2 nde édition Octobre 2008 LIVRE BLANC. ISO 27001 Le nouveau nirvana de la sécurité?

2 nde édition Octobre 2008 LIVRE BLANC ISO 27001 Le nouveau nirvana de la sécurité?

Livre Blanc ISO 27001 Sommaire L ISO 27001, 3 ans après sa publication 4 L ISO 27001 : un SMSI basé sur 4 principes fondamentaux 6 Les 7 processus essentiels du SMSI 8 Pourquoi et comment adapter l ISO 27001? 11 De la théorie à la mise en œuvre concrète... 12 Franchir le cap et obtenir une certification 14 En conclusion 17 Livre blanc rédigé par Gérôme Billois et Tristan Savalle, Consultants seniors et Lead Auditors ISO 27001, sous le pilotage de Laurent Bellefin, Directeur des opérations sécurité de Solucom. Ce document ne peut être reproduit et/ou diffusé en tout ou partie sans l autorisation de Solucom. Les informations contenues dans ce document sont susceptibles d être modifiées sans préavis par Solucom. Elles sont données uniquement à titre indicatif, et Solucom ne saurait être tenu pour responsable de l usage qui en sera fait. Les marques et noms déposés qui sont cités dans ce document appartiennent à leurs propriétaires respectifs. 2 Livre Blanc Solucom group - Octobre 2008

Avant-propos Ilyaunan,Solucom publiait son livre blanc «ISO 27000 : le nouveau nirvana de la sécurité?» dans le but d alimenter les premières réflexions autour de cette nouveauté dans le paysage de la sécurité. Chacun cherchait alors à comprendre les concepts de cette norme et ses apports pour mieux structurer et «professionnaliser» les démarches de sécurisation de l information. Avec cette seconde édition, nous souhaitons tirer le bilan d une année riche en projets concrets et donc en enseignements pour tous les RSSI. Loin d être l OVNI qu elle était encore en 2007, l ISO 27001 est désormais intégrée et digérée. Les RSSI des entreprises et administrations françaises ont bien compris que l évolution de leur métier allait de concert avec cette norme. Et que les principes clés qu elle défend sont pertinents... Laurent Bellefin Directeur des opérations sécurité laurent.bellefin@solucom.fr Même si l on est encore loin d une vague massive de certifications, plusieurs grandes entreprises françaises ont dépassé le stade du diagnostic pour entamer des implémentations concrètes. Plusieurs d entre elles préparent même une certification officielle. C est en nous appuyant sur ces retours d expériences que nous voulons donner ici des clés concrètes pour interpréter et implémenter les principes de la norme ISO 27001. L homme honorable commence par appliquer ce qu il veut enseigner Confucius C est également sur notre propre expérience que nous nous basons, puisque Solucom vient d obtenir la certification ISO 27001 pour ses prestations d audit de sécurité des systèmes d information. Cette certification représente un gage de confiance pour nos clients. Elle nous permet également de nous assurer de la pertinence des mesures de protection que nous mettons en œuvre. J espère que cette seconde édition contribuera à vos réflexions et à vos projets. Octobre 2008 - Livre Blanc Solucom group 3

Livre Blanc ISO 27001 L ISO 27001, 3 ans après sa publication Fruits de plusieurs années de réflexion au niveau international, les normes de la famille ISO 27000 apportent une aide indéniable dans la définition et la mise en œuvre d un système de management de la sécurité efficace. La naissance d une référence En 2005, l ISO/IEC publie l ISO 27001, la première norme d une nouvelle famille dédiée à la sécurité de l information. Avant même que l ISO ne s intéresse à la gouvernance de sécurité de l information, la norme britannique BS7799-2 avait commencé à imposer le concept de certification de l organisation et de la gouvernance de sécurité du système d information dans les pays anglo-saxons et en Asie. La reprise de la BS7799-2 par l ISO/ IEC et la création de l ISO 27001 permet à ces principes d obtenir une véritable reconnaissance internationale. Elle marque également la volonté de décliner ces concepts dans un ensemble d autres normes support, qui viennent apporter des précisions sur les principes clés de l ISO 27001 (analyse de risques, indicateurs ) ou déclinant le modèle de manière plus précise pour certains secteurs (télécoms, pharmacie ). Ce sont aujourd hui les concepts apportés par la norme, tels que la prise en compte systématique des risques et le fameux cycle Plan-Do-Check- Act (PDCA) qui contribuent à faire de cette norme une véritable référence pour les organisations. Le nouveau cheval de bataille du RSSI Les normes de la famille ISO 27000 arrivent alors que toutes les grandes organisations ont déjà engagé des démarches de sécurisation de l information. Ces démarches sont plus ou moins avancées selon les cas ou les secteurs d activité, mais elles évoluent toutes actuellement dans le même sens, avec une profonde transformation du métier de RSSI. D experts techniques il y a encore quelques années, les RSSI sont en effet devenus des véritables chefs d orchestre, animant la relation entre les métiers et la DSI. Leur rôle principal est désormais d organiser, de fiabiliser, de contrôler et de communiquer. Les normes ISO 27000 vont apporter une aide incomparable aux RSSI pour les accompagner dans cette évolution. Une adoption encore très partielle Progressivement, la norme ISO 27001 fait son chemin en France, mais elle n a pas encore acquis toutes ses lettres de noblesses. L analyse ci-dessous, réalisée auprès des 50 plus grands clients de Solucom group, montre que plus de la moitié des grandes entreprises ou administrations ont lancé des actions orientées vers l ISO 27001. La majorité de ces initiatives restent toutefois limitées à une analyse d écarts avec les exigences de la norme. Le chemin à parcourir avant que l ensemble des entreprises ne montent de véritables SMSI* est encore bien long, sans parler de la généralisation des certifications Pour autant, ce mouvement est réellement enclenché et ces initiatives devraient naturellement s'accélérer. Initiatives des grands comptes orientées vers l ISO 27001 Analyse réalisée par Solucom en septembre 2008 Aucune initiative lancée 47% Analyse des écarts réalisée 33% Projet de certification lancé 9% Définition d un SMSI sans recherche de certification 12% * SMSI : Système de Management de la Sécurité de l Information 4 Livre Blanc Solucom group - Octobre 2008

