Formation en SSI Système de management de la SSI

Formation en SSI Système de management de la SSI 1

Présentation de la formation Objectif de la formation : "à l'issue de cette formation les stagiaires auront compris comment réaliser une PSSI d'unité et comment la mettre en œuvre dans le cadre d'un système de management". Ceci implique de comprendre : ce qu'est une analyse de risque et comment la réaliser ce que sont les tableaux de bord et leur rôle dans un système de management ce qu'est un référentiel et son lien avec l'audit et le contrôle comment appliquer à la SSI un processus d'amélioration continue (roue de Deming) 2

Présentation de la formation Le cours est prévu en 2 parties : Une première partie: un cours magistral où sont présenter les notions essentiels pour mettre en place un système de management de la SSI dans son laboratoire. Durée : 3 jours. Une deuxième partie : Travaux pratiques (les groupes ne doivent pas excéder 15 personnes) sous la forme d'un jeux de rôle par trinômes. Durée de la simulation : 2 jours. Programme : PLAN réalisation d'une PSSI d'unité ; DO mise en place de la PSSI ; CHECK mesurer à la fois l'efficacité de la PSSI et la réalité de sa mise en œuvre ; ACT faire les corrections qui s'imposent suite au CHECK. 3

Organisation des journées Jours Mardi 26/5/2009 Matin 9h 12h30 Robert Longeon Qu est-ce qu un SMSI Le besoin de pilotage de la sécurité Le sens des normes 2700x Après-midi 13h30 17h30 Laurent AZEMA Système de management de la sécurité de l information (ISO 27001) Mercredi 27/5/2009 Jeudi 28/5/2009 Robert Longeon Appréciation du risque Ernest Chiarello DdA et bonnes pratiques (ISO 27002) Robert Longeon Gestion du risque Ernest Chiarello DdA et bonnes pratiques (ISO 27002) 4

Plan de la présentation Système de management de la SSI Qu'est-ce qu'un SMSI Le besoin de pilotage de la sécurité Le sens des normes 2700x Mise en place d'un SMSI Systèmes Exemples ISO27000 Systèmes de management Le processus de normalisation ISO 27001 Sécurité de l information ISO 27002 ISO27004 ISO27005 5

Plan de la présentation Centre de gravité de la formation est la notion de «système de mangement» SMSI : Système de Management de la Sécurité de l Information S : Système M : Management SM : Système de management SI : Sécurité de l information / sécurité informatique Trois questions fondamentales Qu est ce qu un système de management? Qu entendons nous par sécurité de l information? Pourquoi mettre en place un SMSI? ISO 27001 est un guide pour la mise en place d un SMSI 6

Les différents acronymes d'un SMSI SMSI Système de Management de la Sécurité de l Information SGSI Système de Gestion de la Sécurité de l Information SGSSI Système de Gestion de la Sécurité des Systèmes d'information ISMS Information Security Management System 7

Bibliographie 8

Plan de la présentation Système de management de la SSI Qu'est-ce qu'un SMSI Le besoin de pilotage de la sécurité Le sens des normes 2700x Mise en place d'un SMSI Systèmes Exemples ISO27000 Systèmes de management Le processus de normalisation ISO 27001 Sécurité de l information ISO 27002 ISO27004 ISO27005 9

Les défenses périmétriques ne suffisent plus Distinction entre la connexion à l'intérieur de l'entreprise et à distance? Postes de travail de moins en moins maîtrisés Échanges avec les mémoires et disques miniatures (Clés USB, MP3, Ipod, ) Nombreuses connexions et échanges sans contrôle Gestion et mise à jour des postes de travail (antivirus, fw perso, antimalware, ) Sensibilisation incessante nécessaire Augmentation des coûts d'exploitation Présence dans son réseau privé de prestataires Risques résiduels Accès Internet ADSL dans certains bureaux Utilisateurs qui ne comprennent pas pourquoi Internet ne marche pas «comme chez eux» Envoi de fichiers professionnels aux PC personnels Plus de différence entre poste de travail portable et fixe De moins en moins de différence entre l'ordinateur du bureau et l'ordinateur à la maison 10

