Service d Accompagnement ICE en vue d une

Transcription

1 Innovation and Consulting in Engineering IT Security Department Service d Accompagnement ICE en vue d une Certification Livre Blanc ISO Référence I.C.E : OS-ICE/SN/57/07/07/2010/v-01 Version v1.0 Date : 07/07/2010 Tous les droits de reproduction et de représentation sont réservés et la propriété exclusive de ICE. L utilisation, la reproduction, la transmission, modification, ou rediffusion dans le cadre d une utilisation à caractère commercial ou non lucratif sont formellement interdites sans l autorisation préalable et écrite de ICE. [email protected] - ww.ice-innov.com

2 SOMMAIRE SOMMAIRE... 2 PREAMBULE ) LA METHODOLOGIE ) A PROPOS DE ELSAG-DATAMAT ) A PROPOS DU LOGICIEL D ANALYSE DES RISQUES «MIGRA» ) ACTION PILOTE ) OFFRE TECHNIQUE ET FINANCIERE POUR MISSION... 7 ICE Référence I.C.E : OS-ICE/SN/56/06/07/2010/v-01 Page 2 / 7

3 Préambule La certification ISO confère à l organisme qui la détient de nombreux avantages : Elle rassure ses partenaires et ses clients quant à la sécurisation de son système d information sur les plans aussi bien logique et technique qu organisationnel, selon les normes de sécurité internationales les plus actuelles. Elle conforte l image de marque de l organisme et renforce la confiance placée en lui. Oblige à une vigilance continue de nature à préserver la sécurité au sein de l organisme et la pérennité de ses activités. Si bien qu un organisme certifié ISO jouit d une image nettement plus avantageuse auprès de ses partenaires et de ses clients. Ce qui est de nature à lui procurer une nouvelle valeur ajoutée. Actuellement, en Tunisie, rares sont les entreprises disposant d une telle certification. La société «Innovation & Consulting in Engineering (ICE)» forte de son expérience en tant que bureau certifié par l Agence Nationale de Sécurité Informatique (ANSI) en matière d Audit Sécurité des Systèmes d Information (ainsi que celle de ses ingénieurs certifiés ISO27001 Lead Auditor), forte également de ses activités en qualité de bureau disposant de solutions innovantes en la matière, lance, en étroite collaboration avec son partenaire européen, une nouvelle gamme de services en faveur des organismes qui souhaite dans l objectif de les accompagner et les assister en vue d une certification ISO ICE Référence I.C.E : OS-ICE/SN/56/06/07/2010/v-01 Page 3 / 7

4 1) La Méthodologie La méthodologie proposée par ICE comporte les phases suivantes : Phase 1 : Définition du périmètre candidat à une certification. Il s agit d assister l organisme dans la définition du périmètre devant faire l objet d une certification ISO Phase 2 : Analyse des risques Cette phase consiste en l analyse des risques encourus par l organisme concerné, au moyen d un outil extrêmement performant (Logiciel MIGRA), développé par son partenaire européen Elsag-Datamat (E.D) du groupe Finmeccanica. Cette analyse porte aussi bien sur les risques logiciels que physiques et organisationnels. Cet outil est en outre doté de fonctionnalités permettant de vérifier automatiquement environ 60% des exigences à remplir pour l obtention de la certification ISO ; le restant des exigences en termes de conformité des procédures et processus est vérifié directement par l autorité de certification, après un audit spécifique auprès de l organisme concerné. L un des grands avantages de «MIGRA» est qu il permet d introduire virtuellement des améliorations à apporter, en matière de sécurité logicielle, organisationnelle et physique pour en ressortir les risques résiduels d une manière automatique. Si bien qu au moyen d approximations successives, il est possible d optimiser les investissements nécessaires pour que l organisme concerné remplisse le maximum de conditions exigées pour la certification ISO 27001! Les délais nécessaires pour cette phase dépendent bien entendu de la nature et de l importance du périmètre ou de l activité objet de la certification. Ils varient de deux semaines à trois mois, en moyenne. Phase 3 : Assistance dans la préparation du dossier de certification Elaboration du SMSI (Système de Management du Système d Information) Le groupement ICE-ED procède, en étroite collaboration avec les responsables désignés de l organisme concerné, à l établissement à partir des conclusions de ICE Référence I.C.E : OS-ICE/SN/56/06/07/2010/v-01 Page 4 / 7

