PROCESSUS DE GESTION DE LA

Transcription

1 PROCESSUS DE GESTION DE LA SÉCURITÉ Document N : nnn Version janvier 2015 Dernière mise à jour : 21 janvier 2015 Auteur : Claude Maury Propriétaire : Claude Maury Claude Maury Page 1 sur 29

2 SOMMAIRE Sommaire... 2 Illustrations Introduction Pourquoi un processus de gestion de la sécurité Description du processus de gestion de la sécurité La carte d identité des sous processus Carte d identité S1 Appréciation des risques Introduction Définition Finalité Outputs Ressources (raci) Métriques Indicateurs Propriétaire du sous processus Carte d identité S2 Gestion du risque Introduction Définition Finalité Outputs Ressources (raci) Métriques Indicateurs Propriétaire du sous processus Carte d identité S3 Politiques de sécurité Introduction Définition Finalité Outputs Ressources (raci) Métriques Indicateurs Propriétaire du sous processus Carte d identité S4 Sensibilisation et communication Claude Maury Page 2 sur 29

3 6.1 Introduction Définition Finalité Outputs Ressources (raci) Métriques Indicateurs Propriétaire du sous processus Carte d identité O1 Gestion, élaboration et mise en œuvre des mesures de sécurité Introduction Définition Finalité Outputs Ressources (raci) Métriques Indicateurs Propriétaire du sous processus Carte d identité O2 Formation Introduction Définition Finalité Outputs Métriques Indicateurs Propriétaire du sous processus Carte d identité O3 Gestion des problèmes et des incidents de sécurité Introduction Définition Finalité Outputs Ressources (raci) Métriques Indicateurs Propriétaire du sous processus Carte d identité O4 Audit et surveillance Introduction Claude Maury Page 3 sur 29

4 10.2 Définition Finalité Outputs Ressources (raci) Métriques Indicateurs Propriétaire du sous processus Carte d identité O5 Propositions des améliorations Introduction Définition Finalité Outputs Ressources (raci) Métriques Indicateurs Propriétaire du sous processus ILLUSTRATIONS Figure 1 Le processus de gestion de la sécurité Claude Maury Page 4 sur 29

5 1 INTRODUCTION 1.1 POURQUOI UN PROCESSUS DE GESTION DE LA SÉCURITÉ Ces dernières années, l évolution des technologies de l information ont ouvert de nouveaux horizons, mais ont créés des difficultés dans la maîtrise de ces technologies. Dans ce contexte, les risques pour les infrastructures, le personnel et l information de l organisation présentent sans cesse un nouveau défi de gestion de la sécurité. Les entreprises sont composées de sous systèmes qui sont des fonctions, des bureaux, des ateliers, des services, etc. et tout cela communique, travaille en interrelations de plus en plus complexes. La gestion de la sécurité doit être appliquée transversalement à tous ces sous systèmes. La sécurité ne résulte pas d'une accumulation de mesures et de contrôles, mais est plutôt associée à une démarche méthodique d'analyse et de réduction des risques permettant une amélioration continue de cette sécurité. Cette démarche de gouvernance de la sécurité doit apporter une vision globale des activités les plus contributives à l atteinte des objectifs de sécurité fixée par la Direction de l entreprise. Si certains résultats peuvent être obtenus par l application de méthodes particulières ou par l utilisation de mesures de sécurité, le résultat le plus probant pour la mise en œuvre d une bonne sécurité dépend d une approche processus contribuant à déterminer l enchaînement des activités nécessaires à la production d un haut niveau de sécurité. 1.2 DESCRIPTION DU PROCESSUS DE GESTION DE LA SECURITE Ce processus est basé sur les recommandations des normes et référentiels ISO/CEI Management du risque, la famille des normes ISO/CEI 2700x «Gestion de la sécurité des systèmes d information», de l OFSP «Office Fédérale de la Santé Publique», la méthode MSST «Médecins du travail et autres Spécialistes de la Sécurité au Travail», VKF AEAI «Vereinigung Kantonaler Feuerversicherungen Association des Etablissements cantonaux d'assurance Incendie» et autres référentiels ou méthodologies adaptées à des besoins particuliers. Ce processus est composé de neuf sous processus qui sont : Appréciation des risques Gestion des risques Ajustement de la Politique de Sécurité Sensibilisation et Communication Elaboration et mise en œuvre des mesures Formation Gestion des incidents Proposition des améliorations Audit et Surveillance Ces neufs sous processus sont réunis en deux groupes qui composent : 1) les sous processus permettant d élaborer la stratégie de la gouvernance de la sécurité et 2) les sous processus opérationnels permettant la gestion de la sécurité Claude Maury Page 5 sur 29

6 Figure 1 Le processus de gestion de la sécurité 2 LA CARTE D IDENTITÉ DES SOUS PROCESSUS Chaque sous processus est décrit brièvement par une carte d identité contenant les informations suivantes : Introduction : Brève description de l objectif du sous processus Définition : Brève description du sous processus. Finalité : Objectif qualitatif à atteindre par le sous processus. Outputs : Les principales (3 ou 4) prestations délivrées par le sous processus. Ressources : o Les activités à mener o Les acteurs intervenants dans le processus et basés à l entreprise : DG : Direction Générale M : Métiers DI : Direction Informatique CSI : Comité de la Sécurité Informatique RSSI : Responsable de la sécurité des systèmes d information Sup. : RH, Communication, Finance&comptabilité et Juridique Aud. : Audit interne o Les rôles de chacun des acteurs : Claude Maury Page 6 sur 29

