HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Stratégies de sécurité ISO27001 Conférence DPM sécurité des SI Marriott Champs-Elysées Paris, 13 juin 2007 Hervé Schauer Hervé Schauer <Herve.Schauer@hsc.fr>
Cahiers Oxford Sommaire Roue de Deming ISO 27001 Ensemble des normes ISO 27001 ISO 27005 : gestion du risque SSI ISO 27001 et ITIL Conclusion Les transparents seront disponibles sur www.hsc.fr 2 / 26
Cahier Oxford 1/2 Cahiers Oxford Etudiant en vente lors de chaque rentrée «la spirale de l'excellence» Reproduit avec l'aimable autorisation du Groupe Hamelin 3 / 26
Cahier Oxford 2/2 Rappel aux élèves de ce qu'est un système de management Pour travailler intelligemment Reproduit avec l'autorisation du Groupe Hamelin 4 / 26
Roue de Deming 1/2 William Edwards Deming Scientifique américain Inventeur des principes de la qualité Reconstructeur du Japon par l'application de ces principes à partir de 1950 Walter Andrew Shewhart Statisticien américain Inventeur de la roue de Deming Que Deming appellait roue de Shewhart et qu'il lui a emprunté en 1922 Organisation Système de Management Action Do Planification Plan Vérification Check Correction Act 5 / 26
Roue de Deming 2/2 Principes de la qualité Systèmes de management : de la qualité (SMQ) : ISO 9001:2002 environnemental (SME) : ISO 14001:2004 de la santé et la sécurité au travail (SMSST) : OHSAS 18001:1999 de la sécurité de l'information (SMSI) : ISO/IEC 27001:2005 de la sécurité alimentaire (SMSA) : ISO 22000:2005 des services informatiques des organismes : ISO 20000:2005 Issu d'itil de la sureté pour la chaîne d'approvisionnement : ISO 28000:2005... 6 / 26
ISO 27001 4.3 : Documentation 1/5 5 chapitres qui construisent le SMSI : Annexe A : mesures de sécurité 5 : Responsabilité de la direction 4.2.2 : Mise en oeuvre et fonctionnement du SMSI 6 : Audits internes du SMSI Do Check 4.2.1 : Etablissement du SMSI Plan 4: SMSI PDCA 4.2.3 : Surveillance et réexamen du SMSI 8 : Amélioration du SMSI Act 4.2.4 : Mise à jour et amélioration du SMSI 7 : Réexamen du SMSI par la direction 7 / 26
ISO 27001 4.3 : Documentation 2/5 Qualité pour la sécurité de l'information Référentiel précis et auditable Apporte la confiance Confiance business 5 : Responsabilité de la direction 4.2.2 : Mise en oeuvre et fonctionnement du SMSI 6 : Audits internes du SMSI Do Check 4.2.1 : Etablissement du SMSI Plan 4: SMSI PDCA 4.2.3 : Surveillance et réexamen du SMSI 8 : Amélioration du SMSI Act 4.2.4 : Mise à jour et amélioration du SMSI 7 : Réexamen du SMSI par la direction 8 / 26
Attentes et exigences en terme de sécurité Partenaires Fournisseurs ISO 27001 Organisation Système de Management de la Sécurité de l'information Planification Plan 3/5 Sécurité effective fournie Partenaires Fournisseurs Clients Pouvoirs publics Action Do Correction Act Clients Pouvoirs publics Services Vérification Check Services 9 / 26
ISO 27001 4/5 Amélioration continue Ce qui n'a cessé de manquer à la SSI depuis son existence Universalité et complétude Pas d'existence de stratégie concurrente Inclus une méthodologie d'appréciation des risques Dialogue et communication Compréhensible par la direction générale Compréhentions mutuelles Facilite l'implication des métiers Certification Tiers indépendant prouve que vous avez fait ce que vous avez dit 10 / 26
ISO 27001 5/5 Processus d'amélioration continue pas un niveau de sécurité Application de mesures de sécurité Pour réduire de vrais risques Sur de vrais actifs Avec une vraie valeur Même si vous faites une rétro analyse au départ pas des cases à cocher bêtement sans savoir pourquoi Politique du SMSI ou politique de sécurité = doctrine 2 à 4 pages de vision réellement approuvées par le comité de direction 11 / 26
