ISO 27001 conformité, oui. Certification? Eric Wiatrowski CSO Orange Business Services Lead Auditor ISMS Conférences normes ISO 27001 21 Novembre 2007 1
sommaire Conformité vs certification La démarche au niveau du groupe Politique de sécurité Organisation de la sécurité Principe de déclinaison sectorielle Orange Business Services Une déclinaison clients Les bonnes pratiques Certifications Orange UK Orange Pologne Conclusion Q&R diffusion libre 2
Conformité vs certification «Conformité ISO 27001» Mise en œuvre volontaire de «bonnes pratiques» décrites dans la famille ISO 27000 (Démarche ISMS) Sur un périmètre : l entreprise, un site, une activité.. Un minimum de traçabilité : Tableau de bord, audits «Certification ISO 27001» Délivrance d un certificat ISO certificat ISO 27001 par un organisme indépendant et accrédité (schéma de certification) Sur un périmètre choisi, «naturel», ou imposé par un tiers Obtention du certificat fondée sur une démarche d audit diffusion libre 3
sommaire Conformité vs certification La démarche au niveau du groupe Politique de sécurité Organisation de la sécurité Principe de déclinaison sectorielle Orange Business Services Une déclinaison clients Les bonnes pratiques Certifications Orange UK Orange Pologne Conclusion Q&R diffusion libre 4
les fondamentaux La démarche sécurité s inscrit dans un contexte où la normalisation et la certification sont de plus en plus partie intégrante de la gouvernance d entreprise. L approche est désormais globale : Sécurité des systèmes d information et des réseaux Sécurité des personnes (collaborateurs et clients) Sécurité des biens physiques Sécurité de l environnement La politique de sécurité implique une démarche d amélioration continue fondée sur un système de management de la sécurité, auditable et basé sur l analyse et la gestion des risques. diffusion libre 5
références normatives : rappel de quelques caractéristiques majeures émergence et développement de normes de sécurité, en général issues des TIC et souvent transposées de normes nationales élaboration progressive d un ensemble de standards pour la gestion de la sécurité à travers la série ISO 2700X avec un recentrage des aspects techniques vers la méthodologie, les principes directeurs, les systèmes de management dans une démarche générale d amélioration continue, de plus en plus transverse, avec une forte implication managériale et une prise en compte de la sécurité globale Le groupe France Télécom prend ces normes comme référence pour son approche de la sécurité, et tout particulièrement la norme 27001 pour l implémentation du système de management de la sécurité. diffusion libre 6
présentation de la nouvelle approche sécurité du groupe France Télécom Un bref historique 2004 : Politique de Sécurité de l Information du Groupe (PSIG), complétée en 2006 par la politique d archivage et records management du Groupe et par la politique de prévention et gestion des crises (avec d autres documents de référence liés : charte de déontologie par ex.) Depuis le 1 er juillet 2007 la Politique de Sécurité Globale pour le Groupe (PSG) a remplacé la PSIG. Actuellement la PSG est en cours de déclinaison au niveau fonctionnel ses principes doivent être déclinés en politiques sectorielles de sécurité pour le Groupe pour les fonctions Corporate métiers et pour les périmètres transverses de portée Groupe (gestion de crises, gestion des identités et habilitations, archivage, etc.). diffusion libre 7
le document fondateur : La Politique de Sécurité Globale pour le Groupe ( extrait de la Politique de Sécurité Globale du Groupe France Télécom, entrée en vigueur le 1 er juillet 2007 ) diffusion libre 8
la sécurité globale dans le Groupe France Télécom Politique de Sécurité Globale pour le Groupe (PSG) Sécurité de l information Santé et sécurité des personnes Sécurité environnementale 1 Politiques sectorielles de sécurité corporate métiers et périmètres transverses déclinées en référentiels de sécurité selon les contextes 2 Divisions opérationnelles (pays et entités opérationnelles du Groupe) 3 diffusion libre 9
