L'approche Iso27001 au sein du Gie Systalians de Réunica Bayard Club Iso 27001 - Emmanuel GARNIER 21 novembre 2007
L approche Iso 27001 au sein du GIE Systalians SOMMAIRE Systalians : le Gie de Réunica Bayard La sécurité au sein de Systalians L ISO 27001 : de multiples raisons d y aller La démarche de mise en œuvre Un plan d action sur 2 ans : la certification pour début 2009 Conclusion 2
L approche Iso 27001 au sein du GIE Systalians SOMMAIRE Systalians : le Gie de Réunica Bayard La sécurité au sein de Systalians L ISO 27001 : de multiples raisons d y aller La démarche de mise en œuvre Un plan d action sur 2 ans : la certification pour début 2009 Conclusion 3
Systalians, le GIE informatique de Réunica Bayard Systalians : GIE de la protection sociale Né du rapprochement des groupes de protection sociale Réunica et Bayard Retraite Prévoyance Il a pour objet : de mettre en commun et de mutualiser, tant sur le plan technique que financier, les différents systèmes d informations spécifiques à chacun de ses membres ou communs à tout ou partie d entre eux, dans le but d en réduire leurs coûts, de concevoir, mettre en œuvre et gérer tous systèmes d informations pour ses membres, De fournir à ses membres les services et prestations de conseils associés Créé en juillet 2005, Systalians est entré en activité le 1er janvier 2006, date à laquelle l ensemble du personnel informatique du groupe Réunica Bayard a rejoint le GIE. 4
Systalians, le GIE informatique de Réunica Bayard Systalians, en quelques chiffres Effectifs : 350 personnes (dont 150 internes) Localisation : Courbevoie : Direction, Domaines Etudes, Intégration Usine Retraite, Achats, Contrôle de gestion, Sécurité, Esvres sur Indre : Domaines Etudes, Production, Méthodes Qualité, Sécurité Activité : Chiffre d affaires : 65,3 millions d euros Investissements : 6,3 millions d euros Volumes gérés (2006) : 3 000 postes de travail standards 230 serveurs Windows, UNIX, AS400, MVS de production Espace disque de production : 40 To 325 millions de transaction CICS sur le serveur central 25 000 appels au Service Desk (centre d accueil CATI) 17 000 demandes d intervention traitées 5
Systalians, le GIE informatique de Réunica Bayard Réunica Bayard Leader de la retraite complémentaire, 10ème groupe français en prévoyance, Groupe paritaire indépendant à but non lucratif 2 300 collaborateurs, répartis : 3 implantations en Ile de France (Courbevoie, Levallois-Perret, Paris) 4 implantations en régions (Angoulême, Esvres-sur-Indre, Lyon, Toulouse) 27 délégations commerciales 11 délégations sociales 6
Systalians, le GIE informatique de Réunica Bayard Réunica Bayard Retraite 4 institutions de retraite complémentaire qui gèrent et redistribuent les cotisations de retraite complémentaire (en ARRCO : ANEP, IREPS ; en AGIRC : CIRCACIC, CRICA) Chiffres clés : 4,6 millions d affiliés 1,3 million d allocataires (retraités) 7,2 milliards d euros de cotisations encaissées Prévoyance 2 institutions de prévoyance : Bayard Prévoyance et Réunica Prévoyance. Assurent une garantie aux salariés et leur famille en cas de maladie, maternité, accident de travail, invalidité, décès 1 mutuelle interprofessionnelle qui propose aux particuliers une complémentaire santé Chiffres clés : 2 millions d assurés en prévoyance, 154 000 assurés en santé, 30 000 contrats entreprises 330 millions d euros de cotisations encaissées 7
SYSTALIANS, le GIE informatique de la protection sociale Deux grands axes d activités : retraite et prévoyance Un secteur retraite en forte concentration avec des synergies entre groupes (Usine Retraite), La prévoyance, un milieu qui reste concurrentiel Enjeux de Sécurité Flux financier, Données à caractère personnel, Garantir un niveau de sécurité conforme aux exigences des membres adhérents et des fédérations AGIRC et ARRCO 8
L approche Iso 27001 au sein du GIE Systalians SOMMAIRE Systalians : le Gie de Réunica Bayard La sécurité au sein de Systalians L ISO 27001 : de multiples raisons d y aller La démarche de mise en œuvre Un plan d action sur 2 ans : la certification pour début 2009 Conclusion 9
La sécurité chez SYSTALIANS Une mise en œuvre en ligne avec les principes de management Qualité 10
