Version PDF - Herve Schauer Consultants

HERVÉ SCHAUER CONSULTANTSCabinet de Consultants en Sécurité Informatique depuis 1989Spécialisé sur Unix, Windows, TCP/IP et InternetStratégies de sécuritéISO27001Conférence DPM sécurité des SIMarriott Champs-Elysées Paris, 13 juin 2007Hervé SchauerHervé Schauer

Cahiers OxfordSommaireRoue de DemingISO 27001Ensemble des normes ISO 27001ISO 27005 : gestion du risque SSIISO 27001 et ITILConclusionLes transparents serontdisponibles surwww.hsc.fr2 / 26Copyright Hervé Schauer Consultants 2000-2007 - Reproduction Interdite

Cahier Oxford1/2CahiersOxfordEtudiant envente lors dechaquerentrée«la spirale del'excellence»Reproduit avecl'aimableautorisation duGroupe Hamelin3 / 26Copyright Hervé Schauer Consultants 2000-2007 - Reproduction Interdite

Cahier Oxford2/2Rappel aux élèves de ce qu'est un système de managementPour travailler intelligemmentReproduitavecl'autorisationdu GroupeHamelin4 / 26Copyright Hervé Schauer Consultants 2000-2007 - Reproduction Interdite

Roue de Deming2/2Principes de la qualitéSystèmes de management :de la qualité (SMQ) : ISO 9001:2002environnemental (SME) : ISO 14001:2004de la santé et la sécurité au travail (SMSST) : OHSAS 18001:1999de la sécurité de l'information (SMSI) : ISO/IEC 27001:2005de la sécurité alimentaire (SMSA) : ISO 22000:2005des services informatiques des organismes : ISO 20000:2005Issu d'ITILde la sureté pour la chaîne d'approvisionnement : ISO 28000:2005...6 / 26Copyright Hervé Schauer Consultants 2000-2007 - Reproduction Interdite

ISO 270014.3 : Documentation1/55 chapitres quiconstruisent leSMSI :Annexe A :mesures desécurité5 : Responsabilitéde la direction4.2.2 : Mise enoeuvre etfonctionnementdu SMSI6 : Auditsinternes duSMSIDoCheck4.2.1 :Etablissementdu SMSIPlan4: SMSI PDCA4.2.3 :Surveillance etréexamen duSMSI8 : Améliorationdu SMSIAct4.2.4 : Miseà jour etaméliorationdu SMSI7 : Réexamendu SMSI par ladirection7 / 26Copyright Hervé Schauer Consultants 2000-2007 - Reproduction Interdite

ISO 270014.3 : Documentation2/5Qualité pour lasécurité del'informationRéférentielprécis etauditableApporte laconfianceConfiance business5 : Responsabilitéde la direction4.2.2 : Mise enoeuvre etfonctionnementdu SMSI6 : Auditsinternes duSMSIDoCheck4.2.1 :Etablissementdu SMSIPlan4: SMSI PDCA4.2.3 :Surveillance etréexamen duSMSI8 : Améliorationdu SMSIAct4.2.4 : Miseà jour etaméliorationdu SMSI7 : Réexamendu SMSI par ladirection8 / 26Copyright Hervé Schauer Consultants 2000-2007 - Reproduction Interdite

Attentes etexigencesen terme desécuritéPartenairesFournisseursISO 27001OrganisationSystème de Management de laSécurité de l'InformationPlanificationPlan3/5SécuritéeffectivefourniePartenairesFournisseursClientsPouvoirspublicsActionDoCorrectionActClientsPouvoirspublicsServicesVérificationCheckServices9 / 26Copyright Hervé Schauer Consultants 2000-2007 - Reproduction Interdite

ISO 270014/5Amélioration continueCe qui n'a cessé de manquer à la SSI depuis son existenceUniversalité et complétudePas d'existence de stratégie concurrenteInclus une méthodologie d'appréciation des risquesDialogue et communicationCompréhensible par la direction généraleCompréhentions mutuellesFacilite l'implication des métiersCertificationTiers indépendant prouve que vous avez fait ce que vous avez dit10 / 26Copyright Hervé Schauer Consultants 2000-2007 - Reproduction Interdite

ISO 270015/5Processus d'amélioration continue pas un niveau de sécuritéApplication de mesures de sécuritéPour réduire de vrais risquesSur de vrais actifsAvec une vraie valeurMême si vous faites une rétro analyse au départ pas des cases à cocher bêtement sans savoir pourquoiPolitique du SMSI ou politique de sécurité = doctrine2 à 4 pages de vision réellement approuvées par le comitéde direction11 / 26Copyright Hervé Schauer Consultants 2000-2007 - Reproduction Interdite

