Système de Management de la Sécurité de l'information

Dimension: px

Commencer à balayer dès la page:

Download "Système de Management de la Sécurité de l'information"

Dorothée Vachon
il y a 6 ans
Total affichages :

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Système de Management de la

1 HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Système de Management de la Sécurité de l'information ISO27001 Conférence "Droit de l'informatique et des Nouvelles Technologies" Paris, 8 novembre 2007 Hervé Schauer Hervé Schauer <Herve.Schauer@hsc.fr>

2 Cahiers Oxford Sommaire Roue de Deming ISO Ensemble des normes ISO Pourquoi l'iso pour la SSI? Pourquoi l'iso pour le droit? Apparition des normes Conclusion Les transparents seront disponibles sur 2 / 21

3 Cahier Oxford 1/2 Cahiers Oxford Etudiant en vente lors de chaque rentrée «la spirale de l'excellence» Reproduit avec l'aimable autorisation du Groupe Hamelin 3 / 21

4 Cahier Oxford 2/2 Rappel aux élèves de ce qu'est un système de management Pour travailler intelligemment Reproduit avec l'autorisation du Groupe Hamelin 4 / 21

5 Roue de Deming 1/2 William Edwards Deming Scientifique américain Inventeur des principes de la qualité Reconstructeur du Japon par l'application de ces principes à partir de 1950 Walter Andrew Shewhart Statisticien américain Inventeur de la roue de Deming Que Deming appellait roue de Shewhart et qu'il lui a emprunté en 1922 Organisation Système de Management Action Do Planification Plan Vérification Check Correction Act 5 / 21

6 Roue de Deming 2/2 Principes de la qualité Systèmes de management : de la qualité (SMQ) : ISO 9001:2002 environnemental (SME) : ISO 14001:2004 de la santé et la sécurité au travail (SMSST) : OHSAS 18001:1999 de la sécurité de l'information (SMSI) : ISO/IEC 27001:2005 de la sécurité alimentaire (SMSA) : ISO 22000:2005 des services informatiques des organismes : ISO 20000:2005 Issu d'itil de la sureté pour la chaîne d'approvisionnement : ISO 28000: / 21

7 ISO : Documentation 1/3 Norme 5 chapitres qui construisent le SMSI Annexe A : mesures de sécurité 5 : Responsabilité de la direction : Mise en oeuvre et fonctionnement du SMSI 6 : Audits internes du SMSI Do Check : Etablissement du SMSI Plan 4: SMSI PDCA : Surveillance et réexamen du SMSI 8 : Amélioration du SMSI Act : Mise à jour et amélioration du SMSI 7 : Réexamen du SMSI par la direction 7 / 21

8 ISO /3 Application de la qualité pour la sécurité de l'information Système de Management de la Sécurité de l'information (SMSI) Référentiel précis et auditable Apporte la confiance Confiance business 8 / 21

9 Attentes et exigences en terme de sécurité Partenaires Fournisseurs ISO Organisation Système de Management de la Sécurité de l'information Planification Plan 3/3 Sécurité effective fournie Partenaires Fournisseurs Clients Pouvoirs publics Action Do Correction Act Clients Pouvoirs publics Services Vérification Check Services 9 / 21

10 Série des normes ISO Exigences usage obligatoire dans la certification ISO SMSI ISO Certification de SMSI ISO Vocabulaire 2009 Guides usage facultatif 2010 ISO Audit de SMSI ISO ISO (17799) ISO Mesures de sécurité Gestion de risque 2009 ISO Implémentation 2008 ISO Métrage & métriques 10 / 21

11 Pourquoi l'iso pour la SSI? 1/3 Amélioration continue Gestion du temps Ce qui n'a cessé de manquer à la SSI depuis son existence Universalité Pas de concurrence Applicable à tous les métiers, à tous les secteurs d'activité Applicable à toutes les tailles d'entreprises ou de périmètres Complétude Méthodologie d'appréciation des risques Méthodologie de contruction d'indicateurs / 21

12 Pourquoi l'iso pour la SSI? 2/3 Construit un processus Processus d'amélioration continue pas un niveau de sécurité Donc accessible à tous Application de mesures de sécurité pertinentes Pour réduire de vrais risques Sur de vrais actifs Avec une vraie valeur Même si vous faites une rétro analyse au départ Pas des cases à cocher bêtement sans savoir pourquoi 12 / 21

13 Pourquoi l'iso pour la SSI? 3/3 Dialogue et communication Compréhensible par la direction générale Facilite l'implication des métiers Permet à la SSI d'entrer dans la gouvernance comme le reste Lien avec les processus ISO (ITIL) pour la production informatique Meilleure lisibilité de la SSI et du rôle du RSSI Compréhentions mutuelles 13 / 21