Liste des principales normes publiées et en travaux NORME TITRE STATUT 27000 Définitions et vocabulaire Draft 27001 Exigences d un SMSI Publiée 27002 Guide des bonnes pratiques de sécurité de l information Publiée 27003 Guide d implémentation d un SMSI Draft 27004 Indicateurs et tableaux de bord Draft 27005 Gestion des risques Publiée 27006 Exigences pour les organismes d audit et de certification Publiée 27007 Guide pour l audit d un SMSI Draft WLA SCSW Standard spécifique au secteur du jeu (World Lottery Association) Publiée NORME TITRE STATUT 27011 Guide pour le secteur des Draft télécommunications 27012 Guide pour le secteur financier Proposée 27013 Guide pour le secteur de l industrie Proposée 27015 Guide pour l accréditation Proposée 27016 Audits et revues Proposée 27031 Continuité d activité Draft 27032 Cybersécurité (Internet) Draf 27033-x Sécurité des réseaux Draft 27034-1 Guide pour la sécurité applicative Draft 27035 Gestion des incidents de sécurité Draft 27799 Déclinaison de l ISO 27002 pour le secteur de la santé Publiée ISO 27001 : une norme qui insiste «là où le bât blesse» Analyse métier des risques SI Politique de sécurité des SI Plan d actions annuel Procédures formalisées Plan de sensibilisation Plan de contrôle annuel Tableaux de bord 39% (+14%) 53% (+2%) 47% (+16%) 56% (+6%) Adoption du principe en 2008 Adoption du principe en 2007 71% (+8%) 81% (+9%) 90% (+5%) Revue régulière avec la DG 60% (+3%) Solucom a réalisé une analyse des pratiques de sécurisation de l information parmi une cinquantaine de ses plus importants clients «grands comptes». Cette analyse fait apparaître une progression des pratiques. Cette progression se fait en cohérence avec les principes de l ISO 27001, notamment les analyses de risques et les plans de contrôles. Ce sont d ailleurs ces deux volets qui s améliorent le plus. Ces derniers restent toutefois les plus en retrait : la marge de progrès reste très importante! Octobre 2008 - Livre Blanc Solucom group 5

Livre Blanc ISO 27001 L ISO 27001 : un SMSI basé sur 4 principes fondamentaux La norme ISO 27001 pose les bases du système de management de la sécurité de l information (SMSI). Adoptant une approche par processus, la norme met en lumière les meilleures pratiques et surtout les organise dans le temps. Du SMSI en théorie Clé de voûte de l initiative 27000, la norme ISO 27001 décrit les exigences nécessaires à la mise en œuvre du Système de Management de la Sécurité de l Information (SMSI). Le SMSI se définit par l ensemble des ressources mises en place pour organiser et gérer au quotidien la sécurité de l information. De manière plus concrète, le SMSI englobe : L ensemble des documents explicitant la gouvernance de sécurité de l information (politiques, analyses de risques, directives, procédures, manuels utilisateurs ). L organisation associée à la sécurité de l information (RSSI, correspondants sécurité informatique, correspondants sécurité métier, exploitants, instances de décisions). Les infrastructures techniques de sécurité (firewalls, antivirus ). Toutes les infrastructures mettant en place d autres mesures de sécurité (contrôle d accès physique ). Le SMSI est donc un dispositif global qui régit la manière dont la sécurité de l information est mise en place. Il est important de noter qu il est toujours défini pour un périmètre bien déterminé : toute l entreprise, un métier ou un processus particulier, une application, un centre de production Le choix du périmètre est un élément clé de la réussite du projet de mise en œuvre. au SMSI en pratique La définition du SMSI que nous venons de présenter peut laisser penser que chaque entreprise ayant déjà mis en place des éléments de gouvernance de sécurité de l information dispose déjà d un SMSI en bonne et due forme. Mais ce n est pas vraiment le cas! L ISO 27001 impose en effet au SMSI le respect d au moins quatre principes essentiels qui sont encore rarement mis en place. Ces principes représentent une évolution importante de la manière dont la sécurité de l information est aujourd hui prise en compte et formalisée. Et ce sont ces principes qui permettront d atteindre ce que les approches classiques de la sécurité n avaient pas pu faire (cf. analyse chiffrée page précédente), notamment une véritable efficience, une adéquation entre les coûts et les gains, et si on le souhaite, une reconnaissance externe et interne à travers la certification. Les quatre principes fondamentaux sont le pilotage par les risques, l amélioration continue, l implication du management et l approche processus. 1 Le pilotage par les risques L ISO 27001 impose l analyse de risques comme pilier essentiel pour sélectionner et définir les mesures de sécurité à appliquer. Il est donc fondamental de bien prendre en compte cet aspect lors de la mise en place du SMSI. L analyse de risques permet en effet de justifier la prise en compte ou non de mesures de sécurité, et surtout la manière dont ces mesures seront implémentées. Et c est bien un changement majeur par rapport aux pratiques de la dernière décennie! La politique et les directives de sécurité ne sont plus là pour présenter comme obligatoire un ensemble de bonnes pratiques conformes à «l état de l art», mais bien pour garantir que ces bonnes pratiques permettent de réduire des risques réels et quantifiés. La méthodologie d analyse n est pas imposée mais doit être définie au préalable et répondre à certaines contraintes : identification des processus et actifs critiques, identification des propriétaires, analyse des impacts, identification des menaces et des vulnérabilités, description et pondération des risques puis validation des risques résiduels. 6 Livre Blanc Solucom group - Octobre 2008

