Mise en place d un SMSI selon la norme ISO Wadi Mseddi Tlemcen, le 05/06/2013

Transcription

1 Mise en place d un SMSI selon la norme ISO Wadi Mseddi Tlemcen, le 05/06/2013

2 2 Agenda Présentation de la norme ISO/IEC Eléments clé de la mise en place d un SMSI Situation internationale 2

3 3 Norme ISO/IEC Introduction La norme ISO/IEC : Technologies de l'information - Techniques de sécurité - Systèmes de management de la sécurité de l'information - Exigences Elle spécifie les exigences relatives à l'établissement, à la mise en œuvre, au fonctionnement, à la surveillance et au réexamen, à la mise à jour et à l'amélioration d'un SMSI documenté dans le contexte des risques globaux liés à l'activité de l'organisme Elle est destiné à assurer le choix de mesures de sécurité adéquates et proportionnées qui protègent les actifs et donnent confiance aux parties intéressées 3

4 4 Système de Management de la Sécurité de l Information ISO/IEC 27001, clause 3.7: SMSI : Partie du système de management global, basée sur une approche du risque lié à l activité, visant à établir, mettre en œuvre, exploiter, surveiller, réexaminer, tenir à jour et améliorer la sécurité de l information Note: Le système de management inclut l organisation, les politiques, les activités de planification, les responsabilités, les pratiques, les procédures,les processus et les ressources 4

5 Guides Vocabulaire Exigences Guides généraux d industrie 5 Famille ISO/IEC ISO Vocabulaire ISO Exigences SMSI ISO Exigences organisme de certification ISO ISO ISO ISO ISO Bonnes pratiques Guide de mise en œuvre Métriques Gestion des risques Guides d audit ISO ISO ISO 270XX Télécommunications Santé Autres 5

6 6 Norme ISO/IEC Caractéristiques Elle spécifie les exigences pour la gestion du SMSI (clause 4 à 8) Elle utilise le verbe doit «shall» pour établir les exigences L'annexe A : 11 clauses comportant 39 objectifs de sécurité et 133 mesures de sécurité de la norme ISO La seule norme de la famille ISO qui peut conduire à une certification 6

7 7 Norme ISO/IEC Avantages d utilisation (1/2) Pour l organisme: Conformité Introduction d un niveau de confiance entre les organismes Amélioration de l efficacité de la sécurité de l information Bonne gouvernance Sensibilisation et responsabilisation du personnel Implication de la direction Réduction des coûts (Return on Security lnvestment ou ROSI) Marketing Renforcement de la satisfaction clientèle Accès à de nouveaux marchés Augmentation des parts de marché Consolidation de la confiance de la clientèle, des fournisseurs et des partenaires 7

8 8 Norme ISO/IEC Avantages d utilisation (2/2) Pour le gouvernement : C est une ressource vitale pour établir des réglementations Pour la société : C est l assurance que les produits et services sont sûrs, fiables et de bonne qualité 8

9 9 Norme ISO/IEC Approche processus Clause 0.2 Plan / Planifier Etablir la politique, les objectifs, les processus et les procédures du SMSI relatifs à la gestion du risque et à l amélioration de la sécurité de l information conformément aux politiques et objectifs de l organisme Act / Agir Entreprendre les actions correctives et préventives, sur la base des résultats de l audit interne du SMSI et de la revue de la direction, ou d autres informations pertinentes pour une amélioration continue du SMSI SMSI Do / Déployer Mettre en œuvre et exploiter la politique, les mesures, les processus et les procédures du SMSI Check / Contrôler Evaluer et, le cas échéant, mesurer les performances des processus p/p à la politique, aux objectifs et à l expérience pratique et rendre compte des résultats à la direction pour réexamen 9

10 10 Norme ISO/IEC Structure Clause 5 Responsabilité de la direction Clause 6 Audits internes du SMSI Clause Etablissement du SMSI Clause Mise à jour et amélioration du SMSI Clause Mise en œuvre et fonctionnement du SMSI Clause 8 Amélioration du SMSI Clause Surveillance et réexamen du SMSI Clause 7 Revue Managériale Annexe A : Objectifs de sécurité et mesures de sécurité 10

11 11 Norme ISO/IEC Certification Un organisme qui demande la certification doit se soumettre à toutes les clauses définies dans les sections 4 à 8 d ISO 27001, déclarer les mesures de sécurité applicables et justifier les mesures non applicables de l annexe A dans la déclaration d applicabilité. 11

12 12 Agenda Présentation de la norme ISO/IEC Eléments clé de la mise en place d un SMSI Situation internationale 12

13 13 Etablissement du SMSI Clause a) Définir le domaine d application b) Définir une politique de SMSI c) Définir la méthodologie d appréciation du risque d) Identifier les risques e) Analyser et évaluer les risques f) Traiter les risques g) Choisir des mesures h) Approuver les risques résiduels i) Faire approuver le SMSI par la direction j) Rédiger la déclaration d applicabilité 13

14 14 Mise en œuvre du SMSI Clause Plan de traitement du risque Mise en œuvre des mesures Formation et sensibilisation Gestion du SMSI Gestion des incidents - Définir le plan (actions, ressources, responsabilités, priorités, objectifs) - Le mettre en œuvre - Mettre en œuvre les mesures de sécurité sélectionnées - Définir une méthode d évaluation de l efficacité des mesures sélectionnées Mettre en œuvre un programme de formation et de sensibilisation - Gérer les opérations du SMSI au quotidien - Gérer les ressources consacrées au SMSI Mettre en œuvre un processus de gestion des incidents pour les détecter et les traiter rapidement 14