7 R : Responsable d exécuter l activité, A : s Assure que l activité est exécutée, C : est Consulté pendant l exécution de l activité, I : est Informé des résultats de l activité o Méthodes, Référentiels et outils sur lesquels s appuient les acteurs pour mener à bien les activités Métriques : o Sujet : description des métriques o Objectif : valeurs quantitatives des métriques à atteindre par le sous processus Indicateurs : o Indicateur : nom de l indicateur permettant de mesurer que le sous processus progresse vers sa finalité o Objectif : objectif de l indicateur Propriétaire : Personne ayant la responsabilité de la performance du processus (s engage sur la livraison des prestations attendues et sur l amélioration de la performance) Claude Maury Page 7 sur 29

8 3 CARTE D IDENTITÉ S1 APPRÉCIATION DES RISQUES 3.1 INTRODUCTION Le sous processus «appréciation des risques» vise à déterminer la nature des éventuelles vulnérabilités dans les mesures de protection des personnes, des bâtiments et des systèmes d information de l entreprise. Il s appuie sur un cadre méthodologique comprenant notamment des questionnaires d évaluation issus des bonnes pratiques et des bases de connaissances existantes. Il nécessite une collaboration étroite et coordonnée entre les responsables des secteurs concernés et le responsable de la sécurité. Il aboutit à une présentation synthétique des risques encourus et de leur gravité. 3.2 DÉFINITION Processus d'identification, d'analyse et d'évaluation des risques*. Identification: Rechercher les risques et décrire leurs caractéristiques Analyse : comprendre la nature d'un risque et estimer le niveau de risque Evaluation : Comparaison d'un risque estimé par rapport à des critères de risque** pour déterminer si l'impact est acceptable ou pas *Risque = combinaison de la probabilité d'un événement affectant les personnes, les bâtiments ou le SI de l entreprise et de ses conséquences. **Critères de risque : Référence par laquelle l'importance d'un risque est évaluée. Un critère de risque peut être associé avec des contraintes légales, socio économiques, financières, environnementales, ou d'autres critères selon les parties prenantes. 3.3 FINALITÉ Comprendre la nature des risques encourus par l entreprise en ce qui concerne les personnes, les bâtiments et les systèmes d information et en déterminer le niveau (ou gravité). 3.4 OUTPUTS Liste des risques encourus par l entreprise et fiche descriptive pour chacun d entre eux Valorisation quantitative ou qualitative de la probabilité de survenance et des conséquences de ces risques 3.5 RESSOURCES (RACI) Maintenir et mettre à disposition le cadre méthodologique Répondre aux questionnaires Consolider et analyser les questionnaires Activités DG M DI CSI RSSI Sup. Aud. Identifier, analyser et évaluer les risques pour les exprimer en termes «business» Produire et présenter les outputs attendus Claude Maury Page 8 sur 29

9 Méthodes, référentiels et outils utilisés : Méthode MEHARI ISO 31000:2009? ISO/CEI 27005:2011? Référentiel MSST? Recommandations CFST (Commission Fédérale pour la Sécurité au Travail)? Recommandations VKF/AEAI pour la protection du feu? 3.6 MÉTRIQUES Périodicité de l analyse Sujet Durée de l analyse (ellapsed time) Nombre de participants ayant répondu aux questionnaires Conformité des outputs au cadre pré établi (Modèles de fiches, matrice probabilité/impact, Radars, etc.) 1/an Objectif 3 mois la première année puis 2 mois les années suivantes Au minimum 1 personne par acteur impliqué Rapport de conformité établi par le service d audit 3.7 INDICATEURS Indicateurs Analyse de risques dans les activités Analyse de risques dans les nouveaux projets Objectifs Avoir une vue globale sur la part des activités selon leur niveau de criticité et une vue sur la part d activités critiques par service. 3.8 PROPRIÉTAIRE DU SOUS PROCESSUS Le RSSI Claude Maury Page 9 sur 29

