HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet ISO 27001:2013

Transcription

1 HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet ISO 27001:2013 Comparatif avec la version 2005 Béatrice Joucreau Julien Levrard

2 Sommaire Comparaison des structures Synthèse des changements de fond Contexte de l'organisation (4) Leadership (5) Planification (6) Processus support (7) Évaluation de la performance (9) Amélioration (10) Certification 2 / 28

3 Comparaison des structures Ancienne structure 3 / 28

4 Comparaison des structures Nouvelle structure Structure imposée par l'appendice 1 de l'annexe SL du nouveau Supplément ISO consolidé des Directives ISO/CEI, partie 1 Plan plus logique, formulations plus générales Pas de mention explicite du PDCA, remplacé par «établir, implémenter, mettre à jour, améliorer» Pas d'encouragement à l'approche processus dans l'introduction, mais approche processus de fait Clauses 4 à 10 obligatoires 4 / 28

5 Comparaison des structures Comparaison des deux versions Clauses obligatoires : 4 à 8 4 Système de management de la sécurité de l'information Etablissement du SMSI Domaine d'application Politique Méthodologie d'appréciation du risque Appréciation des risques Traitement des risques Mise en œuvre et fonctionnement du SMSI Surveillance et réexamen du SMSI Mise à jour et amélioration du SMSI Clauses obligatoires : 4 à 10 4 Contexte de l'organisation 4.3 Domaine d'application 5 Leadership 5.2 Politique 6 Planification Appréciation des risques de sécurité de l'information Traitement des risques de sécurité de l'information 7 Support 7.5 Information documentée 8 Fonctionnement 9 Évaluation des performances 9.1 Surveillance, mesures, analyses et évaluation 9.2 Audit interne 9.3 Revue de direction 10 Amélioration 4.3 Exigences relatives à la documentation 5 / 28

6 Synthèse des changements de fond Fondation du SMSI Prise en compte accrue des parties prenantes Le périmètre considère tout le contexte, y compris les exigences LRC Leadership plus axé engagement, pilotage et management des personnes que «mise en œuvre» La politique inclut un engagement de la direction Processus du SMSI Risques et opportunités stratégiques : probabilité que le SMSI atteigne les résultats attendus L appréciation des risques est moins cadrée par la norme Sensibilisation précisée, fait l objet d un paragraphe entier Pas d indication sur la périodicité de la revue de direction, ni de l audit Pas de notion d action préventive au sens de la version 2005 Gestion des incidents pas abordée dans la norme, seulement dans l'annexe A 6 / 28

7 Contexte de l organisation (4) Nouveau chapitre 4 Contient Définition du contexte externe et interne (cf. ISO ) Définition des attentes et besoins des parties prenantes, y compris les LRC Dans l'audit interne, vérification de la conformité aux exigences propres au SMSI, et non plus vérification de la conformité aux exigences LRC Le périmètre tient compte du contexte et des exigences des parties prenantes Nécessité d un SMSI selon la présente norme Nouveautés Mise en valeur du contexte dans un chapitre spécifique Mise en valeur des attentes des parties prenantes Le périmètre découle explicitement du contexte de l'organisation et des exigences auxquelles l'organisation est soumise Il n'est plus spécifiquement indiqué de justifier les exclusions du périmètre 7 / 28

8 Contexte de l organisation (4) Contexte interne et externe Contexte externe (opportunités et menaces) (ISO ) Environnement social et culturel, politique, légal, réglementaire, financier, technologique, économique,naturel et concurrentiel Facteurs et tendances ayant un impact déterminant sur les objectifs de l'organisme Relations avec les parties prenantes externes, leurs perceptions et leurs valeurs Contexte interne (atouts et faiblesses) Culture, processus, structure, stratégie de l'organisme (ISO ) Comment fonctionnons-nous? Quels sont nos atouts et nos faiblesses? Comment le SMSI devra fonctionner pour s'intégrer à ce contexte? 8 / 28

9 Contexte de l organisation (4) Domaine d'application Contexte interne et externe qui influe sur la capacité à obtenir les résultats attendus du SMSI Diagnostic : situation actuelle. Risque qu'on n'atteigne pas les résultats + qu'on crée des effets de bord indésirables, même si les résultats sont atteints Besoins et attentes des parties intéressées Résultats attendus Contexte + besoins des parties intéressées Difficulté à atteindre les résultats attendus Périmètre Quel périmètre doit être inclus pour répondre aux besoins? Quel périmètre peut être inclus car on pourra répondre aux besoins? 9 / 28