Série des normes ISO 27001Exigencesusage obligatoiredans la certificationISO 27001SMSI2005 2007ISO 27006Certification de SMSIISO 27000VocabulaireISO 27002 (17799)Mesures de sécuritéISO 27011Télécom...2009Déclinaisonssectorielles2005Guidesusage facultatif2009ISO 27003ImplémentationISO 27004Indicateurs SMSIISO 27007Audit de SMSI2008ISO 27005Gestion de risque2008201012 / 26Copyright Hervé Schauer Consultants 2000-2007 - Reproduction Interdite

ISO 27001 par rapport à ISO 27002ISO 27001ISO 27002(anciennement ISO 17799)Articlesou ClausesETMesures de sécuritéControls(Annexe A)Descriptiondétailléedesmesures desécurité13 / 26Copyright Hervé Schauer Consultants 2000-2007 - Reproduction Interdite

ISO 270051/10Guide de mise en oeuvre de la partie appréciation des risquesde la sécurité de l'information de l'ISO 27001ISO 27001 4.2.1 c) à 4.2.1 f) 4), plus 4.2.3.d)soit 1 page + 3 ou 4 lignesEtat : FCD, publication prévuedébut 2008ISO 2700564 pages14 / 26ISO 27001 4.2.1 c) 4.2.1 f) ISO 2700528 pages normatives, chap 1 à 1236 pages d'annexes A à ECopyright Hervé Schauer Consultants 2000-2007 - Reproduction Interdite

HistoriqueManaging andplanning IT securityISO TR 13335-21992 ...19971985..1988..1991..1996CRAMMCCTA Risk Assessmentand Management MethodISO 27005PD 3002Guide to BS7799Risk AssessmentTechniques for themanagement IT securitySelection of safeguardsISO TR 1335-3ISO TR 1335-41998 et 20001998 puis 2002BS7799-3Guidelines for informationsecurity Risk Assessment1997 puis 20042006ISO 1335-22/10InformationsecurityriskmanagementEBIOSEt d'autres influences diversesISO 27005200815 / 26Copyright Hervé Schauer Consultants 2000-2007 - Reproduction Interdite

ISO 270053/10Rappel : norme = consensus entre les acteurs du marchéNe peut être plus complet que toutes les méthodes qui l'on précédéReprésente le noyau commun accepté par tousPeut être complété en allant rechercher ailleursMéthodes d'analyse de risques existantesPeuvent continuer à évoluer et innoverPeuvent contribuer à l'amélioration de la norme ISO 27005Peuvent complèter la norme :MEHARI par son questionnaireEBIOS dans l'évaluation des actifs ou le calcul des risquesCertaines méthodes pourront se dire "conformes à la norme ISO27005"16 / 26Copyright Hervé Schauer Consultants 2000-2007 - Reproduction Interdite

17 / 26ISO 27005Méthodologie complèteStructure sa démarcheAutonomeCorrespond strictement au respect de l'ISO 27001Nécessaire pour la mise en place d'un SMSINécessaire pour une certificationEntre dans la gestion de risque en généralNormalisations ISO de tous les types de risques : financiers,industriels, routiers, santéVocabulaireCompréhensibleProche du langage courantCopyright Hervé Schauer Consultants 2000-2007 - Reproduction Interdite4/10

ISO 27005 Définition d'un processus(6) p7Continu et qui s'améliore, donc PDCAPrincipe de la reproduction du PDCA général du SMSI à chaqueprocessus dans le SMSIProcessus de gestion de risque de la sécurité del'information(information security risk management process)Processus applicable à tous le SMSI ou à un sous-ensemble5/10Inclus une étape pour prendre en compte les coûts et mettre ladirection devant ses responsabilités18 / 26Copyright Hervé Schauer Consultants 2000-2007 - Reproduction Interdite

ISO 27005 (6) p7●Identifier les risquesPlan●Quantifier chaque risque par rapport● aux conséquences que sa matérialisationpourrait avoir sur le business● à sa probabilité d'occurrence (likelihood)●Identifier les actions appropriées pour réduireles risques identifiés à un niveau acceptable6/10●Implémenter les actions Dopour réduire les risques●Eduquer la direction et lepersonnel sur les risques et lesactions prises pour les atténuer●Rectifier le traintement du risque àla lumière des évènements et deschangements de circonstances●Améliorer le processus degestion du risqueAct19 / 26Surveiller et réexaminerles résultats, l'efficacité etl'efficience du processusCheckCopyright Hervé Schauer Consultants 2000-2007 - Reproduction Interdite

