Vous êtes sur la page 1sur 17

1

ISO 27001 - 27002 Introduction


Ronan DHaese
2
Standard publi en octobre 2005
Remplaant de BS7799-2 (British Standard)
Spcifications pour un ISMS (Information Security Management System)
Systme de Management de la Scurit des Informations (SMSI)

Objectif : fournir un modle pour tablir, implmenter, exploiter,
monitorer, contrler, maintenir, et amliorer un ISMS

Modle de gestion de la qualit PDCA
Plan : Prparer, Planifier
Do : Dvelopper, raliser, mettre en uvre
Check : Contrler, vrifier
Act (ou Adjust): Agir, ajuster, ragir

Le St Graal : La certification ISO27001
3
La gouvernance de la scurit informatique permet aux entreprises dappliquer les
bonnes mthodes en matire de management de la scurit.

Norme ISO 27001 = rfrentiel pour dfinir un cadre de gestion
Ce cadre de gestion reste propre chaque entreprise en fonction de
ses activits
la valeur des informations manipules
les risques et impact sur le business

Ce cadre de gestion reprsente les moyens par lesquels la direction
surveille et contrle la scurit
minimise les risques
assure une conformit aux diverses lois concernes

Le modle de qualit PDCA assure une amlioration continue
de la scurit du systme d'information.

ISO27001
rfrentiel
Activit
Valeurs de linformation
Risques & Impact Business
Cadre de gestion
SMSI
4
Les diffrents types dinformation
Information imprime
Information crite
Information envoye par email
Stocke lectroniquement
Transmise lectroniquement
Parle (conversations/ systme de tlphonie)
Vido

Information Assets
Toute linformation cre du fait du mtier de lorganisation
Les applications et logiciels
Les moyens de communication (rseaux, interconnections, tlphonie, email, etc)
Les quipements informatiques (y compris imprimantes, fax, etc)
Les salles informatiques et bureaux
Etc
5
L'annexe A de la norme ISO27001 prcise les domaines ou il
convient de conduire une analyse de risque (l'ensemble des
contrles effectuer pour s'assurer de la pertinence du SMSI)

Cette annexe est compose des 133 mesures de scurit / best
practices de la norme ISO 27002, classes dans 11 sections.

publie en juillet 2007 par l'ISO (remplace ISO 17799 depuis)
Code de bonnes pratiques pour la gestion de la scurit de
l'information
6
Chapitre 5 : Politique de scurit.
Chapitre 6 : Organisation de la scurit de linformation
Chapitre 7 : Gestion des biens.
Chapitre 8 : Scurit lie aux ressources humaines
Chapitre 9 : Scurit physique et environnementale.
Chapitre 10 : Gestion des communications et de l'exploitation.
Chapitre 11 : Contrles daccs
Chapitre 12 : Acquisition, dveloppement et maintenance des
systmes d'information.
Chapitre 13 : Gestion des incidents lis la scurit de l'information.
Chapitre 14 : Gestion de la continuit dactivit.
Chapitre 15 : Conformit lgale et rglementaire.
7
Chacune des 11 sections
spcifie les objectifs atteindre
numre un ensemble de 133 mesures ou best practices
pour atteindre ces objectifs

La norme ISO ne dtaille pas ces mesures car:
chaque organisation est diffrente
les risques sont diffrents pour chaque organisation
lvaluation des risques et de leur impact est donc propre
lorganisation
les best practices sont donc plus ou moins appropries
8
Cest donc un rfrentiel d'audit et de contrle et pas une fin
en soi.

Quels sont les outils pour mener un audit ?
Le rfrentiel : La norme sous forme de checklist
Sa propre exprience en scurit
Sa propre comprhension de lactivit du client
9
Vrifier la conformit de lorganisation
dans les 11 domaines / 133 points de contrles de la norme

10
5 Politique de scurit
5.1 Politique de scurit de linformation
5.1.1 Document de politique de scurit de linformation
5.1.2 Rexamen de la politique de scurit de linformation

6 Organisation de la scurit de linformation
6.1 Organisation interne
6.1.1 Engagement de la Direction vis--vis de la scurit de linformation
6.1.2 Coordination de la scurit de linformation
6.1.3 Attribution des responsabilits en matire de scurit de linformation
6.1.4 Systme dautorisation concernant les moyens de traitement de linformation
6.1.5 Engagements de confidentialit
6.1.6 Relations avec les autorits
6.1.7 Relations avec des groupes de spcialistes
6.1.8 Revue indpendante de la scurit de linformation
6.2 Tiers
6.2.1 Identification des risques provenant des tiers
6.2.2 La scurit et les clients
6.2.3 La scurit dans les accords conclus avec des tiers