10 4 CARTE D IDENTITÉ S2 GESTION DU RISQUE 4.1 INTRODUCTION Le sous processus «gestion du risque» succède au sous processus «Appréciation des risques» et vise à atteindre un niveau approprié de prise de décision pour traiter les risques identifiés. Il doit permettre de sélectionner les options de traitement du risque les plus appropriées en comparant les coûts et les efforts de mise en œuvre par rapport à la sécurité obtenue, compte tenu des obligations légales, réglementaires et autres exigences des métiers. A ce niveau, seuls les risques élevés feront l objet d une prise de décision par la direction de l organisation. Les décisions concernant les risques de moyenne importance ou faibles seront traités par les responsables des départements et des métiers concernés. 4.2 DÉFINITION La gestion du risque implique le choix et la mise en œuvre d une ou plusieurs options de modification des risques*. La gestion du risque implique un processus itératif : Evaluer un traitement du risque ; Décider si les niveaux de risque résiduels sont tolérables ; S ils ne sont pas tolérables, générer un nouveau traitement du risque et ; Apprécier l efficacité de ce traitement. * Réduction du risque : Des moyens et des contrôles sont mis en œuvre pour réduire le risque Rétention du risque : Le risque est accepté sans qu une action de le réduire soit prise Evitement du risque : Le risque est trop élevé, il n y a pas de solution fiable pour le réduire, l activité est supprimée. Transfert du risque : Le risque est transféré chez un tiers qui peut le gérer plus efficacement. 4.3 FINALITÉ Etablissement d un plan stratégique de gestion du risque pour conduire à un engagement de sécurité à tous les niveaux et s assurer que la culture de l organisme et sa politique de gestion du risque sont en phase. 4.4 OUTPUTS Rapports internes et externes exhaustifs sur les risques significatifs Rapports des options de traitement des risques significatifs à traiter Rapports des réunions de prises de décision formelles Rapports des options de traitement des risques de moyenne importance et faibles Rapport sur la classification de l information Justificatif des risques non couverts Planification du PCA Claude Maury Page 10 sur 29

11 4.5 RESSOURCES (RACI) Activités DG M DI CSI RSSI Sup. Aud. Elaborer une synthèse des options de traitement des risques significatifs d après les résultats de l analyse du risque effectuée pour la DG Présentation pour validation de la synthèse aux parties concernées Prise de décisions des options de traitement du risque Etablissement des procès verbaux de décision du traitement du risque Méthodes, référentiels et outils utilisés : ISO 31000:2009? ISO/CEI 27005:2011? 4.6 MÉTRIQUES Sujet Nombre de personnes responsables dans le processus de prises de décision Réunions de présentations à la DG des risques élevés Nombre de risques identifiés comme étant significatifs à réévaluer Nombre de risques éliminés par rapport aux risques identifiés lors du cycle précédent Fréquence de réunions de prise de décision Ratio de risques pris en compte par rapport à ceux éliminés Réunions de revues reportées Réunions de revue annulées Communication avec les parties prenantes concernant les performances de sécurité à atteindre Objectif Au moins 2 membres de la DG et le responsable du métier concerné Minimum 2 présentations par cycle d analyse % par rapport au nb de risques significatifs évalués % risques significatifs % risques de moyenne importance 1 réunion de décision après chaque cycle d analyse de risque Pourcentage ne devant pas excéder n valeur Pas plus de 2 réunions reportées par semestre Zéro réunion de revue annulée Une communication officielle (note de service ou réunion) de la décision prise après chaque réunion de prise de décision. 4.7 INDICATEURS Indicateurs Risques couverts et non couverts Classification de l information Mise en œuvre du PCA Objectifs Selon les résultats de l analyse des risques A.7.2 Classification des informations : Garantir un niveau de protection approprié aux informations (ISO 27001) Assurer que le projet de mise en œuvre du PCA a atteint ses objectifs 4.8 PROPRIÉTAIRE DU SOUS PROCESSUS La DG Claude Maury Page 11 sur 29

12 5 CARTE D IDENTITÉ S3 POLITIQUES DE SÉCURITÉ 5.1 INTRODUCTION Un élément critique de la culture de la sécurité est qu il doit exister une démonstration sans ambigüité de cette culture de la part de la Direction de l entreprise et soutenue par tout l organisme. Cette démonstration doit être intégrée dans une politique de sécurité générale qui doit servir de cadre aux diverses stratégies en matière de sécurité. C est également un outil important permettant à la Direction de l entreprise de diffuser sa position et ses objectifs en matière de sécurité. 5.2 DÉFINITION La politique de sécurité générale apporte une orientation et un soutien de la part de la Direction, conformément aux exigences métier et aux lois et règlements en vigueur. La définit des dispositions générales claires en accord avec ses objectifs et démontre son soutien et son engagement vis à vis de la sécurité. La politique de sécurité générale définit l implication de la hiérarchie et l existence d un processus et de ses ressources pour la mise en place de mesures et procédures de sécurité qui doivent être respectées pour assurer la sécurité générale au sein de l entreprise. 5.3 FINALITÉ Créer une structure chargée d'élaborer et de mettre en œuvre des règles, directives et procédures cohérentes pour assurer la sécurité du personnel, des bâtiments et des systèmes d information de l entreprise. Promouvoir la coopération entre les différents services et unités de l'établissement pour l'élaboration et la mise en œuvre des règles consignes et procédures définies. La politique de sécurité doit être communiquée au personnel de toute l organisation sous une forme pertinente, accessible et compréhensible à chacun et chacune. 5.4 OUTPUTS La politique de sécurité est une structure documentaire composée de : Un document cadre : Une déclaration des intentions de la Direction, soutenant les buts et les principes de sécurité générale. Ce document est signé par la Direction Générale de l entreprise. Des directives : Une directive est une ligne de conduite donnée par une autorité et indiquant des objectifs fixés par cette autorité. Elle est normative. Des standards (normes) : Un standard définit les règles conformes à l'utilisation de matériels et logiciels ainsi que leurs paramétrages. Des procédures : Une procédure est un ensemble de règles qu il faut appliquer strictement dans une situation déterminée. Des recommandations : Une recommandation est un code de bonne conduite à suivre dans une situation déterminée. Cahier des charges du RSSI Objectifs de sécurité du CSI Claude Maury Page 12 sur 29