2 3 L amélioration continue L implication du management 4 L approche processus Comme les systèmes de management de la qualité (ISO 9001) et de l environnement (ISO 14001), un SMSI ISO 27001 repose sur le cycle de progrès PDCA : Plan, Do, Check, Act, également appelé Roue de Deming. Plan Do Check Act Ce cycle vise une amélioration continue reposant sur une logique simple : dire ce que l on fait, faire ce que l on a dit, puis contrôler et corriger les écarts. Si la norme 27001 présente le cycle comme séquentiel (schéma ci-dessus), la réalité est différente. Globalement, il est bien sûr nécessaire de créer un cycle de réévaluation annuel pour l intégralité du SMSI. Les revues de direction (cf. ci-après) marqueront la finalisation d un tel cycle, avec la réalisation d un bilan visant à évaluer l efficacité du SMSI mais également à valider les orientations à venir. Mais en complément, la démarche d amélioration continue doit être aussi appliquée aux processus du SMSI, selon un cycle temporel qui peut potentiellement être différent. Il peut par exemple être nécessaire de réaliser des bilans intermédiaires sur la gestion des incidents ou encore de décider la réalisation d audit sans attendre la fin d un cycle annuel. Chaque processus peut alors avoir son propre cycle de fonctionnement. Le management joue un rôle clé dans le fonctionnement d un SMSI. Son implication ne se résume pas à un accord officiel pour lancer le projet. Il s agit d une interaction bien plus forte car c est bien le management qui va orienter le SMSI et prendre les décisions relatives aux risques qu il est prêt à accepter. Son implication est également essentielle pour réussir les étapes de l analyse de risques mais également pour nommer les différents acteurs mettant en œuvre le SMSI et fournir les moyens nécessaires. Le management doit aussi communiquer vers les acteurs du périmètre pour marquer sa volonté de mettre en œuvre cette démarche d amélioration de la sécurité de l information. Le management intervient également dans la durée. Il est l acteur clé de la revue de direction qui se déroule a minima annuellement. Cette revue a pour but d évaluer l efficacité du SMSI sur la période écoulée, de réévaluer les risques et de décider des orientations pour la période à venir. Les revues sont construites en collectant les éléments issus des différents processus du SMSI puis en réfléchissant aux évolutions à venir. C est cette étape qui permet l amélioration continue. La norme ISO 27001 préconise que toutes les activités liées au SMSI soient conçues et formalisées sous la forme de processus. Cette approche processus est probablement un des éléments les plus importants de la norme, mais aussi l un des moins explicités par celle-ci. Les porteurs et acteurs des différentes actions contribuant à la sécurité doivent donc être identifiés tout comme l enchaînement des actions à mener pour chaque processus de sécurité. Pour chaque processus, il faudra identifier : les entrées et les sorties, les responsabilités et les acteurs, les différentes étapes, les contrôles nécessaires, les indicateurs générés, les éléments de preuve qui permettront un audit interne ou de certification. Il est important de préciser ici qu il s agit des processus de sécurité de l information et que la norme ne demande pas de formaliser les processus métiers (au sens ISO 9001). Octobre 2008 - Livre Blanc Solucom group 7

Livre Blanc ISO 27001 Les 7 processus essentiels du SMSI La mise en œuvre d un SMSI implique la formalisation des processus spécifiques à la sécurité de l information. Du SMSI en théorie La norme ISO 27001 recommande l utilisation d une approche par processus, mais sans expliciter la nature des processus essentiels Nos retours d expérience sur les autres normes formalisant des systèmes de management nous montrent que deux types de processus doivent être distingués : 1) Les processus liés à l activité métier. Ces processus dépendent complètement du périmètre retenu pour le SMSI. Leur formalisation n est pas obligatoire. Elle est cependant très utile pour faire le lien avec l activité métier, notamment pour l identification des risques, puis pour positionner les mesures de sécurité à mettre en œuvre, en insérant ces mesures dans les processus métiers courants. 2) Les processus de fonctionnement du SMSI lui-même. Ces processus seront repris du texte de l ISO 27001 et des normes supports. Parmi ces derniers, 7 processus apparaissent comme essentiels : Piloter le SMSI. Analyser les risques. Gérer le traitement des risques. Former et sensibiliser. Contrôler le SMSI. Gérer les incidents et les vulnérabilités. Gérer les documentations et les preuves. Piloter le SMSI Générer le traitement des risques Analyser les risques Plan Chaque processus sera donc formalisé en tenant compte de la Roue de Deming : Description des objectifs du processus, de ses éléments d entrée, de son organisation et de ses acteurs (PLAN). Description des actions qui vont être entreprises (DO). Description de contrôles propres au processus qui vont s assurer de sa bonne marche, notamment les indicateurs qui seront produits (CHECK). Description du pilotage et des revues régulières du processus (ACT). Si les processus s alignent sur le PDCA du SMSI lui-même, chaque processus peut également créer son propre cycle d amélioration continue. Act Gérer les documentations et les preuves 1 Piloter le SMSI Le premier processus est transverse à l ensemble du SMSI. Il a pour objectif de définir la manière dont le SMSI lui-même va être géré. Il décrit les responsabilités concernant le fonctionnement du SMSI. Ses objectifs principaux sont de gérer les revues de direction, de permettre le pilotage du cycle d amélioration continue PDCA, et de suivre les compétences et les ressources intervenant dans le fonctionnement du SMSI. Les revues de directions sont ainsi décrites, ainsi que leurs objectifs (rappels des engagements de la direction, revue de l activité, mesure de l efficacité ). Elles sont souvent mises en place à fréquence annuelle ou semestrielle. Les indicateurs liés à ce processus sont typiquement le taux de revues de direction réalisées par rapport aux réunions prévues ou le pourcentage des responsables prévus dans le SMSI pour lesquels une affectation précise a été réalisée. Les éléments de preuves liés à ce processus sont typiquement le plan d amélioration (document annuel faisant une analyse critique des événements et des évolutions prévues dans la période), les listes à jour des affectations des responsabilités au sein du SMSI ou encore le rappel de l engagement de la direction. Former et sensibiliser Do Check Contrôler l efficacité Gérer les incidents et les vulnérabilités 8 Livre Blanc Solucom group - Octobre 2008

