L Audit selon la norme ISO27001 5 ème Rencontre des Experts Auditeurs ANSI Anissa Masmoudi
Sommaire 1. La norme ISO27001 2. La situation internationale 3. L audit selon la norme ISO27001 4. Audit 27001 vs Audit Technique 5. Conclusion 2
LA NORME ISO27001 3
La norme ISO27001 Qu est ce qu une norme? C est un document qui contient des exigences, spécifications, lignes directrices ou des caractéristiques qui peuvent être utilisées systématiquement pour assurer que des matériaux, produits, processus et services sont aptes à leur emploi. C est le fruit d un consensus international d experts C est applicable à tout organisme, petit ou grand, quel que soit le produit ou le service fourni, dans tout secteur d activité. 4
La norme ISO27001 Les Normes de systèmes de management Elles fournissent un modèle à suivre dans la mise en place et le fonctionnement d un système de management. Un système de management est un ensemble de procédures qu une organisation doit suivre pour réaliser ses objectifs. 5
La norme ISO27001 La norme ISO/CEI 27001 : Technologies de l'information -Techniques de sécurité -Systèmes de management de la sécurité de l'information -- Exigences Spécifie les exigences relatives à l'établissement, à la mise en œuvre, au fonctionnement, à la surveillance et au réexamen, à la mise à jour et à l'amélioration d'un SMSI documenté dans le contexte des risques globaux liés à l'activité de l'organisme. est destinée à assurer le choix de mesures de sécurité adéquates et proportionnées qui protègent les actifs et donnent confiance aux parties intéressées. 6
La norme ISO27001 Le SMSI dans l organisme (ISO/IEC 27001:2005) Management - Politique de sécurité (A.5) - Organisation de la sécurité de l information (A.6) - Gestion des actifs (A.7) - Gestion des incidents liés à la sécurité de l information (A.13) - Conformité (A.15) Processus de gestion - Approche d appréciation du risque (4.2.1 c) - Gestion de la continuité de l activité (A.14) Infrastructure / Environnement Sécurité physique et environnementale (A.9) Accès Contrôle d'accès (A.11) Tâches quotidiennes Gestion de l exploitation et des télécommunications (A.10) Plan / Projets Acquisition, développement et maintenance des systèmes d information (A.12) Ressources humaines Sécurité liée aux ressources humaines (A.8) 7
La norme ISO27001 La famille des normes ISO/IEC 27000 qui décrivent des exigences et une multitude de méthodes et mesures de sécurité. 8
La norme ISO27001 Pourquoi opter pour une norme internationale? Elle a des avantages sur le plan technique, économique et sociétal : Pour l entreprise : Economies de coûts Renforcement de la satisfaction clientèle Accès à de nouveaux marchés Augmentation des parts de marché Avantages environnementaux Pour le gouvernement : c est une ressource vitale pour établir des réglementations. Pour la société : c est l assurance que les produits et services sont sûrs, fiables et de bonne qualité. 9
La norme ISO27001 Les Audits Les audits sont un élément essentiel en matière de systèmes de management. C est un processus systématique, indépendant et documenté en vue d'obtenir des preuves d'audit et de les évaluer de manière objective pour déterminer dans quelle mesure les critères d'audit sont satisfaits. (ISO 19011:2002, 3.1) 10
La norme ISO27001 Les Audits Différents types d audit : 1. Les audits internes : peuvent servir de base à l auto-déclaration de conformité de l organisme. 2. Les audits externes comprennent : - Les audits de seconde partie sont réalisés par des parties ayant un intérêt à l égard de l organisme - Les audits de tierce partie jouent un rôle pour démontrer la conformité à la norme 11
La norme ISO27001 Certification Assurance écrite (sous la forme d'un certificat) donnée par une tierce partie qu'un produit, service ou système est conforme à des exigences spécifiques. La certification de conformité aux normes de systèmes de management n est pas une exigence. Différentes raison peuvent pousser une entreprise à vouloir obtenir la certification : exigence contractuelle ou réglementaire; indispensable si c'est un critère décisif pour les clients; dans le cadre d'un programme de gestion des risques; motiver le personnel 12