13 5.5 RESSOURCES (RACI) Activités DG M DI CSI RSSI Sup. Aud. Etablissement du document cadre de politique de sécurité et endossement par la Direction Recensement des mesures de sécurité qui doivent être publiées sous forme de directives Recensement des standards et des procédures existantes ou pas qui doivent être publiées pour accompagner chaque directive Relecture des directives, standards et procédures à publier Approbation des directives, standards et procédures Publication sur l intranet Méthodes, référentiels et outils utilisés : Référentiel ISO 27002? Référentiel MSSP? Référentiel VKF/AEAI? Intranet? 5.6 MÉTRIQUES Sujet La politique de sécurité établit elle clairement que la sécurité est une priorité pour l entreprise? La politique de sécurité communiquée à tout le personnel? La politique de sécurité décrit le rôle et les responsabilités de la cellule de sécurité? La politique de sécurité est disponible sur l intranet de l entreprise Inventaire des directives, standard et procédures Périodicité des revues des directives, standards et procédure Nombre de directives publiées par rapport au nombre de famille de mesure de sécurité Temps écoulé entre la mise en œuvre d une mesure de sécurité et la publication de la directive, des standards et procédures la concernant Objectif Signée par un membre de la DG Date de publication et liste des destinataires Directeur responsable et partenaires Fichier PDF accessible en usage interne Inventaire exhaustif avec dates de publication et de révision Après chaque cycle d analyse de risque 1 directive et ses procédures par famille de mesure de sécurité Jour de mise en œuvre INDICATEURS Indicateurs Publication des politiques de sécurité État de mise à jour des directives Objectifs S assurer que les politiques de sécurité sont publiées au sein de l entreprise Vérifier de l état de la progression de mise œuvre de chaque directive de sécurité jusqu à sa validation par la DG Claude Maury Page 13 sur 29

14 Mise en place du CSI Définition du cahier des charges et responsabilités du RSSI Assurer l atteinte des objectifs du projet de mise en place du CSI Selon les standards RH de l organisation 5.8 PROPRIÉTAIRE DU SOUS PROCESSUS Le RSSI Claude Maury Page 14 sur 29

15 6 CARTE D IDENTITÉ S4 SENSIBILISATION ET COMMUNICATION 6.1 INTRODUCTION Le nombre de blessés des accidents de la route a diminué ces dernières années grâce à de nouvelles mesures de sécurité implémentées dans les véhicules et surtout grâce à des campagnes de sensibilisation du BPA (Bureau de la Prévention des Accidents). Il en est de même en ce qui concerne la sécurité dans une entreprise, il faut conduire en permanence des campagnes de sensibilisation à la sécurité en plus des mesures techniques et organisationnelles de contrôle mises en œuvre. La sensibilisation n est pas de la formation. Le but de la sensibilisation est d améliorer l attitude du personnel de l entreprise pour reconnaître et éviter les risques potentiels pouvant intervenir dans leurs activités professionnelles, alors que le but de la formation est de développer les aptitudes nécessaires à la gestion de la sécurité. 6.2 DÉFINITION Au fil des jours, et avec l habitude, les personnes s acclimatent avec les risques de leurs professions et de leur environnement. La sensibilisation à la sécurité est un facteur clé pour une entreprise qui veut améliorer le comportement de son personnel. C est une activité permanente, créative et motivante pour le personnel. Elle utilise des méthodes et des moyens moins formels que la formation. Elle doit cibler tout le personnel. 6.3 FINALITÉ Réduire le nombre d incidents de sécurité dus à un comportement inadéquat du personnel de l entreprise ayant pour cause de manque d information concernant la bonne attitude à adopter quotidiennement dans l exercice de ses tâches et responsabilités. 6.4 OUTPUTS Liste des sujets à traiter et des messages à apporter Listes des groupes cibles Les canaux de communication à utiliser Calendrier et modalités des campagnes Réalisation de la campagne Procédures concernant la mise à disposition des contenus des campagnes aux nouveaux employés Estimation du succès de la campagne Questionnaires/tests de compréhension de la campagne de sensibilisation Résultat du test de compréhension Claude Maury Page 15 sur 29