2 3 Analyser les risques Le processus d analyse de risques est le cœur du SMSI. Il décrit la manière dont l analyse de risques sera menée, et surtout complétée et mise à jour. Les grandes lignes de ce processus sont assez classiques : Etablir la liste des actifs à protéger (postes, sites, serveurs, applications, données, interfaces, services, personnels ). Classifier ces actifs avec les métiers en fonction de leurs besoins de sécurité : évaluer les impacts (financiers, humains, opérationnels ou organisationnels, légaux ou réglementaires ) en cas de problème de sécurité et en déduire un niveau de besoin en de confidentialité, d intégrité, de disponibilité et de traçabilité. Déterminer les menaces, les vulnérabilités et les probabilités d occurrence associées. En déduire la liste des risques du périmètre. Obtenir pour chaque risque une décision managériale sur la conduite à tenir. Ce processus doit également définir les concepts de l analyse de risques, notamment la méthodologie utilisée (EBIOS, MEHARI, méthodologie interne ), la manière de couvrir le périmètre (analyses locales, consolidées en central par exemple) et les règles de gestion de risques retenues, par exemple l acceptation directe des risques mineurs pour permettre de se focaliser sur les risques majeurs du périmètre. Les indicateurs du processus sont typiquement le taux de couverture de l analyse des risques et le délai entre les revues de risques. Les éléments de preuve du processus sont typiquement l analyse de risques finalisée et les décisions de traitement des risques par la direction. Gérer le traitement des risques Une fois les risques identifiés, il est fondamental de définir comment ces risques vont être traités. Pour cela, le processus «gérer le traitementdesrisques» préciselesentrées (liste des risques identifiés et décision managériale) et identifie pour chaque risque les mesures à mettre en place et les estimations de risques résiduels une fois les actions réalisées. Toutes les actions à réaliser ne peuvent cependant pas être effectives immédiatement (par exemple un plan de reprise d activité demandera probablement plusieurs mois de travail). C est justement le processus «Gérer le traitement des risques» qui permettra de suivre à tout moment l avancement de tels projets et la couverture des risques telle que décidée par la direction. Un document important de ce processus est la Déclaration d Applicabilité (Statement of Applicability ou SoA). Le SoA reprend l ensemble des 133 mesures de sécurité de l annexe A de l ISO 27001 et permet à l organisation de se positionner en indiquant si elle va mettre en œuvre ou non chaque mesure, la justification de cette décision et la manière dont la mesure est mise en œuvre. Ce document sera autant un outil de suivi interne, qu un support de communication externe ou interne. Ce document est exigé par la norme dans le cadre d une certification, mais il est opportun de le prévoir dans tous les cas, pour servir de guide d implémentation et de plan d action. Les indicateurs de ce processus sont majoritairement basés sur le suivi d avancement du plan de traitement des risques (pourcentage d avancement, prévisions ). Les éléments de preuve de ce processus sont typiquement le plan de traitement du risque lui-même, les comptes-rendus des réunions de suivi de ce plan, les tableaux de bord des projets. L ISO 27005 : GESTION DES RISQUES La norme ISO 27005 est un guide de mise en œuvre du processus de gestion des risques liés à la sécurité de l information. Elle propose une méthodologie d appréciation et de traitement des risques et complète ainsi les principes de la norme ISO 27001 qui établit le SMSI en s appuyant sur l analyse des risques. La norme ISO 27005 s inscrit dans la logique vertueuse du cycle PDCA initiée par la norme ISO 27001 tant par son objectif d amélioration de la sécurité que par le cycle de vie de la gestion des risques qu elle propose de mettre en place. Au-delà des apports méthodologiques qu elle représente pour mettre en place les processus nécessaires au SMSI, elle est enrichie d annexes qui forment un outillage pour leur appréciation et leur analyse. L ISO 27005 peut être reprise pour créer la méthodologie interne à l entreprise, avec la possibilité d y adjoindre les bases de menaces, risques ou vulnérabilités issues d autres méthodes. Le recours à une expertise avancée est essentiel pour réaliser ce travail. Octobre 2008 - Livre Blanc Solucom group 9

Livre Blanc ISO 27001 4 5 Contrôler l efficacité Ce processus permet de s assurer que le SMSI est consistant et cohérent et que les actions entreprises sont efficaces. Ce processus est souvent séparé en deux volets. Le premier vise à contrôler le SMSI lui-même à travers un plan d audit interne et externe. Ce plan doit être en adéquation avec le contenu du SMSI : Autocontrôles par les utilisateurs dans le périmètre du SMSI. Contrôles techniques tels que des tests d intrusion ou des tests techniques sur les architectures de sécurité mises en place. Contrôles de conformité, sous forme d audit internes ou externes. Ce processus va également préciser le cadre de réalisation des audits (qui sont les auditeurs, quelles sont les interactions auditeurs/audités, comment les résultats des audits sont restitués, comment les préconisations des audits sont prises en compte, etc.). Le second volet du processus consiste à réaliser des tableaux de bord pertinents à partir des indicateurs prévus dans chaque processus : récupération des indicateurs, consolidation, publication Ces tableaux de bord devront être orientés vers une mesure de l efficacité et pas simplement vers une mesure de l activité du SMSI, l objectif étant de constater l amélioration dans le temps. Les indicateurs de ce processus sont typiquement le suivi du plan de contrôle, le pourcentage des contrôles réalisés (par rapport aux contrôles prévus), le périmètre couvert par les contrôles ou le suivi des préconisations des audits. Les éléments de preuve de ces contrôles sont les résultats bruts des contrôles (questionnaires remplis par les utilisateurs, rapports d audits, rapports techniques, indicateurs ) et les résultats consolidés (compterendu de réunion d audit, tableaux de bords, document de suivi des préconisations). Gérer les incidents et les vulnérabilités La norme impose une gestion efficace des événements de sécurité, tant en correctif (incidents), qu en préventif (vulnérabilités). Gérer efficacement les incidents demande une excellente coordination des différents acteurs du périmètre. Il faut d abord définir correctement le terme «incident de sécurité» : au-delà des incidents de production, il est souvent difficile de détecter les événements de sécurité. Le périmètre des incidents à remonter doit être explicité. Le processus traitera également des aspects préventifs : veille sécurité (réglementaire et technique), gestion des vulnérabilités, gestion des alertes, etc. Les indicateurs de ce processus sont typiquement le suivi des vulnérabilités et de l application des correctifs, les nombres d incidents remontés par catégorie, les actions de veille, etc. Les éléments de preuve de ce processus sont les rapports d incidents, les fiches de description des vulnérabilités et les documents de décision et de suivi des actions associées. 6 Former et sensibiliser Ce processus, exigé explicitement dans la norme ISO 27001, a pour objectifs de former les acteurs ayant des responsabilités dans le cadre du SMSI (auditeurs internes, gestionnaire du SMSI, administrateurs, etc.) et de sensibiliser les utilisateurs qui sont dans le périmètre du SMSI aux bonnes pratiques de sécurité. La limite entre sensibilisation et formation dépend des responsabilités qui incombent aux acteurs. Les acteurs fortement responsabilisés doivent être formés de manière adéquate. A noter que les certifications ISO 27001 Lead Auditor ou Lead Implementor ne sont pas requises par la norme, même si elles restent intéressantes pour les auditeurs internes et les gestionnaires du SMSI. Les indicateurs sont typiquement la couverture et la complétude des actions de formation et de sensibilisation. Les éléments de preuve sont typiquement les supports de formation/ sensibilisation, les tableaux de suivi, les indicateurs de présences aux sessions de formation/sensibilisation. 7 Gérer la documentation et les preuves Ce processus est essentiel lorsqu une certification est recherchée. Il s assure que l ensemble des documents nécessaires au SMSI (typiquement la formalisation des processus) est correctement géré (gestion des versions, archivage, validation ). Ce processus s assure également que les preuves qui seront demandées lors de l audit de certification sont collectées et conservées dans le respect de leur confidentialité et intégrité. Il est également possible de rattacher à ce processus la gestion des actions préventives et correctives si un objectif de certification est visé. Les indicateurs sont par exemple le suivi des mises à jours de la documentation et la complétude des preuves collectées. Ce processus peut lui-même générer des éléments à conserver comme preuves pour un audit de certification, comme les listings des preuves collectées. 10 Livre Blanc Solucom group - Octobre 2008

