Vous êtes sur la page 1sur 0

RECOMMANDATIONS

Brve tude de la norme


ISO/IEC 27003



Dcembre 2011











CLUB DE LA SECURITE DE LINFORMATION FRANAIS
11, rue de Mogador 75009 PARIS
Tel : 01 53 25 08 80 Fax : 01 53 08 81
clusif@clusif.asso.fr - http://www.clusif.asso.fr
La loi du 11 mars 1957 n'autorisant, aux termes des alinas 2 et 3 de l'article 41, d'une part, que les "copies ou reproductions
strictement rserves l'usage priv du copiste et non destines une utilisation collective" et, d'autre part, que les analyses
et les courtes citations dans un but d'exemple et d'illustration, "toute reprsentation ou reproduction intgrale, ou partielle,
faite sans le consentement de l'auteur ou de ayants droit ou ayants cause est illicite" (alina 1er de l'article 40)
Cette reprsentation ou reproduction, par quelque procd que ce soit, constituerait donc une contrefaon sanctionne par les
articles 425 et suivants du Code Pnal.

Etude de la norme ISO/IEC 27003 3 / 18 CLUSIF 2011

Table des matires


1. Remerciements .............................................................................................................................4
2. Introduction ..................................................................................................................................5
2.1 A qui sadresse cette tude de la norme ?............................................................................ 5
2.2 Objectif de cette tude......................................................................................................... 5
3. La norme ISO/IEC 27003 ............................................................................................................6
4. Rsum de ltude du CLUSIF ....................................................................................................7
4.1 A qui cette norme semble-t-elle destine ?.......................................................................... 7
4.2 Quelle utilisation peut tre faite de la norme ?.................................................................... 7
5. Analyse de la norme ISO/IEC 27003...........................................................................................8
5.1 Synthse .............................................................................................................................. 8
5.2 Rsum des chapitres 5 9 ................................................................................................. 8
6. Conclusion..................................................................................................................................16


Etude de la norme ISO/IEC 27003 4 / 18 CLUSIF 2011
1. Remerciements
Le CLUSIF tient mettre ici l'honneur les personnes qui ont rendu possible la ralisation de
ce document, tout particulirement :
Le responsable du groupe de travail :
Olivier ALLAIRE Conix

Les contributeurs :

Nicolas ANDREU Devoteam
Rgis BOURDONNEC BNP Paribas
Fabrice DUTOURNIER Ministre de la Dfense
Franois JOLIVET Socit Gnrale
Jean-Pierre LACOMBE Fidens
Laurent MARECHAL Hapsis
Fred MESSIKA Sekoia
Paul RICHY France Telecom
Jean-Louis ROULE
Herv SCHAUER HSC

Ainsi que les membres du comit de relecture.

Avec laimable participation de Franois Zamora France Telecom et Alexandre
Fernandez-Toro HSC

Etude de la norme ISO/IEC 27003 5 / 18 CLUSIF 2011
2. Introduction
2.1 A qui sadresse cette tude de la norme ?
Cette tude sadresse principalement aux personnes en charge de conduire un projet
dimplmentation de SMSI (Systme de Management de la Scurit de lInformation), que ce
soit dans la phase prliminaire de dcision ou dans la phase de dfinition de projet.

2.2 Objectif de cette tude
Prsenter rapidement la norme ISO/IEC 27003 et identifier lintrt de celle-ci selon le point
de vue de la personne en charge de limplmentation du SMSI, quelle soit exprimente ou
dbutante sur le sujet.
Comme tout texte de rfrence, lutilit finale de la norme doit tre value en fonction du
contexte particulier auquel on souhaite se rfrer.

Note des rdacteurs : ce document utilise de nombreux termes techniques relatifs la scurit des
systmes dinformation et aux normes de la srie 27000. Des dfinitions de ces termes peuvent tre
trouves dans la norme ISO/IEC 27000, disponible gratuitement lemplacement suivant :
http://standards.iso.org/ittf/PubliclyAvailableStandards/index.html. Des explications et des dfinitions
peuvent galement tre trouves dans le document Les mtriques dans le cadre de la srie 27000
issu des travaux du Groupe de travail et disponible gratuitement lemplacement suivant
http://www.clusif.asso.fr/fr/production/ouvrages/pdf/CLUSIF-Metriques-dans-27000.pdf.

