HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet ISO 27001:2013

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet ISO 27001:2013 Comparatif avec la version 2005 Béatrice Joucreau Julien Levrard

Sommaire ISO 27001:2013 Comparaison des structures Synthèse des changements de fond Contexte de l'organisation (4) Leadership (5) Politique (5.2) Planning (6) Processus support (7) Évaluation de la performance (9) Amélioration (10) 2 / 25 Certification

ISO 27001:2013 Nouvelle version de la norme à paraître Statut en cours : FDIS Alignée sur les normes de systèmes de management Parution prévue fin 2013 le site www.iso.ch annonce une parution en octobre ISO 27002:2013 en cours de finalisation également Les deux normes sont alignées 3 / 25

Ancienne structure 4 / 25 5 Management responsibility 6 Internal Audit 8 ISMS Improvement 7 Management review

Nouvelle structure Pas de notion de PDCA explicite Remplacé par une formulation du type «établir, implémenter, maintenir, améliorer» Pas d'encouragement à l'approche processus dans l'introduction, mais approche processus de fait Clauses 4 à 10 obligatoires Evolution sensible de forme, organisation plus logique Formulations plus générales 5 / 25

Comparaison des deux versions Clauses obligatoires : 4 à 8 4 Information security management system 4.2.1 Establish the ISMS Scope Policy Risk assessment approach Risk assessment Risk treatment 4.2.2 Implement and operate the ISMS 4.2.3 Monitor and review the ISMS 4.2.4 Maintain and improve the ISMS 4.3 Documentation requirements 6 / 25 Clauses obligatoires : 4 à 10 4 Context of the organization 4.3 Scope 5 Leadership 5.2 Policy 6 Planning 6.1.1 General 6.1.2 Information security risk assessment 6.1.3 Information security risk treatment 7 Support 7.5 Documented Information 8 Operation 9 Performance evaluation 9.1 Monitoring, measurement, analysis and evaluation 9.2 Internal audit 9.3 Management review 10 Improvement

Synthèse des changements de fond Fondation du SMSI Prise en compte accrue des parties prenantes Le périmètre considère tout le contexte, y compris les exigences LRC Leadership plus axé engagement, pilotage et management des personnes que «mise en œuvre» La politique inclut un engagement de la direction Processus du SMSI Risques et opportunités projet L appréciation des risques est moins cadrée par la norme Sensibilisation précisée, fait l objet d un paragraphe entier Pas d indication sur la périodicité de la revue de direction, ni de l audit Pas de notion d action préventive au sens de la version 2005 7 / 25

Contexte de l organisation (4) Nouveau chapitre 4 Contient Définition du contexte externe et interne (cf ISO 31 000 5.3.1) Définition des attentes et besoins des parties prenantes, y compris les LRC Dans l'audit interne, vérification de la conformité aux exigences propres au SMSI, et non plus vérification de la conformité aux exigences LRC Le périmètre tient compte du contexte et des exigences des parties prenantes Nécessité d un SMSI selon la présente norme Nouveautés Mise en valeur du contexte dans un chapitre spécifique Mise en valeur des attentes des parties prenantes Le périmètre découle explicitement du contexte de l'organisation et des exigences auxquelles l'organisation est soumise Il n'est plus spécifiquement indiqué de justifier les exclusions du périmètre 8 / 25

Leadership (5) Chapitre 5 déjà existant modifié «responsabilités de la direction» -> «leadership» Changement de registre de vocabulaire pour les responsabilités des dirigeants S'assurer, diriger et soutenir, promouvoir, communiquer Et non plus Etablir, décider, déterminer, fournir, évaluer Demande à un responsable de s'assurer De la conformité du SMSI De son efficacité Rôle moteur pour l amélioration du SMSI 9 / 25

