Vous êtes sur la page 1sur 10

Accueil (/fr)

La conformit de la scurit des


systmes d'information
Alaaeddine Fellah & Fabien Soulis
Le 07 mai 2014

Tandis que la complexification des systmes d'information entrane de


nouveaux risques, les organisations sont en train de mettre en place de
nouveaux standards de scurit de l'information.
La mondialisation a permis l'essor d'organisations qui ont su profiter de
l'ouverture de nouveaux marchs pour se dvelopper. Ces organisations tant
prsentes dans de nombreux endroits diffrents, leurs modles organisationnels
se sont rapidement complexifis afin de rpondre aux besoins des clients de
manire efficace et transparente.
Pour s'adapter rapidement ces nouvelles exigences organisationnelles, les
directions des technologies de l'information ont progressivement conu et mis en
place de nouvelles architectures informatiques. Autrefois circonscrits quelques
immeubles, les systmes d'information d'aujourd'hui gnrent dsormais des
changes en temps rel entre des systmes htrognes qui peuvent appartenir
diffrentes entits

: units d'affaires, partenaires, fournisseurs, clients, etc.

Agissant comme de vritables systmes nerveux, les systmes d'information sont


au cur de l'ensemble des activits des organisations. Leur prdominance et
leur complexification ont entran de nouveaux risques pour les organisations.
Leur entretien est de plus en plus complexe et les synergies avec des systmes
pouvant appartenir d'autres organisations sont l'origine de plusieurs
initiatives de normalisation des activits informatiques. Ces travaux de
normalisation, mens pour la plupart par des universits, des gouvernements et
des regroupements d'organisations, ont permis de dfinir de bonnes pratiques
en matire de gestion des systmes d'information.

L'adoption de ces normes par les organisations a ainsi permis une uniformisation
progressive des pratiques de conception, de dveloppement, d'installation,
d'entretien et de scurit des systmes d'information, et a amlior la qualit de
ces derniers.
Dans cet article, nous traiterons d'abord des normes et des standards de scurit
de l'information les plus frquemment appliqus dans le monde des affaires.
Nous prsenterons ensuite un guide de conformit de la scurit des systmes
d'information, puis nous conclurons sur les points importants prendre en
compte au moment de la slection d'une norme.

IMPORTANCE DE LA SCURIT DE L'INFORMATION


ET NORMES SPCIALISES
De nos jours, les organisations se fondent essentiellement sur l'information pour
prendre des dcisions, mener bien leurs activits et rpondre aux exigences
des organismes de rglementation. Par consquent, l'information est considre
de nos jours comme une ressource importante protger.
Garantir la disponibilit, l'intgrit et la confidentialit (DIC) des informations
d'une organisation est devenu une tche difficile, qu'il convient d'accomplir de
faon continue. Les normes de scurit de l'information fournissent aux
organisations des outils les aidant dfinir une stratgie de scurisation des
systmes d'information adapte leurs besoins oprationnels et leurs
exigences contractuelles ou lgislatives.
Il existe de nombreuses normes de scurit de l'information, notamment :
- ISO 27001;
- ISO 27002;
- SOC 1 - SSAE 16 (remplaant du SAS 70), SOC 2 et SOC 3;
- PCI DSS;
- Les normes du National Institute of Standards and Technology (NIST).
Nous limiterons notre prsentation des normes de scurit de l'information
celles qui s'appliquent le plus frquemment au monde des affaires.

COMPARAISON DES NORMES DE SCURIT DE


L'INFORMATION
ISO 27001
La norme ISO 27001 spcifie les exigences de mise en place, d'exploitation et
d'amlioration d'un systme de management de la scurit de l'information
(SMSI).
Cette norme prconise un modle de gouvernance permettant aux organisations
de grer la scurit de l'information d'une manire structure, d'tablir un plan
adapt de gestion de la scurit de l'information et de rpondre aux questions
lgitimes de la direction, dont les suivantes :
- L'organisation a-t-elle identifi les obligations juridiques, rglementaires et
contractuelles applicables en matire de scurit?
- L'organisation a-t-elle identifi les informations et les processus qu'il importe de
protger?
- Quelles mesures de scurit sont mises en uvre pour protger ces
informations?
- L'organisation connat-elle bien son systme d'information et celui-ci lui
permet-il de prvoir les problmes potentiels?
La norme ISO 27001 ne fournit pas d'indications prcises sur les contrles
mettre en place pour garantir la scurit de l'information, mais elle prsente
plutt des consignes d'encadrement dans le cadre des processus suivants,
notamment :
- la gestion des mesures de scurit;
- la gestion de la conformit;
- la gestion des risques;
- la gestion des incidents.
De par son caractre gnraliste et structurant, ISO 27001 conviendra tout type
d'organisation qui souhaite cerner tous les enjeux de scurit. La norme ISO
27001 renvoie plusieurs normes pour la mise en place d'un SMSI, comme ISO
27002, ISO 27005, etc.
La mise en place des bonnes pratiques prconises par ISO 27001 permet
d'envisager des travaux de scurisation plus spcifiques aux activits et aux
systmes d'information des organisations. L'organisation qui se conforme aux

recommandations de la norme ISO 27001 peut recevoir la certification norme ISO


27001 afin de mieux faire tat de son niveau de scurit tant l'interne qu'
l'externe.

