Mise en place d un SMSI selon la norme ISO 27001. Wadi Mseddi Tlemcen, le 05/06/2013

Mise en place d un SMSI selon la norme ISO 27001 Wadi Mseddi Tlemcen, le 05/06/2013

2 Agenda Présentation de la norme ISO/IEC 27001 Eléments clé de la mise en place d un SMSI Situation internationale 2

3 Norme ISO/IEC 27001 - Introduction La norme ISO/IEC 27001 : Technologies de l'information - Techniques de sécurité - Systèmes de management de la sécurité de l'information - Exigences Elle spécifie les exigences relatives à l'établissement, à la mise en œuvre, au fonctionnement, à la surveillance et au réexamen, à la mise à jour et à l'amélioration d'un SMSI documenté dans le contexte des risques globaux liés à l'activité de l'organisme Elle est destiné à assurer le choix de mesures de sécurité adéquates et proportionnées qui protègent les actifs et donnent confiance aux parties intéressées 3

4 Système de Management de la Sécurité de l Information ISO/IEC 27001, clause 3.7: SMSI : Partie du système de management global, basée sur une approche du risque lié à l activité, visant à établir, mettre en œuvre, exploiter, surveiller, réexaminer, tenir à jour et améliorer la sécurité de l information Note: Le système de management inclut l organisation, les politiques, les activités de planification, les responsabilités, les pratiques, les procédures,les processus et les ressources 4

Guides Vocabulaire Exigences Guides généraux d industrie 5 Famille ISO/IEC 27000 ISO 27000 Vocabulaire ISO 27001 Exigences SMSI ISO 27006 Exigences organisme de certification ISO 27002 ISO 27003 ISO 27004 ISO 27005 ISO 27007-27008 Bonnes pratiques Guide de mise en œuvre Métriques Gestion des risques Guides d audit ISO 27011 ISO 27799 ISO 270XX Télécommunications Santé Autres 5

6 Norme ISO/IEC 27001 - Caractéristiques Elle spécifie les exigences pour la gestion du SMSI (clause 4 à 8) Elle utilise le verbe doit «shall» pour établir les exigences L'annexe A : 11 clauses comportant 39 objectifs de sécurité et 133 mesures de sécurité de la norme ISO 27002 La seule norme de la famille ISO 27000 qui peut conduire à une certification 6

7 Norme ISO/IEC 27001 Avantages d utilisation (1/2) Pour l organisme: Conformité Introduction d un niveau de confiance entre les organismes Amélioration de l efficacité de la sécurité de l information Bonne gouvernance Sensibilisation et responsabilisation du personnel Implication de la direction Réduction des coûts (Return on Security lnvestment ou ROSI) Marketing Renforcement de la satisfaction clientèle Accès à de nouveaux marchés Augmentation des parts de marché Consolidation de la confiance de la clientèle, des fournisseurs et des partenaires 7

8 Norme ISO/IEC 27001 Avantages d utilisation (2/2) Pour le gouvernement : C est une ressource vitale pour établir des réglementations Pour la société : C est l assurance que les produits et services sont sûrs, fiables et de bonne qualité 8

9 Norme ISO/IEC 27001 - Approche processus Clause 0.2 Plan / Planifier Etablir la politique, les objectifs, les processus et les procédures du SMSI relatifs à la gestion du risque et à l amélioration de la sécurité de l information conformément aux politiques et objectifs de l organisme Act / Agir Entreprendre les actions correctives et préventives, sur la base des résultats de l audit interne du SMSI et de la revue de la direction, ou d autres informations pertinentes pour une amélioration continue du SMSI SMSI Do / Déployer Mettre en œuvre et exploiter la politique, les mesures, les processus et les procédures du SMSI Check / Contrôler Evaluer et, le cas échéant, mesurer les performances des processus p/p à la politique, aux objectifs et à l expérience pratique et rendre compte des résultats à la direction pour réexamen 9