Piloter la SSI? Les avancées de la SSI de ces dernières années ont établi que la sécurité doit être perçue comme un «processus», non comme un «état». La SSI consiste à établir un équilibre dynamique entre les conséquences redoutées d une menace et les coûts pour s en protéger. Conséquences : 1. Equilibre dynamique signifie que la SSI est un processus qu'il faut piloter 2. Pour établir cet équilibre il faut pouvoir évaluer les risques: les conséquences d'une menace sa possibilité de réalisation 11

Entrée Quatre concepts fondamentaux de systémique Contrôle Processus Sortie Fonctionnement d un processus La complexité d un système et son corollaire le principe de récursivité L organisation est le concept central pour comprendre ce qu est un système. L organisation est l agencement d une totalité en fonction de la répartition de ses éléments en niveaux hiérarchiques. Selon son degré d organisation, une totalité n aura pas les mêmes propriétés. On arrive ainsi à cette idée que les propriétés d une totalité dépendent moins de la nature et du nombre d éléments qu ils contiennent que des relations qui s instaurent entre eux. L interaction (ou l interrelation) renvoie à l idée d une causalité non-linéaire. Ce concept est essentiel pour comprendre la coévolution et la symbiose en biologie. Une forme particulière d interaction est la rétroaction (ou feed-back) dont l étude est au centre des travaux de la cybernétique. La totalité (ou la globalité). Si un système est d abord un ensemble d éléments, il ne s y réduit pas. Selon la formule consacrée, le tout est plus que la somme de ses parties. Bertalanffy montre, contre l'avis de Russell qui rejette le concept d'organisme, «qu'on ne peut obtenir le comportement de l'ensemble comme somme de ceux des parties et [qu'on doit] tenir compte des relations entre les divers systèmes secondaires et les systèmes qui les coiffent [pour] comprendre le comportement des parties». E(t) Régulateur Actionneur Capteur S(t) Boucle de rétroaction dans un processus dynamique 12

Plan de la présentation Système de management de la SSI Qu'est-ce qu'un SMSI Le besoin de pilotage de la sécurité Le sens des normes 2700x Mise en place d'un SMSI Systèmes Exemples ISO27000 Systèmes de management Le processus de normalisation ISO 27001 Sécurité de l information ISO 27002 ISO27004 ISO27005 13

Qu est-ce qu un Système de management? (Première définition) Première définition : d après l ISO 9000, c est un système permettant : D établir des objectifs D établir une politique D atteindre ces objectifs Objectifs Situation actuelle Politique Situation visée 14

Qu est-ce qu un Système de management? (Deuxième définition) Deuxième définition plus empirique Ensemble de mesures Permettant Organisationnelles Techniques D atteindre un objectif Une fois atteint, d y rester dans la durée Objectifs Situation actuelle Politique Mesures techniques Mesures organisationnelles Situation visée 15

Propriétés des systèmes de management Couvrent un large spectre de métiers et de compétences Concernent tout le monde De la direction générale jusqu en bas de l échelle Se basent sur des référentiels précis Importance du document écrit Sont auditables Quelqu un peut venir vérifier qu il n y a pas d écart entre le système de management et les référentiels 16

Conséquences d'un système de management Le fait de travailler sur un système de management implique : Travail transversal Tout le monde est concerné Peuvent être audités Importance de l écrit Chaîne fonctionnelle De la direction générale à l accueil Les processus seront constamment évalués Passage de la tradition orale à la tradition écrite Dans certains cas, un effort culturel important 17

Apports d un système de management? Oblige à adopter Augmente donc la fiabilité de l organisme dans la durée Un système de management est auditable de bonnes pratiques De façon pérenne Il apporte la confiance aux parties prenantes Qui dit confiance dit contrats et collaborations de recherche 18