PCI DSS
Payment Card Industry Data Security Standard (PCI DSS) est une norme mise au
point par le secteur des cartes de crdit. Elle vise principalement encadrer la
scurit des renseignements lis aux cartes de crdit transmis aux organisations.
Le respect de la norme PCI DSS permet de rduire considrablement les risques
de fraude et de vol de renseignements bancaires.
Pour protger une organisation des menaces internes ou externes dont elle
pourrait faire l'objet, PCI DSS recommande la mise en place d'un grand nombre
de dispositifs et de procdures de contrles spcifiques la protection des
renseignements de cartes de crdit, dont la gestion des accs, le cryptage des
donnes des cartes de crdit et des communications et l'installation de solutions
de dtection et de blocage des activits informatiques suspectes.
Certaines organisations pourront procder leur propre autovaluation de PCI
DSS. Cependant, au-del d'une limite fixe en ce qui a trait aux oprations par
carte de crdit, les organisations devront faire appel un valuateur de scurit
qualifi (Qualified Security Assessor, QSA), qui prendra en charge l'valuation de
ces oprations. La certification PCI DSS est requise si une organisation souhaite
accepter les paiements effectus au moyen des principales cartes de crdit.

SOC 1, 2 et 3
SOC (Service Organization Control) 1 (SSAE16), 2 et 3 (AT 101) prescrivent la
prparation de trois types de rapports qui dcrivent les procdures et les
contrles mis en place par une organisation pour assurer la scurit des systmes
d'information.
Le rapport SOC 1, qui remplace le trs connu SAS 70, met l'accent sur la fiabilit
des informations financires, tandis que les rapports SOC 2 et 3 comportent des
exigences plus strictes quant la scurit, la disponibilit, l'intgrit et la
confidentialit des donnes qualifies de sensibles.

Le rapport SOC 1 est particulirement adapt aux organisations qui ralisent des
activits financires pour leurs clients (p. ex. services financiers, gestion de la
paie), alors que ceux de type SOC 2 ou 3 s'adressent un plus large ventail
d'organisations, c'est--dire celles qui fournissent des services pour lesquels la
scurit, la confidentialit et l'intgrit des donnes sont essentiels, comme le
traitement de donnes mdicales et l'archivage de renseignements confidentiels.

GUIDE POUR LA CONFORMIT DE LA SCURIT


DES SYSTMES D'INFORMATION
La conformit n'est pas un projet ralis un moment donn, puis oubli. Il
s'agit plutt d'un processus d'affaires qui s'adapte aux contraintes
rglementaires, aux besoins de l'entreprise et surtout aux nouveaux risques en
matire de scurit. Les technologies de l'information sont en constante
volution et les risques lis ces technologies changent et voluent
constamment. Par consquent, le programme de conformit doit s'adapter ces
changements. Pour ce faire, il est important de se doter d'un processus de
conformit volutif, qui prend en compte les trois axes suivants (Figure 1) :

la comprhension du cadre rglementaire;


l'intgration des contrles;
la correction des carts.

Le choix de se conformer une norme de scurit de l'information ou la


certification, ou une norme donne doit se faire de manire rflchie et
structure, en se fondant sur les besoins stratgiques et les exigences
contractuelles et rglementaires de l'organisation. Voici une description dtaille
de chacune des tapes telle que prsente dans la figure 1.

COMPRENDRE LE CADRE RGLEMENTAIRE


tablir un cadre de gouvernance de la conformit
La premire tape d'un programme de conformit consiste comprendre
l'environnement rglementaire d'une organisation. En matire de scurit des
systmes d'information, la recherche doit tre ralise en collaboration avec
l'quipe de scurit ou un consultant spcialiste en la matire. Ce processus
visera identifier les sources de gouvernance qui s'appliquent au contexte de
l'organisation et numrer les contrles associs ces sources.
Dans le cas d'une organisation qui ne dispose pas d'une structure unifie de
gestion de la scurit de l'information, il est fortement recommand d'utiliser la
norme ISO 27001 afin de mettre en place un systme de management de la

scurit de l'information (SMSI).


Une organisation peut galement tre amene se conformer des normes plus
spcifiques de scurit de l'information pour rpondre des exigences imposes
par certains secteurs d'activit (p. ex. la norme PCI DSS par de grands groupes
comme Visa et MasterCard) ou ses partenaires et ses clients (SOC 1, 2 et 3, PCI
DSS, etc.).