10 Norme ISO/IEC 27001 - Structure Clause 5 Responsabilité de la direction Clause 6 Audits internes du SMSI Clause 4.2.1 Etablissement du SMSI Clause 4.2.4 Mise à jour et amélioration du SMSI Clause 4.2.2 Mise en œuvre et fonctionnement du SMSI Clause 8 Amélioration du SMSI Clause 4.2.3 Surveillance et réexamen du SMSI Clause 7 Revue Managériale Annexe A : Objectifs de sécurité et mesures de sécurité 10

11 Norme ISO/IEC 27001 - Certification Un organisme qui demande la certification doit se soumettre à toutes les clauses définies dans les sections 4 à 8 d ISO 27001, déclarer les mesures de sécurité applicables et justifier les mesures non applicables de l annexe A dans la déclaration d applicabilité. 11

12 Agenda Présentation de la norme ISO/IEC 27001 Eléments clé de la mise en place d un SMSI Situation internationale 12

13 Etablissement du SMSI Clause 4.2.1 a) Définir le domaine d application b) Définir une politique de SMSI c) Définir la méthodologie d appréciation du risque d) Identifier les risques e) Analyser et évaluer les risques f) Traiter les risques g) Choisir des mesures h) Approuver les risques résiduels i) Faire approuver le SMSI par la direction j) Rédiger la déclaration d applicabilité 13

14 Mise en œuvre du SMSI Clause 4.2.2 Plan de traitement du risque Mise en œuvre des mesures Formation et sensibilisation Gestion du SMSI Gestion des incidents - Définir le plan (actions, ressources, responsabilités, priorités, objectifs) - Le mettre en œuvre - Mettre en œuvre les mesures de sécurité sélectionnées - Définir une méthode d évaluation de l efficacité des mesures sélectionnées Mettre en œuvre un programme de formation et de sensibilisation - Gérer les opérations du SMSI au quotidien - Gérer les ressources consacrées au SMSI Mettre en œuvre un processus de gestion des incidents pour les détecter et les traiter rapidement 14

15 Surveillance et réexamen du SMSI - Clause 4.2.3 1- Surveillance et réexamen des procédures de détection et de prévention des événements de sécurité 6- Revue de direction et mise à jours des plans de sécurité 2- Réexamen régulier de l efficacité du SMSI en tenant compte des propositions et rétroactions des parties prenantes 5- Réalisation des audits internes 3- Evaluation de l efficacité des mesures de sécurité 4- Réexamen de l appréciation des risques 15

16 Mise à jour et amélioration du SMSI Clause 4.2.4 a) Mettre en œuvre les améliorations identifiées du SMSI b) Entreprendre les actions correctives et préventives appropriées. Appliquer les leçons tirées des expériences de sécurité des autres organismes, ainsi que celles de l organisme concerné c) Informer toutes les parties prenantes des actions et améliorations, avec un niveau de détail approprié aux circonstances et, le cas échéant, convenir de la méthode à adopter d) S assurer que les améliorations permettent d atteindre leurs objectifs prévus 16

17 Responsabilité de la Direction Clause 5 5.1 Implication de la direction Doit fournir la preuve de son implication dans le SMSI 5.2.1 Mise à disposition des ressources Doit déterminer et fournir les ressources nécessaires par le SMSI 5.2.2 Formation, sensibilisation & compétence Doit s assurer que le personnel à qui a été affecté les responsabilités définies dans le SMSI, a les compétences nécessaires pour exécuter les tâches requises 17

18 Audits internes du SMSI - Clause 6 L'organisation devra conduire des audits internes du SMSI à intervalles planifiés Un programme d'audit doit être planifié en tenant compte de l'état et de l importance des processus et des domaines à auditer, ainsi que des résultats des audits précédents 18

19 Revue managériale du SMSI - Clause 7 Eléments d entrée de réexamen Eléments de sortie du réexamen 1. Résultats d audits et des révisions du SMSI 2. Réactions des parties intéressées 3. Techniques, produits ou procédures que pourrait utiliser l organisme pour améliorer les performances et l efficacité du SMSI 4. Etat des actions préventives et correctives 5. Vulnérabilités ou menaces qui n ont pas été adéquatement assignées lors de l appréciation du risque précédente 6. Résultats des mesures de l efficacité 7. Actions de suivi issues des revues de direction précédentes 8. N importe quel changement pouvant affecter le SMSI 9. Recommandations d amélioration 1. Amélioration de l efficacité du SMSI 2. Mise à jour de l évaluation des risques et du plan de traitement des risques 3. Modification des procédures et mesures qui affectent la sécurité de l information 4. Besoins en ressources 5. Amélioration de la méthode d évaluation de l efficacité des mesures 19

