Stratégies de sécurité ISO27001

Transcription

1 HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Stratégies de sécurité ISO27001 Conférence DPM sécurité des SI Marriott Champs-Elysées Paris, 13 juin 2007 Hervé Schauer Hervé Schauer

2 Cahiers Oxford Sommaire Roue de Deming ISO Ensemble des normes ISO ISO : gestion du risque SSI ISO et ITIL Conclusion Les transparents seront disponibles sur 2 / 26

3 Cahier Oxford 1/2 Cahiers Oxford Etudiant en vente lors de chaque rentrée «la spirale de l'excellence» Reproduit avec l'aimable autorisation du Groupe Hamelin 3 / 26

4 Cahier Oxford 2/2 Rappel aux élèves de ce qu'est un système de management Pour travailler intelligemment Reproduit avec l'autorisation du Groupe Hamelin 4 / 26

5 Roue de Deming 1/2 William Edwards Deming Scientifique américain Inventeur des principes de la qualité Reconstructeur du Japon par l'application de ces principes à partir de 1950 Walter Andrew Shewhart Statisticien américain Inventeur de la roue de Deming Que Deming appellait roue de Shewhart et qu'il lui a emprunté en 1922 Organisation Système de Management Action Do Planification Plan Vérification Check Correction Act 5 / 26

6 Roue de Deming 2/2 Principes de la qualité Systèmes de management : de la qualité (SMQ) : ISO 9001:2002 environnemental (SME) : ISO 14001:2004 de la santé et la sécurité au travail (SMSST) : OHSAS 18001:1999 de la sécurité de l'information (SMSI) : ISO/IEC 27001:2005 de la sécurité alimentaire (SMSA) : ISO 22000:2005 des services informatiques des organismes : ISO 20000:2005 Issu d'itil de la sureté pour la chaîne d'approvisionnement : ISO 28000: / 26

7 ISO : Documentation 1/5 5 chapitres qui construisent le SMSI : Annexe A : mesures de sécurité 5 : Responsabilité de la direction : Mise en oeuvre et fonctionnement du SMSI 6 : Audits internes du SMSI Do Check : Etablissement du SMSI Plan 4: SMSI PDCA : Surveillance et réexamen du SMSI 8 : Amélioration du SMSI Act : Mise à jour et amélioration du SMSI 7 : Réexamen du SMSI par la direction 7 / 26

8 ISO : Documentation 2/5 Qualité pour la sécurité de l'information Référentiel précis et auditable Apporte la confiance Confiance business 5 : Responsabilité de la direction : Mise en oeuvre et fonctionnement du SMSI 6 : Audits internes du SMSI Do Check : Etablissement du SMSI Plan 4: SMSI PDCA : Surveillance et réexamen du SMSI 8 : Amélioration du SMSI Act : Mise à jour et amélioration du SMSI 7 : Réexamen du SMSI par la direction 8 / 26

9 Attentes et exigences en terme de sécurité Partenaires Fournisseurs ISO Organisation Système de Management de la Sécurité de l'information Planification Plan 3/5 Sécurité effective fournie Partenaires Fournisseurs Clients Pouvoirs publics Action Do Correction Act Clients Pouvoirs publics Services Vérification Check Services 9 / 26

10 ISO /5 Amélioration continue Ce qui n'a cessé de manquer à la SSI depuis son existence Universalité et complétude Pas d'existence de stratégie concurrente Inclus une méthodologie d'appréciation des risques Dialogue et communication Compréhensible par la direction générale Compréhentions mutuelles Facilite l'implication des métiers Certification Tiers indépendant prouve que vous avez fait ce que vous avez dit 10 / 26

11 ISO /5 Processus d'amélioration continue pas un niveau de sécurité Application de mesures de sécurité Pour réduire de vrais risques Sur de vrais actifs Avec une vraie valeur Même si vous faites une rétro analyse au départ pas des cases à cocher bêtement sans savoir pourquoi Politique du SMSI ou politique de sécurité = doctrine 2 à 4 pages de vision réellement approuvées par le comité de direction 11 / 26

12 Série des normes ISO Exigences usage obligatoire dans la certification ISO SMSI ISO Certification de SMSI ISO Vocabulaire ISO (17799) Mesures de sécurité ISO Télécom Déclinaisons sectorielles 2005 Guides usage facultatif 2009 ISO Implémentation ISO Indicateurs SMSI ISO Audit de SMSI 2008 ISO Gestion de risque / 26

13 ISO par rapport à ISO ISO ISO (anciennement ISO 17799) Articles ou Clauses ET Mesures de sécurité Controls (Annexe A) Description détaillée des mesures de sécurité 13 / 26

14 ISO /10 Guide de mise en oeuvre de la partie appréciation des risques de la sécurité de l'information de l'iso ISO c) à f) 4), plus d) soit 1 page + 3 ou 4 lignes Etat : FCD, publication prévue début 2008 ISO pages 14 / 26 ISO c) f) ISO pages normatives, chap 1 à pages d'annexes A à E

15 Historique Managing and planning IT security ISO TR CRAMM CCTA Risk Assessment and Management Method ISO PD 3002 Guide to BS7799 Risk Assessment Techniques for the management IT security Selection of safeguards ISO TR ISO TR et puis 2002 BS Guidelines for information security Risk Assessment 1997 puis ISO /10 Information security risk management EBIOS Et d'autres influences diverses ISO / 26