La sécurité chez SYSTALIANS Revue annuel du processus dans une démarche d amélioration continue Maîtrise d ouvrage > 1 500 jours Maîtrises d œuvre 1 000 à 1 500 jours Un encadrement par le règlement de sécurité des fédérations AGIRC ARRCO (basé sur l ISO 27002) 11
L approche Iso 27001 au sein du GIE Systalians SOMMAIRE Systalians : le Gie de Réunica Bayard La sécurité au sein de Systalians L ISO 27001 : de multiples raisons d y aller La démarche de mise en œuvre Un plan d action sur 2 ans : la certification pour début 2009 Conclusion 12
ISO 27001, de multiples raisons d y aller A partir d un existant aligné sur les bonnes pratiques Certification ISO 9001 depuis 2001, Mise en place du contrôle interne en 2006 basé sur COBIT, Alignement en cours sur les pratiques ITIL La volonté d aller plus loin S aligner sur l ISO 27001 Se démarquer dans le secteur Et être attractif Simplifier le dialogue Avec les métiers, les fournisseurs et les acteurs externes Faciliter les démarches d audit Renforcer la confiance des clients 13
L approche Iso 27001 au sein du GIE Systalians SOMMAIRE Systalians : le Gie de Réunica Bayard La sécurité au sein de Systalians L ISO 27001 : de multiples raisons d y aller La démarche de mise en œuvre Un plan d action sur 2 ans : la certification pour début 2009 Conclusion 14
Diagnostic Iso 27001 : une démarche en 4 temps Préparation du diagnostic Réalisation du diagnostic Restitution des résultats du diagnostic plan d'actions et gestion dans la durée du SMSI Mai 2007 Juin 2007 Juillet 2007 Septembre 2007 Analyse de risques MEHARI 2004 - Systalians - Réunica Bayard 8 7 24 entretiens - Systalians - Réunica Bayard Evaluation des sites Présentation du diagnostic Processus de sélection des auditeurs internes et de mise à jour du référentiel 6 7 6 5 4 3 2 1 0 2 3 - Esvres sur Indre - Lyon - Toulouse Rapport du diagnostic plan d'actions 5 4 Conformité ISO17799:2005 1 actuelle 5 11 2 4 3 10 2 3 1 0 9 4 8 5 7 6 Diagnostic ISO - ISO 27001 - ISO 27002 15
Iso 27001 : norme certifiante 2005 2007 2008 et + Exigences Recommandations «génériques» Exigences «métiers» Mise en place du SMSI ISO 27001 Certification Code de bonnes pratiques ISO 17799 Accréditation organismes de certification ISO 27006 Code de bonnes pratiques ISO 27002 Guide d audit ISO 27007 Implémentation du SMSI ISO 27003 Gestion des risques ISO 27005 Tableaux de bord ISO 27004 Normes métiers ISO 27xxx Une différence majeure par rapport aux autres systèmes de management : des mesures et des contrôles techniques 16
Méhari 2004 une conversion vers l ISO et un périmètre modifié MEHARI 2004 Orientation risques Périmètre initial Périmètre : Réunica Population : utilisateurs, acteurs du SI, direction, métiers Site : tous les sites Réunica ISO 27002 Orientation conformité Incidents de sécurité Conformité Plan de Continuité de l Activité Développement. et maintenance Politique 5 4 3 2 1 0 Organisation Actifs Ressources humaines Sécurité Physique Adaptation au périmètre 2007 Périmètre : Systalians Population : acteurs du SI naturellement plus sensibilisés Sites : Courbevoie et Esvres meilleure sécurité physique Accès Communication et exploitation 17
Diagnostic ISO 27002 Des pratiques sécurité en forte évolution depuis 2004 14 -PCA 13 -Incidents de sécurité 15 -Conformité 12 -Dev. et maintenan. 11 -Accès 0-Inexistant 5 -Politique 5 4 3 2 1 0 Echelle 6 -Organisation 7 -Biens 8 -RH 9 -Sec. Phy. 10 -Comm. et exploit. 1-Pratique existante mais non alignée, effort important 2-Pratique existante mais non alignée 2004 2007 14 -PCA 13 -Incidents de sécurité 15 -Conformité 5 -Politique 5 4 3 2 1 0 6 -Organisation 7 -Actifs 8 -RH 2007 2004 3-Pratique alignée mais non mise en œuvre 4-Pratique mise en œuvre et demande un ajustement 5-Pratique existante, alignée, contrôlée et boucle de progrès 12 -Dev. et maint. 11 -Accès 9 -Sec. Phy. 10 -Comm. et exploit. Des Des bonnes pratiques à sélectionner et et à appliquer en en fonction de l analyse de risques 18 fonction de l analyse de risques