Pourquoi mettre en place un système de management? Les systèmes de management sont mis en place Sous la pression des parties prenantes Pour les parties prenantes Qui sont les parties prenantes? (interested parties) Les actionnaires Les autorités de tutelle Les clients Les fournisseurs Les partenaires Le personnel Le public 19

Modèle PDCA appliqué au SMSI Parties prenantes (Interested parties) Attentes et exigences de la sécurité de l information Exigences DO (Déployer) Mettre en œuvre et exploiter le SMSI Plan (Planifier) Établir le SMSI Contrôler et réviser le SMSI Check (Contrôler) Maintenir et améliorer le SMSI Organi sation Act (Améliorer) Management de la sécurité de l information effective Satisfaction Parties prenantes (Interested parties) Système de management Parties prenantes (Interested parties) Partenaires Fournisseurs Clients Pouvoirs publics Services 20

Normes dans les systèmes de management Les systèmes de management couvrent un large spectre de métiers et de compétences Systèmes de management de la qualité (SMQ) ISO 9001:2002 Systèmes de management environnemental (SME) Systèmes de management de la santé et la sécurité au travail (SMSST) Systèmes de management de la sécurité de l'information (SMSI) : Systèmes de management de la sécurité des denrées alimentaires (SMSDA) Systèmes de management des services informatiques des organismes ITIL, BS15000 ISO 14001:2004 OHSAS 18001:1999 (n'est pas une norme ISO) ISO/IEC 27001:2005 ISO 22000:2005 ISO 20000-1:2005 n est pas encore formellement le PDCA Sureté pour la chaîne d'approvisionnement ISO 28000:2005 21

Plan de la présentation Système de management de la SSI Qu'est-ce qu'un SMSI Le besoin de pilotage de la sécurité Le sens des normes 2700x Mise en place d'un SMSI Systèmes Exemples ISO27000 Systèmes de management Le processus de normalisation ISO 27001 Sécurité de l information ISO 27002 ISO27004 ISO27005 22

Sécurité de l'information La SSI est-elle seulement une affaire de sécurité informatique? Réponse : NON Explicitation des choix, des principes organisationnels et des lignes directrices Uniformisation des techniques et méthodes utilisées : référentiel applicatif, définition des produits, outils, méthodes, instructions, dispositif de formation, moyens humains. Niveau stratégique Pilotage de la sécurité Niveau organisationnel Définition des objectifs Prévention des incidents Mise en place des protections Contrôle du système d'information Réaction sur incident Niveau direction Niveau gestion du système d'information Niveau exploitation P Niveau surveillance du système d'information et maintenance D Niveau prise en charge des incidents et analyse C A Normes, règles, plans, procédures, recommandations, structures, Niveau opérationnel Dispositifs techniques de protection et de contrôle, administration système et réseau, outils d'audits et d'analyse des incidents, 23

Sécurité de l'information Sécurité de l information (information security) Confidentialité (confidentiality) Intégrité (integrity) Disponibilité (availability) Auxquels ont peut adjoindre d autres caractéristiques Authenticité (authenticity) = authentification + intégrité Imputabilité, auditabilité, traçabilité (accountability) Non répudiation (non-repudiation) Etc. 24

Plan de la présentation Système de management de la SSI Qu'est-ce qu'un SMSI Le besoin de pilotage de la sécurité Le sens des normes 2700x Mise en place d'un SMSI Systèmes Exemples ISO27000 Systèmes de management Le processus de normalisation ISO 27001 Sécurité de l information ISO 27002 ISO27004 ISO27005 25

Exemple 1 Société implantée dans toute la France Répartition régionale des compétences Antivirus Paris Mises en production Lyon IDS Metz Rennes Paris Orléans Metz Pas de documentation formelle entre les régions Antivirus Pas le mêmes outils pour administrer les antivirus Mises en production Pas faites de la même façon sur les différents sites IDS Pas déployés Toulouse Lyon 26