16 6.5 RESSOURCES (RACI) Définition de l objectif de la campagne de sensibilisation Expression des besoins de la campagne Activités DG M DI CSI RSSI Sup. Aud. Définition des indicateurs de succès de la campagne et de la modalité de leur collecte Décision de lancement de la campagne (GO NO GO) Identification et sélection des intervenants et du matériel de campagne Etablissement du calendrier, sélection du public cible et envoi des invitations Consolidation des évaluations Ajustement du programme si nécessaire Préparation et correction du test de connaissance Méthodes, référentiels et outils utilisés : Enisa How to raise information security awareness? ( users guide) MSST 06233_f Sécurité au travail et protection de la santé? CFST Directives sécurité au travail ( ISO/CEI 27002:2005 Code de bonnes pratiques pour la gestion de la sécurité de l information? 6.6 MÉTRIQUES Sujet % heures de campagne de sensibilisation par rapport aux heures travaillées Temps écoulé entre un projet de campagne et son achèvement Moyenne des évaluations de satisfaction des participants à une campagne Périodicité des campagnes de sensibilisation Nombre de personnes ayant suivi une campagne de sensibilisation Nombre de personnes nouvellement engagées et ayant suivi le programme de campagnes n% de sensibilisation Maximum n mois Moyenne 4.5 sur 6 Objectif N fois/an ou n/fois durant la mise en œuvre d un projet majeur Par rapport au nombre d employé(e)s 100% des personnes nouvellement engagées 6.7 INDICATEURS Indicateurs Sensibilisation des cadres à la sécurité des SI Formation sécurité des nouveaux collaborateurs Objectifs Sensibiliser les cadres de l entreprise à la démarche de mise en œuvre d une structure responsable de la sécurité des SI A.8.1 Avant le recrutement : Garantir que les salariés, contractants et utilisateurs tiers connaissent leurs responsabilités et qu ils conviennent pour les Claude Maury Page 16 sur 29

17 fonctions qui leur sont attribuées et réduire le risque de vol, de fraude ou de mauvais usage des équipements (ISO 27001) 6.8 PROPRIÉTAIRE DU SOUS PROCESSUS Le RSSI Claude Maury Page 17 sur 29

18 7 CARTE D IDENTITÉ O1 GESTION, ÉLABORATION ET MISE EN ŒUVRE DES MESURES DE SÉCURITÉ 7.1 INTRODUCTION Les risques associés aux actifs physiques, humains et informationnels de l entreprise doivent être traités et menés à bien selon des objectifs définis. L élaboration et la mise en œuvre de mesures de sécurité sont une décision stratégique de l entreprise et il est nécessaire que cette décision soit intégrée sans heurts, dimensionnée et actualisée en fonction des besoins des métiers et des activités de l entreprise. La conception et la mise en œuvre d'un ensemble de mesures et de contrôles doivent correspondre aux intérêts et aux exigences en matière de sécurité du personnel, des bâtiments et du traitement de l information de toutes les parties prenantes de l entreprise, incluant les clients, les fournisseurs, les partenaires commerciaux et les tierces parties à prendre en considération. 7.2 DÉFINITION Gérer la sécurité suppose l élaboration de mesures de sécurité, la recherche et la mise en œuvre de directives, procédures, de matériels et de logiciels (exemple logiciel de contrôle de mots de passe, alarme d infractions, signalétique, etc.) et le contrôle de l effet escompté. Tout cela se nomme un système de gestion de la sécurité. Un système de gestion de la sécurité utilise comme cadre de référence l ensemble des documents et procédures constituant la politique de sécurité en vue d'atteindre les objectifs de sécurité de l entreprise établis au travers de sa stratégie de la sécurité. En termes de sécurité, le système de gestion de sécurité doit permettre à l entreprise : de satisfaire les exigences de sécurité du personnel, des clients et des autres parties prenantes ; de répondre aux objectifs de sécurité concernant le personnel, les bâtiments et les biens informationnels ; de se conformer avec efficacité aux réglementations, à la législation et aux autorités sectorielles ; d améliorer de façon continue la maîtrise de l environnement ; de gérer les actifs physiques, humains et informationnels de l entreprise d une manière organisée qui facilite l amélioration et l ajustement continus aux objectifs. 7.3 FINALITÉ Obtenir l assurance qu un plan de mesures et de contrôles de la sécurité existe et qu il soit mis en œuvre dans le délai et les conditions prévues. 7.4 OUTPUTS Déclaration documentée décrivant les objectifs de sécurité, les actions correctives ainsi que les mesures de sécurité appropriées et applicables pour couvrir ces objectifs (statement of applicability ISO 27001) Budget d investissement et des coûts opérationnels de la gestion de la sécurité Claude Maury Page 18 sur 29