Politique (5.2) La direction établit la politique de sécurité, mais ne la valide plus «Politique du SMSI» devient «politique de sécurité» Ne contient plus les critères de risques Ne contient plus les exigences légales, réglementaires et contractuelles Contient les objectifs de sécurité ou un cadre pour les définir Précise un engagement de la direction A satisfaire aux exigences applicables relatives à la sécurité A améliorer en continu le SMSI La politique n'est plus un document structurant du SMSI, sauf dans le cas où on y a défini le cadre pour définir les objectifs C'est un engagement formel de la direction à atteindre des objectifs et à améliorer la sécurité, vis-à-vis De l'organisation elle-même Des parties prenantes concernées 10 / 25

Planning (6) Chapitre Plan du SMSI Chapitre fondamental pour le SMSI 6.1 Actions pour adresser les risques et les opportunités 6.1.1 Général 6.1.2 Appréciation des risques de sécurité de l'information 6.1.3 Traitement des risques de sécurité de l'information 6.2 Objectifs de sécurité de l'information et plans pour les atteindre 6.1.1 Pilotage du SMSI 6.1.2 Gestion des risques 6.1.3 Gestion des mesures de sécurité 6.2 Objectifs de sécurité et plans 11 / 25

Pilotage SMSI (6.1.1) Nouveau chapitre 6.1.1 sur le pilotage SMSI Thème non abordé dans la version précédente Prendre en compte le contexte et les exigences Déterminer les risques et opportunités du projet SMSI qui devront être adressés pour Assurer que le SMSI peut atteindre le résultat attendu Limiter les effets indésirables Atteindre une amélioration continue Planifier des actions pour adresser risques et opportunités Prévoir comment intégrer ces actions dans les processus du SMSI Évaluer l'efficacité de ces actions 12 / 25

Appréciation des risques de sécurité de l'information (6.1.2) Processus d'appréciation des risques Plus de méthode d'appréciation des risques Identifier les risques The organization shall define and apply an information security risk assessment process that [ ] c) identifies the information security risks: apply the information security risk assessment process to identify risks [ ] Le détail de comment réaliser l'appréciation des risques a disparu (actifs, menaces, vulnérabilités) Identifier les propriétaires des risques Analyser les risques Pas d'indication 13 / 25

Traitement des risques de sécurité de l'information (6.1.3) Processus de traitement des risques Choisir les options de traitement (non indiquées) Modifier la DdA, car l'annexe A change Choisir les mesures de sécurité nécessaires : depuis n'importe quelle source. Ne pas choisir les mesures de sécurité dans l'annexe A, mais comparer les mesures choisies à l'annexe A pour vérifier qu'aucune n'a été oubliée Autorisation de mettre en place le PTR et acceptation des risques résiduels donnée par le propriétaire des risques Traitement des risques (ISO 27000:2009 2.43) Processus de sélection et de mise en œuvre des mesures visant à modifier le risque L'option de maintien du risque n'est pas une option de traitement possible! 14 / 25

Objectifs de sécurité et plans pour les atteindre (6.2) Objectifs de sécurité et plans pour les atteindre Définir des objectifs de sécurité, en cohérence avec la politique Les objectifs prennent en compte Les résultats de l'appréciation des risques Les résultats du plan de traitement des risques Les exigences (parties prenantes, LRC...) Objectifs de sécurité déclinés pour les fonctions et niveaux pertinents Objectifs communiqués Définir des plans d'action pour atteindre les objectifs Plan d'action Opérationnel : responsables, actions, ressources, délais, évaluation des résultats des actions 15 / 25

Liens entre les processus centraux Auparavant, liens entre : Objectifs du SMSI + Politique du SMSI AdR PTR Mesures Maintenant, liens entre : Contexte Politique PTR Périmètre Objectifs AdR Exigences Plan d'actions opérationnel 16 / 25 DdA

Une vision possible Résultat attendu grâce au SMSI = apporter de la confiance aux parties prenantes } Exigences des parties prenantes Contexte Périmètre 17 / 25 AdR/PTR Objectifs de sécurité et plans pour les atteindre DdA