Exemple 2 Un seul site de production Peu de liaisons avec extérieur Ancienneté du personnel Un mot d ordre «On ne touche pas à quelque chose qui marche bien» Ancienneté du personnel Monoculture On ne touche pas à quelque chose qui marche bien Presque pas de correctifs de sécurité Systèmes très vulnérables Impossibilité de façon sécurisée de s ouvrir vers des partenaires. 27

Exemple 3 Fourni des services à valeur ajoutée Fournisseur de services Développement, maintenance et support applicatif Gère et maintient les serveurs Héberge l infrastructure et l'accès internet Prestataire A Développement Maintenance applicative Support applicatif Prestataire B Propriété des serveurs Exploitation système Support système Niveau de compétences général très satisfaisant Méfiance du client Pas de contrôle du code source Le fournisseur de services repose sur trop de prestataires Pas de répartition claire des responsabilités en terme de sécurité 28

Synthèse des problèmes rencontrés Les 3 sociétés concernées sont très différentes Banque / PME / Industriel Problèmes de nature très variés Techniques / Organisationnels / Culturels Ont tous des conséquences négatives Problèmes d exploitation Retard des projets d ouverture du réseau Risque de perte de marché Ces problèmes pourraient être évités si un SMSI avait été mis en place 29

Plan de la présentation Système de management de la SSI Qu'est-ce qu'un SMSI Le besoin de pilotage de la sécurité Le sens des normes 2700x Mise en place d'un SMSI Systèmes Exemples ISO27000 Systèmes de management Le processus de normalisation ISO 27001 Sécurité de l information ISO 27002 ISO27004 ISO27005 30

ISO 17799 Ex BS 7799-1 Point sur les normes de type ISO2700x IS 31000 Risk management Guidelines on principles and implementation of risk management IS 27031 ISM guidelines for BS 7799-2 Specification for information security management IS 27002 Code of practice for ISM IS 27003 ISM implementation guidance IS 27005 Information security risk management ISO 14001 Exigences pour les systèmes de management environnemental, IS 27001 ISMS requirements SMSI IS 27004 ISM measurements IS 18028 IT Network security (parties 1à 5) telecommunications (ITU-T X.1051) IS 21827 Systems security engineering Capability maturity model IS 24762 Guidelines for I&CT disaster recovery services IS 27000 ISMS fundamentals and vocabulary BS 7799-1 Code of Practice for information security management ISO 17021 Exigences pour les organismes procédant à l'audit et à la certification de systèmes de management IS 27006 Requirements for bodies providing audit and certification of ISMS ISO 9001 systèmes de management de la qualité ISO 19011 Lignes directrices pour l'audit des systèmes de management 31

Les documents normatifs National Européen International Les documents français documents normatifs NF : norme française Pr NF : norme en projet documents d information FD : fascicule de documentation GA : guide d application BP : bonnes pratiques documents d accord AC : accord RP : référentiel de bonnes pratiques Les documents documents normatifs EN : norme européenne TS : spécifications techniques documents informatifs TR : rapport technique documents d accord CWA : Cen Workshop Agreement Les documents ISO documents normatifs ISO : norme internationale ISO/FDIS : (F) DIS (Final) Draft International Standard documents informatifs TR : rapport technique 32

Le circuit normatif ISO ~ 5 ans SP: NWI: WD: CD: FCD: DIS: FDIS: IS: Study Period New Working Item Working Draft Committee Draft Final Committee Draft Draft for International Standard Final Draft for International Standard International Standard 33

