Stratégies de sécurité ISO27001

Documents pareils
SMSI et normes ISO 27001

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

ISO 27001:2013 Béatrice Joucreau Julien Levrard

MV Consulting. ITIL & IS02700x. Club Toulouse Sébastien Rabaud Michel Viala. Michel Viala

ISO/CEI 27001:2005 ISMS -Information Security Management System

Gestion des incidents

HEG Gestion de la Qualité L.Cornaglia. Les référentiels SMI, normes, processus de certification

Consulter notre site : Network Telecom Security Solutions. en partenariat technique avec

La conformité et sa dérive par rapport à la gestion des risques

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.

Opportunités s de mutualisation ITIL et ISO 27001

THEORIE ET CAS PRATIQUES

ITIL, quel impact dans nos laboratoires? Pourquoi se poser cette question? Geneviève Romier, CNRS UREC

Cinq questions sur la vraie utilité de l'iso Alexandre Fernandez-Toro

2.La bibliothèque ITIL est composé de 2 ouvrages La bibliothèque : Dans sa version actuelle, ITIL est composé de huit ouvrages :

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

Brève étude de la norme ISO/IEC 27003

D ITIL à D ISO 20000, une démarche complémentaire

ITIL V2. Historique et présentation générale

METIERS DE L INFORMATIQUE

ITIL v3. La clé d une gestion réussie des services informatiques

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

I.T.I.L. I.T.I.L. et ISO ISO La maturité? La Mêlée Numérique 10. le 8 juin Luc Van Vlasselaer

Les clauses «sécurité» d'un contrat SaaS

Mise en œuvre de la certification ISO 27001

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet ISO 27001:2013

Les conséquences de Bâle II pour la sécurité informatique

Recommandations sur les mutualisations ISO ISO & ISO ITIL

Formation en SSI Système de management de la SSI

Gestion de parc et qualité de service

Yphise optimise en Coût Valeur Risque l informatique d entreprise

SANS SEC 504 : Techniques de hacking, exploitation de failles et gestion des incidents

ITIL Gestion de la capacité

Catalogue de critères pour la reconnaissance de plateformes alternatives. Annexe 4

ITIL FOUNDATION. 2 jours. Programme


Club toulousain

Comprendre ITIL 2011

ITIL : Premiers Contacts

ISO/CEI NORME INTERNATIONALE. Technologies de l'information Techniques de sécurité Gestion des risques liés à la sécurité de l'information

ITIL 2011 Fondamentaux avec certification - 3 jours (français et anglais)

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA

Conseils et préconisations de mutualisation ISO 2700x et ISO / ITIL Groupe de travail du Club Toulouse 3 Avril 2012

Evaluation de l expérience tunisienne dans le domaine de l audit de la sécurité des systèmes d information

Partie 1 : Introduction

Panorama général des normes et outils d audit. François VERGEZ AFAI

Gestion des services Informatiques ITIL Version 3, Les fondamentaux Conception des Services

Module 197 Développer et implanter un concept de gestion des versions et des configurations

ITSM - Gestion des Services informatiques

Contractualiser la sécurité du cloud computing

Comprendre ITIL 2011 Normes et meilleures pratiques pour évoluer vers ISO 20000

Système de Management Intégré Qualité, Sécurité et Environnement. Un atout pour l entreprise

Menaces et sécurité préventive

Certification ISO 27001

Catalogue des formations 2014 #CYBERSECURITY

C.E.S.I.T Comités des EXPLOITANTS DE SALLES INFORMATIQUES et TELECOM I T I L PRESENTATION DU REFERENTIEL

Créer un tableau de bord SSI

La politique de sécurité

Mise en œuvre d un système de management de la sécurité de l information (SMSI) au sein de l Ambassade du Royaume du Maroc à Tunis

La gouvernance au cœur de la Transformation des systèmes d information Renault

Mise en place d'une démarche qualité et maintien de la certification ISO 9001:2008 dans un système d'information

Programme de formation " ITIL Foundation "

ISO conformité, oui. Certification?

Conception et Réalisation d une Application de Gestion de Sécurité d Information pour la Poste Tunisienne

Rectorat de Grenoble

Mise en place d un SMSI selon la norme ISO Wadi Mseddi Tlemcen, le 05/06/2013

AVIS D'INFORMATIONS COMPLÉMENTAIRES, AVIS D'INFORMATIONS SUR UNE PROCÉDURE INCOMPLÈTE OU AVIS RECTIFICATIF

Ce document est la propriété de la MAP. Il ne peut être utilisé, reproduit ou communiqué sans son autorisation. MECANIQUE AERONAUTIQUE PYRENEENNE

Atelier " Gestion des Configurations et CMDB "