Situation : un SMSI récent, aligné sur les bonnes pratiques ISO 9001 SMSI Echelle 5 0-Inexistant 4 1-Pratique existante mais non alignée, effort important 2-Pratique existante mais non alignée Amélioration du SMSI 3 2 1 Responsabilité du management 3-Pratique alignée mais non mise en œuvre 0 4-Pratique alignée, mise en œuvre et demandant un ajustement 5-Pratique existante, alignée, contrôlée et boucle de progrès Révision du SMSI Audit interne du SMSI Un Un alignement obligatoire du du système de de management par par rapport à la la norme ISO ISO 27001 19
L approche Iso 27001 au sein du GIE Systalians SOMMAIRE Systalians : le Gie de Réunica Bayard La sécurité au sein de Systalians L ISO 27001 : de multiples raisons d y aller La démarche de mise en œuvre Un plan d action sur 2 ans : la certification pour début 2009 Conclusion 20
Plan projet Iso 27001 Un SMSI à construire progressivement Construire le SMSI Réaliser un cycle (Plan Do Check Act) Certifier Initialisation du SMSI Inventaire, classification et analyse de risques Implémentation et exploitation du SMSI Mesure de l efficacité et contrôle du SMSI Certification T4 2007 T1 2008 T2 2008 T3 2008 T4 2008 T1 2009 21
Plan projet Iso 27002 De nombreux projets à intégrer dans l existant Construire le SMSI Réaliser un cycle Certifier Gestion des identités et des habilitations PCA Gestion des accès externes au SI Sécurisation des flux Internet et de la messagerie Formalisation et documentation Sécurité physique Gestion des correctifs de sécurité T4 2007 T1 2008 T2 2008 T3 2008 T4 2008 T1 2009 22
L approche Iso 27001 au sein du GIE Systalians SOMMAIRE Systalians : le Gie de Réunica Bayard La sécurité au sein de Systalians L ISO 27001 : de multiples raisons d y aller La démarche de mise en œuvre Un plan d action sur 2 ans : la certification pour début 2009 Conclusion 23
Globalement, comment se situe le GIE SYSTALIANS du point de vue des exigences des référentiels de sécurité? Iso 27001 : norme pour la mise en place d un Système de Management de la Sécurité de l Information (SMSI) Iso 27002 : un ensemble de bonnes pratiques à sélectionner et à appliquer en fonction de l analyse de risques SMSI 5 4 3 Objectif SYSTALIANS Objectif SYSTALIANS en cours de définition en fonction de l analyse des risques Conformité Politique 5 4 Organisation 2007 2004 Amélioration du SMSI 2 1 0 Responsabilité du management Plan de Continuité de l Activité 3 2 1 Actifs Incidents de sécurité 0 Ressources humaines Révision du SMSI Audit interne du SMSI Développement. et maintenance Accès Sécurité Physique Communication et exploitation 24
Points clés pour obtenir la certification Réaliser un diagnostic : mesurer la conformité, identifier les manques Outiller la démarche et prendre en compte la difficulté d évaluation par rapport à l ISO 27002 Définir le périmètre : ni trop ambitieux, ni pas assez, aligné sur celui de l ISO 9001 Construire sur l existant Construire un SMSI s insérant dans la structure de l organisation Démarche qualité : gestion des documents et des enregistrements Analyse de risques : réutiliser la démarche de l analyse de risques COBIT existante Processus : s insérer avec ITIL Avoir l appui du management au plus haut niveau et valoriser Prévoir dès la construction les efforts de maintien dans le temps Alignement continu du SMSI : revue annuelle et suivi des risques Mesure de l efficacité : contrôle et indicateurs Maintenir et exploiter le domaine sécurité des infrastructures 25
Un point clé pour maintenir la certification Réaliser un un cycle complet avant d envisager la la certification Une Une décision importante pour pour ne ne pas pasprendre de de risque risque sur sur le le maintien du du certificat Et Et qui qui n est n est pas pas bloquant pour pour l avancement des des projets Construire le SMSI Plan Do Check Act Réaliser un cycle Certifier Nouveau cycle P r o j e t P r o j e t P r o j e t P r o j e t L implication de de tous et et à tous les les niveaux est est un un pré-requis à la la réussite de de la la certification 26
Les apports déjà ressentis La capacité de se mobiliser sur un projet dans un objectif de planning déterminé, et d accélérer ainsi la démarche de Sécurité Suivi simplifié de la démarche Iso 27001 Insertion dans la démarche qualité Réalisation d un outillage Lors du diagnostic Adaptation lors de la conception du SOA En cours : Définition de la méthodologie d analyse de risques Menant à la conception du SOA Sélection des équipes d audit sécurité interne 27