Retour d expérience sur l implémentation et la certification ISO27001 de «EPPM» -Imed Yazidi- LSTI certified ISO 27001 Lead Implementer 14/02/2013 ENGINEERING PROCUREMENT & PROJECT MANAGEMENT s.a
Présentation de «EPPM» ENGINEERING PROCUREMENT & PROJECT MANAGEMENT s.a Créé le 1er Juin 1993. Capital social:5 000 000 DT. EPPM est certifié ISO 9001, ISO 14001, OHSAS 18000 (AFAQ). Certification de notre SMSI en Novembre 2010 (TUV ). avec l assistance de. EPPM offre une large gamme de services à savoir: Ingénierie, Management des projets ainsi que les activités liées au domaine du pétrole et gaz, traitement des eaux et les champs industriels.
Système de management (1/2) Définition formelle de ISO 9000 : C est un système permettant : - D établir une politique, - D établir des objectifs, - D atteindre ces objectifs. Situation actuelle Politique Objectifs
Système de management (2/2) Définition plus empirique : Ensemble de mesures Organisationnelles et technique permettant : - D atteindre un objectif, - Une fois atteint, d y rester dans la durée. Situation actuelle Politique Mesures Organisationnelles Mesures techniques. Objectifs
Propriétés des systèmes de management Couvre un large spectre de métiers et de compétences, Concernent tout le monde de la direction générale jusqu en bas de l échelle, Se base sur des référentiels précis, Sont auditables, (quelqu un peut venir vérifier qu il n y a pas d écart entre le système de management et les référentiels).
La norme ISO 27001:2005 (Définition) La norme ISO 27001:2005 Est issue de la norme BSI 17799-2:2002 publiée initialement par le BSI (British Standards Institution). C est une norme définissant le processus d un système de management de la sécurité de l information. (SGSI Système de gestion de la Sécurité de l Information). (SMSI Système de Management de la Sécurité de l Information). (ISMS Information Security Management System).
La norme ISO 27001:2005 (Propriété) La norme ISO 27001:2005 Elle peur être appliquée à tous les organisme ou entreprise indépendamment du type, de la taille et de la nature de l activité. Il suffit qu un organisme utilise des systèmes informatiques, qu il possède des données confidentielles, qu elle dépende de système d information dans le cadre de ses activités métiers. Ou encore qu elle désire adopter un niveau élevé de sécurité tout en se conformant à une norme internationale.
Objectifs de la norme ISO 27001:2005 A pour objectif principal la protection de l entreprise, préserver et valoriser l image de marque, à prévenir les pertes financières, garantir la continuité de l activité, protéger l entreprise contre les attaques logique et physique, les sabotages, les fuites d informations et identifier et qualifier les risques d affaires associés. Il s agit de protéger : - l outil de travail, - les données, - le personnel, - l organisme, Et d une façon générale tout ce qui touche à l information.
Contexte de l SMSI Pourquoi EPPM a mis en œuvre son SMSI: EPPM se livre à une concurrence effrénée, de ce fait, elle est exposée à des menaces multiples. La dépendance de l activité métier au système d information augmente de jour en jour. Le danger peut venir de l intérieur ou de l extérieur, suite à un accident, une négligence, une méconnaissance des risques ou un acte de malveillance.
Périmètre de l SMSI Localisation physique : Le siège social de «EPPM». Information concernée : L information sous ses formes les plus diverses : données, imprimée, transmise, stockée dans une mémoire informatique, ou autre, Mode de traitement de l information : Saisie, Acquisition, Conservation, Stockage, Traitement et utilisation, Communication, Destruction et restitution ; Acteurs concernés : Employés, Contractuels, Sous-traitants, Partenaires, Clients et Fournisseurs.
Approche processus de l ISMS Caractéristique d'un processus Continu et qui s'améliore, donc PDCA
Modélisation de l ISMS PLAN a)définir le périmètre de l ISMS. b) Définir la politique de sécurité et ses objectifs. c) Choisir une méthode d analyse de risques. d) Inventorier les actifs et leurs propriétaires. e) Identifier les menaces. f) Identifier les vulnérabilités affectées par les menaces. g) Identifier et évaluer les risques. h) Sélectionner les contrôles pour le traitement des risques. i) Etablir le SoA (Statement of Applicability) ou déclaration d applicabilité.
Mise en œuvre et opération de l ISMS a) Implémenter les contrôles définis dans la phase PLAN. b) Formuler la gestion du risque et traiter les risques résiduels. c) Gérer l exploitation de l SMSI. d) Implémenter les procédures de contrôle, les outils de prévention et de gestion des incidents. e) Formaliser la sensibilisation et la formation du personnel. DO
Monitoring et révision de l ISMS a) Revues périodiques de l efficacité et des performances de l SMSI. CHECK b) Audits périodiques de conformité des contrôles de sécurité mis en place. d) Revue formelle du système pour s assurer que les objectifs de l SMSI sont toujours d actualité et que des améliorations sont identifiées.