CRIP 17/09/14 : Thématique ITIL & Gouvernance

ISO/IEC TR Première édition Numéro de référence ISO/IEC TR 90006:2013(F) ISO/IEC 2013

Parmi elles, deux ont accédé à un statut véritablement mondial et sont aujourd hui entièrement intégrées à l économie mondiale :

Vers un nouveau modèle de sécurité

ITIL, une approche qualité pour la gestion des services(*) informatiques. Pourquoi et comment introduire ITIL dans son organisation

Catalogue de services standard Référence : CAT-SERVICES-2010-A

exemple d examen ITMP.FR

La révolution de l information

Conférence CRESTEL. Du risque SI aux risques business v1.0 09/03/2015

2 nde édition Octobre 2008 LIVRE BLANC. ISO Le nouveau nirvana de la sécurité?

Marc Paulet-deodis pour APRIM 1

Colloque Du contrôle permanent à la maîtrise globale des SI. Jean-Louis Bleicher Banque Fédérale des Banques Populaires

Archivage électronique - Règle technique d exigences et de mesures pour la certification des PSDC

P s a sep e o p r o t S e S r e vi v ce c s Fabrice Dubost

CATALOGUE Expertise ITIL - ISO Lean IT

ITIL V Préparation à la certification ITIL Foundation V3 (3ième édition)

ITIL V Préparation à la certification ITIL Foundation V3 (2ième édition)

Plus de 20 ans d expérience en Risk Management, Gestion des crises, PCA, Sécurité de l information, SSI et des infrastructures télécom

DOCUMENT 1. Service Support : Véritable support utilisateur, il permet la gestion des services (gestion des incidents, Helpdesk ).

Introduction à ITIL V3. et au cycle de vie des services

Une couverture équilibrée de vos exigences métiers

CobiT. Implémentation ISO 270. Pour une meilleure gouvernance des systèmes d'information. 2 e édition D O M I N I Q U E M O I S A N D

CATALOGUE Expertise ITIL - ISO Lean IT

Partie II - Comptabilité de gestion - compléments Chapitre 08 - Gestion de la qualité et coûts cachés

ITIL V3. Amélioration continue des services

PRINCIPES ET CONCEPTS GÉNÉRAUX DE L'AUDIT APPLIQUÉS AUX SYSTÈMES D'INFORMATION

Sécurité des applications Retour d'expérience

Transcription:

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Stratégies de sécurité ISO27001 Conférence DPM sécurité des SI Marriott Champs-Elysées Paris, 13 juin 2007 Hervé Schauer Hervé Schauer <Herve.Schauer@hsc.fr>

Cahiers Oxford Sommaire Roue de Deming ISO 27001 Ensemble des normes ISO 27001 ISO 27005 : gestion du risque SSI ISO 27001 et ITIL Conclusion Les transparents seront disponibles sur www.hsc.fr 2 / 26

Cahier Oxford 1/2 Cahiers Oxford Etudiant en vente lors de chaque rentrée «la spirale de l'excellence» Reproduit avec l'aimable autorisation du Groupe Hamelin 3 / 26

Cahier Oxford 2/2 Rappel aux élèves de ce qu'est un système de management Pour travailler intelligemment Reproduit avec l'autorisation du Groupe Hamelin 4 / 26

Roue de Deming 1/2 William Edwards Deming Scientifique américain Inventeur des principes de la qualité Reconstructeur du Japon par l'application de ces principes à partir de 1950 Walter Andrew Shewhart Statisticien américain Inventeur de la roue de Deming Que Deming appellait roue de Shewhart et qu'il lui a emprunté en 1922 Organisation Système de Management Action Do Planification Plan Vérification Check Correction Act 5 / 26

Roue de Deming 2/2 Principes de la qualité Systèmes de management : de la qualité (SMQ) : ISO 9001:2002 environnemental (SME) : ISO 14001:2004 de la santé et la sécurité au travail (SMSST) : OHSAS 18001:1999 de la sécurité de l'information (SMSI) : ISO/IEC 27001:2005 de la sécurité alimentaire (SMSA) : ISO 22000:2005 des services informatiques des organismes : ISO 20000:2005 Issu d'itil de la sureté pour la chaîne d'approvisionnement : ISO 28000:2005... 6 / 26

ISO 27001 4.3 : Documentation 1/5 5 chapitres qui construisent le SMSI : Annexe A : mesures de sécurité 5 : Responsabilité de la direction 4.2.2 : Mise en oeuvre et fonctionnement du SMSI 6 : Audits internes du SMSI Do Check 4.2.1 : Etablissement du SMSI Plan 4: SMSI PDCA 4.2.3 : Surveillance et réexamen du SMSI 8 : Amélioration du SMSI Act 4.2.4 : Mise à jour et amélioration du SMSI 7 : Réexamen du SMSI par la direction 7 / 26