14 Pourquoi l'iso pour le droit? 1/6 Plan Pour mieux respecter la loi (extraits non-exhaustifs) : Identifier les législations en vigueur (5.2.1.c) (A ) Définir une politique de sécurité tenant compte des exigences légales (4.2.1.b.2) Utiliser une méthodologie d'appréciation du risque adaptée aux exigences légales (4.2.1.c.1) Sélectionner les mesures de sécurité pour respecter les obligations légales (4.2.1.g) (3.16) Do Appliquer la législation en matière de données nominatives (A ) Collecter les preuves suite à un incident de sécurité conformément aux dispositions légales (A ) 14 / 21

15 Pourquoi ISO pour le droit? 2/6 Check Pour mieux respecter la loi (suite) : Maîtriser les enregistrements conformément à la loi (4.3.3) Réexaminer l'appréciation des risques en tenant compte des modifications apportées à la législation (4.2.3.d.6) Vérifier la conformité à la légistation applicable lors des audits internes (6.a) Vérifier lors de la revue de direction les changements législatifs (7.3.c.4) 15 / 21

16 Pourquoi l'iso pour le droit? 3/6 Clarté des rôles et responsabilités respectifs Politique du SMSI ou politique de sécurité = doctrine 2 à 4 pages de vision réellement approuvées par le comité de direction Facilite l'engagement de la direction qui est indispensable Engagement formel de la direction lors de l'appréciation des risques sur le plan de traitement des risques Engagement devant être renouvellé formellement un fois par an Possibilité de délégation de responsabilité de la direction générale au RSSI plus claire, plus complète, mieux bornée 16 / 21

17 Pourquoi l'iso pour le droit? 4/6 Preuves et enregistrements Système de management preuves et enregistrement formels Génération d'indicateurs pour mesurer l'efficacité Audits internes Réunions de réexamen régulières Application de mesures correctives Revue annuelle par la direction générale Constitution des dossiers de preuves et de préjudice plus facile et leur contestation beaucoup plus difficile 17 / 21

18 Pourquoi l'iso pour le droit? 5/6 Certification Tierce partie indépendante certifie que vous appliquez la norme Cela prouve que vous avez fait ce que vous avez dit et réciproquement que vous dites ce que vous faites Reconnaissance internationale par l'accréditation des certificateurs par les organismes d'état Présomption de fiabilité devant les tribunaux Autorité d'accréditation Accrédite Organisme de certification Certifie Organisation souhaitant être certifiée 18 / 21

19 Pourquoi l'iso pour le droit? 6/6 ISO : Norme homologuée en France Norme homologuée : Norme française ayant fait l'objet de la procédure officielle d'approbation et de publication prévue par le décret modifié, fixant le statut de la normalisation et par la directive relative à l'établissement des normes du 7 novembre 1994 du ministre chargé de l'industrie. Elle peut servir de référence dans une réglementation, un marché public, une marque NF. L'homologation confère à la norme son caractère officiel et national. Une norme homologuée peut être rendue obligatoire à l'appui d'une réglementation notamment dans les domaines de la sécurité, de la santé et de l'environnement. 19 / 21

20 20 / 21 Apparition des normes Journal officiel de l'union européenne du 25/03/2005, l'annexe du règlement (CE) n 1663/95 est modifiée comme suit : d!celexnumdoc&numdoc=32005r0465&lg=fr 6 vi) la sécurité des systèmes d'information se fonde sur les critères établis dans une version applicable, pour l'exercice financier concerné, de l'une des normes reconnues sur le plan international ci-après : - Norme de l'iso / Norme britannique BS BSI (système de sécurité allemand) - ISACA COBIT Appel d'offre du dossier médical personnel, 28/07/2005, annexe "Sécurité" m p.org/docs/annexes.pdf La présente annexe défini les objectifs de sécurité et les exigences fonctionnelles de sécurité que les hébergeurs de DMP devront respecter. Elle s'appuie en particuliers sur la norme ISO17799:2005 et la future norme ISO27001 (basée sur la BS7799-2:2002).

Conclusion ISO 27001 est la norme incontournable et centrale pour gérer la SSI Amélioration continue Référenciel universel et complet Structure sa manière de travailler Améliore sa situation

21 Conclusion ISO est la norme incontournable et centrale pour gérer la SSI Amélioration continue Référenciel universel et complet Structure sa manière de travailler Améliore sa situation juridique Seul référenciel sécurité pris en compte dans les autres métiers et règlements Questions? ISO à son club! Paris, Toulouse, ITIL, fr 21 / 21

Documents pareils

SMSI et normes ISO 27001

SMSI et normes ISO 27001 introduction et perspectives Conférence "SMSI et normes 27001" 21 novembre 2007 Hervé Schauer Eric Doyen Sommaire Cahiers Oxford (publicité) Roue de Deming ISO 27001 Ensemble des