Points d'attention Possibilité de définir des objectifs préexistants au SMSI La DdA ne dépend que de l'adr et du PTR La DdA ne dépend pas des objectifs La DdA ne contient pas les mesures de sécurité qui répondent à des objectifs définis en dehors de l'appréciation des risques Position de l'implémenteur pour la DdA? Soit la fonder uniquement sur l'adr et le PTR Risque de ne pas prendre en compte des mesures de sécurité Soit la fonder aussi sur les objectifs donnés dans la politique Risque de non-conformité avec la norme 18 / 25

Gestion de la documentation (7) Chapitre beaucoup plus court que dans la version 2005 Liste des documents requis non reprise car détaillée au fil de la norme Les documents qui doivent faire partie du SMSI sont tous ceux requis par la norme ceux nécessaires à l'efficacité du SMSI Mêmes documents, mais leur besoin est mieux justifié Procédures Requises pour pouvoir s'assurer que les processus ont été menés comme prévu Enregistrements Le terme n'existe plus Remplacé par le terme de «preuve» 19 / 25

Ressources, compétences, sensibilisation, communication (7) Ressources Formulation beaucoup plus générale et plus courte Compétences Compétence des personnes qui peuvent affecter la sécurité Pas compétence des seuls acteurs du SMSI Sensibilisation Sensibilisation aux sanctions applicables en cas de non respect des exigences du SMSI Communication Nouveau processus Communication interne et externe (sur quoi, quand, avec qui, par qui...) 20 / 25

Évaluation de la performance (9) Surveillance Pas de notion d'incidents de sécurité Toujours pas de notion explicite d'indicateurs Surveillance des mesures de sécurité et des processus Audit interne Pas de vérification de la conformité aux exigences LRC, ni aux exigences de sécurité Vérification de la conformité aux exigences propres au SMSI Les résultats d'audit doivent être remontés au management Pas d'indication sur le délai de mise en œuvre des actions correctives L'auditeur n'a pas à donner son avis sur le délai de correction Revue de direction Rien n'indique qu'elle doive être réalisée une fois par an Modification de forme des entrées/sorties 21 / 25

Amélioration (10) Les termes «action préventive» et «action corrective» ont disparu Ces actions existent toujours même si elles ne sont pas définies Actions d'ordre préventif : éliminer les causes d'une non-conformité, qu'elle se soit déjà produite ou non Actions d'ordre correctif : limiter les effets des non-conformités Définition différente de l'ancienne norme 22 / 25

Certification de SMSI Si approche clause par clause Mise à jour difficile Si approche processus de gestion de la sécurité Peu de changements à apporter Dans tous les cas Analyse d'écart nécessaire avant d'opérer des modifications 23 / 25

Merci Questions? 24 / 25

Sources slide 13: Cauliflower Romanseco, by Sputnik GNU Free Documentation License http://commons.wikimedia.org/wiki/file:cauliflower_romanesco.jpg slide 16 : Tarako spaghetti, by Ocdp License : http://creativecommons.org/licenses/by-sa/3.0/deed.en http://commons.wikimedia.org/wiki/file:tarako_spaghetti.jpg slide 17 : Couple, group, people, users icon, by Everaldo Coelho License : http://www.gnu.org/licenses/lgpl.html https://www.iconfinder.com/icons/3503/couple_group_people_users_icon#size=128 slide 17 : Box, content, inventory icon, by Andy Gongea License : License: Free for commercial use https://www.iconfinder.com/icons/33548/box_content_inventory_icon#size=64 slide 17 : Target, value icon, by IFA License : License: Free for commercial use https://www.iconfinder.com/icons/104583/target_value_icon#size=128 slide 17 : Checklist, by Oliver Twardowski License : Free for commercial use (Include link to package) https://www.iconfinder.com/iconsets/flavour 25 / 25