Pourquoi et comment adopter l ISO 27001? Par rapport aux démarches actuelles de sécurité, la norme ISO 27001 a des apports indéniables. Comment valoriser ces apports? Et jusqu où aller dans son application? Pourquoi adopter l ISO 27001? L ISO 27001 propose des principes pertinents qui amènent un réel plus aux démarches d amélioration de la sécurité : Une meilleure maîtrise des risques qui pèsent réellement sur les activités de l entreprise. La garantie de mieux dimensionner le budget sécurité et surtout de l affecter aux mesures les plus pertinentes. Une association plus systématique des acteurs métiers et du management aux décisions, et donc une meilleure acceptation des contraintes amenées par les mesures de sécurité. Un pilotage plus efficace du traitement des risques. La facilitation d autres démarches liées à la sécurité de l information, comme par exemple la mise en conformité à Bâle II, à Sarbanes- Oxley, à PCI-DSS ou aux lois informatique et libertés. La garantie de mieux répondre aux attentes des clients qui vont maintenant utiliser cette norme comme référence pour les appels d offres ou les audits externes. L utilisation de l ISO 27001 va par ailleurs renforcer la confiance du management dans la démarche entreprise par le RSSI et sa crédibilité. Elle offrira au RSSI un support plus efficace pour obtenir les moyens dont il a besoin pour mener ses actions Plusieurs approches face aux normes La norme ISO 27001 peut certainement être utilisée comme un recueil de bonnes idées dans lequel on peut piocher. Mais elle ne donnera sa pleine efficacité que si les principes fondateurs qu elle propose sont effectivement mis en œuvre. Mais entre l adoption partielle des principes, la mise en œuvre de l ensemble des processus sans viser la certification, ou la véritable certification officielle pour un périmètre SI ou métier, de nombreuses options existent. Et toutes ces options n ont pas les mêmes impacts pour l entreprise, notamment vis-à-vis des processus à concevoir et à implémenter (cf. schéma ci-dessous montrant une approche possible de priorisation des processus à implémenter en fonction de la cible visée). Nous vous proposons donc dans la suite de ce livre blanc de distinguer : 1) Les éléments importants à prendre en compte dans toute tentative d adoption, partielle ou complète des principes de la norme ISO 27001. Ces éléments sont abordés dans le chapitre suivant. 2) Les éléments spécifiques permettant de préparer et de réussir une certification officielle, qui seront abordés dans le chapitre «Franchir le cap et obtenir une certification»). Priorisation des processus selon la cible Cible à déterminer Cible minimum Certification Piloter le SMSI Analyser les risques Gérer le plan de traitement des risques Contrôler l efficacité Processus connexes ( gérer les incidents, sensibiliser...) Gérer les preuves et la documentation Mesures et projets de sécurité prioritaires Octobre 2008 - Livre Blanc Solucom group 11

Livre Blanc ISO 27001 De la théorie à la mise en œuvre concrète La norme ISO 27001 arrive alors que les entreprises et les administrations ont déjà pour la plupart mis en place des premiers éléments de gouvernance de la sécurité et ont engagé de nombreux chantiers d amélioration. La décision d appliquer les principes de l ISO 27001 remetelle en cause tout l existant? Comment entamer ce projet ISO 27001? Donner rapidement Si l on prend l ISO 27001 au pied de la lettre, la première étape majeure à mener est l analyse de risques. Pour conduire cette action, le choix du «niveau de granularité» est lourd de conséquences. En effet, identifier tous les risques en analysant chaque micro processus de l entreprise est une tâche de longue haleine. Se placer à un niveau macroscopique permet d aller beaucoup plus vite, mais donne des résultats beaucoup moins précis. Pour traiter ce dilemme et lancer la «boucle PDCA» dans un délai raisonnable, nous préconisons de mener en parallèle : L identification macroscopique des besoins de sécurité, réalisée sur la base d interviews des principaux responsables métiers et de la direction générale. Une analyse des écarts entre les pratiques existantes et les principes et règles de la norme (i.e. les chapitres 4à8del ISO 27001 et les 133 mesures de sécurité de l ISO 27002), réalisée sur la base d interviews du RSSI et des responsables SI (exploitants, architectes, chefs de projets ), d une revue documentaire et de visites de sites. Ces étapes doivent se mener sur les activités les plus critiques à l échelle de l entreprise. L objectif étant d avoir une première vision qui permet ensuite la sélection d un périmètre judicieux. Pour démarrer vite, il faut savoir limiter ses actions au traitement des risques les plus importants une impulsion décisive Ce travail initial permet d identifier les grandes familles de risques et les périmètres du SI sur lesquels les enjeux sont les plus forts. Il permet aussi de détecter les éléments manquants pour disposer d un SMSI opérationnel et efficient. Le travail ainsi mené permet de définir et de faire valider la «stratégie du SMSI» par la Direction Générale. Elle consiste à : Fixer le périmètre du SMSI (si ce travail n avait pas déjà été fait en amont). cf p.13 Valider les risques majeurs et critiques qui seront pris en compte immédiatement. Initialisation du SMSI Analyse d écart avec la norme Chantiers de mise en conformité ISO 27001/ISO 27002 DO Stratégie du SMSI Périmètre du SMSI Plan de maîtrise de risques Définir un plan de maîtrise des risques argumenté identifiant les chantiers prioritaires. Ces chantiers seront ceux qui permettront de traiter les risques critiques et majeurs. A ce stade, il est probablement plus facile pour l entreprise d accepter les risques mineurs. Sans cela, le travail à mener pour traiter les risques sera trop complexe et ne prendra pas en compte les priorités. Attention cependant à bien prévoir dans les processus mis en place les principes essentiels qui justifieront auprès d un éventuel auditeur les raisons pour lesquelles certains risques ont été écartés, au moins temporairement pour les premières itérations du SMSI. Ajustement Analyse de risques macro Processus gestion des risques ISO 27005 CHECK ACT 12 Livre Blanc Solucom group - Octobre 2008