5 la phase 2, d un ensemble de recommandations pertinentes, en vue d une certification ISO 27001, de même qu au suivi de la bonne mise en application effective de ces recommandations. Phase 4 : La certification proprement dite Le groupement ICE-ED procède à l accompagnement de l organisme dans le processus de certification. Cet accompagnement inclut, sur demande de l organisme concerné, le choix de l autorité de certification, de même que la préparation du dossier y afférent. Cette phase pourrait intervenir environ deux mois après l achèvement de la phase précédente. Une documentation plus détaillé concernant la méthodologie ainsi que le processus de certification peut être fournie sur demande. 2) A propos de Elsag-Datamat Finmeccanica est le premier groupe industriel italien du secteur des hautes technologies. Il opère dans les secteurs de l aéronautique, des hélicoptères, de l aérospatiale, de la défense, de l énergie et des transports. Il compte en son sein l entreprise Elsag-Datamat, partenaire de ICE, spécialisée entre autres en sécurité numérique. Avec plus de 4000 salariés et un milliard d euros de CA en 2008, Elsag Datamat représente le centre d excellence de Finmeccanica dans la conception, la réalisation et la commercialisation de produits, de solutions et de systèmes hautement innovants, pour l automatisation des services postaux et de l industrie, la sécurité IT, les transports, la défense, l aérospatiale et les technologies de l information et de la communication. 3) A propos du logiciel d analyse des risques «MIGRA» MIGRA est un outil Intégré pour l analyse des Risques de l Entreprise (Risques physiques, techniques et organisationnels) ICE Référence I.C.E : OS-ICE/SN/56/06/07/2010/v-01 Page 5 / 7

6 Développé par Elsag-Datamat pour assurer l analyse et la gestion des risques des ressources matérielles et informatiques, il définit un modèle de sécurité simple et intuitif et prend en compte la sécurité du contenant et du contenu. Cet outil est en outre capable d évaluer la sécurité physique, logique et organisationnelle selon les normes ISO27001/BS D ailleurs la liste des entreprises ayant reçu la certification ISO à travers une gestion des risques faite à l aide de MIGRA est longue. On peut en citer : Finmeccanica SpA Securteam Srl, E-Security SpA, SOGEI (Italian Treasury Department), ICCREA Bank, Marconi Selenia Communications (armement et défence), Etc. 4) Action pilote Le groupement ICE-ED offre la possibilité de réaliser un projet pilote sur un périmètre choisi par l organisme qui le souhaite de nature à permettre aux responsables et techniciens concernés de prendre connaissance avec «MIGRA» et apprécier ses performances. La réalisation de ce projet pilote se fait selon les conditions suivantes : i) Prise en charge par l organisme des frais de transport et de séjour d un expert «MIGRA», durant la période des tests. ii) Engagement de l organisme de faire appel au groupement ICE-ED pour une mission d analyse des risques utilisant MIGRA, en cas de satisfaction des résultats du projet pilote. Bien entendu une offre financière sera remise au préalable à l organisme concerné. Les frais du personnel et les autres frais, durant la période d essai, seront pris en charge par le groupement ICE-ED. ICE Référence I.C.E : OS-ICE/SN/56/06/07/2010/v-01 Page 6 / 7

7 5) Offre technique et financière pour mission L organisme qui en fait la demande recevra une offre technique et financière du groupement ICE-ED relative à une mission d accompagnement en vue d une certification ISO 27001, après définition du périmètre concerné. Contacts : Anis HAMMAMI, Téléphone : / , Mobile : , Fax : , Mail : [email protected] / [email protected] ICE Référence I.C.E : OS-ICE/SN/56/06/07/2010/v-01 Page 7 / 7