Etude de la norme ISO/IEC 27003 6 / 18 CLUSIF 2011
3. La norme ISO/IEC 27003
Cette norme dclare fournir un guide de prparation et dimplmentation de la phase de
planification dun SMSI conforme la norme ISO/IEC 27001:2005.
Elle insiste sur lapprobation du projet par la direction de lorganisation, lattribution de rles
et de responsabilits dans le cadre du projet et la prparation des points importants de cette
planification que sont :
le contenu de la politique de scurit ;
lanalyse des exigences de scurit partir des enjeux mtiers daffaires appliqus aux
actifs ;
la conduite de lvaluation et du traitement de risque, particulirement le choix de la
mthode danalyse de risque utiliser ;
ltablissement du contenu et des frontires du SMSI ;
llaboration du plan projet de traitement de risque.
Cette norme, diffuse au dbut de 2009, a t juge par un certain nombre dorganismes
nationaux de normalisation comme limitative et ainsi devant tre amliore rapidement sur le
plan de lapplicabilit et de lexhaustivit du processus de gestion continue des risques
(absence des phases de ralisation, de contrle et damlioration du PDCA). Par exemple la
dfinition du cadre de gestion documentaire arrive aprs avoir dj produit de nombreux
documents (activit 9.2.2).
Elle dveloppe (en 45 pages) la phase de planification dcrite par la norme IS0/IEC 27001.
Cette norme nexiste quen version anglaise et il nest pas prvu ce jour de version
franaise.
La norme comporte 4 chapitres introductifs, suivis par 5 chapitres en ce qui concerne leur
application ainsi que 5 annexes informatives (25 pages).

Etude de la norme ISO/IEC 27003 7 / 18 CLUSIF 2011
4. Rsum de ltude du CLUSIF

4.1 A qui cette norme semble-t-elle destine ?
Dans la mesure o un SMSI peut tre :
dcid au dpart par la direction de lorganisation dans un objectif prcis (rduire les
risques pour lorganisation ou pour les activits dune entit, renforcer un lment
particulier (ex. continuit dactivit, gestion des accs), obtenir une certification) ;
ou propos par le RSSI, le DSI, le risk manager ou toute autre partie prenante. Un
lment permanent de la norme 27003 est dobtenir dans ce cas lapprobation de la
direction (chapitre 5) puis de consolider cette approbation lors de la ralisation des tapes
de la phase Plan.
La norme est plutt destine tout acteur souhaitant initialiser une dmarche de mise en place
d'un SMSI et devant recueillir l'approbation de la Direction.
4.2 Quelle utilisation peut tre faite de la norme ?
Lessentiel de ce que la norme ISO/IEC 27003 apporte est donc utilisable dans une dmarche
tourne vers lapprobation de la direction jusqu la premire implmentation de la phase Plan
du SMSI.








Il est noter que bien que la norme ISO/IEC 27001 impose dutiliser une mthode de gestion
de risque, la norme ISO/IEC 27003 fait abstraction de ce que peut apporter une telle
mthode, ce qui est paradoxal pour un guide pratique d'implmentation.
Le lecteur pourra utiliser, sil le souhaite, les diffrentes mthodes de gestion du risque
disponibles actuellement telle que MEHARI la mthode conue par le CLUSIF et disponible
gratuitement.
http://www.clusif.asso.fr/fr/production/mehari/download/
Parmi les documents associs MEHARI, figure le guide de la dmarche danalyse et de
traitement des risques qui reprend la mme approche de description pour les tapes de la
phase de planification du SMSI que lISO/IEC 27003

