L'essentiel de l'ISO 27001 - Herve Schauer Consultants
L'essentiel de l'ISO 27001 - Herve Schauer Consultants
L'essentiel de l'ISO 27001 - Herve Schauer Consultants
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
Quelques tendances <strong>de</strong> fondDans l'organisation <strong>de</strong> l'entrepriseTransversalisationSuppression <strong>de</strong>s « baronnies »Une formule qui revient souvent : « business oriented »StandardisationITIL pour la productionISO <strong>27001</strong> pour la sécuritéCoBIT pour la gouvernanceCMMI pour le développementMutualisationTous ces référentiels ont <strong>de</strong>s points communs3Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2010 - Reproduction Interdite
QuestionLe DSI ainsi que le RSSI doivent composer avec ces tendanceset ces risquesQuestion : comment organiser le système d'information poursatisfaire toutes ces exigences ?Dans le domaine <strong>de</strong> la sécurité, la réponse est apportée par lanorme ISO <strong>27001</strong>5Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2010 - Reproduction Interdite
Séquence <strong>de</strong>s points abordés<strong>L'essentiel</strong> <strong>de</strong> <strong>l'ISO</strong> <strong>27001</strong>Inci<strong>de</strong>nce <strong>de</strong> la normesur l'opérationnelApports <strong>de</strong> la normeRetour sur lesquestions <strong>de</strong> fond6Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2010 - Reproduction Interdite
<strong>L'essentiel</strong> <strong>de</strong> <strong>l'ISO</strong> <strong>27001</strong>La norme ISO <strong>27001</strong> est à la sécurité <strong>de</strong> l'information ce que<strong>l'ISO</strong> 9001 est à la qualitéElle impose la mise en place d'un Système <strong>de</strong> Management <strong>de</strong>la Sécurité <strong>de</strong> l'Information (SMSI)Basée sur le modèle Plan / Do / Check / ActPLAN : Dire ce que l'on va faireDO : Faire ce que l'on a ditCHECK : Vérifier ce ce que l'on fait correspond à ce que l'on a ditACT : Si <strong>de</strong>lta, alors entreprendre <strong>de</strong>s actions correctives et préventivesIl est possible <strong>de</strong> se faire certifier7Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2010 - Reproduction Interdite
<strong>L'essentiel</strong> <strong>de</strong> <strong>l'ISO</strong> <strong>27001</strong>OrganisationPartenairesSystème <strong>de</strong> ManagementFournisseursFormulent <strong>de</strong>sexigencesPlanificationPlanClientsPouvoirsPublicsSatisfait lesexigencesActionDoCorrectionActServicesVérificationCheck8Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2010 - Reproduction Interdite
<strong>L'essentiel</strong> <strong>de</strong> <strong>l'ISO</strong> <strong>27001</strong>Système <strong>de</strong> managementProcessusPlanificationPlanActionDoCorrectionActVérificationCheck9Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2010 - Reproduction Interdite
<strong>L'essentiel</strong> <strong>de</strong> <strong>l'ISO</strong> <strong>27001</strong>Gran<strong>de</strong>s étapes <strong>de</strong> la mise en place d'un SMSIPolitique / PérimètreAppréciation <strong>de</strong>s risquesDocumentationMise en place <strong>de</strong>s mesures <strong>de</strong> sécuritéAudit interneSuivi d'actionsGestion <strong>de</strong>s inci<strong>de</strong>ntsetc...10Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2010 - Reproduction Interdite
<strong>L'essentiel</strong> <strong>de</strong> <strong>l'ISO</strong> <strong>27001</strong>Focus sur l'appréciation <strong>de</strong>s risquesC'est une modélisation <strong>de</strong>s risquesAucune métho<strong>de</strong> n'est explicitement exigée par la normeDémarcheInventaire <strong>de</strong>s actifsValorisationVulnérabilitésMenacesImpacts (Disponibilité, Intégrité, Confi<strong>de</strong>ntialité)Conséquences opérationnellesNiveau <strong>de</strong> risqueTraitement (Acceptation, Refus, Transfert, Réduction)Validation <strong>de</strong> l'ensemble par la direction générale11Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2010 - Reproduction Interdite
<strong>L'essentiel</strong> <strong>de</strong> <strong>l'ISO</strong> <strong>27001</strong>Focus sur la documentationL'ISO <strong>27001</strong> oblige à formaliser les processus du SMSITout processus doit être documentéDonc, ISO <strong>27001</strong> = Tradition orale → Tradition écriteIdée reçue« L'ISO <strong>27001</strong> c'est faire du papier, du papier... plein <strong>de</strong> papier ! »C'est FAUX !12Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2010 - Reproduction Interdite