Le plan de maîtrise des risques comporte plusieurs volets : Des chantiers de conformité ISO 27001 pour décliner les exigences de la norme. Des chantiers ISO 27002 comme par exemple le Plan de Continuité d Activité, la gestion des identités et des accès (IAM), la gestion contractuelle des tiers L usage de la norme permet de simplifier la communication entre les acteurs du SMSI. Bien communiquer dès le départ est un facteur de succès majeur. La communication doit d abord être orientée vers le management afin d obtenir son adhésion et son support. Elle doit aussi cibler les responsables métiers. La phase d analyse de risques, qui permet d identifier et de valider les risques, est une excellente occasion de réaliser cette communication. COBIT, ITIL ET ISO 27000 La plupart des DSI ont engagé des démarches de mise en application des référentiels de gouvernance de SI, les plus souvent cités étant COBIT et ITIL. Le COBIT, avec son approche de gestion des risques, peut apporter une aide pour viser l ISO 27001. Il envisage des types de risques plus larges (risques affectant l efficacité, la fiabilité ou l efficience du SI, en plus des critères orientés vers confidentialité ou la traçabilité) mais les démarches restent fondamentalement proches. En règle générale, on peut considérer que les normes ISO 27000 constituent un approfondissement sur les thèmes de la sécurité qui sont évoqués de manière plus succinte dans les autres référentiels. Choisir son périmètre Le choix du périmètre est fondamental pour le SMSI. Le périmètre peut être un site, un ou plusieurs processus métiers, une direction, l entreprise elle-même, mais il se doit d être cohérent en terme d enjeux de sécurité. Les limites du périmètre doivent être explicitées : Limites géographiques. Limites de responsabilités : ne pas oublier que le SMSI doit être sous la responsabilité managériale. Il convient donc qu un manager commun à tout le périmètre existe, sans forcément avoir à remonter au plus haut niveau hiérarchique. Limites d organisation : quelles sont les populations dans le SMSI, en dehors... Limites technologiques : quelles sont les ressources SI dans le SMSI. Cela est très important pour savoir quelles mesures doivent notamment être mises en place. Construire sur l existant Le travail de planification initial et de construction du SMSI ne va pas forcément remettre en cause tout l existant. Il est possible dans la plupart des cas de s appuyer sur les éléments pertinents déjà existants, notamment les politiques, les chartes, les directives, mais aussi les procédures opérationnelles. Le schéma ci-dessous explicite les éléments apportés par l existant et les nouveaux éléments qui seront vraisemblablement à créer. Construction du SMSI PLAN Existant Alignement sur les principes Certification Politique générale Politique & chartes Processus du SMSI Analyse de risques Gérer les ressources externes Il est très probable que le SMSI fasse appel à des services et des ressources qui ne sont pas dans son périmètre. C est notamment souvent le cas pour la gestion des ressources humaines ou les services logistiques. Cela peut également être le cas avec des services liés à la gestion du SI comme l exploitation ou le support. Il appartient alors au SMSI de gérer les risques associés à ces services et ressources externes. L analyse de risques doit donc les inclure au même titre que les ressources internes. Pour gérer ces risques, la méthode est spécifique, puisqu il est nécessaire d établir de véritables «conventions de services» entre les responsables du SMSI et les organisations qui fournissent les services et ressources externes. Bien que non intégrées dans le périmètre, ces organisations sont donc impactées par le SMSI. La mise en œuvre de conventions de services internes peut représenter un challenge important dans les organisations peu habituées à ce mode de fonctionnement. Un travail de communication est là encore nécessaire dès le départ de manière à obtenir ces engagements. Les conventions elles-mêmes doivent être alignées avec les concepts de l ISO 27001, c est-à-dire prévoir une possibilité d audit, des indicateurs, des «preuves», des mécanismes de gestion des incidents, vulnérabilités ou plaintes, et des comités de pilotage. Définition du périmètre Déclaration d applicabilité (SoA) Il faut d ailleurs noter que la norme ISO 20000-1, basée sur ITIL, référence directement la famille 27000 pour ce qui concerne le processus de gestion de la sécurité du SI. DO CHECK & ACT Approche contrôle / Gestion des actifs Plan de contrôles Mesures de l efficacité Systématisation Systématisation Gestion documentaire Audits de conformité Gestion des preuves Octobre 2008 - Livre Blanc Solucom group 13

