L'essentiel de l'ISO 27001 - Herve Schauer Consultants

Quelques tendances de fondDans l'organisation de l'entrepriseTransversalisationSuppression des « baronnies »Une formule qui revient souvent : « business oriented »StandardisationITIL pour la productionISO 27001 pour la sécuritéCoBIT pour la gouvernanceCMMI pour le développementMutualisationTous ces référentiels ont des points communs3Copyright Hervé Schauer Consultants 2010 - Reproduction Interdite

QuestionLe DSI ainsi que le RSSI doivent composer avec ces tendanceset ces risquesQuestion : comment organiser le système d'information poursatisfaire toutes ces exigences ?Dans le domaine de la sécurité, la réponse est apportée par lanorme ISO 270015Copyright Hervé Schauer Consultants 2010 - Reproduction Interdite

Séquence des points abordésL'essentiel de l'ISO 27001Incidence de la normesur l'opérationnelApports de la normeRetour sur lesquestions de fond6Copyright Hervé Schauer Consultants 2010 - Reproduction Interdite

L'essentiel de l'ISO 27001La norme ISO 27001 est à la sécurité de l'information ce quel'ISO 9001 est à la qualitéElle impose la mise en place d'un Système de Management dela Sécurité de l'Information (SMSI)Basée sur le modèle Plan / Do / Check / ActPLAN : Dire ce que l'on va faireDO : Faire ce que l'on a ditCHECK : Vérifier ce ce que l'on fait correspond à ce que l'on a ditACT : Si delta, alors entreprendre des actions correctives et préventivesIl est possible de se faire certifier7Copyright Hervé Schauer Consultants 2010 - Reproduction Interdite

L'essentiel de l'ISO 27001OrganisationPartenairesSystème de ManagementFournisseursFormulent desexigencesPlanificationPlanClientsPouvoirsPublicsSatisfait lesexigencesActionDoCorrectionActServicesVérificationCheck8Copyright Hervé Schauer Consultants 2010 - Reproduction Interdite

L'essentiel de l'ISO 27001Système de managementProcessusPlanificationPlanActionDoCorrectionActVérificationCheck9Copyright Hervé Schauer Consultants 2010 - Reproduction Interdite

L'essentiel de l'ISO 27001Grandes étapes de la mise en place d'un SMSIPolitique / PérimètreAppréciation des risquesDocumentationMise en place des mesures de sécuritéAudit interneSuivi d'actionsGestion des incidentsetc...10Copyright Hervé Schauer Consultants 2010 - Reproduction Interdite

L'essentiel de l'ISO 27001Focus sur l'appréciation des risquesC'est une modélisation des risquesAucune méthode n'est explicitement exigée par la normeDémarcheInventaire des actifsValorisationVulnérabilitésMenacesImpacts (Disponibilité, Intégrité, Confidentialité)Conséquences opérationnellesNiveau de risqueTraitement (Acceptation, Refus, Transfert, Réduction)Validation de l'ensemble par la direction générale11Copyright Hervé Schauer Consultants 2010 - Reproduction Interdite

L'essentiel de l'ISO 27001Focus sur la documentationL'ISO 27001 oblige à formaliser les processus du SMSITout processus doit être documentéDonc, ISO 27001 = Tradition orale → Tradition écriteIdée reçue« L'ISO 27001 c'est faire du papier, du papier... plein de papier ! »C'est FAUX !12Copyright Hervé Schauer Consultants 2010 - Reproduction Interdite

L'essentiel de l'ISO 27001Focus sur la documentationQu'est-ce qu'un bon document de procédure ?QuiFait quoiQuandEn générant quel enregistrementPas de contrainte sur le volume ou la formePossible d'avoir des documents très concis (une à deux pages)Format variable selon le service et les équipes, en fonction de la culturede chacunQualitéIngénierieProduction13Copyright Hervé Schauer Consultants 2010 - Reproduction Interdite

L'essentiel de l'ISO 27001Focus sur les mesures de sécuritéOn croit souvent que l'ISO 27001 oblige à lancer de nombreux nouveauxprojets de sécurité.En fait, souvent, vous n'avez pas attendu l'ISO 27001 pour faire leminimum indispensable en matière de sécuritéL'essentiel des mesures de sécurité sont déjà en placeLe travail consiste surtout à les rendre conformes au modèle PDCADans les faitsMise en conformité PDCA des mesures de sécurité existantes (90 %)Déploiement de nouvelles mesures de sécurité (10 %)14Copyright Hervé Schauer Consultants 2010 - Reproduction Interdite

Séquence des points abordésL'essentiel de l'ISO 27001Incidence de la normesur l'opérationnelApports de la normeRetour sur lesquestions de fond15Copyright Hervé Schauer Consultants 2010 - Reproduction Interdite

Incidence de la norme sur l'opérationnelEn général, le déploiement de l'ISO 27001 a peu d'incidence surles processus opérationnelsLes gens continuent à travailler comme avantEn revanche, l'utilisateur doit prendre conscience de trois pointsLa documentationLa notion d'enregistrementLe suivi d'actionsCe point concerne plutôt le management16Copyright Hervé Schauer Consultants 2010 - Reproduction Interdite