<strong>L'essentiel</strong> <strong>de</strong> <strong>l'ISO</strong> <strong>27001</strong>Focus sur la documentationQu'est-ce qu'un bon document <strong>de</strong> procédure ?QuiFait quoiQuandEn générant quel enregistrementPas <strong>de</strong> contrainte sur le volume ou la formePossible d'avoir <strong>de</strong>s documents très concis (une à <strong>de</strong>ux pages)Format variable selon le service et les équipes, en fonction <strong>de</strong> la culture<strong>de</strong> chacunQualitéIngénierieProduction13Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2010 - Reproduction Interdite
<strong>L'essentiel</strong> <strong>de</strong> <strong>l'ISO</strong> <strong>27001</strong>Focus sur les mesures <strong>de</strong> sécuritéOn croit souvent que <strong>l'ISO</strong> <strong>27001</strong> oblige à lancer <strong>de</strong> nombreux nouveauxprojets <strong>de</strong> sécurité.En fait, souvent, vous n'avez pas attendu <strong>l'ISO</strong> <strong>27001</strong> pour faire leminimum indispensable en matière <strong>de</strong> sécurité<strong>L'essentiel</strong> <strong>de</strong>s mesures <strong>de</strong> sécurité sont déjà en placeLe travail consiste surtout à les rendre conformes au modèle PDCADans les faitsMise en conformité PDCA <strong>de</strong>s mesures <strong>de</strong> sécurité existantes (90 %)Déploiement <strong>de</strong> nouvelles mesures <strong>de</strong> sécurité (10 %)14Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2010 - Reproduction Interdite
Séquence <strong>de</strong>s points abordés<strong>L'essentiel</strong> <strong>de</strong> <strong>l'ISO</strong> <strong>27001</strong>Inci<strong>de</strong>nce <strong>de</strong> la normesur l'opérationnelApports <strong>de</strong> la normeRetour sur lesquestions <strong>de</strong> fond15Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2010 - Reproduction Interdite
Inci<strong>de</strong>nce <strong>de</strong> la norme sur l'opérationnelEn général, le déploiement <strong>de</strong> <strong>l'ISO</strong> <strong>27001</strong> a peu d'inci<strong>de</strong>nce surles processus opérationnelsLes gens continuent à travailler comme avantEn revanche, l'utilisateur doit prendre conscience <strong>de</strong> trois pointsLa documentationLa notion d'enregistrementLe suivi d'actionsCe point concerne plutôt le management16Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2010 - Reproduction Interdite
Inci<strong>de</strong>nce <strong>de</strong> la norme sur l'opérationnelFocus sur la gestion <strong>de</strong>s enregistrementsC'est ce qui prouve que les processus sont opérés conformément à cequi est spécifiéCe peut êtreDes comptes rendus <strong>de</strong> réunionsDes fichiers logsDes formulairesEtc.Deux cas possiblesSoit ils existent déjà. C'est le cas le plus courant. Il suffit alors <strong>de</strong> prendresoin <strong>de</strong> les gérer correctement.Soit, dans certains cas, il faut les créer.17Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2010 - Reproduction Interdite
Séquence <strong>de</strong>s points abordés<strong>L'essentiel</strong> <strong>de</strong> <strong>l'ISO</strong> <strong>27001</strong>Inci<strong>de</strong>nce <strong>de</strong> la normesur l'opérationnelApports <strong>de</strong> la normeRetour sur lesquestions <strong>de</strong> fond18Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2010 - Reproduction Interdite
Apports <strong>de</strong> <strong>l'ISO</strong> <strong>27001</strong>Attention !L'ISO <strong>27001</strong> permetd'adopter <strong>de</strong> bonnes pratiques<strong>de</strong> mettre en place un processus cohérent en matière <strong>de</strong> sécuritéEn revanche, <strong>l'ISO</strong> <strong>27001</strong> ne garantit pas un niveau <strong>de</strong> sécurité.On peut avoir mis en place <strong>l'ISO</strong> <strong>27001</strong> et être confronté à <strong>de</strong>s inci<strong>de</strong>ntsmajeurs <strong>de</strong> sécuritéDans ces conditions, on peut se <strong>de</strong>man<strong>de</strong>r quel est l'intérêt <strong>de</strong><strong>de</strong> la démarche <strong>27001</strong>...19Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2010 - Reproduction Interdite
Apports <strong>de</strong> <strong>l'ISO</strong> <strong>27001</strong>D'un point <strong>de</strong> vue opérationnelAdoption <strong>de</strong> bonnes pratiques en matière <strong>de</strong> sécuritéHarmonisation <strong>de</strong>s procéduresAmélioration progressive du niveau <strong>de</strong> sécuritéApports businessConfiance auprès <strong>de</strong>s clients, en matière <strong>de</strong> sécuritéGrâce à la certificationImage <strong>de</strong> sérieuxAvantage concurrentielPour l'entrepriseProjet fédérateur, car transverse20Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2010 - Reproduction Interdite
Séquence <strong>de</strong>s points abordés<strong>L'essentiel</strong> <strong>de</strong> <strong>l'ISO</strong> <strong>27001</strong>Inci<strong>de</strong>nce <strong>de</strong> la normesur l'opérationnelApports <strong>de</strong> la normeRetour sur lesquestions <strong>de</strong> fond21Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2010 - Reproduction Interdite