Maintenance et amélioration de l ISMS a) Prendre les mesures résultant des constatations faites lors de la phase de vérification. b) Actions possibles: Passage à la phase de planification; - Si de nouveaux risques ont été identifiés. Passage à la phase d'action; - Si la phase de vérification en montre le besoin. Si constatation de non-conformité; - Actions correctives ou préventives. ACT
La documentation de l ISMS La politique de sécurité. Le périmètre de l ISMS et les procédures et contrôles. Le rapport d évaluation des risques. Le plan de traitement des risques. SOA - Statement Of Applicability. Les journaux de bord (logs), listes d autorisations d accès, etc.
Démarche de mise en œuvre du Projet SMSI Récapitulatif :
Plan du projet SMSI Un SMSI à construire progressivement: T3 2009 T4 2009 T1 2010 T2 2010 T3 2010 T4 2010
Facteurs clefs de succès -1/3 Engagement managérial (exigence normative) : Engagement de la haute direction. Mise à disposition de ressources organisationnelles et humaines adéquates pour l implémentation (personnel certifié pour la mise en œuvre - consultants externes qualifiés). Budget identifié pour l implémentation du SMSI. Surveillance et approbation du SMSI par le management.
Facteurs clefs de succès -2/3 Quelles sont les motivations possibles: La politique doit avant tout être compréhensible et conviviale; (Ne pas utiliser des termes techniques). Objectifs de sécurité clairement définis. Programme de sensibilisation adéquat. Communiquer les résultats et obtenir l approbation des parties concernées.
Facteurs clefs de succès -3/3 Les erreurs à éviter : Avant d'aborder la technique, il faut réfléchir et avoir une vision globale en sachant : - Que la sécurité à 100% n'existe pas; - Qu'il y a nécessairement compromis entre la valeur du "protégé" et le coût de la protection; - Qu'il faut savoir quoi protéger; Couvrir un périmètre trop important (risque de découragement) ou trop petit (pas significatif pour l activité). La sécurité est d'abord une affaire de direction son élaboration et sa mise en œuvre ne doit pas reposer sur une seule personne.
Bénéfices de la norme ISO 27001-1/5 Évidemment, le fait de mettre en œuvre les recommandations de la norme ISO 27002 ou d obtenir la certification ISO 27001 Ne prouve pas que l organisation est sécurisée à 100 %. À vrai dire, la sécurité complète n existe pas, à moins d inactivité totale. Cependant, l adoption d une norme internationale procure indéniablement certains avantages que tout bon gestionnaire devrait prendre en considération.
Bénéfices de la norme ISO 27001-2/5 Aspect organisationnel Engagement : la certification permet de garantir et de démontrer l'efficacité des efforts déployés pour sécuriser l organisation à tous les niveaux et prouver la diligence raisonnable de ses administrateurs. Aspect légal Conformité: l'enregistrement permet de démontrer aux autorités compétentes que l organisation observe toutes les lois et réglementations applicables.
Bénéfices de la norme ISO 27001-3/5 Aspect fonctionnel Gestion des risques: obtention d une meilleure connaissance des systèmes d informations, de leurs failles et des moyens de protection. Assure également une meilleure disponibilité des matériels et des données. Aspect financier Réduction des coûts liés aux incidents et possibilité de diminution des primes d'assurance.
Bénéfices de la norme ISO 27001-4/5 Aspect commercial Crédibilité et confiance: les partenaires, les actionnaires et les clients sont rassurés de constater l'importance que l organisation accorde à la protection de l information. Une certification peut également procurer une différentiation sur le marché et vis-à-vis la concurrence. Certains appels d offres internationaux commencent déjà à demander une démarche ISO 27001.
Bénéfices de la norme ISO 27001-5/5 Aspect humain Améliore la sensibilisation du personnel à la sécurité et à leurs responsabilités dans l organisation. Le contenu généralement couvert : La protection des lieux de travail. La nature des informations avec lesquelles les utilisateurs seront mis en contact. Les responsabilités face à la manipulation des données sensibles. Les procédures liées aux données sensibles.
Bilan du projet SMSI Avantage de la démarche : Garantir que la politique de sécurité mise en œuvre soit adaptée aux enjeux et aux risques réels et donc garantir la justesse des investissements. Avantage de la certification : Encadrement de la certification. Motivation et mobilisation des collaborateurs. Valorisation du travail effectué. Certificat reconnu à l international.
Conclusion La SECURITE de L INFORMATION et la PERFORMANCE ne sont finalement pas des concepts contradictoires. La mise en œuvre de solutions de sécurité peut engendrer des économies remarquables et contribuer à améliorer la productivité de l entreprise. Confiance n exclut pas contrôle! L accès n est ni un privilège ni un droit, c est juste un besoin qui doit être justifié! On ne peut gérer ce que l'on ne mesure pas! La sécurité c'est 20% de technique et 80% de bons sens! La sécurité ne permet pas de gagner de l'argent mais évite d'en perdre!
Vos questions? (merci) Imed Yazidi Responsable sécurité du système d'information «EPPM» LSTI certified ISO 27001 Lead Implementer imed.yazidi44@gmail.com Tel.: 21383016