organisation de la sécurité globale la Direction de la Sécurité du Groupe (DSEC) anime et coordonne les actions de sécurité, la DSEC pilote plus spécialement la politique et le système de management «sécurité de l information». des porteurs de sécurité sont désignés par les directeurs au niveau des CODIR des divisions. Le réseau des Coordinateurs de Sécurité Globale (CSG) un CSG par Fonction Support (un ou plusieurs secteurs métiers) un Directeur de la Sécurité à Orange Business Services un Directeur de la Sécurité par Grand Pays (FR, POL, UK, SP) un CSG par Division multi-pays et par filiale diffusion libre 10
élaboration des politiques sectorielles de sécurité des fonctions corporate (en cours) un engagement pris fin 2006 dans le cadre du plan d action SOX 302 d environnement de contrôle interne : élaborer en 2007 les politiques sectorielles de sécurité de l information des fonctions corporate pour décliner la PSIG un objectif renouvelé avec la publication fin juin 2007 de la Politique de Sécurité Globale du Groupe qui prévoit des politiques sectorielles de sécurité au sein des métiers (RH, SI-Réseaux, Finances, Marketing stratégique, etc.) et sur des périmètres transverses de portée Groupe (sûreté et sécurité des biens physiques, gestion de l identité ). dans le cadre d une démarche de mise en œuvre du système de management de la sécurité et d élaboration de référentiels et d outils de reporting. diffusion libre 11
la démarche commune : impulsion et coordination DSEC, mais pilotage par la fonction concernée les politiques sectorielles de sécurité respectent les principes de la PSG et en déclinent les différents chapitres en les complétant : la DSEC en vérifie la conformité et la cohérence avec le Référentiel sécurité du Groupe. elles reposent sur l expression par chaque fonction de ses besoins de sécurité spécifiques, avec : l évaluation du contexte et des enjeux la définition du périmètre concerné l identification des éléments essentiels l analyse des risques avec le soutien du pôle d expertise EBIOS l identification des types d impact elles s accompagnent d actions de sensibilisation des collaborateurs. diffusion libre 12
la démarche au niveau de chaque fonction Les principes de sécurité découlent du choix du management. Le projet de PSS est piloté par le porteur de sécurité de la fonction et le coordonnateur de sécurité globale (CSG). Chaque fonction : définit le contexte de son projet et le périmètre retenu : le domaine et les sous-domaines métier de l entité au sein du Groupe et ses relations avec les autres métiers ; ses objectifs par rapport aux clients internes ou externes, partenaires et interlocuteurs ; ses actifs et éléments essentiels (processus, actifs informationnels, données métier, acteurs, outils, bâtiments ) apprécie ses risques particuliers : identification des menaces, des vulnérabilités et des failles de sécurité, des mesures existantes, hiérarchisation des risques, choix du type de traitement. diffusion libre 13
sommaire Conformité vs certification La démarche au niveau du groupe Politique de sécurité globale Organisation de la sécurité Principe de déclinaison sectorielle Orange Business Services Une déclinaison clients Les bonnes pratiques Certifications Orange UK Orange Pologne Conclusion Q&R diffusion libre 14
Orange Business Services en quelques mots Orange Business Services (marque des services offerts aux entreprises dans le monde) associe l expertise et le savoir-faire d Equant, d Orange, de France Télécom et de ses filiales afin de vous aider à tirer le meilleur parti de vos services de communication. Opérateur du plus important réseau mondial sans couture voix et données, pouvant vous apporter une assistance dans 166 pays et territoires. Plus de 3 700 multinationales utilisatrices de nos services informatiques et de transfert de données. http://orange-business.com diffusion libre 15