Retour sur les tendances <strong>de</strong> fondConformitéRèglementations sectoriellesBâle 2, Solvency 2ISO <strong>27001</strong>Appréciation <strong>de</strong>s risques→ Réflexion sur les risques opérationnelsAudit interneLégislation : protection <strong>de</strong>s données à caractère personnelMise en place <strong>de</strong> mesures <strong>de</strong> sécurité et <strong>de</strong> contrôleRéférentiels divers : SAS 70, PCI-DSS, RGS, …Très nombreux points communs entre ces référentiels et <strong>l'ISO</strong> <strong>27001</strong>Chaque référentiel insiste sur certains points plus que d'autresL'ISO <strong>27001</strong> est structurant : Il sert <strong>de</strong> socle <strong>de</strong> base aux autresréférentiels22Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2010 - Reproduction Interdite
Retour sur les tendances <strong>de</strong> fondConcurrenceLes monopoles cessent <strong>de</strong> l'être.Exigence croissante <strong>de</strong>s clients en matière <strong>de</strong> sécurité auprès <strong>de</strong> leursprestatairesApports <strong>de</strong> <strong>l'ISO</strong> <strong>27001</strong>dans ce domaineAppréciation <strong>de</strong>s risquesNotion <strong>de</strong> « Déclaration d'applicabilité »On peut montrer au client <strong>de</strong> façon claire quels sont les choix qui ont étéfaits en matière <strong>de</strong> sécurité23Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2010 - Reproduction Interdite
Retour sur les tendances <strong>de</strong> fondTransparenceImportance <strong>de</strong> la certification <strong>de</strong>s comptes.Prouver que le SI ne permet pas <strong>de</strong> détourner l'information.Preuves <strong>de</strong> bonnes pratiquesApports <strong>de</strong> <strong>l'ISO</strong> <strong>27001</strong>dans ce domaineAudit interneSchéma <strong>de</strong> certificationPossibilité <strong>de</strong> se faire certifier ISO <strong>27001</strong>Audit indépendant par un organisme <strong>de</strong> certificationSuivi d'actions24Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2010 - Reproduction Interdite
Retour sur les tendances <strong>de</strong> fondOrganisation <strong>de</strong> l'entrepriseTransversalisation25L'ISO <strong>27001</strong> est une démarche fondamentalement transverseStandardisationITIL, ISO <strong>27001</strong>, CoBIT, CMMI, etc.L'ISO <strong>27001</strong> est <strong>de</strong>venue la référence omniprésente en sécuritéMutualisationPoints communs avec CoBITprocessus DS 5ITILGestion <strong>de</strong>s inci<strong>de</strong>ntsGestion <strong>de</strong>s problèmesGestion <strong>de</strong>s changementsGestion <strong>de</strong> la configurationCopyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2010 - Reproduction Interdite
Retour sur les risques récurrentsRisques environnementauxCyclonesTsunamiRisques sociauxBlocage <strong>de</strong> sitesDégradation <strong>de</strong> matérielApports <strong>de</strong> <strong>l'ISO</strong> <strong>27001</strong> dans ce domaineA proprement parler, aucune exigence <strong>de</strong> <strong>l'ISO</strong> <strong>27001</strong> n'oblige à mettreen place un Plan <strong>de</strong> continuité <strong>de</strong> l'activité...… mais la démarche rend quasiment incontournable un PCA.26Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2010 - Reproduction Interdite
Retour sur les risques récurrentsRisquesInci<strong>de</strong>nts <strong>de</strong> productionVirusIntrusions sur le systèmeApports <strong>de</strong> <strong>l'ISO</strong> <strong>27001</strong> dans ce domaineOn a tendance à penser que <strong>l'ISO</strong> <strong>27001</strong> est une démarcheexclusivement organisationnelleC'est faux !Les aspects techniques sont aussi importants que les aspectsorganisationnelsL'appréciation <strong>de</strong>s risques oblige à sélectionner les bonnes mesures <strong>de</strong>sécurité techniques...… et à contrôler leur efficacité et leur bonne exploitation.27Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2010 - Reproduction Interdite
ConclusionL'ISO <strong>27001</strong>Est <strong>de</strong>venue un espéranto <strong>de</strong> la sécuritéOblige à adopter <strong>de</strong> bonnes pratiques en matière <strong>de</strong> sécuritéBonne pratique reconnueOn ne vous reprochera pas <strong>de</strong> ne pas avoir eu <strong>de</strong> bonnes pratiques sivous implémentez <strong>l'ISO</strong> <strong>27001</strong>Attention toutefoisAux SMSI exclusivement organisationnelsAux SMSI dont le périmètre est très restreintAux SMSI non contrôlés par une instance indépendante28Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2010 - Reproduction Interdite
Questions29Copyright Hervé <strong>Schauer</strong> <strong>Consultants</strong> 2010 - Reproduction Interdite