Etude de la norme ISO/IEC 27003 8 / 18 CLUSIF 2011
5. Analyse de la norme ISO/IEC 27003
5.1 Synt!se
La norme ISO/IEC 27003 est un document de 85 pages comprenant 9 chapitres :
Introduction (chapitres 1 3)
Le synoptique dun SMSI (chapitre 4)
Lapprobation du projet SMSI (chapitre 5)
Le squencement de la phase PLAN (chapitres 6, 7, 8)
Posture de contribution au business et primtre : ISMS scope
Objectifs, critres dapprciation du risque : ISMS policy
Lanalyse de risque brut et net (couverture existante des vulnrabilits.)
Instruire les mesures de scurit (rduction du risque) applicables
Dcision de traitement du risque et cible de risque rsiduel, et la dclaration
dapplicabilit
La prparation de limplmentation de la phase DO (chapitre 9)
5.2 "sum des ca#itres 5 $ %
Dans cette partie, les chapitres 5 9 sont rsums et analyss. Leur utilisation effective est
value partir de lexprience du groupe de travail du CLUSIF


Etude de la norme ISO/IEC 27003 9 / 18 CLUSIF 2011
Chapitre 5 : Obtenir lapprobation de la direction pour initialiser un projet SMSI

Ce chapitre traite de lobtention, auprs de la direction, de laccord de dmarrer un projet
SMSI. Cet accord sappuie sur une proposition structure et comprhensible. Celle-ci dcrira
les priorits et les objectifs de mise en uvre ainsi que la structure organisationnelle du SMSI
et le plan du projet initial.
Ce document doit permettre aux responsables et collaborateurs de l'organisation de :
comprendre l'intrt de mettre en place un SMSI,
clarifier les rles et responsabilits propres lorganisation et ncessaires au projet de
SMSI (5.3.2).
Les livrables attendus seront l'accord de la direction pour dmarrer la mise en uvre dun
SMSI et pour la ralisation des actions dcrites dans ce document. Ils incluent une proposition
structure dcrivant les tapes clefs du plan du projet SMSI.
Les principales tapes consistent :
Dfinir, dans un document, les priorits de l'organisation pour dvelopper un SMSI. Il
rsumera :
(5.2) les objectifs,
les priorits de scurit de l'information,
les exigences organisationnelles pour un SMSI.
Ce document comprendra :
une liste des besoins rglementaires, contractuels, et techniques impactant la scurit
de l'information,
les caractristiques principales de l'activit, de l'organisation, de sa localisation, de ses
ressources et de sa technologie.
Dfinir le primtre initial du SMSI (5.3.1) en dcrivant les rles et responsabilits et
l'organisation ncessaires au succs de la mise en uvre du SMSI.
Crer la proposition et le plan projet pour l'approbation de la direction (5.4) en prcisant
les ressources alloues et les jalons cls tels que l'excution de l'acceptation de risque,
l'implmentation, les audits internes et le suivi du projet par la direction.
Le point de vue du Groupe de travail : Ce chapitre de la norme apporte
quelques prcisions intressantes par rapport lISO/IEC 27001, toutefois, il
manque des exemples concrets ce qui aurait pu faciliter cette tape.


Etude de la norme ISO/IEC 27003 10 / 18 CLUSIF 2011
Chapitre 6 : Dfinir le domaine dapplication, les limites et la politique du SMSI
Ce chapitre dfinit le champ d'application dtaill et labore la politique du SMSI.
Note : il est prmatur de prendre ces dcisions avant davoir ralis lanalyse de risque,
car les objectifs et les priorits doivent en rsulter normalement.
Les facteurs cl pour une implmentation russie du SMSI sont :
la dfinition dtaille du primtre et du champ d'application,
la dfinition de la politique du SMSI
l'acceptation et le soutien par la direction.
Les principales tapes consistent :
Dfinir le primtre organisationnel (6.2) par la description :
du champ d'application organisationnel du SMSI, en justifiant l'exclusion de certaines
parties ;
des fonctions et de la structure des parties de l'organisation incluses dans le champ
d'application ;
des informations changes l'intrieur du champ d'application et de celles changes
travers les frontires ;
des processus organisationnels et des responsabilits pour les ressources
informationnelles l'intrieur et l'extrieur du champ d'application ;
du processus et de la structure de prise de dcision de la hirarchie dans le SMSI.
Dfinir le champ d'application des technologies d'information et de communication (TIC)
(6.3) par la description :
des flux d'informations transitant l'intrieur du champ d'application et travers ses
frontires ;
des frontires des TIC pour le SMSI, en justifiant l'exclusion des TIC lies aux parties
qui sont hors du primtre organisationnel ;
des SI et des rseaux de tlcommunication en prcisant ce qui est dans le champ
d'application, y compris les rles et responsabilits de ces systmes. Les systmes
exclus seront lists brivement.
Dfinir le primtre physique et des frontires physiques (6.4) en indiquant les
justifications d'exclusion de celles-ci et en indiquant l'organisation et les caractristiques
gographiques correspondant au primtre.
Rdiger un document dcrivant le primtre et les frontires du SMSI (6.3) contenant :
les caractristiques cls de l'organisation (fonction, structure, services, ressources et
leur champ d'application) ;
les processus organisationnels du champ d'application ;
les configurations des quipements et rseaux du champ d'application ;
une liste initiale des ressources l'intrieur du champ d'application ;