19 Directives et standards concernant chaque mesure de sécurité mise en œuvre, y compris les procédures de contrôle de bonne marche Procédures décrivant les démarches à suivre pour la maintenance de la sécurité et la gestion des incidents de sécurité Description des rôles et responsabilités des personnes impliquées dans la bonne marche du système de gestion de sécurité Planification et évaluation des tests du PCA 7.5 RESSOURCES (RACI) Le déroulement des activités de la mise en œuvre est un ensemble d actions et de projets dont le responsable de la sécurité est le maître d ouvrage et les domaines concernés sont les maîtres d œuvre (projet sur le bâtiment, dans l informatique, dans la gestion du personnel, etc.). Activités DG M DI CSI RSSI Sup. Aud. Identification des mesures de sécurité à mettre en œuvre Evaluation des ressources (humaines, techniques et matérielles) nécessaire pour la mise en œuvre Budgétisation du coût des mesures de sécurité à mettre en œuvre Acceptation du budget Planification des étapes de mise en œuvre Mise en œuvre des mesures identifiées Acceptation après tests de chaque mesure mise en œuvre Suivi du bon déroulement de la mise en œuvre de chaque mesure planifiée Planification, mise en œuvre et évaluation des tests du PCA Méthodes, référentiels et outils utilisés : Référentiels ISO 27001, 27002, et pour la sécurité des systèmes d information? Référentiel MSST? Recommandations CFST (Commission Fédérale pour la Sécurité au Travail)? Directives et recommandations VKF/AEAI pour la protection du feu? 7.6 MÉTRIQUES Sujet Budget investissement dépensé versus alloué Disponibilité des ressources humaines participant à la mise en œuvre Nombre de mesures mise en œuvre par rapport à l objectif fixé (déclaration d applicabilité) Nombre de mesures mise en œuvre versus planifiées Nombre de directives publiées versus planifiées Max. 10% dépassement Objectif >95% du temps attribué à chaque ressource 90% dans le délai imparti pour la mise en œuvre >95% de mesures mise en œuvre dans le temps programmé 100% de directives publiées selon la planification Nombre de standards publiés versus planifiés 100% de standards publiés selon la planification Claude Maury Page 19 sur 29

20 7.7 INDICATEURS Tests périodiques du PCA Mise à jour des anti virus Indicateurs Mise à jour des patches de sécurité Corrections des vulnérabilités mises en évidence par l audit État de mise à jour de la liste des ayants droits (contrôle des accès physiques) Selon calendrier Objectifs Assurer la mise à jour de tout le matériel informatique S assurer que tout le matériel informatique a été mis à jour par des patches de sécurité Selon les objectifs indiqués par l audit Selon calendrier périodique 7.8 PROPRIÉTAIRE DU SOUS PROCESSUS Le RSSI Claude Maury Page 20 sur 29

21 8 CARTE D IDENTITÉ O2 - FORMATION 8.1 INTRODUCTION L'un des meilleurs outils pour la sécurité est la formation continue. Cette formation doit couvrir les exigences en matière de sécurité, les responsabilités juridiques et les mesures d exploitation, ainsi que l utilisation correcte des mesures, des équipements et des technologies de sécurité. 8.2 DÉFINITION La formation en matière de sécurité doit être adaptée à la fonction, aux responsabilités et au savoirfaire des personnes et qu elles comprennent les informations sur les menaces connues, sur les personnes à contacter pour obtenir davantage de conseils ainsi que de maîtriser les actions de gestion proactive de la sécurité et de la résolution des incidents de sécurité. 8.3 FINALITÉ Permettre l adaptation des compétences aux changements des technologies et techniques de gestion du risque. Permettre au personnel impliqué dans le processus de la sécurité d assumer ses responsabilités et de gérer ses tâches quotidiennes dans le cadre de la gestion de la sécurité. 8.4 OUTPUTS Liste des rôles et compétences (profils) requises par fonction pour effectuer les tâches de gestion de la sécurité Bilan des compétences disponibles par fonction pour effectuer les tâches de gestion de la sécurité Plan de formation (cursus) par fonction ou par technologie pour effectuer les tâches de gestion de la sécurité Liste des formations suiviesressources (raci) Activités DG M DI CSI RSSI Sup. Aud. Etablir une liste des rôles et des compétences nécessaires pour assurer la gestion des risques Etablir une liste des formations requises pour couvrir les nouvelles mesures et procédures de sécurité mises en œuvre Etablir une liste des personnes concernées par des besoins de formation Sélectionner les organismes de formation selon un catalogue de formation décrivant les objectifs, les moyens pédagogiques et techniques utilisés Etablir un plan de formation pour chaque personne concernée Méthodes, référentiels et outils utilisés :? Claude Maury Page 21 sur 29

22 8.5 MÉTRIQUES Sujet Ration heures de formation/heures travaillées Taux de réussite par formation suivie (délivrance d un certificat) Complétude du cursus de formation prévu pour chaque nouvelle technologie ou mesure de sécurité nécessitant de nouvelles compétences Demandes de formation non réalisées Coût moyen d une heure de formation Objectif 8.6 INDICATEURS Formation du RSSI Indicateurs Objectifs Selon programme établi avec la DG et les RH 8.7 PROPRIÉTAIRE DU SOUS PROCESSUS Ressources humaines en collaboration avec le RSSI Claude Maury Page 22 sur 29