15 15 Surveillance et réexamen du SMSI - Clause Surveillance et réexamen des procédures de détection et de prévention des événements de sécurité 6- Revue de direction et mise à jours des plans de sécurité 2- Réexamen régulier de l efficacité du SMSI en tenant compte des propositions et rétroactions des parties prenantes 5- Réalisation des audits internes 3- Evaluation de l efficacité des mesures de sécurité 4- Réexamen de l appréciation des risques 15

16 16 Mise à jour et amélioration du SMSI Clause a) Mettre en œuvre les améliorations identifiées du SMSI b) Entreprendre les actions correctives et préventives appropriées. Appliquer les leçons tirées des expériences de sécurité des autres organismes, ainsi que celles de l organisme concerné c) Informer toutes les parties prenantes des actions et améliorations, avec un niveau de détail approprié aux circonstances et, le cas échéant, convenir de la méthode à adopter d) S assurer que les améliorations permettent d atteindre leurs objectifs prévus 16

17 17 Responsabilité de la Direction Clause Implication de la direction Doit fournir la preuve de son implication dans le SMSI Mise à disposition des ressources Doit déterminer et fournir les ressources nécessaires par le SMSI Formation, sensibilisation & compétence Doit s assurer que le personnel à qui a été affecté les responsabilités définies dans le SMSI, a les compétences nécessaires pour exécuter les tâches requises 17

18 18 Audits internes du SMSI - Clause 6 L'organisation devra conduire des audits internes du SMSI à intervalles planifiés Un programme d'audit doit être planifié en tenant compte de l'état et de l importance des processus et des domaines à auditer, ainsi que des résultats des audits précédents 18

19 19 Revue managériale du SMSI - Clause 7 Eléments d entrée de réexamen Eléments de sortie du réexamen 1. Résultats d audits et des révisions du SMSI 2. Réactions des parties intéressées 3. Techniques, produits ou procédures que pourrait utiliser l organisme pour améliorer les performances et l efficacité du SMSI 4. Etat des actions préventives et correctives 5. Vulnérabilités ou menaces qui n ont pas été adéquatement assignées lors de l appréciation du risque précédente 6. Résultats des mesures de l efficacité 7. Actions de suivi issues des revues de direction précédentes 8. N importe quel changement pouvant affecter le SMSI 9. Recommandations d amélioration 1. Amélioration de l efficacité du SMSI 2. Mise à jour de l évaluation des risques et du plan de traitement des risques 3. Modification des procédures et mesures qui affectent la sécurité de l information 4. Besoins en ressources 5. Amélioration de la méthode d évaluation de l efficacité des mesures 19

20 20 Amélioration du SMSI - Clause 8.1 L'organisme doit améliorer en permanence l efficacité du SMSI en utilisant la politique en matière de sécurité de l information, la réalisation des objectifs en termes de sécurité de l information, les résultats d audit, l analyse des événements surveillés, les actions correctives et préventives et la revue de direction. 20

21 21 Quelques recommandations Eviter l'intégration de nouvelles technologies Intégrer le SMSI dans les processus existants Appliquer les principes de l amélioration continue Impliquer les parties prenantes de l organisme Obtenir le soutien de la direction Identifier et nommer formellement un responsable du Projet SMSI 21

22 22 Agenda Présentation de la norme ISO/IEC Eléments clé de la mise en place d un SMSI Situation internationale 22

23 23 Situation internationale (1/5) 20,000 ISO/IEC Worldwide total 18,000 16,000 14,000 East Asia and Pacific North America Middle East Europe 12,000 10, Central and South Asia Central / South America Africa 8,000 6, , , ,

24 24 Situation internationale (2/5) ISO/IEC Africa Year Country Algeria 1 Angola 1 1 Burundi 1 1 Congo, Republic of 1 1 Egypt Ethiopia 1 1 Ghana Kenya 1 1 Lesotho 1 1 Malawi 1 1 Mauritius Morocco Mozambique 1 1 Niger 1 2 Nigeria 5 Rwanda 1 1 Sierra Leone 1 1 South Africa Sudan 2 2 Tanzania, United Republic of 1 1 Tunisia 2 1 Uganda 1 1 Zambia Zimbabwe

25 25 Situation internationale (3/5) 100% ISO/IEC Regional share 90% 80% 18,4% 18,5% 23,5% 27,5% 30,7% 31,1% Europe 70% North America Middle East 60% East Asia and Pacific Central and South Asia 50% Central / South America Africa 40% 72,6% 71,8% 62,8% 57,2% 56,2% 55,2% 30% 20% 10% 0% 6,6% 6,7% 9,1% 10,1% 8,5% 8,5%

26 26 Situation internationale (4/5) Top five industrial sectors for ISO/IEC certificates Information technology Other Services Construction Electrical and optical equipment Wholesale & retail trade; repairs of motor vehicles, motorcycles & personal & household goods

27 27 Situation internationale (5/5) Top 10 countries for ISO/IEC certificates Japan India United Kingdom China Taipei, Chinese Romania Spain Italy Germany USA 313 Top 10 countries for ISO/IEC growth Japan Romania China United Kingdom India Italy Germany 67 8 USA 66 9 Slovakia Thailand 37 27

28 28 Questions & Réponses 28

29 29 Contact Wadi Mseddi Gérant et Associé Tel : / Fax : wmseddi@athena-experts.com Site Web: 29