10 Leadership (5) Chapitre 5 déjà existant modifié «responsabilités de la direction» -> «leadership» Changement de registre de vocabulaire pour les responsabilités des dirigeants S'assurer, diriger et soutenir, promouvoir, communiquer Et non plus Etablir, décider, déterminer, fournir, évaluer Demande à un responsable de s'assurer De la conformité du SMSI De son efficacité Rôle moteur pour l amélioration du SMSI 10 / 28

11 Leadership (5) Politique (5.2) La direction établit la politique de sécurité, mais ne la valide plus «Politique du SMSI» devient «politique de sécurité» Ne contient plus les critères de risques Ne contient plus les exigences légales, réglementaires et contractuelles Contient les objectifs de sécurité ou un cadre pour les définir Précise un engagement de la direction A satisfaire aux exigences applicables relatives à la sécurité A améliorer en continu le SMSI La politique n'est plus un document structurant du SMSI, sauf dans le cas où on y a défini le cadre pour définir les objectifs C'est un engagement formel de la direction à atteindre des objectifs et à améliorer la sécurité, vis-à-vis De l'organisation elle-même Des parties prenantes concernées 11 / 28

12 Planification (6) Chapitre Plan du SMSI Chapitre fondamental pour le SMSI 6.1 Actions liées aux risques et les opportunités Général Appréciation des risques de sécurité de l'information Traitement des risques de sécurité de l'information 6.2 Objectifs de sécurité de l'information et plans pour les atteindre Gestion des risques stratégiques et projet Gestion des risques de sécurité Gestion des mesures de sécurité 6.2 Objectifs de sécurité et plans 12 / 28

13 Gestion des risques stratégiques et projet (6.1.1) Nouveau thème, provient de l'annexe SL Prise en compte du contexte interne et externe pour la définition du périmètre Une fois que le périmètre est défini, lors du projet SMSI Le contexte permet de faire ressortir des risques (vulnérabilités en interne, menaces en interne et externe) sur l'atteinte des résultats Intégrer la gestion de ces risques dans le projet SMSI, afin de permettre ainsi d'atteindre les résultats attendus Planifier des actions pour traiter risques et opportunités Prévoir comment intégrer ces actions dans les processus du SMSI Évaluer l'efficacité de ces actions 13 / 28

14 Appréciation des risques de sécurité de l'information (6.1.2) Processus d'appréciation des risques Plus de méthode d'appréciation des risques Identifier les risques L'organisation doit définir et appliquer un processus d'appréciation des risques de sécurité de l'information qui [ ] c) identifie les risques de sécurité de l'information : applique le processus d'appréciation des risques de la sécurité de l'information pour identifier les risques [...] Le détail de comment réaliser l'appréciation des risques a disparu (actifs, menaces, vulnérabilités) Identifier les propriétaires des risques Analyser les risques Pas d'indication 14 / 28

15 Traitement des risques de sécurité de l'information (6.1.3) Processus de traitement des risques Choisir les options de traitement (non indiquées) Modifier la DdA, car l'annexe A change Choisir les mesures de sécurité nécessaires : depuis n'importe quelle source. Ne pas choisir les mesures de sécurité dans l'annexe A, mais comparer les mesures choisies à l'annexe A pour vérifier qu'aucune n'a été oubliée Autorisation de mettre en place le PTR et acceptation des risques résiduels donnée par le propriétaire des risques Traitement des risques (ISO 27000: ) Processus de sélection et de mise en œuvre des mesures visant à modifier le risque L'option de maintien du risque ne serait pas une option de traitement possible / 28

16 Objectifs de sécurité et plans pour les atteindre (6.2) Objectifs de sécurité et plans pour les atteindre Définir des objectifs de sécurité, en cohérence avec la politique Les objectifs prennent en compte Les résultats de l'appréciation des risques Les résultats du plan de traitement des risques Les exigences (parties prenantes, LRC...) Objectifs de sécurité déclinés pour les fonctions et niveaux pertinents Objectifs communiqués Définir des plans d'action pour atteindre les objectifs Plan d'action Opérationnel : responsables, actions, ressources, délais, évaluation des résultats des actions 16 / 28

17 Liens entre les processus centraux Auparavant, liens entre : Objectifs du SMSI + Politique du SMSI AdR PTR Mesures Maintenant, liens entre : Contexte Politique PTR Périmètre Objectifs AdR Exigences Plan d'actions opérationnel 17 / 28 DdA

18 Une vision possible Résultat attendu grâce au SMSI = apporter de la confiance aux parties prenantes } Exigences des parties prenantes Contexte Périmètre 18 / 28 AdR/PTR Objectifs de sécurité et plans pour les atteindre DdA

