  Le cloud n’est pas traité explicitement  Même si le sujet peut être vu dans le chapitre « supplier relationships » C- Limites actuelles : Des points qui ne sont toujours pas traités [2/2]
  • 20. Pour les projets de certification en cours, la nouvelle norme va faciliter l’appropriation par les acteurs de la DSI qui sont impliqués dans les projets Pour les certifications existantes, la migration vers ce nouveau référentiel devrait avoir un impact limité  Beaucoup de mesures restent identiques ou proches  La norme ISO 27001:2013 incite à compléter la DDA avec des mesures complémentaires, ce qui permet de conserver les « anciennes » mesures si nécessaire  Néanmoins, une mise à jour de la DDA sera nécessaire  Le plus gros des efforts devrait porter sur le volet « prise en compte de la sécurité dansles projets et les développements » … … et finalement, ça tombe bien puisque ça reste souvent le point noir des SMSI qui sont déjà matures D- Impacts: sur les projets de certification ISO 27001
  • 21. Flexibilité dans la mise en œuvre  La nouvelle version de la norme ISO 27002 reste donc une liste de mesures de sécurité, ne détaillant pas l’ensemble des caractéristiques de mise en œuvre. Comme précédemment et c’est aussi cela qui a fait son succès ! Démarche pérenne  Sa stabilité dans le temps et son caractère « indépendant des technologies » en font un outil utile dans la durée D- Impacts: Une norme qui reste « l’esperanto » de la sécurité
  • 22. www.solucom.fr Contact Claire CARRE Responsable de département Tel : +33 (0)1 49 03 26 85 Mobile : +33 (0)6 10 99 01 97 Mail : claire.carre@solucom.fr E- Conclusion o La norme ISO/IEC 27002 version 2013 permet aux organismes qui l’adoptent de :  évaluer leurs risques de sécurité,  clarifier leurs objectifs de contrôle et appliquer des mesures appropriées, o Elle apporte plusieurs changements par rapport à la norme ISO/IEC 27002 au niveau des structures des chapitres et la suppression de certains. o Les objectifs de contrôle de sécurité qui y figurent sont formulés de façon synthétique, offrant ainsi une plus grande souplesse dans l’implémentation.
  • 23.  http://praxiom.com/iso-home.htm  ISO/IEC 27002 Foundation Complete Certification Kit - Study Guide Book and Online Course  https://www.ansi.tn/fr/documents/comparatif_ISO27002_2013-2005.pdf  http://www.ssi-conseil.com/ssi-conseil2/www.ssi conseil.com/content/view/117/107/index.html  https://fr.wikipedia.org/wiki/ISO/CEI_27002 Bibliographie