Livre Blanc ISO 27001 Franchir le cap et obtenir une certification La certification du SMSI par un organisme externe apporte une reconnaissance publique et internationale. Cette certification nécessite cependant des efforts importants qui doivent donc être justifiés par un réel besoin métier. Le principe de certification La certification garantit de manière indépendante que le SMSI est conforme aux exigences spécifiées, qu il est capable de réaliser de manière fiable les objectifs déclarés et qu il est mis en œuvre de manière efficace. Ses apports sont notamment : 1) Vis-à-vis des clients, des fournisseurs et des partenaires : La réponse à des demandes explicites des clients lors d émission d appels d offres requérant la certification. La maîtrise des coûts avec la réduction du nombre d audits mandatés par des tiers. Le renforcement de l image de marque de la société. 2) Pour l entreprise, la capacité de mobiliser ses équipes derrière un projet commun et visible, dans un objectif de planning déterminé, et d accélérer ainsi la démarche d amélioration de la sécurité. Mais viser la certification reste une cible ambitieuse nécessitant un bon niveau de maturité. C est un projet à part entière nécessitant un haut niveau de sponsoring. C est aussi un engagement dans la durée, aussi bien dans la fourniture de moyens que dans l amélioration continue. Nombre d entreprises certifiées par année et pays France Irlande Australie Hong Kong Pologne Italie Corée République Tchèque Hongrie USA Allemagne Chine Taiwan UK Inde Japon 10 26 28 30 34 54 58 66 74 77 108 161 183 368 425 À la vue des efforts nécessaires, la certification doit répondre à une demande explicite des métiers et de la direction de la société. La certification dans le monde Aujourd hui, le niveau d adoption de la certification ISO 27001 est très hétérogène d un pays à l autre. Certains sont très en avance, en particulier le Japon. D autres (États- Unis, Inde, Allemagne ) sont en train de rattraper leur retard suite à la publication de l ISO 27001 comme norme internationale. Début septembre 2008, 4 803 certifications ISO 27001 ont été prononcées dans le monde. En France, quelques sociétés ont obtenu la certification. Agissant principalement sur le domaine des technologies de l information, ces sociétés ont certifié des processus particuliers proches de leur cœur de métier. C est le cas de Solucom, par exemple, qui a fait certifier ses prestations d audit de sécurité des systèmes d information. Depuis un an, le nombre de certifications dans le monde a doublé. Nombre de certifications en 2008 Nombre de certifications en 2007 source : www.iso27001certificates.com 2770 COMMENT ÉVALUER LE CERTIFICAT D UN PARTENAIRE? L obtention de la certification et son utilisation lors d échanges commerciaux sont soumises à des règles assez strictes définies par l ISO. Cependant la certification ne garantit pas forcément la sécurité du partenaire et de ses infrastructures. En effet la norme impose uniquement la présence et le bon fonctionnement du SMSI. Il est donc important de vérifier les critères suivants pour bien évaluer l apport de la certification : Le périmètre du certificat, qui détaille quels processus de l entreprise sont couverts par le SMSI. La déclaration d applicabilité (SoA), qui précise quels contrôles (issus ou non de la norme ISO 27002) ont été sélectionnés et mis en œuvre. La date de certification, qui indique la pérennité de la démarche chez le partenaire. Ce critère est à relativiser au vu de la récente publication de la norme, mais il est important que le SMSI ait au moins réalisé une fois le cycle PDCA. 14 Livre Blanc Solucom group - Octobre 2008

La certification, une démarche encadrée et normalisée Pour obtenir la certification, il est nécessaire de faire auditer son SMSI par un organisme de certification externe. La certification du SMSI ISO 27001 suit le même processus que celle des autres systèmes de management tels que l ISO 9001 et l ISO 14001 (système de management environnemental). Les normes génériques d audit (ISO 19011, ISO 17021) sont complétées par des textes spécifiques au SMSI, en particulier la norme ISO 27006. L organisation souhaitant se faire certifier doit tout d abord contracter avec un organisme de certification. Ce contrat d une durée de 3 ans va encadrer l ensemble du cycle de la certification. L organisme de certification va mandater des auditeurs certifiés pour réaliser les contrôles. Plusieurs types d audits sont formellement identifiés : l audit initial couvrant la totalité du périmètre, des audits de surveillance sur un périmètre plus restreint et enfin l audit de renouvellement. La durée de l audit est déterminée par la norme ISO 27006 et varie suivant le nombre et la taille des sites, le nombre de personnes dans le périmètre et la complexité du SI. À titre d exemple, il faut compter un peu moins de 30 jours d audit pour une société de 10 000 employés. Réalisation de l audit de certification Suite à cette phase de contractualisation, l audit certifiant est initié. Une première phase de vérification documentaire est réalisée avant d enchaîner sur les visites de sites. Lors de cette opération, les auditeurs réalisent un ensemble de contrôles techniques et organisationnels, pour vérifier que le SMSI «tourne», que les principes sélectionnés ont bien été mis en œuvre et que le système est pérenne. La majorité des contrôles organisationnels nécessitent la fourniture de preuves concrètes (compte-rendu de réunions, documents approuvés, listes de personnes ayant suivi les formations ). Les contrôles plus techniques sont vérifiés concrètement avec l auditeur via la réalisation d opérations sur les systèmes (affichage des habilitations, vérification des correctifs ). De plus, certains contrôles par des interviews spontanées de personnes dans le périmètre sont possibles. Suite à l audit, les auditeurs font parvenir leurs recommandations à l organisme de certification qui approuve les résultats et peut délivrer le certificat officiel. En cas de désaccord avec les résultats, il est possible de poser des recours. La difficultés de la certification Au-delà des points clés inhérents àlamiseenplacedusmsi(périmètre, analyse de risques et mesure de l efficacité), les difficultés rencontrées couramment lors des audits certifiants sont les suivantes : La gestion des enregistrements et des preuves demande des efforts importants de formalisation et de communication. C est sur cette base que les contrôles seront réalisés. La connaissance, sur le périmètre concerné, des principes et des règles de sécurité. Les auditeurs ne manqueront pas d interroger aussi bien des responsables métiers que des employés, voire des prestataires, sur leur connaissance des pratiques de sécurité. Même si un problème sur ce point n entraînerait qu une remarque de la part des auditeurs, il est difficile de garantir un sans faute sur ce volet. La certification d un SMSI n ayant pas encore fait ses preuves. Même si cette pratique n est pas recommandée, il peut être possible d entamer la certification d un SMSI n ayant pas encore réalisé un cycle complet PDCA. La certification sera alors plus facile à obtenir mais les audits de renouvellement ne manque-ront pas de vérifier que les actions de type CHECK et ACT sont réalisées. Le relâchement «naturel» suiteàl obtentiondelacertification pourrait alors être fatal. COMBINER PLUSIEURS SYSTÈMES DE MANAGEMENT Un organisme disposant déjà d un système de management (ISO 9001 par exemple) bénéficie d un avantage indéniable pour la mise en conformité avec l ISO 27001. De manière plus rare qu avec l ISO 9001, les premières approches combinées avec l ISO 20000-1 (service management et ITIL) commencent à apparaître. Ces combinaisons permettent de mutualiser les efforts : réalisation de revues de direction communes, mutualisation des systèmes de gestion documentaires et des preuves, etc. Ces combinaisons présentent l avantage de renvoyer une image cohérente à la direction, mais aussi aux acteurs internes et externes. La stratégie de réalisation des audits certifiant devra cependant être mûrie, surtout dans le cadre de certification nouvelle. L idée de réaliser dès les premières itérations les audits certifiant de manière conjointe peut présenter un risque. Il est plus judicieux pour les premières années de procéder à des audits certifiant disjoints puis une fois la certification ancrée dans les pratiques, de rapprocher les opérations. Attention également si les périmètres sont différents car les interactions et les responsabilités croisées entre les deux systèmes de management pourraient être mal définies, ce qui pourrait mettre en danger les deux certifications. Octobre 2008 - Livre Blanc Solucom group 15