ISO/IEC JTC1 ISO/IEC JTC1 SC7 & SC27 & SC36 ISO : International Standardisation Organisation IEC : International Electrotechnical Commission JTC1 : Joint Technical Committee 1 (Information technology / Technologies de l information) SCx : Sous-Comité SC 2 Jeux de caractères codés SC 6 Téléinformatique SC 7 Ingénierie du logiciel et des systèmes SC 17 Identification des cartes et des personnes SC 22 Langages de programmation, leur environnement et interfaces des logiciels de systèmes SC 23 Supports enregistrés numériquement pour échange et stockage d'information SC 24 Infographie, traitement de l'image et représentation des données environnementales SC 25 Interconnexion des appareils de traitement de l'information SC 27 Techniques de sécurité des technologies de l'information SC 28 Équipements de bureau SC 29 Codage du son, de l'image, de l'information multimédia et hypermédia SC 31 Techniques d'identification et de captage automatique des données SC 32 Gestion et échange de données SC 34 Description des documents et langages de traitement SC 35 Interfaces utilisateur SC 36Technologies pour l'éducation, la formation et l'apprentissage SC 37 Biométrie Au sein de l'iso, le JTC1 (Joint Technical Committee 1) est chargé des technologies de l'information. Il rassemble sur ce thème les compétences de l'iso et de la CEI. L'un de ses sous-comités, le SC27, est dédié à la sécurité 34

Les groupes de travail ISO/IEC JTC1 SC27 Le SC27 se compose de cinq WG (Working Group) : Le WG1 est chargé de l SMSI (série 2700x), Le WG2 traite des techniques de sécurité (cryptographie), Le WG3 est consacré aux critères d'évaluation de la sécurité, Le WG4 traite des services et mesures de sécurité, Le WG5 traite de gestion de l'identité et technologies de "privacy". 35

Plan de la présentation Système de management de la SSI Qu'est-ce qu'un SMSI Le besoin de pilotage de la sécurité Le sens des normes 2700x Mise en place d'un SMSI Systèmes Exemples ISO27000 Systèmes de management Le processus de normalisation ISO 27001 Sécurité de l information ISO 27002 ISO27004 ISO27005 36

La normalisation de la SSI Evolutions en cours 1. Passage de la sécurité informatique à la sécurité des systèmes d'information puis à la sécurité de l'information. On passe de notions plutôt techniques à des notions plutôt organisationnelles ou managériales. 2. Importance croissante des approches de conformité et développement des recours à l évaluation et à la certification. La certification peut porter sur des produits et systèmes (Critères Communs:IS 15403), sur des processus (par exemple IS 27001) sur des organisations (par exemple IS 9001) Sur des personnes (IS 27001, CISM, CISSP) 37

Normes ISO2700x : historique 1995 BS7799 Dix mesures clé 100 mesures détaillées, potentiellement applicables 1998 Ajout d une partie 2 Notion de SMSI Objectif : Apporter un schéma de certification 2000 ISO 17799: 2000 2002 BS7799-2: 2002 Correspond à la BS 7799 partie 1 Pas de notion de SMSI Pas de certification possible Seconde version de la BS 7799-2 38

Normes ISO2700x : historique Juin 2005 ISO 17799:2005 Nouvelle version de l ISO 17799: 2000 Octobre 2005 ISO 27001:2005 Adoption par l ISO de la BS 7799-2:2002 Amélioration de la BS 7799-2 Notion de SMSI Possibilité de certification Juillet 2007 ISO 27002 ISO 17799 devient ISO 27002 Rentre dans la terminologie de la série ISO 27000 sans changement 39

La famille des normes ISO 2700x (septembre 2008) 40

Utilisation des normes Pour les tableaux de bord ISO 27002 ISO 27004 Usage le plus répandu à ce jour Approche très pragmatique Pour les audits ISO 27002 Les conclusions font référence à la norme Espéranto de la sécurité Pour adopter les bonnes pratiques ISO 27001 ISO 27002 Constat objectif que vous adoptez les bonnes pratiques en matière de SSI Permet d'évoluer, le moment venu, vers une certification Risque : non-conformité avec la norme 41