Série des normes ISO 27001 Exigences usage obligatoire dans la certification ISO 27001 SMSI 2005 2007 ISO 27006 Certification de SMSI ISO 27000 Vocabulaire ISO 27002 (17799) Mesures de sécurité ISO 27011 Télécom... 2009 Déclinaisons sectorielles 2005 Guides usage facultatif 2009 ISO 27003 Implémentation ISO 27004 Indicateurs SMSI ISO 27007 Audit de SMSI 2008 ISO 27005 Gestion de risque 2008 2010 12 / 26
ISO 27001 par rapport à ISO 27002 ISO 27001 ISO 27002 (anciennement ISO 17799) Articles ou Clauses ET Mesures de sécurité Controls (Annexe A) Description détaillée des mesures de sécurité 13 / 26
ISO 27005 1/10 Guide de mise en oeuvre de la partie appréciation des risques de la sécurité de l'information de l'iso 27001 ISO 27001 4.2.1 c) à 4.2.1 f) 4), plus 4.2.3.d) soit 1 page + 3 ou 4 lignes Etat : FCD, publication prévue début 2008 ISO 27005 64 pages 14 / 26 ISO 27001 4.2.1 c) 4.2.1 f) ISO 27005 28 pages normatives, chap 1 à 12 36 pages d'annexes A à E
Historique Managing and planning IT security ISO TR 13335-2 1992...1997 1985..1988..1991..1996 CRAMM CCTA Risk Assessment and Management Method ISO 27005 PD 3002 Guide to BS7799 Risk Assessment Techniques for the management IT security Selection of safeguards ISO TR 1335-3 ISO TR 1335-4 1998 et 2000 1998 puis 2002 BS7799-3 Guidelines for information security Risk Assessment 1997 puis 2004 2006 ISO 1335-2 2/10 Information security risk management EBIOS Et d'autres influences diverses ISO 27005 2008 15 / 26
ISO 27005 3/10 Rappel : norme = consensus entre les acteurs du marché Ne peut être plus complet que toutes les méthodes qui l'on précédé Représente le noyau commun accepté par tous Peut être complété en allant rechercher ailleurs Méthodes d'analyse de risques existantes Peuvent continuer à évoluer et innover Peuvent contribuer à l'amélioration de la norme ISO 27005 Peuvent complèter la norme : MEHARI par son questionnaire EBIOS dans l'évaluation des actifs ou le calcul des risques Certaines méthodes pourront se dire "conformes à la norme ISO 27005" 16 / 26
17 / 26 ISO 27005 Méthodologie complète Structure sa démarche Autonome Correspond strictement au respect de l'iso 27001 Nécessaire pour la mise en place d'un SMSI Nécessaire pour une certification Entre dans la gestion de risque en général Normalisations ISO de tous les types de risques : financiers, industriels, routiers, santé Vocabulaire Compréhensible Proche du langage courant 4/10
ISO 27005 Définition d'un processus (6) p7 Continu et qui s'améliore, donc PDCA Principe de la reproduction du PDCA général du SMSI à chaque processus dans le SMSI Processus de gestion de risque de la sécurité de l'information (information security risk management process) Processus applicable à tous le SMSI ou à un sous-ensemble 5/10 Inclus une étape pour prendre en compte les coûts et mettre la direction devant ses responsabilités 18 / 26
ISO 27005 (6) p7 Identifier les risques Plan Quantifier chaque risque par rapport aux conséquences que sa matérialisation pourrait avoir sur le business à sa probabilité d'occurrence (likelihood) Identifier les actions appropriées pour réduire les risques identifiés à un niveau acceptable 6/10 Implémenter les actions Do pour réduire les risques Eduquer la direction et le personnel sur les risques et les actions prises pour les atténuer Rectifier le traintement du risque à la lumière des évènements et des changements de circonstances Améliorer le processus de gestion du risque Act 19 / 26 Surveiller et réexaminer les résultats, l'efficacité et l'efficience du processus Check