23 9 CARTE D IDENTITÉ O3 GESTION DES PROBLÈMES ET DES INCIDENTS DE SÉCURITÉ 9.1 INTRODUCTION La gestion des incidents de sécurité consiste à mettre en place un processus de gestion des incidents et dysfonctionnements de sécurité qui traite les événements et failles liés à la sécurité du personnel, des bâtiments et du système d information de l entreprise et permet la réalisation d'une action corrective rapide et efficace. 9.2 DÉFINITION Tous les salariés, contractants et utilisateurs tiers de l entreprise ont l obligation de signaler dans les meilleurs délais tout événement lié à la sécurité. Un point unique de contact (par exemple le service desk) et une procédure formelle de signalement sont organisés pour mettre en œuvre une action rapide et efficace. Une cote de sévérité (1 = haut, 2 = moyen, 3 = bas) est attribuée à chaque incident afin de déterminer rapidement les niveaux d urgence et d escalade dans le traitement de l incident. 9.3 FINALITÉ Signaler, dans les meilleurs délais, les incidents liés à la sécurité. S assurer que, si un incident de sécurité survient, les actions adéquates seront posées, les intervenants appropriés seront contactés et, le cas échéant, les informations nécessaires à la tenue d une enquête seront enregistrées. Jauger de l efficacité des mesures de sécurité mises en œuvre. 9.4 OUTPUTS Rapport d incident (annonce, cause, éradication) Procédure de remontée d informations et de réponses pour l incident ou le problème lié à la sécurité qui a été annoncé Propositions de mise en œuvre de nouvelles mesures préventives Statistiques par critères (ex : Violation d accès, vol d équipements, accident avec blessures, etc..) des incidents de sécurité traités 9.5 RESSOURCES (RACI) Activités DG M DI CSI RSSI Sup. Aud. Détection et enregistrement de l incident ou du problème de sécurité signalé, attribution d une priorité Investigation et diagnostic Résolution, éradication ou enclenchement d une procédure d escalade Contrôle et suivi de la résolution et du retour à la normale Analyse post mortem des causes de l incident ou du Claude Maury Page 23 sur 29

24 problème de sécurité Proposition d amélioration et remontée de l information Fermeture de l incident ou du problème de sécurité Méthodes, référentiels et outils utilisés : ITIL et ISO Gestion des incidents et des problèmes? ISO Chap. 13 Gestion des incidents liés à la sécurité? MSST et SUVA? 9.6 MÉTRIQUES Sujet Nombre d incidents de sécurité annoncés au service desk Nombre d incidents résolus liés à la sécurité Nombre d incidents de sécurité traités en dehors de la procédure d annonce Nombre d incidents de sécurité ayant généré une ou plusieurs nouvelles mesures préventives Temps moyen de résolution des incidents liés à la sécurité Nombre d incidents de sécurité ayant amené un arrêt de service ou un arrêt de travail Objectif 95% des incidents survenus 100% des incidents annoncés Ne doit pas dépasser n% du nb d incidents de sécurité dûment signalés Mesuré selon SLAs si elles existent 9.7 INDICATEURS Indicateurs Incidents de sécurité dans les locaux sensibles (contrôle des accès physiques) Historique des incidents de sécurité globaux dans les locaux sensibles (contrôle des accès physiques) Historique des incidents de sécurité par type dans les locaux sensibles (contrôle des accès physiques) Perte de mots de passe Vol et perte des équipements mobiles Traitement des incidents et des problèmes de sécurité Attaques subies Objectifs Suivre le taux de perte et vol des équipements mobiles A.13.1 Objectif : Garantir que le mode de notification des événements et failles liés à la sécurité de l information permette la mise en œuvre d une action corrective, dans les meilleurs délais (ISO 27001) 9.8 PROPRIÉTAIRE DU SOUS PROCESSUS Le RSSI Claude Maury Page 24 sur 29

25 10 CARTE D IDENTITÉ O4 AUDIT ET SURVEILLANCE 10.1 INTRODUCTION L'objectif principal de la surveillance est de faciliter l'identification d événements suspects se produisant, qui peuvent être le signe d'activités malveillantes ou d'erreurs de procédure. Les objectifs de l audit sont de vérifier la conformité aux exigences de sécurité définies dans la politique de sécurité de l entreprise et de donner confiance aux parties prenantes. Il est important de spécifier dans les objectifs que ce sont les fonctionnements des mesures de sécurité qui sont audités, pas les compétences des personnes. Un audit n est pas une analyse des risques. Il faut considérer chaque audit comme une opportunité d amélioration de la sécurité DÉFINITION La surveillance est une mesure proactive permettant détecter un événement de sécurité avant, pendant, ou immédiatement après qu'il ait eu lieu, afin de fournir aux personnes concernées les informations requises pour répondre efficacement à cet événement et en limiter ses conséquences. L audit est un processus systématique, indépendant et documenté en vue d'obtenir des preuves d'audit et de les évaluer de manière objective pour déterminer dans quelle mesure les critères d'audit sont satisfaits (Source ISO 19011). On distingue deux types d audits : 1) Les audits internes, parfois appelés audits de première partie, qui sont réalisés par une ou plusieurs personnes de l entreprise pour une revue de direction ou d autres besoins internes. Ils peuvent servir de base à l auto déclaration de conformité aux règles et mesures de sécurité de l entreprise. 2) Les audits externes qui sont réalisés par des organismes d audit externes et indépendants mandatés par l entreprise FINALITÉ Pour la surveillance, les logs et main courantes constituent le point de départ d'une solution de surveillance de la sécurité. Cependant, ils ne fournissent pas suffisamment d'informations pour planifier les réactions face aux incidents. Ils peuvent être associés à d'autres technologies de collecte et de recherche d'informations afin de former la base d'une solution complète de surveillance de la sécurité et de détection des attaques. Pour l audit, il s agit de définir les non conformités du fonctionnement de la sécurité par des preuves factuelles entre la politique de sécurité et les procédures mises en œuvre et entre les procédures et les consignes ou pratiques réelles de travail OUTPUTS Rapport des événements de sécurité mis en évidence par les logs et main courantes de surveillance et propositions de résolution de ces incidents. Rapport d audit présentant les procédures et pratiques de sécurité qui fonctionnent bien et celles qui fonctionnent mal ou ne fonctionnent pas Claude Maury Page 25 sur 29