7 Gestion des biens (assets / actifs)
7.1 Responsabilits relatives aux biens
7.1.1 Inventaire des biens
7.1.2 Proprit des biens
7.1.3 Utilisation correcte des biens
7.2 Classification des informations
7.2.1 Lignes directrices pour la classification
7.2.2 Marquage et manipulation de linformation
11
8 Scurit lie aux ressources humaines
8.1 Avant le recrutement
8.1.1 Rles et responsabilits
8.1.2 Slection
8.1.3 Conditions dembauche
8.2 Pendant la dure du contrat
8.2.1 Responsabilits de la direction
8.2.2 Sensibilisation, qualification et formations en matire de scurit de linformation
8.2.3 Processus disciplinaire
8.3 Fin ou modification de contrat
8.3.1 Responsabilits en fin de contrat
8.3.2 Restitution des biens
8.3.3 Retrait des droits daccs

9 Scurit physique et environnementale
9.1 Zones scurises
9.1.1 Primtre de scurit physique
9.1.2 Contrles physiques des accs
9.1.3 Scurisation des bureaux, des salles et des quipements
9.1.4 Protection contre les menaces extrieures et environnementales
9.1.5 Travail dans les zones scurises
9.1.6 Zones daccs public, de livraison et de chargement
9.2 Scurit du matriel
9.2.1 Choix de lemplacement et protection du matriel
9.2.2 Services gnraux
9.2.3 Scurit du cblage
9.2.4 Maintenance du matriel
9.2.5 Scurit du matriel hors des locaux
9.2.6 Mise au rebut ou recyclage scuris(e) du matriel
9.2.7 Sortie dun bien
12
10 Gestion de lexploitation et des tlcommunications
10.1 Procdures et responsabilits lies lexploitation
10.1.1 Procdures dexploitation documentes
10.1.2 Gestion des modifications
10.1.3 Sparation des tches
10.1.4 Sparation des quipements de dveloppement, de test et dexploitation
10.2 Gestion de la prestation de service par un tiers
10.2.1 Prestation de service
10.2.2 Surveillance et rexamen des services tiers
10.2.3 Gestion des modifications dans les services tiers
10.3 Planification et acceptation du systme
10.3.1 Dimensionnement
10.3.2 Acceptation du systme
10.4 Protection contre les codes malveillant et mobile
10.4.1 Mesures contre les codes malveillants
10.4.2 Mesures contre le code mobile
10.5 Sauvegarde
10.5.1 Sauvegarde des informations
10.6 Gestion de la scurit des rseaux
10.6.1 Mesures sur les rseaux
10.6.2 Scurit des services rseau
10.7 Manipulation des supports
10.7.1 Gestion des supports amovibles
10.7.2 Mise au rebut des supports
10.7.3 Procdures de manipulation des informations
10.7.4 Scurit de la documentation systme
10.8 change des informations
10.8.1 Politiques et procdures dchange des informations
10.8.2 Accords dchange
10.8.3 Supports physiques en transit
10.8.4 Messagerie lectronique
10.8.5 Systmes dinformation dentreprise
10.9 Services de commerce lectronique
10.9.1 Commerce lectronique
10.9.2 Transactions en ligne
10.9.3 Informations disposition du public
10.10 Surveillance
10.10.1 Rapport daudit
10.10.2 Surveillance de lexploitation du systme
10.10.3 Protection des informations journalises
10.10.4 Journal administrateur et journal des oprations
10.10.5 Rapports de dfaut
10.10.6 Synchronisation des horloges