20 Amélioration du SMSI - Clause 8.1 L'organisme doit améliorer en permanence l efficacité du SMSI en utilisant la politique en matière de sécurité de l information, la réalisation des objectifs en termes de sécurité de l information, les résultats d audit, l analyse des événements surveillés, les actions correctives et préventives et la revue de direction. 20

21 Quelques recommandations Eviter l'intégration de nouvelles technologies Intégrer le SMSI dans les processus existants Appliquer les principes de l amélioration continue Impliquer les parties prenantes de l organisme Obtenir le soutien de la direction Identifier et nommer formellement un responsable du Projet SMSI 21

22 Agenda Présentation de la norme ISO/IEC 27001 Eléments clé de la mise en place d un SMSI Situation internationale 22

23 Situation internationale (1/5) 20,000 ISO/IEC 27001 - Worldwide total 18,000 16,000 14,000 East Asia and Pacific North America Middle East Europe 12,000 10,000 7394 8788 9664 Central and South Asia Central / South America Africa 8,000 6,000 5807 4,000 4210 5550 3563 4800 5446 2,000 2172 1432 1064 1303 1328 1497 383 519 839,0 2006 2007 2008 2009 2010 2011 23

24 Situation internationale (2/5) ISO/IEC 27001 - Africa Year 2006 2007 2008 2009 2010 2011 Country 6 10 16 47 46 40 Algeria 1 Angola 1 1 Burundi 1 1 Congo, Republic of 1 1 Egypt 1 2 3 7 8 6 Ethiopia 1 1 Ghana 3 1 3 Kenya 1 1 Lesotho 1 1 Malawi 1 1 Mauritius 1 2 3 4 Morocco 2 2 1 5 Mozambique 1 1 Niger 1 2 Nigeria 5 Rwanda 1 1 Sierra Leone 1 1 South Africa 5 8 10 14 14 14 Sudan 2 2 Tanzania, United Republic of 1 1 Tunisia 2 1 Uganda 1 1 Zambia 1 2 1 Zimbabwe 1 1 24

25 Situation internationale (3/5) 100% ISO/IEC 27001 - Regional share 90% 80% 18,4% 18,5% 23,5% 27,5% 30,7% 31,1% Europe 70% North America Middle East 60% East Asia and Pacific Central and South Asia 50% Central / South America Africa 40% 72,6% 71,8% 62,8% 57,2% 56,2% 55,2% 30% 20% 10% 0% 6,6% 6,7% 9,1% 10,1% 8,5% 8,5% 2006 2007 2008 2009 2010 2011 25

26 Situation internationale (4/5) Top five industrial sectors for ISO/IEC 27001 certificates 2011 1 Information technology 3588 2 Other Services 564 3 Construction 350 4 Electrical and optical equipment 280 5 Wholesale & retail trade; repairs of motor vehicles, motorcycles & personal & household goods 214 26

27 Situation internationale (5/5) Top 10 countries for ISO/IEC 27001 certificates - 2011 1 Japan 6914 2 India 1427 3 United Kingdom 1360 4 China 1219 6 Taipei, Chinese 791 5 Romania 760 7 Spain 642 8 Italy 503 9 Germany 424 10 USA 313 Top 10 countries for ISO/IEC 27001 growth - 2011 1 Japan 677 2 Romania 410 3 China 262 4 United Kingdom 203 5 India 146 6 Italy 129 7 Germany 67 8 USA 66 9 Slovakia 41 10 Thailand 37 27

28 Questions & Réponses 28

29 Contact Wadi Mseddi Gérant et Associé Tel : + 33 6 66 98 86 83 / + 216 50 05 15 16 Fax : + 216 71 963 474 E-mail : wmseddi@athena-experts.com Site Web: http://www.athena-experts.com/ 29