Affecter un responsable certifi


Il est important d'affecter au programme de conformit une personne
responsable qui possde les comptences ncessaires pour le mener bien.
Plusieurs certifications visent valider les comptences en matire de scurit
des systmes d'information, comme le CISSP (Certified Information Systems
Security Professional), le CISA (Certified Information System Auditor), le CISM
(Certified Information Security Manager) ou la certification Lead Auditor ISO
27001 qui porte spcifiquement sur la mise en place d'un systme de gestion de
la scurit des systmes d'information conforme la norme ISO 27001.

Communiquer efficacement au sujet du programme de conformit


La mise en place de contrles de scurit informatique donne toujours lieu une
certaine rsistance de la part des utilisateurs. Il est donc trs important de
communiquer efficacement au sujet du programme de conformit, mais surtout
d'expliquer au personnel touch par ce programme sa valeur ajoute et les
contrles qui seront mis en place.

INTGRER LES CONTRLES


Mettre en place les oprations du programme d'audit
Ce processus permet de dfinir et de normaliser les activits de contrles ainsi
que les procdures bases sur les objectifs de la gouvernance. Ce processus
englobe les risques d'affaires, les objectifs de contrle, les activits de contrles

et les procdures de test des contrles. Il permet la traabilit d'un contrle, il


dmontre sa relation avec des sources de gouvernance et enfin, il relve la nonconformit d'un lment, bas sur des risques affaires.

CORRIGER LES CARTS


Mesures appropries en cas de constats de non-conformit
En matire de scurit des systmes d'information, les constats de nonconformit peuvent signaler des failles dans le dispositif de scurit et des
risques d'affaires. Ainsi, le processus dcisionnel doit comporter des mcanismes
d'action pour la prise de dcision dynamique, la collecte et l'examen des
dfaillances de contrle, l'laboration et le choix des stratgies d'attnuation.
Souvent, l'attnuation des risques de scurit ne ncessite pas la mise en place
de contrles trs coteux. L'idal consiste trouver le parfait quilibre entre les
risques et les cots de contrle.

Jouer un rle de service-conseil au sein des quipes informatiques


Un programme efficace de conformit de la scurit comprend un processus
visant conseiller les architectes technologiques et les dveloppeurs de systmes
et les aider comprendre les besoins en contrles. Ce service-conseil pourrait
galement tre utilis lors de l'laboration de contrats avec des fournisseurs de
services. Le groupe de conformit des TI et de la scurit doit tre capable de
dfinir les responsabilits des fournisseurs de services par rapport aux contrles.
L'efficacit de ces contrles sera mesure afin de transmettre l'information la
haute direction de l'organisation.

CONCLUSION
Nous avons prsent les normes et les pratiques les plus frquemment
appliques dans le monde des affaires en matire de scurit de l'information.
Nous avons parl de leurs lments spcifiques et des facteurs prendre en
compte lors de leur slection.

Une organisation devrait se demander de quels moyens elle dispose pour


communiquer efficacement, tant l'interne qu' l'externe, en matire de scurit
de l'information. S'ils sont limits, la solution consiste alors aligner la dmarche
de conformit de l'organisation sur l'une des normes de scurit de l'information.

propos des auteurs


Alaaeddine Fellah

Alaaeddine Fellah, M.B.A., M.Sc., CISA, est directeur, Audit interne, Gestion
des risques et Services-conseils chez Richter.
Fabien Soulis

Fabien Soulis, M.Sc, SSCP est auditeur senior, Audit interne, Gestion des
risques et Services-conseils chez Richter.

FAITS SAILLANTS

LINFOLETTRE CPA (/FR/CONNEXION-ETNOUVELLES/LINFOLETTRE-CPA)


Dcouvrez le nouveau bulletin lectronique personnalis de CPA Canada,
Linfolettre CPA, qui vous permet de recevoir de linformation sur les sujets de
votre choix.

CENTRE DE GESTION DES PRFRENCES (/FR/ZONEMEMBRES/CENTRE-DE-GESTION-DES-PREFERENCES)


Le Centre de gestion des prfrences vous permet de choisir les sujets et les
champs d'intrts sur lesquels vous souhaitez recevoir de l'information, et la
faon dont vous souhaitez qu'elle vous soit communique par CPA Canada.

PRINCIPALES ACTIONS EN RESPONSABILIT VISANT LES


CABINETS COMPTABLES (/FR/CARRIERE-ETPERFECTIONNEMENT-PROFESSIONNEL/PERFECTIONNEMENTPROFESSIONNEL/WEBINAIRES/2015/JANVIER/PRINCIPALESACTIONS-EN-RESPONSABILITE-VISANT-LES-CABINETSCOMPTABLES)
Bnficiez dindications qui vous aideront rduire le nombre dactions en
responsabilit intentes contre vous ainsi qu accrotre vos chances dobtenir
gain de cause.

Vous aimerez peut-être aussi