ISO 27001 4.3 : Documentation 2/5 Qualité pour la sécurité de l'information Référentiel précis et auditable Apporte la confiance Confiance business 5 : Responsabilité de la direction 4.2.2 : Mise en oeuvre et fonctionnement du SMSI 6 : Audits internes du SMSI Do Check 4.2.1 : Etablissement du SMSI Plan 4: SMSI PDCA 4.2.3 : Surveillance et réexamen du SMSI 8 : Amélioration du SMSI Act 4.2.4 : Mise à jour et amélioration du SMSI 7 : Réexamen du SMSI par la direction 8 / 26

Attentes et exigences en terme de sécurité Partenaires Fournisseurs ISO 27001 Organisation Système de Management de la Sécurité de l'information Planification Plan 3/5 Sécurité effective fournie Partenaires Fournisseurs Clients Pouvoirs publics Action Do Correction Act Clients Pouvoirs publics Services Vérification Check Services 9 / 26

ISO 27001 4/5 Amélioration continue Ce qui n'a cessé de manquer à la SSI depuis son existence Universalité et complétude Pas d'existence de stratégie concurrente Inclus une méthodologie d'appréciation des risques Dialogue et communication Compréhensible par la direction générale Compréhentions mutuelles Facilite l'implication des métiers Certification Tiers indépendant prouve que vous avez fait ce que vous avez dit 10 / 26

ISO 27001 5/5 Processus d'amélioration continue pas un niveau de sécurité Application de mesures de sécurité Pour réduire de vrais risques Sur de vrais actifs Avec une vraie valeur Même si vous faites une rétro analyse au départ pas des cases à cocher bêtement sans savoir pourquoi Politique du SMSI ou politique de sécurité = doctrine 2 à 4 pages de vision réellement approuvées par le comité de direction 11 / 26

Série des normes ISO 27001 Exigences usage obligatoire dans la certification ISO 27001 SMSI 2005 2007 ISO 27006 Certification de SMSI ISO 27000 Vocabulaire ISO 27002 (17799) Mesures de sécurité ISO 27011 Télécom... 2009 Déclinaisons sectorielles 2005 Guides usage facultatif 2009 ISO 27003 Implémentation ISO 27004 Indicateurs SMSI ISO 27007 Audit de SMSI 2008 ISO 27005 Gestion de risque 2008 2010 12 / 26

ISO 27001 par rapport à ISO 27002 ISO 27001 ISO 27002 (anciennement ISO 17799) Articles ou Clauses ET Mesures de sécurité Controls (Annexe A) Description détaillée des mesures de sécurité 13 / 26

ISO 27005 1/10 Guide de mise en oeuvre de la partie appréciation des risques de la sécurité de l'information de l'iso 27001 ISO 27001 4.2.1 c) à 4.2.1 f) 4), plus 4.2.3.d) soit 1 page + 3 ou 4 lignes Etat : FCD, publication prévue début 2008 ISO 27005 64 pages 14 / 26 ISO 27001 4.2.1 c) 4.2.1 f) ISO 27005 28 pages normatives, chap 1 à 12 36 pages d'annexes A à E

Historique Managing and planning IT security ISO TR 13335-2 1992...1997 1985..1988..1991..1996 CRAMM CCTA Risk Assessment and Management Method ISO 27005 PD 3002 Guide to BS7799 Risk Assessment Techniques for the management IT security Selection of safeguards ISO TR 1335-3 ISO TR 1335-4 1998 et 2000 1998 puis 2002 BS7799-3 Guidelines for information security Risk Assessment 1997 puis 2004 2006 ISO 1335-2 2/10 Information security risk management EBIOS Et d'autres influences diverses ISO 27005 2008 15 / 26

ISO 27005 3/10 Rappel : norme = consensus entre les acteurs du marché Ne peut être plus complet que toutes les méthodes qui l'on précédé Représente le noyau commun accepté par tous Peut être complété en allant rechercher ailleurs Méthodes d'analyse de risques existantes Peuvent continuer à évoluer et innover Peuvent contribuer à l'amélioration de la norme ISO 27005 Peuvent complèter la norme : MEHARI par son questionnaire EBIOS dans l'évaluation des actifs ou le calcul des risques Certaines méthodes pourront se dire "conformes à la norme ISO 27005" 16 / 26

17 / 26 ISO 27005 Méthodologie complète Structure sa démarche Autonome Correspond strictement au respect de l'iso 27001 Nécessaire pour la mise en place d'un SMSI Nécessaire pour une certification Entre dans la gestion de risque en général Normalisations ISO de tous les types de risques : financiers, industriels, routiers, santé Vocabulaire Compréhensible Proche du langage courant 4/10