ISO 27005 (6) p8Décomposé en deux activitésséquencielles et itérativesApproche itérativeAméliore la finesse de l'analyse àchaque itérationGaranti une appréciation desrisques élevésMinimise le temps et l'effortconsenti dans l'identification desmesures de sécuritéAppréciation des risquessatisfaisante ?Passer au traitement du risqueAppréciation du risque(risk assessment)Appréciationsatisfaisante ?ouinonTraitement du risque(risk treatment)7/1020 / 26Copyright Hervé Schauer Consultants 2000-2007 - Reproduction Interdite

ISO 270058/10Approche itérative ou cycliquePermet d'avancer avec desInterlocuteurs absents ouincapables de savoir ou quirefusent de répondreLivrables incompletsIncapacité du management de seprononcer sur l'approbation desrisques résiduels sans connaîtred'abord les coûts associésFacilite la gestion dessusceptibilités et des aspectspolitiques entreInterviewvésActifs et processus métierAppréciation du risque(risk assessment)Appréciationsatisfaisante ?ouinonTraitement du risque(risk treatment)Facilite les liens entre lesrisques et les impacts sur lesprocessus métier21 / 26Copyright Hervé Schauer Consultants 2000-2007 - Reproduction Interdite

ISO 270059/10Appréciation du risque (8)Analyse des risquesMise en évidence des composantes des risquesEstimation de leur importance : méthode de calcul laissée libreEvaluation des risquesAnalyse d'ensemble et prise de décision sur les risquesTraitement du risque (9)Sélection des objectifs et mesures de sécurité pour réduire le risqueRefus, transfert ou conservation du risqueAcceptation du risque (10)Approbation par la direction des choix effectués lors du traitement durisqueCommunication du risque (11)22 / 26Copyright Hervé Schauer Consultants 2000-2007 - Reproduction Interdite

ISO 27005 (6) p8-9 10/10 n° 1Assez d'éléments pourdéterminer les actionsnécessaires à laréduction des risques àun niveau acceptable ? n° 2Risque acceptable ?Communication à lahiérarchie et aux équipesopérationnelles à chaqueétapeRisque identifié utileimmédiatement à lagestion des incidentsCommunication du risqueEtablissement du contexteAppréciation du risqueAnalyse de risqueIdentification du risqueEstimation du risqueEvaluation du risqueAppréciationsatisfaisante ?Risqueacceptable ? ouiTraitement du risqueouinonTraitement du risqueSurveillance et réexamen du risque23 / 26Copyright Hervé Schauer Consultants 2000-2007 - Reproduction Interdite

Utilisateurs Clients (internes)24 / 26ISO 27001 et ITILFourniture de servicesService DeliveryGestion desniveaux de serviceService Level ManagementSoutien de servicesService SupportCentre de ServicesService DeskGestion financièreGestion de la disponibilitéGestion de la continuitéGestion des capacitésGestion des incidentsGestion des problèmesGestion des changementsGestion des mises en productionGestion des configurationsCopyright Hervé Schauer Consultants 2000-2007 - Reproduction Interdite1/2CDBCMDB

ISO 27001 et ITILUtilisez l'interface sécurité avec ITILPropriétaire du SMSI Propriétaire du processus ITIL sécuritéITIL utile à l'exploitation et l'amélioration d'un SMSIGestion des configuration et CMDB utiles à l'inventaire des actifssecondaires (4.2.1.d)Suivi des actions correctivesGestion des changements et CAB utiles à l'approbation par lemanagement...SMSIISO 20000-1 : transforme chaque processus ITIL en PDCAEt référence l'ISO 27001 tremplin à saisirGestion de la sécurité2/225 / 26Copyright Hervé Schauer Consultants 2000-2007 - Reproduction Interdite

ConclusionBonne stratégie SSI adopter les pratiques performantesISO 27001 est la bonne pratique pour gérer la SSIAmélioration continueRéférenciel universel et complet (cf ISO 27005)Structure sa manière de travaillerAccessible à tous car n'impose aucun niveau de sécuritéSeul référenciel sécurité pris en compte dans les autres métiers etrèglementsISO 27001 est votre stratégie SSIQuestions ?Herve.Schauer@hsc.frwww.hsc.frISO 27001 à son club !Paris, Toulouse, ITIL, ...www.club­27001.fr26 / 26Copyright Hervé Schauer Consultants 2000-2007 - Reproduction Interdite