ISO 27005 (6) p8 Décomposé en deux activités séquencielles et itératives Approche itérative Améliore la finesse de l'analyse à chaque itération Garanti une appréciation des risques élevés Minimise le temps et l'effort consenti dans l'identification des mesures de sécurité Appréciation des risques satisfaisante? Passer au traitement du risque Appréciation du risque (risk assessment) Appréciation satisfaisante? oui non Traitement du risque (risk treatment) 7/10 20 / 26
ISO 27005 8/10 Approche itérative ou cyclique Permet d'avancer avec des Interlocuteurs absents ou incapables de savoir ou qui refusent de répondre Livrables incomplets Incapacité du management de se prononcer sur l'approbation des risques résiduels sans connaître d'abord les coûts associés Facilite la gestion des susceptibilités et des aspects politiques entre Interviewvés Actifs et processus métier Appréciation du risque (risk assessment) Appréciation satisfaisante? oui non Traitement du risque (risk treatment) Facilite les liens entre les risques et les impacts sur les processus métier 21 / 26
ISO 27005 9/10 Appréciation du risque (8) Analyse des risques Mise en évidence des composantes des risques Estimation de leur importance : méthode de calcul laissée libre Evaluation des risques Analyse d'ensemble et prise de décision sur les risques Traitement du risque (9) Sélection des objectifs et mesures de sécurité pour réduire le risque Refus, transfert ou conservation du risque Acceptation du risque (10) Approbation par la direction des choix effectués lors du traitement du risque Communication du risque (11) 22 / 26
ISO 27005 (6) p8-9 10/10 n 1 Assez d'éléments pour déterminer les actions nécessaires à la réduction des risques à un niveau acceptable? n 2 Risque acceptable? Communication à la hiérarchie et aux équipes opérationnelles à chaque étape Risque identifié utile immédiatement à la gestion des incidents Communication du risque Etablissement du contexte Appréciation du risque Analyse de risque Identification du risque Estimation du risque Evaluation du risque Appréciation satisfaisante? Risque acceptable? oui Traitement du risque oui non Traitement du risque Surveillance et réexamen du risque 23 / 26
Utilisateurs Clients (internes) 24 / 26 ISO 27001 et ITIL Fourniture de services Service Delivery Gestion des niveaux de service Service Level Management Soutien de services Service Support Centre de Services Service Desk Gestion financière Gestion de la disponibilité Gestion de la continuité Gestion des capacités Gestion des incidents Gestion des problèmes Gestion des changements Gestion des mises en production Gestion des configurations 1/2 CDB CMDB
ISO 27001 et ITIL Utilisez l'interface sécurité avec ITIL Propriétaire du SMSI Propriétaire du processus ITIL sécurité ITIL utile à l'exploitation et l'amélioration d'un SMSI Gestion des configuration et CMDB utiles à l'inventaire des actifs secondaires (4.2.1.d) Suivi des actions correctives Gestion des changements et CAB utiles à l'approbation par le management... SMSI ISO 20000-1 : transforme chaque processus ITIL en PDCA Et référence l'iso 27001 tremplin à saisir Gestion de la sécurité 2/2 25 / 26
Conclusion Bonne stratégie SSI adopter les pratiques performantes ISO 27001 est la bonne pratique pour gérer la SSI Amélioration continue Référenciel universel et complet (cf ISO 27005) Structure sa manière de travailler Accessible à tous car n'impose aucun niveau de sécurité Seul référenciel sécurité pris en compte dans les autres métiers et règlements ISO 27001 est votre stratégie SSI Questions? Herve.Schauer@hsc.fr www.hsc.fr ISO 27001 à son club! Paris, Toulouse, ITIL,... www.club 27001.fr 26 / 26