Incidence de la norme sur l'opérationnelFocus sur la gestion des enregistrementsC'est ce qui prouve que les processus sont opérés conformément à cequi est spécifiéCe peut êtreDes comptes rendus de réunionsDes fichiers logsDes formulairesEtc.Deux cas possiblesSoit ils existent déjà. C'est le cas le plus courant. Il suffit alors de prendresoin de les gérer correctement.Soit, dans certains cas, il faut les créer.17Copyright Hervé Schauer Consultants 2010 - Reproduction Interdite

Séquence des points abordésL'essentiel de l'ISO 27001Incidence de la normesur l'opérationnelApports de la normeRetour sur lesquestions de fond18Copyright Hervé Schauer Consultants 2010 - Reproduction Interdite

Apports de l'ISO 27001Attention !L'ISO 27001 permetd'adopter de bonnes pratiquesde mettre en place un processus cohérent en matière de sécuritéEn revanche, l'ISO 27001 ne garantit pas un niveau de sécurité.On peut avoir mis en place l'ISO 27001 et être confronté à des incidentsmajeurs de sécuritéDans ces conditions, on peut se demander quel est l'intérêt dede la démarche 27001...19Copyright Hervé Schauer Consultants 2010 - Reproduction Interdite

Apports de l'ISO 27001D'un point de vue opérationnelAdoption de bonnes pratiques en matière de sécuritéHarmonisation des procéduresAmélioration progressive du niveau de sécuritéApports businessConfiance auprès des clients, en matière de sécuritéGrâce à la certificationImage de sérieuxAvantage concurrentielPour l'entrepriseProjet fédérateur, car transverse20Copyright Hervé Schauer Consultants 2010 - Reproduction Interdite

Séquence des points abordésL'essentiel de l'ISO 27001Incidence de la normesur l'opérationnelApports de la normeRetour sur lesquestions de fond21Copyright Hervé Schauer Consultants 2010 - Reproduction Interdite

Retour sur les tendances de fondConformitéRèglementations sectoriellesBâle 2, Solvency 2ISO 27001Appréciation des risques→ Réflexion sur les risques opérationnelsAudit interneLégislation : protection des données à caractère personnelMise en place de mesures de sécurité et de contrôleRéférentiels divers : SAS 70, PCI-DSS, RGS, …Très nombreux points communs entre ces référentiels et l'ISO 27001Chaque référentiel insiste sur certains points plus que d'autresL'ISO 27001 est structurant : Il sert de socle de base aux autresréférentiels22Copyright Hervé Schauer Consultants 2010 - Reproduction Interdite

Retour sur les tendances de fondConcurrenceLes monopoles cessent de l'être.Exigence croissante des clients en matière de sécurité auprès de leursprestatairesApports de l'ISO 27001dans ce domaineAppréciation des risquesNotion de « Déclaration d'applicabilité »On peut montrer au client de façon claire quels sont les choix qui ont étéfaits en matière de sécurité23Copyright Hervé Schauer Consultants 2010 - Reproduction Interdite

Retour sur les tendances de fondTransparenceImportance de la certification des comptes.Prouver que le SI ne permet pas de détourner l'information.Preuves de bonnes pratiquesApports de l'ISO 27001dans ce domaineAudit interneSchéma de certificationPossibilité de se faire certifier ISO 27001Audit indépendant par un organisme de certificationSuivi d'actions24Copyright Hervé Schauer Consultants 2010 - Reproduction Interdite

Retour sur les tendances de fondOrganisation de l'entrepriseTransversalisation25L'ISO 27001 est une démarche fondamentalement transverseStandardisationITIL, ISO 27001, CoBIT, CMMI, etc.L'ISO 27001 est devenue la référence omniprésente en sécuritéMutualisationPoints communs avec CoBITprocessus DS 5ITILGestion des incidentsGestion des problèmesGestion des changementsGestion de la configurationCopyright Hervé Schauer Consultants 2010 - Reproduction Interdite

Retour sur les risques récurrentsRisques environnementauxCyclonesTsunamiRisques sociauxBlocage de sitesDégradation de matérielApports de l'ISO 27001 dans ce domaineA proprement parler, aucune exigence de l'ISO 27001 n'oblige à mettreen place un Plan de continuité de l'activité...… mais la démarche rend quasiment incontournable un PCA.26Copyright Hervé Schauer Consultants 2010 - Reproduction Interdite

Retour sur les risques récurrentsRisquesIncidents de productionVirusIntrusions sur le systèmeApports de l'ISO 27001 dans ce domaineOn a tendance à penser que l'ISO 27001 est une démarcheexclusivement organisationnelleC'est faux !Les aspects techniques sont aussi importants que les aspectsorganisationnelsL'appréciation des risques oblige à sélectionner les bonnes mesures desécurité techniques...… et à contrôler leur efficacité et leur bonne exploitation.27Copyright Hervé Schauer Consultants 2010 - Reproduction Interdite

ConclusionL'ISO 27001Est devenue un espéranto de la sécuritéOblige à adopter de bonnes pratiques en matière de sécuritéBonne pratique reconnueOn ne vous reprochera pas de ne pas avoir eu de bonnes pratiques sivous implémentez l'ISO 27001Attention toutefoisAux SMSI exclusivement organisationnelsAux SMSI dont le périmètre est très restreintAux SMSI non contrôlés par une instance indépendante28Copyright Hervé Schauer Consultants 2010 - Reproduction Interdite

Questions29Copyright Hervé Schauer Consultants 2010 - Reproduction Interdite