Utilisations des normes Pour donner une image de sérieux aux partenaires ISO 27001 Constat, extérieur et objectif que vous adoptez les bonnes pratiques en matière de SSI Permet d'évoluer, le moment venu, vers une certification Pour être certifié ISO 27001 Constat impartial, objectif et officiel que "vous adoptez les bonnes pratique en matière de SSI" Engagement dans la durée 42

Exigence d'une certification Journal officiel de l'union européenne du 25/03/2005, l'annexe du règlement (CE) n 1663/95 est modifiée comme suit : 6 vi)la sécurité des systèmes d'information se fonde sur les critères établis dans une version applicable, pour l'exercice financier concerné, de l'une des normes reconnues sur le plan international ci-après : - Norme 17799 de l'iso / Norme britannique BS7799 - BSI (système de sécurité allemand) - ISACA COBIT Appel d'offre du dossier médical personnel, 28/07/2005, annexe "Sécurité" La présente annexe défini les objectifs de sécurité et les exigences fonctionnelles de sécurité que les hébergeurs de DMP devront respecter. Elle s'appuie en particuliers sur la norme ISO17799:2005 et la future norme ISO27001 (basée sur la BS7799-2:2002). 43

Utilisation des normes Pour réduire les coûts ISO 27001 D'après ceux qui ont mis en oeuvre... Mutualisation des audits Diminution d'usage de mesures de sécurité inutiles Processus en lui-même plutôt moins coûteux que d'autres en SSI Pour homogénéiser ISO 27001 + ISO 27002 Référentiel universel, international, sans concurrence Permet des comparaisons entre entités, sites, pays Facilite les échanges d'expérience et la communication interne Facilite les liens avec les autres métiers et les autres référentiels Facilite la communication aux auditeurs hors de la SSI 44

Plan de la présentation Système de management de la SSI Qu'est-ce qu'un SMSI Le besoin de pilotage de la sécurité Le sens des normes 2700x Mise en place d'un SMSI Systèmes Exemples ISO27000 Systèmes de management Le processus de normalisation ISO 27001 Sécurité de l information ISO 27002 ISO27004 ISO27005 45

Les normes IS 27000 principes et vocabulaire Principes : présentation de la famille des normes de la série 2700x. Elles sont liées à l'smsi (Information Security Management System). Des normes techniques y sont rattachées ISO 13335 TR 3 à 5, ISO 15947 TR sur les principes de la détection d'intrusion, ISO 18028 sur la sécurité des réseaux, ISO 18043 sur la gestion de la détection d'intrusion, ISO 18044 TR sur la gestion d'incident ISO 24762 sur la continuité disaster recovery services). Par ailleurs, la norme donne les définitions des termes liés à la série 2700x. 46

Le vocabulaire de l'iso 2700x Attention : dans l ISO 2700x, les mots n ont pas toujours le sens donné dans EBIOS. Exemple : exigences de sécurité Dans l ISO 27001 0.3, un organisme doit impérativement identifier ses exigences de sécurité essentiellement à partir de trois sources : l appréciation du risque propre à l organisme sur sa stratégie et ses objectifs généraux : l identification des menaces pesant sur les biens, l analyse des vulnérabilités, l évaluation de la vraisemblance des attaques et de leur impact potentiel. l environnement socioculturel d une part, les exigences légales, statutaires, réglementaires, et contractuelles auxquelles l organisme et ses partenaires commerciaux, contractants et prestataires de service, doivent répondre d autre part,. l ensemble des principes, objectifs et exigences métier en matière de traitement de l information que l organisme s est constitués pour mener à bien ses activités. Dans EBIOS, les exigences de sécurité sont décomposés en "exigences fonctionnelles" et "exigences d'assurances" tirés des critères communs 47

Le vocabulaire de l'iso 2700x EBIOS Dans EBIOS Besoins de sécurité / Menaces Objectifs de sécurité Exigences de sécurité Tandis que dans ISO 2700x Exigences de sécurité Objectifs de sécurité Mesures de sécurité 48