LA SITUATION INTERNATIONALE 13
La situation internationale 20,000 ISO/IEC 27001 - Worldwide total 18,000 16,000 East Asia and Pacific North America Middle East 14,000 Europe 12,000 10,000 7394 8788 9664 Central and South Asia Central / South America Africa 8,000 6,000 5807 4,000 4210 5550 3563 4800 5446 2,000,0 2172 1064 1432 383 519 839 1303 1328 1497 2006 2007 2008 2009 2010 2011 14
La situation internationale 100% ISO/IEC 27001 - Regional share 90% 80% 18,4% 18,5% 23,5% 27,5% 30,7% 31,1% Europe 70% North America Middle East 60% East Asia and Pacific Central and South Asia 50% Central / South America Africa 40% 72,6% 71,8% 62,8% 57,2% 56,2% 55,2% 30% 20% 10% 0% 6,6% 6,7% 9,1% 10,1% 8,5% 8,5% 2006 2007 2008 2009 2010 2011 15
La situation internationale 45% ISO/IEC 27001 - World annual growth (in %) 40% 40% 35% 33% 30% 25% 20% 20% 21% 15% 12% 10% 5% 0% 2007 2008 2009 2010 2011 16
La situation internationale 140 ISO/IEC 27001 - Number of countries / economies 120 100 80 60 3 6 4 3 8 5 3 10 9 9 3 3 13 11 39 40 6 3 11 41 Central and South Asia North America Middle East Europe East Asia and Pacific Central / South America Africa 40 30 34 36 16 17 15 18 15 20 0 15 14 15 14 22 9 21 6 5 9 2 2 4 2006 2007 2008 2009 2010 2011 17
La situation internationale Top 10 countries for ISO27001 certificates : 2011 1 Japan 6914 2 India 1427 3 United Kingdom 1360 4 China 1219 6 Taipei, Chinese 791 5 Romania 760 7 Spain 642 8 Italy 503 9 Germany 424 10 United States of America 313 Top 10 countries for ISO27001 growth : 2011 1 Japan 677 2 Romania 410 3 China 262 4 United Kingdom 203 6 India 146 5 Italy 129 7 Germany 67 8 USA 66 9 Slovakia 41 10 Thailand 37 ISO27001 Newcomers : 2011 Africa Algeria Nigeria Europe Albania San Marino 18
La situation internationale Top five industrial sectors for ISO/IEC 27001-2011 1 Information technology 3588 2 Other Services 564 3 Construction 350 4 Electrical and optical equipment 280 5 Wholesale & retail trade; repairs of motor vehicles, motorcycles & personal & household goods 214 19
L AUDIT SELON LA NORME ISO27001 PAR TUVM 20
L audit selon la norme ISO27001 Nous œuvrons pour promouvoir la Sécurité, la Qualité et l Ecologie dans votre spectre de Compétitivité. Nos Services Contrôle Inspection Certification Qualification Formation Produits Systèmes Procédés Compétences 21
L audit selon la norme ISO27001 Notre réseau est partout pour vous servir 490 Représentations dans 62 Pays. 22
L audit selon la norme ISO27001 Dèjà 15 ans à votre service 1998 Création de TUV Maghreb, la société représente TÜV Rheinland au Maghreb 2000 100 Certificats délivrés dont 10 au Maroc 2003 Accréditation TUNAC pour la certification des SMQ en Tunisie 2008 2 Certificats délivrés en Libye 2010 Création de TUV Certification Algérie 2001 Académie: agrément de centre de formation continue 1999 Signature de la convention de coopération avec l INNORPI 2007 15 Certificats délivrés en Algérie 2005 Création de TUV Certification Maroc 2011 Accréditation du comité local par le TUNAC 2009 200 Auditeurs IRCA formés par l Académie 23
Permanent Staff External Auditors and Experts L audit selon la norme ISO27001 Notre Expertise pour garantir votre Succès 105 127 156 46 32 75 58 83 102 124 14 17 22 25 32 2007 2008 2009 2010 2011 24
L audit selon la norme ISO27001 (Certificats par standards valides 2010 MAGHREB) 2 13 346 ISO 9001 ( 80%) ISO 14001 12 ISO 22000 OHSAS 18001 22 27 ISO/TS 16949 ISO 27001 25
L audit selon la norme ISO27001 L audit mené par TUVM se base sur la norme ISO19011 qui décrit les lignes directrices pour : les principes de l audit la gestion d un programme la réalisation d un audit et la gestion d une équipe d audit la gestion des compétences d un auditeur 26
L audit selon la norme ISO27001 Objectifs d un audit Evaluation de la conformité du SMSI par rapport aux critères d audit Evaluation de la capacité du SMSI à se conformer aux exigences légales et règlementaires, clauses contractuelles Evaluation de l efficacité du SMSI à atteindre ses objectifs Détection de potentiel d amélioration 27