Etude de la norme ISO/IEC 27003 11 / 18 CLUSIF 2011
une liste des ressources TIC du champ d'application (ex. serveurs) ;
un plan des sites du primtre en prcisant les frontires physiques du SMSI ;
les descriptions des rles et responsabilits l'intrieur du SMSI et leurs relations avec
les structures organisationnelles ;
le dtail et les justifications de toute exclusion du primtre.
Elaborer la politique du SMSI et obtenir l'approbation de la direction (6.6) dans un
document dcrivant la politique du SMSI documente et approuve par la direction. Il sera
valid dans une phase ultrieure du projet dans la mesure o il dpend du rsultat de
l'valuation des risques.
Le point de vue du Groupe de travail : Cest probablement, le chapitre le plus utile de la
norme, il claire sur les clauses 4.2.1a (Define the scope and boundaries of the ISMS)
et 4.2.1b (Define an ISMS policy) de lISO/IEC 27001 en expliquant clairement
comment dterminer un primtre et fournissant des conseils sur la manire de rdiger
la politique du SMSI.
Les actions mentionnes dans les chapitres 6 8 sont dcrites aussi dans les mthodes
rcentes dvaluation de risque.


Etude de la norme ISO/IEC 27003 12 / 18 CLUSIF 2011
Chapitre 7 : Conduire lanalyse des exigences de scurit de linformation
Lobjectif est de dfinir les exigences que doit considrer le SMSI partir de lidentification
des actifs et de lanalyse des enjeux prserver lors dune atteinte des critres de scurit
(Disponibilit, Intgrit, Confidentialit) qui leur sont rattachs.
Les principales tapes consistent :
Dfinir les exigences de scurit de linformation intgres dans le processus de SMSI
(7.2)
Identification prliminaire des actifs informationnels importants et des exigences
essentielles (lies au mtier, aux engagements pris et aux obligations lgales) ;
Identification des visions de la direction, du niveau de sensibilisation des parties
prenantes et des besoins en ducation et expertise concernant linformation ;
Identification des processus et des lments utiliss pour traiter, stocker et vhiculer
linformation, classification des actifs utiliss et liste des vulnrabilits connues
adresser.
Identifier les actifs dans le domaine dapplication (7.3)
Raliser une cartographie des actifs primordiaux comme de support et les associer aux
processus mtiers ;
Cartographier les applications utilises et identifier les propritaires dactifs ;
Classifier linformation, les services ncessaires son traitement et les exigences de
conformit.
Conduire une valuation de la scurit de linformation.
Analyser le niveau actuel de la scurit de linformation au travers des procdures et
des mesures de scurit en place.
Dans le cas d'une organisation qui a dj mis en place des mesures de scurit, il est
recommand de faire une retro apprciation des risques, comme s'il n'y avait
aucune mesure de scurit en place afin de permettre la justification des mesures
mises en uvre et de supprimer celles qui sont inappropries ;
Evaluer les besoins additionnels demands par lorganisation.
Il faut noter cependant que cette valuation doit normalement rsulter de lvaluation
de risques effectus dans le chapitre suivant.
Le point de vue du Groupe de travail: Outre les exigences en scurit de
linformation, ce chapitre donne quelques conseils sur la manire
dinventorier les actifs et processus associs, ceux-ci peuvent aider les
responsables du SMSI.
Il aborde galement les actions prliminaires lanalyse des risques en
expliquant comment raliser une analyse des exigences en scurit de
l'information.
Sur cet aspect, la norme ISO/IEC 27005 fournit des directives plus
compltes pour raliser lapprciation des risques