19 Points d'attention Possibilité de définir des objectifs préexistants au SMSI La DdA ne dépend que de l'adr et du PTR La DdA ne dépend pas des objectifs La DdA ne contient pas les mesures de sécurité qui répondent à des objectifs définis en dehors de l'appréciation des risques Position de l'implémenteur pour la DdA? Soit la fonder uniquement sur l'adr et le PTR Risque de ne pas prendre en compte des mesures de sécurité Soit la fonder aussi sur les objectifs donnés dans la politique Risque de non-conformité avec la norme 19 / 28

20 Gestion de la documentation (7) Chapitre beaucoup plus court que dans la version 2005 Plus de distinction entre documents et enregistrements Le terme «enregistrement» n'apparaît plus Utilisation du terme «information documentée» Liste des documents requis non reprise car détaillée au fil de la norme Les documents qui doivent faire partie du SMSI sont : tous ceux requis par la norme ceux nécessaires à l'efficacité du SMSI Mêmes documents, mais leur besoin est mieux justifié Procédures Requises pour pouvoir s'assurer que les processus ont été menés comme prévu 20 / 28

21 Ressources, compétences, sensibilisation, communication (7) Ressources Formulation beaucoup plus générale et plus courte Compétences Compétence des personnes qui peuvent affecter la sécurité Pas compétence des seuls acteurs du SMSI Sensibilisation Sensibilisation aux sanctions applicables en cas de non respect des exigences du SMSI Communication Nouveau processus Communication interne et externe (sur quoi, quand, avec qui, par qui...) 21 / 28

22 Évaluation des performances (9) Surveillance Pas de notion d'incidents de sécurité Toujours pas de notion explicite d'indicateurs Surveillance des mesures de sécurité et des processus Audit interne Pas de vérification de la conformité aux exigences LRC, ni aux exigences de sécurité Vérification de la conformité aux exigences propres au SMSI Les résultats d'audit doivent être remontés au management Pas d'indication sur le délai de mise en œuvre des actions correctives L'auditeur n'a pas à donner son avis sur le délai de correction Revue de direction Rien n'indique qu'elle doive être réalisée une fois par an Modification de forme des entrées/sorties 22 / 28

23 Amélioration (10) Les termes «action préventive» et «action corrective» ont disparu Ces actions existent toujours même si elles ne sont pas définies Actions d'ordre préventif : éliminer les causes d'une non-conformité, qu'elle se soit déjà produite ou non Actions d'ordre correctif : limiter les effets des non-conformités Définition différente de l'ancienne norme 23 / 28

24 Certification de SMSI Adaptation du SMSI Si approche clause par clause Mise à jour difficile Si approche processus de gestion de la sécurité Peu de changements à apporter Dans tous les cas Analyse d'écart nécessaire avant d'opérer des modifications 24 / 28

25 Certification de SMSI Modalités de transition Modalité de transition de la version 2005 à la version 2013 Définies par l'international Accreditation Forum Entreprises déjà certifiées ISO 27001:2005 Transition possible jusqu'au 1er octobre 2015 Avec un audit en août 2015 au plus tard Certification initiale ISO 27001:2005 Possible jusqu'au 1er octobre 2014 Avec un audit en juin 2014 au plus tard Certification initiale ISO 27001:2013 Déjà possible 25 / 28

26 Certification de personne Modalités de transition Examens sur la version 2013 Depuis le 2 janvier 2014 Provisional version 2005 certificat version 2005 Possible jusqu'au 30 juin 2014 Provisional version 2005 provisional version 2013 Transition impossible Provisional version 2005 certificat version 2013 Attestation de mise à niveau (formation d'une journée) Et demande de certificat Certificat version 2005 certificat version 2013 Demande expresse de nouveau certificat avec attestation de mise à niveau (formation) Ou transition lors de la surveillance / renouvellement avec preuve de mise à niveau (formation, prestation...) Suppression des registres et certificats version 2005 au 31 décembre / 28

27 Merci Questions? 27 / 28

28 Sources slide 13: Cauliflower Romanseco, by Sputnik GNU Free Documentation License slide 16 : Tarako spaghetti, by Ocdp License : slide 17 : Couple, group, people, users icon, by Everaldo Coelho License : slide 17 : Box, content, inventory icon, by Andy Gongea License : License: Free for commercial use slide 17 : Target, value icon, by IFA License : License: Free for commercial use slide 17 : Checklist, by Oliver Twardowski License : Free for commercial use (Include link to package) 28 / 28