Plan de la présentation Système de management de la SSI Qu'est-ce qu'un SMSI Le besoin de pilotage de la sécurité Le sens des normes 2700x Mise en place d'un SMSI Systèmes Exemples ISO27000 Systèmes de management Le processus de normalisation ISO 27001 Sécurité de l information ISO 27002 ISO27004 ISO27005 49

Principes de base pour le SMSI Définir le champ d'application, la politique de le SMSI, choisir une méthode d'évaluation du risque. Identifier et estimer les risques. Déterminer des options pour le traitement des risques (accepter, éviter, transférer, traiter) et les évaluer. Sélectionner des objectifs de mesure de sécurité et des mesures de traitement des risques (Annexe A), préparer une Déclaration d'applicabilité (DdA). Définir et mettre en oeuvre le SMSI. Superviser et contrôler le SMSI. Entretenir et améliorer le SMSI. Nécessité d'une forte implication managériale tout au long du cycle de vie de le SMSI. 50

A qui s'adresse le SMSI? Tout types d'organismes visés (IS 27001 1.1) Sociétés commerciales Agences gouvernementales Associations, ONG Indications de la norme génériques (1.2) Applicables à tout type d organisation indépendamment Type, taille, nature de l'activité Objectif général de la norme (1.1) Spécifier les exigences pour Mettre en place, exploiter, améliorer Un SMSI documenté Spécifier les exigences pour la mise en place de mesures de sécurité Adaptées aux besoins de l organisation Adéquates Proportionnées 51

Pourquoi? Pour fournir (1.1) Une protection des actifs d information (information assets) Patrimoine informationel, biens sensibles La confiance aux parties prenantes (interested parties) Sous entendu : clients, actionnaires, partenaires, assureurs, etc. Pour maintenir et améliorer Compétitivité Trésorerie (cash flow) Profitabilité Respect de la réglementation Image de marque Précision présente dans la BS 7799-2:2002 mais a disparu dans l'iso 27001:2005 52

Les clauses obligatoires Référence aux principes de l'ocde et à l'approche qualité (Roue de Deming : Plan, Do, Check, Act). Le chapitre 4 mentionne les étapes (établir le SMSI, le mettre en œuvre et l exploiter, le contrôler et le réviser, le maintenir et l améliorer). Il décrit aussi les exigences en matière de documents. Le chapitre 5 affirme la responsabilité managériale Le chapitre 6 décrit l organisation des contrôles internes Le chapitre 7 traite de la révision, sous responsabilité managériale, du SMSI Le chapitre 8 porte sur l amélioration du SMSI Le respect des clauses de ces chapitres est indispensable dans le cadre d une certification. En Annexe C, tableau de correspondance entre cette norme et les normes IS9001:2000 (qualité) et IS 14000:2005 environnement) 53

Les 5 chapitres qui construisent le SMSI 4.2.2 Responsabilité de la direction Mise en œuvre et fonctionnement du SMSI 5 Établissement du SMSI Déployer (Do) 4.2.1 Planifier (plan) Roue de Deming Agir (Act) Documentation 4.2.4 4.3 Mise à jour et amélioration du SMSI 8 Amélioration du SMSI 6 Vérifier (Check) Audits internes du SMSI Surveillance et réexamen du SMSI 4.2.3 7 Réexamen du SMSI par la direction 54

Phase PLAN (4.2.1) Sommaire Périmètre du SMSI Politique du SMSI Plan de gestion des risques Méthodologie d'appréciation des risques Identification et évaluation des risques Traitement des risques Réduction des risques à un niveau acceptable Conservation (acceptation) des risques Refus ou évitement des risques Transfert Objectifs de sécurité et mesures de sécurité Déclaration d'applicabilité : DdA (Statement of applicability ou SoA) 55