26 Fiches d écarts (non conformités) par rapport aux critères d audit permettant de définir et de prendre les actions correctives qui vont supprimer les causes de dysfonctionnements constatés. En plus des non conformités décrites, les fiches indiquent une graduation des non conformités : Majeure : Les mesures de sécurité prévues ne fonctionnent pas du tout ou contrairement aux mesures prévues Mineure : Les mesures de sécurité prévues fonctionnent partiellement Remarque : Possibilité d amélioration de la sécurité 10.5 RESSOURCES (RACI) Activités DG M DI CSI RSSI Sup. Aud. Mise en œuvre et paramétrage de logs et de maincourante pour la surveillance Analyse périodique des logs et main courantes et propositions correctives Définir l objectif et le périmètre de l audit, et les exclusions du périmètre Collecte de la documentation nécessaire à l audit, préparation des fiches, check lists, etc. à procurer Sélection des personnes participant au déroulement de l audit Calendrier et conduite des interviews d audit Présentation et validation par les personnes interviewées des fiches d écart Préparation du rapport d audit, synthèse des fiches d écart et propositions d amélioration Présentation du rapport d audit et plan d actions à mettre en œuvre Méthodes, référentiels et outils utilisés : ISO et ISO Lignes directrices pour l audit des systèmes? MSST? Outils de journalisation? 10.6 MÉTRIQUES Sujet Nombre d incidents et de tentatives d attaques mensuelles identifiées dans les logs et main courantes Nombre d audits effectué par rapport au nombre d audits prévu Nombre de fiches d écart par audit Objectif Claude Maury Page 26 sur 29

27 10.7 INDICATEURS Indicateurs Tenue des réunions du CSI Contrôle des accès aux applications Tests de vulnérabilité Objectifs S assurer du bon fonctionnement du CSI 10.8 PROPRIÉTAIRE DU SOUS PROCESSUS Le CSI Claude Maury Page 27 sur 29

28 11 CARTE D IDENTITÉ O5 PROPOSITIONS DES AMÉLIORATIONS 11.1 INTRODUCTION La gestion de la sécurité est un processus dans lequel il est nécessaire d y apporter une amélioration constante. Spécialement dans le traitement de l information où les techniques d attaques évoluent constamment, il est important d anticiper les scénarios possibles, sans pour autant attendre les résultats d un audit de sécurité ainsi que ceux de l analyse de risques périodique. Les propositions d améliorations peuvent venir de différentes sources qui sont : Une nouvelle non conformité technique ou légale ayant un impact sur les conditions de sécurité des résultats d un audit de sécurité et de son analyse de risques de la mise en œuvre ou de la cessation d une activité métier de l entreprise du processus de gestion des changements des conditions nouvelles (politiques, environnementales, technologiques, etc.) pouvant ou ayant un impact potentiel sur la sécurité de l entreprise 11.2 DÉFINITION Le processus de gestion de la sécurité doit adopter une approche méthodique et coordonnée à l amélioration de la sécurité. Cette approche doit être en phase avec la politique de sécurité de l entreprise. Ce processus nécessite une communication et une collaboration constante entre les métiers et le responsable de la sécurité. L utilisation de moyens tels que boîtes à suggestions, cercles de qualité, groupes d utilisateurs, conférences ou séminaires peuvent être un apport supplémentaire à ce processus FINALITÉ Apporter une amélioration constante à la sécurité des bâtiments, du service informatique et du personnel de l entreprise OUTPUTS Projet ou requête d amélioration d une mesure de sécurité existante Projet pour une nouvelle mesure de sécurité à mettre en œuvre Procès verbaux concernant les mesures d amélioration refusées 11.5 RESSOURCES (RACI) Etablir la requête d amélioration Activités DG M DI CSI RSSI Sup. Aud. Quantifier les moyens nécessaires pour la mise en œuvre de la proposition (ressources, équipements, formation, et coûts) Approbation pour la mise en œuvre de l amélioration proposée Suivi de la mise en œuvre (processus de gestion des changements) Claude Maury Page 28 sur 29

29 Méthodes, référentiels et outils utilisés :? 11.6 MÉTRIQUES Sujet Nombre de propositions d améliorations de sécurité acceptées et mises en œuvre Nombre de propositions d améliorations refusées Objectif 11.7 INDICATEURS Indicateurs Mise en conformité aux recommandations de l audit ICF Objectifs Établir l état d avancement de mise en conformité avec les recommandations de l audit de l ICF 11.8 PROPRIÉTAIRE DU SOUS PROCESSUS Le RSSI Claude Maury Page 29 sur 29