ISO 27005 Définition d'un processus (6) p7 Continu et qui s'améliore, donc PDCA Principe de la reproduction du PDCA général du SMSI à chaque processus dans le SMSI Processus de gestion de risque de la sécurité de l'information (information security risk management process) Processus applicable à tous le SMSI ou à un sous-ensemble 5/10 Inclus une étape pour prendre en compte les coûts et mettre la direction devant ses responsabilités 18 / 26

ISO 27005 (6) p7 Identifier les risques Plan Quantifier chaque risque par rapport aux conséquences que sa matérialisation pourrait avoir sur le business à sa probabilité d'occurrence (likelihood) Identifier les actions appropriées pour réduire les risques identifiés à un niveau acceptable 6/10 Implémenter les actions Do pour réduire les risques Eduquer la direction et le personnel sur les risques et les actions prises pour les atténuer Rectifier le traintement du risque à la lumière des évènements et des changements de circonstances Améliorer le processus de gestion du risque Act 19 / 26 Surveiller et réexaminer les résultats, l'efficacité et l'efficience du processus Check

ISO 27005 (6) p8 Décomposé en deux activités séquencielles et itératives Approche itérative Améliore la finesse de l'analyse à chaque itération Garanti une appréciation des risques élevés Minimise le temps et l'effort consenti dans l'identification des mesures de sécurité Appréciation des risques satisfaisante? Passer au traitement du risque Appréciation du risque (risk assessment) Appréciation satisfaisante? oui non Traitement du risque (risk treatment) 7/10 20 / 26

ISO 27005 8/10 Approche itérative ou cyclique Permet d'avancer avec des Interlocuteurs absents ou incapables de savoir ou qui refusent de répondre Livrables incomplets Incapacité du management de se prononcer sur l'approbation des risques résiduels sans connaître d'abord les coûts associés Facilite la gestion des susceptibilités et des aspects politiques entre Interviewvés Actifs et processus métier Appréciation du risque (risk assessment) Appréciation satisfaisante? oui non Traitement du risque (risk treatment) Facilite les liens entre les risques et les impacts sur les processus métier 21 / 26

ISO 27005 9/10 Appréciation du risque (8) Analyse des risques Mise en évidence des composantes des risques Estimation de leur importance : méthode de calcul laissée libre Evaluation des risques Analyse d'ensemble et prise de décision sur les risques Traitement du risque (9) Sélection des objectifs et mesures de sécurité pour réduire le risque Refus, transfert ou conservation du risque Acceptation du risque (10) Approbation par la direction des choix effectués lors du traitement du risque Communication du risque (11) 22 / 26

ISO 27005 (6) p8-9 10/10 n 1 Assez d'éléments pour déterminer les actions nécessaires à la réduction des risques à un niveau acceptable? n 2 Risque acceptable? Communication à la hiérarchie et aux équipes opérationnelles à chaque étape Risque identifié utile immédiatement à la gestion des incidents Communication du risque Etablissement du contexte Appréciation du risque Analyse de risque Identification du risque Estimation du risque Evaluation du risque Appréciation satisfaisante? Risque acceptable? oui Traitement du risque oui non Traitement du risque Surveillance et réexamen du risque 23 / 26

Utilisateurs Clients (internes) 24 / 26 ISO 27001 et ITIL Fourniture de services Service Delivery Gestion des niveaux de service Service Level Management Soutien de services Service Support Centre de Services Service Desk Gestion financière Gestion de la disponibilité Gestion de la continuité Gestion des capacités Gestion des incidents Gestion des problèmes Gestion des changements Gestion des mises en production Gestion des configurations 1/2 CDB CMDB

ISO 27001 et ITIL Utilisez l'interface sécurité avec ITIL Propriétaire du SMSI Propriétaire du processus ITIL sécurité ITIL utile à l'exploitation et l'amélioration d'un SMSI Gestion des configuration et CMDB utiles à l'inventaire des actifs secondaires (4.2.1.d) Suivi des actions correctives Gestion des changements et CAB utiles à l'approbation par le management... SMSI ISO 20000-1 : transforme chaque processus ITIL en PDCA Et référence l'iso 27001 tremplin à saisir Gestion de la sécurité 2/2 25 / 26

Conclusion Bonne stratégie SSI adopter les pratiques performantes ISO 27001 est la bonne pratique pour gérer la SSI Amélioration continue Référenciel universel et complet (cf ISO 27005) Structure sa manière de travailler Accessible à tous car n'impose aucun niveau de sécurité Seul référenciel sécurité pris en compte dans les autres métiers et règlements ISO 27001 est votre stratégie SSI Questions? Herve.Schauer@hsc.fr www.hsc.fr ISO 27001 à son club! Paris, Toulouse, ITIL,... www.club 27001.fr 26 / 26

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back