L audit selon la norme ISO27001 Principales exigences de la norme: Etablissement et maintient selon le modèle PDCA d un système de management de la sécurité de l information (SMSI) documenté Définition d une politique de sécurité adaptée aux besoins, tout comme à la situation organisationnelle, aux actifs et à la technologie utilisée. Systématique de l analyse et du management du risque Détermination et mise en place des objectifs et mesures de sécurité applicables ( 11 Articles, 39 objectifs,133 mesures) 28
L audit selon la norme ISO27001 Faisabilité d un audit dépend de la disponibilité : Des informations appropriées et suffisantes pour la planification de l audit De la collaboration appropriée avec les audités Des ressources et du temps alloués 29
L audit selon la norme ISO27001 L audit de certification est composé de 2 phases: Type d audit Objectif de l audit Documents principaux Audit Phase 1 Audit Phase 2 Processus L audit phase 2 est focalisé sur : définis? (Disponibilité, Exhaustivité) Processus Mis en œuvre de manière efficace? (vue générale) Description de processus L analyse des risque de l entreprise auditée Les documents exigés par le chapitre 4.3.1 de ISO/IEC 27001:2005 Les objectifs et mesures sélectionnés par l entreprise (DdA) La revue de l efficacité du SMSI, la surveillance de l application des procédures. enregistrement résultat des Processus Les résultats des audits internes et revue de direction La responsabilité pour l application des politiques de sécurité. Preuves tangible L implémentation des mesures Et d autre éléments pertinents 30
L audit selon la norme ISO27001 Résultats de l audit : Les résultats de l'évaluation des preuves d audit collectées sont comparés aux critères d'audit convenus 31
L audit selon la norme ISO27001 Conclusion de l audit Réalisée par le responsable de l audit sous forme d un rapport verbal qui : - Classe les non-conformités dans leur ordre d'importance - Identifie en particulier les points forts et les potentialités d amélioration éventuelles 32
L audit selon la norme ISO27001 L audit de surveillance pour vérifier : l amélioration continue du système de management de sécurité de l information de l entreprise le progrès accompli en mettant en application : -des actions préventives - des améliorations la bonne application des contrats (cas des audits secondes parties) Le premier audit de surveillance peut être réalisé après 6 mois Mais la plupart des organismes de certification respecte une échéance annuelle 33
AUDIT 27001 VS AUDIT TECHNIQUE 34
Audit 27001 vs Audit Technique Exigences normatives Est un choix de l organisme Audit selon ISO27001 Le management de l information dans tous types d organismes et applicable à tous les secteurs d activité Revue documentaire et audit sur site L audit est réalisé selon un processus systématique, indépendant et documenté en vue d'obtenir des preuves d'audit et de les évaluer de manière objective pour déterminer dans quelle mesure les critères d'audit sont satisfaits Exigences réglementaires Obligatoire Audit Technique Système informatique et réseaux de certains organismes publics et privés (voir décret n 2004-1250 du 25 mai 2004) Sur site L audit est réalisé en 3 phases: -la prise de connaissance du réseau et du système informatique -L analyse des vulnérabilités -Les tests intrusifs Rapport d audit avec des recommandations d amélioration et des non conformités éventuelles Assurer le suivi de l audit et vérifier la planification des actions correctives Equipe d auditeurs dirigée par un responsable d audit Rapport d évaluation de la sécurité du système informatique et la proposition d un plan d action Suivre la mise en œuvre des recommandations Equipe d auditeurs experts dirigée par un chef de projet 35
CONCLUSION 36
Conclusion La norme ISO IEC 27001 est d application volontaire, mais le gouvernement peut en faire une exigence réglementaire, ce qui présente un certain nombre d avantages : Consolidation d expertise Ouverture des marchés mondiaux Réduction des coûts Merci pour votre attention 37