Etude de la norme ISO/IEC 27003 13 / 18 CLUSIF 2011

Chapitre 8 : Conduire lapprciation et la planification du traitement des risques
Ce chapitre introduit lutilisation dune mthodologie dvaluation des risques, permettant
didentifier, analyser et valuer les risques associs linformation et slectionner les
options de traitement du risque (rduire, conserver, viter ou transfrer) et planifier les
objectifs de scurit et les mesures appropries.
La conformit de cette mthodologie aux directives donnes par la norme ISO/IEC
27005:2008 est mentionne cette occasion.
Les principales tapes consistent donc :
Raliser lvaluation des risques (8.2), cest dire :
Identifier les menaces et les vulnrabilits quelles peuvent exploiter ;
Identifier les impacts dune atteinte aux actifs et les consquences sur les affaires ;
Evaluer la vraisemblance des scnarios dincidents et les niveaux de risque associs,
puis les classifier.
Slectionner les objectifs de scurit et les mesures prendre (8.3)
Il importe de justifier la relation entre les risques et les options choisies pour les
traiter ;
En particulier, il faut indiquer comment les mesures de scurit choisies dans le plan
de traitement pourront rduire les risques ;
Lors de cette apprciation, laudit des mesures dj en place doit permettre de faciliter
les mesures additionnelles ncessaires ;
Lattention doit tre porte sur la confidentialit des actions effectues et planifies.
Obtenir lapprobation de la direction pour raliser un SMSI (8.4)
Documenter les rsultats de lvaluation des risques ;
Raffirmer lintrt du SMSI pour les affaires et prparer un plan projet ;
Collecter et documenter la politique du SMSI et les frontires.
Le point de vue du Groupe de travail : Comme pour le chapitre
prcdent, la norme ISO/IEC 27005 fournit des directives plus compltes
pour raliser lvaluation des risques.
Les mthodes dvaluation et de traitement des risques capables de
proposer les mesures de scurit (organisationnelles et techniques)
rpondent ce chapitre. Cest le cas de MEHARI avec sa base de
connaissance.


Etude de la norme ISO/IEC 27003 14 / 18 CLUSIF 2011
Chapitre 9 : Concevoir le SMSI
Le chapitre 9 explicite la dmarche suivre pour laborer un plan projet dtaill portant sur la
mise en place du SMSI (Systme de Management de la Scurit de lInformation) et rappelle
les pr requis :
l'engagement de la direction ;
l'identification des actifs ;
l'analyse du niveau de scurit informatique actuel et le plan de gestion des risques.
Les principales tapes consistent :
Dfinir l'organisation en charge de la scurit informatique (9.2.1) par la dfinition des
fonctions dans l'organisation, les responsables et les processus ncessaires au SMSI.
Dfinir la gestion documentaire (9.2.2) en dtaillant la documentation et les
enregistrements ncessaires au SMSI. La gestion documentaire comprend :
le format de la documentation et des enregistrements
les processus pour les obtenir et les prsenter la direction
Elaborer la politique de scurit de linformation (9.2.3) en dtaillant la prsentation des
orientations stratgiques de la direction pour la scurit de linformation. La norme donne
une approche pragmatique pour la cration de la politique de scurit informatique. Elle
insiste sur son importance pour la motivation des acteurs du SMSI.
Elaborer les rfrentiels et les procdures de scurit de linformation (9.2.4) par la
sollicitation des acteurs de l'organisme qui ont un rle dans la scurit informatique pour
un travail d'quipe en vue de crer les standards et les procdures de scurit
informatique. Ils s'appuieront notamment sur les normes ISO/IEC 27001 et
ISO/IEC 27002 pour leur production de documents. Le fruit de ce travail donne les
mesures de scurit mettre en place dans l'organisation.
Crer des mesures de scurit pour la protection physique et l'exploitation Informatique et
Tlcom (9.3) en prcisant les mesures techniques dtailles de scurit informatique en
faisant le lien avec la sensibilisation la scurit informatique et en mettant aussi l'accent
sur l'intgration des mesures de scurit dans les processus existants de l'organisme.
Planifier les revues de direction (9.4.1) pour obtenir le soutien de la direction et pour
vrifier l'adquation du SMSI au besoin mtier de l'organisme. La norme donne une
approche pratique pour ces revues de direction. Elle fait le lien avec le besoin de tableaux
de bords et d'audits internes du SMSI.
Dfinir les actions de sensibilisation et de formation la scurit informatique (9.4.2) en
dtaillant les formations indispensables aux acteurs du SMSI. Elles doivent aider obtenir
leur adhsion et leur faire acqurir les comptences pour mettre en uvre les mesures de
scurit. La norme dtaille les thmes aborder, insiste sur le besoin de mettre jour les
formations et de contrler la participation des utilisateurs.
Produire le plan projet final pour le dploiement du SMSI (9.5) en prcisant les acteurs,
les outils, les mthodes et les tches planifies qui permettront une mise en place russie
du SMSI.