Phase PLAN Périmètre du SMSI Politique du SMSI Approche d'appréciation des risques Objectifs et mesures de sécurité Risques résiduels Déclaration d'applicabilité Définition du périmètre et des limites du SMSI (4.2.1 a) Caractéristique de l entreprise Organisation Situation Techniques Actifs ou biens Exclusions Exemples : Une activité qui est en cours d'élaboration Une partie du système d'information en cours de renouvellement 56

Phase PLAN Périmètre du SMSI Politique du SMSI Approche d'appréciation des risques Objectifs et mesures de sécurité Risques résiduels Déclaration d'applicabilité Politique du SMSI Attention (4.2.1 b) En BS7799-2:2002, le terme était «Politique de sécurité» DO (Déployer) Mettre en œuvre et exploiter le SMSI Plan (Planifier) Établir le SMSI Act (Agir) Maintenir et améliorer le SMSI Précise les objectifs Prend en compte la réglementation Prend en compte la gestion de risque Contrôler et réviser le SMSI Check (Contrôler) 57

Phase PLAN Périmètre du SMSI Politique du SMSI Approche d'appréciation des risques Objectifs et mesures de sécurité Risques résiduels Déclaration d'applicabilité Définir l'approche d'appréciation du risque (4.2.1 c) Définir une méthodologie d appréciation du risque Décrire les critères d acceptation des risques DO (Déployer) Mettre en œuvre et exploiter le SMSI Plan (Planifier) Établir le SMSI Contrôler et réviser le SMSI Check (Contrôler) Act (Agir) Maintenir et améliorer le SMSI Identifier les niveaux de risque acceptables 58

Périmètre du SMSI Politique du SMSI Approche d'appréciation des risques Phase PLAN Objectifs et mesures de sécurité Aucune méthode d'appréciation des risques n est formellement imposée Méthodes maison EBIOS, Méhari ISO 13335-3 Cramm, BSI PD 3002 Octave Nombreux exemples sur Internet Méthode choisie doit assurer Mettre en œuvre et exploiter le SMSI Établir le SMSI Contrôler et réviser le SMSI Maintenir et améliorer le SMSI Que les appréciations du risque produisent des résultats comparables et reproductibles (4.2.1.c) DO (Déployer) Risques résiduels Plan (Planifier) Check (Contrôler) Déclaration d'applicabilité Act (Agir) ISO 27005 : gestion du risque (information security risk management) 59

Phase PLAN Périmètre du SMSI Politique du SMSI Approche d'appréciation des risques Objectifs et mesures de sécurité Risques résiduels Déclaration d'applicabilité Démarche d'identification des risques (4.2.1 d) Identifier les actifs ou biens (assets) dans le cadre du SMSI Plan Établir le SMSI Identifier leur propriétaire (data owner) DO Propriétaire de l'information Responsable du traitement Identifier les menaces (threats) sur ces actifs Identifier les vulnérabilités (vulnerabilities) qui pourraient être exploitées par une menace Identifier les impacts d une perte de Confidentialité Intégrité Disponibilité (Déployer) Mettre en œuvre et exploiter le SMSI (Planifier) Contrôler et réviser le SMSI Check (Contrôler) Act (Agir) Maintenir et améliorer le SMSI 60

Phase PLAN Périmètre du SMSI Politique du SMSI Approche d'appréciation des risques Objectifs et mesures de sécurité Risques résiduels Déclaration d'applicabilité Démarche d'analyse et d'évaluation des risques (4.2.1.e) Évaluer l'impact sur l'organisation et son métier des pertes sur les actifs Évaluer la probabilité d occurrence des défaillances de sécurité Plan Estimer les niveaux de risque Établir le SMSI Décider si le risque est acceptable Identifier le traitement du risque possible DO (Déployer) Mettre en œuvre et exploiter le SMSI (Planifier) Contrôler et réviser le SMSI Check (Contrôler) Act (Agir) Maintenir et améliorer le SMSI 61