16 ISO /10 Rappel : norme = consensus entre les acteurs du marché Ne peut être plus complet que toutes les méthodes qui l'on précédé Représente le noyau commun accepté par tous Peut être complété en allant rechercher ailleurs Méthodes d'analyse de risques existantes Peuvent continuer à évoluer et innover Peuvent contribuer à l'amélioration de la norme ISO Peuvent complèter la norme : MEHARI par son questionnaire EBIOS dans l'évaluation des actifs ou le calcul des risques Certaines méthodes pourront se dire "conformes à la norme ISO 27005" 16 / 26

17 17 / 26 ISO Méthodologie complète Structure sa démarche Autonome Correspond strictement au respect de l'iso Nécessaire pour la mise en place d'un SMSI Nécessaire pour une certification Entre dans la gestion de risque en général Normalisations ISO de tous les types de risques : financiers, industriels, routiers, santé Vocabulaire Compréhensible Proche du langage courant 4/10

18 ISO Définition d'un processus (6) p7 Continu et qui s'améliore, donc PDCA Principe de la reproduction du PDCA général du SMSI à chaque processus dans le SMSI Processus de gestion de risque de la sécurité de l'information (information security risk management process) Processus applicable à tous le SMSI ou à un sous-ensemble 5/10 Inclus une étape pour prendre en compte les coûts et mettre la direction devant ses responsabilités 18 / 26

19 ISO (6) p7 Identifier les risques Plan Quantifier chaque risque par rapport aux conséquences que sa matérialisation pourrait avoir sur le business à sa probabilité d'occurrence (likelihood) Identifier les actions appropriées pour réduire les risques identifiés à un niveau acceptable 6/10 Implémenter les actions Do pour réduire les risques Eduquer la direction et le personnel sur les risques et les actions prises pour les atténuer Rectifier le traintement du risque à la lumière des évènements et des changements de circonstances Améliorer le processus de gestion du risque Act 19 / 26 Surveiller et réexaminer les résultats, l'efficacité et l'efficience du processus Check

20 ISO (6) p8 Décomposé en deux activités séquencielles et itératives Approche itérative Améliore la finesse de l'analyse à chaque itération Garanti une appréciation des risques élevés Minimise le temps et l'effort consenti dans l'identification des mesures de sécurité Appréciation des risques satisfaisante? Passer au traitement du risque Appréciation du risque (risk assessment) Appréciation satisfaisante? oui non Traitement du risque (risk treatment) 7/10 20 / 26

21 ISO /10 Approche itérative ou cyclique Permet d'avancer avec des Interlocuteurs absents ou incapables de savoir ou qui refusent de répondre Livrables incomplets Incapacité du management de se prononcer sur l'approbation des risques résiduels sans connaître d'abord les coûts associés Facilite la gestion des susceptibilités et des aspects politiques entre Interviewvés Actifs et processus métier Appréciation du risque (risk assessment) Appréciation satisfaisante? oui non Traitement du risque (risk treatment) Facilite les liens entre les risques et les impacts sur les processus métier 21 / 26

22 ISO /10 Appréciation du risque (8) Analyse des risques Mise en évidence des composantes des risques Estimation de leur importance : méthode de calcul laissée libre Evaluation des risques Analyse d'ensemble et prise de décision sur les risques Traitement du risque (9) Sélection des objectifs et mesures de sécurité pour réduire le risque Refus, transfert ou conservation du risque Acceptation du risque (10) Approbation par la direction des choix effectués lors du traitement du risque Communication du risque (11) 22 / 26

23 ISO (6) p8-9 10/10 n 1 Assez d'éléments pour déterminer les actions nécessaires à la réduction des risques à un niveau acceptable? n 2 Risque acceptable? Communication à la hiérarchie et aux équipes opérationnelles à chaque étape Risque identifié utile immédiatement à la gestion des incidents Communication du risque Etablissement du contexte Appréciation du risque Analyse de risque Identification du risque Estimation du risque Evaluation du risque Appréciation satisfaisante? Risque acceptable? oui Traitement du risque oui non Traitement du risque Surveillance et réexamen du risque 23 / 26

24 Utilisateurs Clients (internes) 24 / 26 ISO et ITIL Fourniture de services Service Delivery Gestion des niveaux de service Service Level Management Soutien de services Service Support Centre de Services Service Desk Gestion financière Gestion de la disponibilité Gestion de la continuité Gestion des capacités Gestion des incidents Gestion des problèmes Gestion des changements Gestion des mises en production Gestion des configurations 1/2 CDB CMDB

25 ISO et ITIL Utilisez l'interface sécurité avec ITIL Propriétaire du SMSI Propriétaire du processus ITIL sécurité ITIL utile à l'exploitation et l'amélioration d'un SMSI Gestion des configuration et CMDB utiles à l'inventaire des actifs secondaires (4.2.1.d) Suivi des actions correctives Gestion des changements et CAB utiles à l'approbation par le management... SMSI ISO : transforme chaque processus ITIL en PDCA Et référence l'iso tremplin à saisir Gestion de la sécurité 2/2 25 / 26

26 Conclusion Bonne stratégie SSI adopter les pratiques performantes ISO est la bonne pratique pour gérer la SSI Amélioration continue Référenciel universel et complet (cf ISO 27005) Structure sa manière de travailler Accessible à tous car n'impose aucun niveau de sécurité Seul référenciel sécurité pris en compte dans les autres métiers et règlements ISO est votre stratégie SSI Questions? ISO à son club! Paris, Toulouse, ITIL, fr 26 / 26