Etude de la norme ISO/IEC 27003 15 / 18 CLUSIF 2011
Ce chapitre claire les activits ncessaires pour aboutir une mise en place russie de la
phase de dploiement du SMSI.
Les annexes donnent au lecteur des informations pour aller dans le dtail de ces activits.

Le point de vue du Groupe de travail : Ce chapitre apporte une aide
intressante pour la dfinition de la politique de scurit du SMSI.
Toutefois, au niveau des exigences de rdaction de la documentation
associe la mise en place du SMSI, elle se contente de paraphraser
lISO/IEC 27001.

Etude de la norme ISO/IEC 27003 16 / 18 CLUSIF 2011
6. Conclusion
Cest par lappropriation de la mthode mise en uvre et de ses rsultats, en lintgrant dans
un vrai processus damlioration continue, que la norme ISO/IEC 27001 apporte une
nouveaut (en obligeant en faire des utilisations plus formalises : savoir-faire). Elle
propose galement une validation externe (la certification, faire savoir) permettant dtablir la
motivation au sein de lorganisation comme la confiance auprs de ses partenaires.
ISO/IEC 27003 est un guide dimplmentation pour un SMSI. Cette norme est centre sur la
ralisation dun plan pour implmenter le SMSI et insiste sur la dmarche dapprobation de la
direction de lorganisation. Il sagit dune approche certes limite essentiellement la phase
PLAN mais qui facilite lobtention des investissements initiaux, tout en risquant dentraner
un retard dans la ralisation du SMSI lui-mme.
Cette approche nest pas dveloppe dans la norme ISO/IEC 27001, qui mentionne
lengagement de la direction comme tant prcdemment acquis, et qui se focalise sur les
phases de la dmarche PDCA (Planifier, Dvelopper, Contrler, Amliorer) comme si elles
taient naturelles dans lesprit des responsables. Le concept damlioration continue
formalis par ISO/IEC 27001 tant novateur, ISO/IEC 27003 peut tre utile pour en prparer
la ralisation et en obtenir le financement sur le long terme.
Une des difficults de comprhension de la norme ISO/IEC 27003 est que celle-ci est
ambigu car elle peut tre comprise comme une aide ltape pralable la mise en place du
SMSI, consistant obtenir lapprobation du management pour le projet alors quelle se veut
tre une aide la mise en place une fois cette dcision prise.
Un schma, modlisant les activits et
entres/sorties dcrites dans la norme
ISO/IEC 27003, a t ralis par le groupe
de travail, et est disponible en
tlchargement ladresse ci-dessous.
.




http://www.clusif.asso.fr/fr/production/ouvrages/pdf/CLUSIF-2011-Modelisation-ISO-27003.pdf





L E S P R I T DE L C HANGE



CLUB DE LA SCURIT DE L'INFORMATION FRANAIS
11, rue de Mogador
75009 Paris
01 53 25 08 80
clusif@clusif.asso.fr

Tlchargez les productions du CLUSIF sur
www.clusif.asso.fr