Livre Blanc ISO 27001 Adopter les principes dès aujourd hui, certifier sur opportunité 16 Livre Blanc Solucom group - Octobre 2008

En conclusion La norme ISO 27001 constitue une avancée majeure dans le mouvement de professionnalisation des démarches de sécurité. Elle formalise des principes essentiels (pilotage par les risques, formalisation des processus, contrôle, amélioration continue ) qui vont permettre un alignement progressif de la sécurité de l information avec les meilleures pratiques de management. La légitimité de cette norme auprès des RSSI n est plus à démontrer : plus de la moitié d entre eux ont déjà engagé des actions s appuyant sur les principes qu elle propose. Elle constitue pour les RSSI et les DSI un outil de communication efficace permettant d asseoir la crédibilité et la cohérence des démarches d amélioration de la sécurité, et de valoriser ces démarches vis-à-vis du top management. Avec la certification, cette crédibilité deviendra même dans certains secteurs d activité une reconnaissance externe incontournable. Il ne faut pourtant pas tout attendre de l ISO 27001 : en aucun cas la norme n aide à choisir le bon niveau de granularité et de détail pour conduire les analyses de risques. Elle n aide pas non plus à sélectionner les mesures de sécurité adaptées au contexte et ne garantit pas que les processus que vous allez définir seront les plus efficaces pour maîtriser vos risques. Comme dans le domaine de la qualité, la norme fixe des objectifs, propose une méthodologie, mais seuls le bon sens et l expertise assurent la pertinence des choix d implémentation. Et la cible à atteindre reste encore lointaine pour la plupart des grandes organisations. Le principe de l évaluation des risques en collaboration avec les métiers est encore loin d être généralisé, et les dispositifs de contrôle sont encore très pauvres. Le chemin à parcourir pour s aligner complètement avec la norme s avèrera souvent long, coûteux et ambitieux. La certification officielle doit donc être réservée pour le moment aux organisations qui peuvent y trouver un apport direct pour leur cœur de métier. Mais que cela n empêche pas chaque entreprise d appliquer dès maintenant les bons principes de la norme, et d accélérer ainsi leur démarche d amélioration de la sécurité! C est en focalisant dans un premier temps l attention sur le traitement des risques majeurs que l on pourra pleinement tirer partie des enseignements de la norme tout en se donnant un périmètre de travail raisonnable. Une fois ces risques majeurs maîtrisés, les cycles successifs de la boucle PDCA permettront d élargir progressivement le périmètre des risques traités pour couvrir à terme l ensemble du système d information. En résumé, appliquons dès aujourd hui les bons principes de l ISO 27001, mais visons la certification uniquement lorsque le jeu en vaut la chandelle! Gérôme Billois gerome.billois@solucom.fr Tristan Savalle tristan.savalle@solucom.fr Laurent Bellefin laurent.bellefin@solucom.fr Octobre 2008 - Livre Blanc Solucom group 17

Livre Blanc ISO 27001 Solucom group : le SI au service de la performance de nos clients Solucom group est un cabinet de conseil en système d information et management. Solucom group conseille les grandes entreprises sur leur stratégie en système d information, et les accompagne dans la définition et le pilotage de leurs chantiers SI. En amont, Solucom conseille également les entreprises et opérateurs télécoms en matière de marketing, performance commerciale et transformation métier. Un positionnement qui se résume en une mission : le système d information au service de la performance de nos clients. Solucom group est le partenaire des plus grands comptes français sur leurs projets nationaux et internationaux : Air France-KLM, Alstom, ANPE, Banque de France, BNP Paribas, Bouygues Telecom, Carrefour, Crédit Agricole, EDF, GDF- SUEZ, La Poste, L Oréal, Ministères de l Économie et des Finances, de l Éducation Nationale, de l Intérieur, Neuf Cegetel, Orange, RTE, SFR, SNCF, Société Générale, Total. Dans le domaine de la sécurité, Solucom accompagne les grandes entreprises dans la mise en place de leur politique de maîtrise des risques SI et dans le design de leurs architectures de sécurité. Notre équipe Sécurité, forte de 140 consultants, est ainsi amenée à : cartographier les risques encourus par le SI et conduire des audits, formaliser les politiques et les organisations de management de la sécurité, élaborer des plans de continuité d activité, concevoir et optimiser les processus et les solutions de gestion des identités et des habilitations. 18 Livre Blanc Solucom group - Octobre 2008

Octobre 2008 - Livre Blanc Solucom group 19

Copyright Solucom - Tous droits réservés ISBN 2-9525584-4-2 - EAN 9782952558440 - Responsable de la publication : Patrick Hirigoyen - Crédit photo : Istockphoto - Création : Tour Franklin, 100-101 Terrasse Boieldieu, La Défense 8 92042 Paris La Défense Cedex Tél.:0149032500 Fax.:0149032501 www.solucom.fr