13
11 Contrle daccs
11.1 Exigences mtier relatives au contrle daccs
11.1.1 Politique de contrle daccs
11.2 Gestion de laccs utilisateur
11.2.1 Enregistrement des utilisateurs
11.2.2 Gestion des privilges
11.2.3 Gestion du mot de passe utilisateur
11.2.4 Rexamen des droits daccs utilisateurs
11.3 Responsabilits utilisateurs
11.3.1 Utilisation du mot de passe
11.3.2 Matriel utilisateur laiss sans surveillance
11.3.3 Politique du bureau propre et de lcran vide
11.4 Contrle daccs au rseau
11.4.1 Politique relative lutilisation des services en rseau
11.4.2 Authentification de lutilisateur pour les connexions externes
11.4.3 Identification des matriels en rseau
11.4.4 Protection des ports de diagnostic et de configuration distance
11.4.5 Cloisonnement des rseaux
11.4.6 Mesure relative la connexion rseau
11.4.7 Contrle du routage rseau
11.5 Contrle daccs au systme dexploitation
11.5.1 Ouverture de sessions scurises
11.5.2 Identification et authentification de lutilisateur
11.5.3 Systme de gestion des mots de passe
11.5.4 Emploi des utilitaires systme
11.5.5 Dconnexion automatique des sessions inactives
11.5.6 Limitation du temps de connexion
11.6 Contrle daccs aux applications et linformation
11.6.1 Restriction daccs linformation
11.6.2 Isolement des systmes sensibles
11.7 Informatique mobile et tltravail
11.7.1 Informatique mobile et tlcommunications
11.7.2 Tltravail
14
12 Acquisition, dveloppement et maintenance des systmes dinformation
12.1 Exigences de scurit applicables aux systmes dinformation
12.1.1 Analyse et spcification des exigences de scurit
12.2 Bon fonctionnement des applications
12.2.1 Validation des donnes dentre
12.2.2 Mesure relative au traitement interne
12.2.3 Intgrit des messages
12.2.4 Validation des donnes de sortie
12.3 Mesures cryptographiques
12.3.1 Politique dutilisation des mesures cryptographiques
12.3.2 Gestion des cls
12.4 Scurit des fichiers systme
12.4.1 Mesure relative aux logiciels en exploitation
12.4.2 Protection des donnes systme dessai
12.4.3 Contrle daccs au code source du programme
12.5 Scurit en matire de dveloppement et dassistance technique
12.5.1 Procdures de contrle des modifications
12.5.2 Rexamen technique des applications aprs modification du systme dexploitation
12.5.3 Restrictions relatives la modification des progiciels
12.5.4 Fuite dinformations
12.5.5 Externalisation du dveloppement logiciel
12.6 Gestion des vulnrabilits techniques
12.6.1 Mesure relative aux vulnrabilits techniques
15
13 Gestion des incidents lis la scurit de linformation
13.1 Signalement des vnements et des failles lis la scurit de linformation
13.1.1 Signalement des vnements lis la scurit de linformation
13.1.2 Signalement des failles de scurit
13.2 Gestion des amliorations et incidents lis la scurit de linformation
13.2.1 Responsabilits et procdures
13.2.2 Exploitation des incidents lis la scurit de linformation dj survenus
13.2.3 Collecte de preuves
14 Gestion du plan de continuit de lactivit
14.1 Aspects de la scurit de linformation en matire de gestion de la continuit de lactivit
14.1.1 Intgration de la scurit de linformation dans le processus de PCA
14.1.2 Continuit de lactivit et apprciation du risque
14.1.3 laboration et mise en oeuvre des PCA intgrant la scurit de l'information
14.1.4 Cadre de la planification de la continuit de lactivit
14.1.5 Mise lessai, gestion et apprciation constante des plans de continuit de lactivit
15 Conformit
15.1 Conformit avec les exigences lgales
15.1.1 Identification de la lgislation en vigueur
15.1.2 Droits de proprit intellectuelle
15.1.3 Protection des enregistrements de lorganisme
15.1.4 Protection des donnes et confidentialit des informations relatives la vie prive
15.1.5 Mesure prventive lgard du mauvais usage des moyens de traitement de linformation
15.1.6 Rglementation relative aux mesures cryptographiques
15.2 Conformit avec les politiques et normes de scurit et conformit technique
15.2.1 Conformit avec les politiques et les normes de scurit
15.2.2 Vrification de la conformit technique
15.3 Prises en compte de laudit du systme dinformation
15.3.1 Contrles de laudit du systme dinformation
15.3.2 Protection des outils daudit du systme dinformation

16
Management of external parties
Asset management - Information classification,
Human resource security,
Physical and environmental security,
Communication and operation management,
Third party service delivery management,
Protection against malicious and mobile code,
Back-up,
Network security management,
Media handling,
Exchange of information,
Access control,
User access management,
User responsibility,
Network access control,
Operating system access control,
Application and information access control,

Mobile computing and teleworking,
Information systems acquisition, development
and maintenance,
Security requirements of information systems
Correct processing in applications,
Cryptographic controls
Security of system files,
Security in development and support processes,
Technical vulnerability management,
Information security incident management,
Reporting information security events and
weaknesses,
Management of information security incidents
and improvements,
Business continuity management,
Compliance,
Information systems audit considerations
17
Questions ?