Déclinaison locale de la politique de sécurité Groupe (1/2) Une déclinaison locale simple et compréhensible : Une simple page A4 rédigée en français courant. Un focus sur nos clients en accord avec le cœur de métier de Orange Business Services diffusion libre 16
Déclinaison locale de la politique de sécurité Groupe (2/2) Une définition de la sécurité de l information : Avec un rappel des exigences contractuelles et réglementaires L ensemble validé et paraphé par la Directrice de la Division Entreprises (Membre de Equipe de Direction du Groupe) diffusion libre 17
Contenu détaillée de la Politique Sectorielle de Sécurité 1. LA SECURITE DE L INFORMATION : Le contexte / Le PDCA / Les acteurs / La démarche 2. L ORGANISATION : Le CoDir / La Direction Sécurité / Le Comité Sécurité / L implication du Management / L implication de chacun 3. PRINCIPES DE SECURITE : Classification & Protection / Sensibilisation & Formation / Sécurité des biens physiques / Habilitation des personnes / Exploitation & Maintenance / Réseau & SI 4. PILOTAGE DE LA SECURITE DE L INFORMATION : TdB / Gestion de crises / PCA & PRA 5. REFERENCES : Politiques Groupe / ISO 27000 diffusion libre 18
Intégration de la boucle d amélioration continue Le corps de la Politique sectorielle intègre la boucle PDCA diffusion libre 19
Factorisation avec d autres certifications Audits Sarbanes-Oxley par les Commissaires aux Comptes Organisation de la sécurité Gestion des habilitations Sensibilisation des employés Certification SAS 70 type II (Service d hébergement) Gestion des droits Procédures de contrôle Certification Critères Communs (Service IP-VPN) Gestion des droits Cohérence des configurations diffusion libre 20
Déploiement d une culture ISMS Dans la Direction Centrale de la Sécurité 4/7 Dans les Directions Métiers et Opérationnelles Construction de services Opérations diffusion libre 21
sommaire Conformité vs certification La démarche au niveau du groupe Politique de sécurité Organisation de la sécurité Principe de déclinaison sectorielle Orange Business Services OBS déclinaison client Les bonnes pratiques Certifications Orange UK Orange Pologne Conclusion Q&R diffusion libre 22
Le contexte Orange UK (Orange PCS) Un contexte pays favorable Berceau de la norme BS7799 Un schéma de certification précoce Une «culture» anglo-saxonne de la certification Un contexte entreprise favorable Des moyens mobilisables L implication du Top management Une émulation par la concurrence Un contexte extrêmement concurrentiel sur les mobiles Certifications en cours de BT & Vodafone Conclusion Un projet ambitieux, mené à bien et qui s inscrit dans la continuité diffusion libre 23
Quelques points sur la certification Orange UK Historique Première certification BS7799 Part 2 en mars 2004 Renouvellement 2005 Report du renouvellement 2006 Certification ISOIEC 27001 en juillet 2007 Sur un périmètre très étendu In accordance with LRQA (Lloyd's Register Quality Assurance) diffusion libre 24
Orange Pologne (PTK Centertel) Opérateur mobile (filiale TPSA) Novembre 2006 Selon ISO/IEC 27001: 2005 diffusion libre 25
Conclusion : le moment du choix Conformité ISO 27001 Une démarche fédératrice qui fait progresser l entreprise Mise ou remise en œuvre de bonnes pratiques codifiées Un coup maîtrisé sans impératif de dates Pas ou peu de reconnaissance par un tiers Certification ISO 27001 Une forte reconnaissance Une éventuelle réponse à des exigences contractuelles Une possible factorisation avec des contraintes réglementaires Un coup certains et des délais contraints Conduire une analyse SWOT (analyse de risques marketing ) diffusion libre 26
La posture du Groupe France Telecom Un contexte de «conformité ISO 27001» globale Politique Groupe Validée à haut niveau Conforme aux principes ISO 27001 Qui favorise une «certification ISO 27001» locale Pour chaque entité représentative En fonction des impératifs business La conformité restant le minimum diffusion libre 27
La parole est à la salle... Questions Réponses diffusion libre 28