Académique Documents
Professionnel Documents
Culture Documents
MANAGEMENT DE LA SECURITE DE
LINFORMATION
UNE APPROCHE NORMATIVE : BS7799-2
Dcembre 2004
REMERCIEMENTS
Le CLUSIF tient mettre ici l'honneur les personnes qui ont rendu possible la ralisation de ce
document, tout particulirement :
Rgis BOURDONNEC
Philippe CHAILLEY
Ercom
Anne COAT
Silicomp AQL
Christian GATEAU
Stphane GEYRES
Frdric HUYNH
Jean ISNARD
Euronext
Laurent MARECHAL
Silicomp - AQL
Fred MESSIKA
Lynx Technologies
Batrice RENARD
France Telecom
Paul RICHY
France Telecom
Herv SCHAUER
HSC
Isabelle WAS
Deloitte
-I-
CLUSIF 2004
INTRODUCTION................................................................................................................................................... 1
1.1
1.2
1.3
2.
3.
4.
HISTORIQUE ..................................................................................................................................................... 4
DESCRIPTION DE LA NORME ............................................................................................................................. 4
Primtre de la norme ................................................................................................................................ 4
Structure de la norme ................................................................................................................................. 5
RECONNAISSANCE INTERNATIONALE ............................................................................................................... 5
BS7799-2 ET SMSI .......................................................................................................................................... 6
BS7799-2 ET LA GESTION DE LA SCURIT....................................................................................................... 7
Qui est concern par la norme elle-mme ? ............................................................................................... 7
Qui est concern par le SMSI ? .................................................................................................................. 8
Analyse des risques..................................................................................................................................... 8
Gestion du risque ........................................................................................................................................ 8
Processus damlioration continue............................................................................................................. 8
BS7799-2 ET QUALIT ..................................................................................................................................... 9
BS7799-2 ET ANALYSE DE RISQUES ................................................................................................................. 9
BS7799-2 ET CERTIFICATION......................................................................................................................... 11
4.1
LA CERTIFICATION BS7799-2 DES ORGANISMES ............................................................................................ 11
4.2
LA CERTIFICATION LEAD AUDITOR DES PERSONNES ................................................................................ 12
4.3
AUTRES PRATIQUES ET NORMES DE CERTIFICATION ....................................................................................... 12
4.3.1
ISO9001 .................................................................................................................................................... 12
4.3.2
ISO15408 .................................................................................................................................................. 13
5.
CONCLUSION...................................................................................................................................................... 15
- II -
CLUSIF 2004
1. INTRODUCTION
1.1 Objectif de ce document
Lobjectif de ce document est de prsenter au lecteur, travers la norme britannique BS 77992:2002, une dmarche de mise en uvre dun systme de management de la scurit de
linformation dans les organismes.
1.2 Lectorat
Les documents du CLUSIF sont gnralement destination des RSSI et des DSI. Llargissement
du primtre lensemble de linformation (et non plus au systme dinformation) dans le cadre
ISO17799 ou BS7799 nous incite proposer une cible sensiblement plus large :
comme pour le document ISO 17799, tous les professionnels de la scurit de
linformation,
mais aussi tous les professionnels dorganismes impliqus dans la scurit : directeurs
scurit, secrtaires gnraux,
les Directions Gnrales dans la mesure o lon parle de certification, ce qui implique
une dcision et un engagement au plus haut niveau de lorganisme.
1.3 Terminologie
Pour lensemble du document, on entend par organisme : toute entit (entreprise, administration,
organisation, association, etc.) ainsi que tout sous-ensemble de celle-ci (filiale, mtier,
gographique, etc.).
-1-
CLUSIF 2004
-2-
CLUSIF 2004
-3-
CLUSIF 2004
3. LA NORME BS7799-2:2002
3.1 Historique
Au dbut des annes 1990 de grands groupes britanniques (BT, Shell, Marks & Spencer,
Nationwide Building Society, etc.) se sont rencontrs au sujet de lassurance des changes
commerciaux en ligne. Lobjectif tait alors de proposer un nombre rduit de mesures cls, lies la
scurisation de linformation, que toute entreprise serait mme de mettre en uvre. Le
Dpartement des Transports et de lIndustrie britannique (DTI) tenait ce que ces dix mesures cls
soient identifies et prsentes dans une norme de gestion de la scurit de linformation, il parraine
donc la rdaction dune premire version de ce document - dans le respect des normes et standards
du BSI (British Standards Institute).
En 1991 un projet de Code de bonnes pratiques a t ralis. Il recommandait en particulier la
formalisation dune politique de scurit de linformation. Cette dernire devait intgrer au
minimum 8 conditions (au niveau stratgique et oprationnel) ainsi quune condition de
"conformit" et tre maintenue jour. Ceci se traduit par laugmentation du nombre de
responsables de la scurit de linformation chargs de sassurer de la conformit en accord avec la
politique de lentreprise.
En 1995, la BS 7799 prsente 10 mesures cls intgrant 100 mesures dtailles potentiellement
applicables.
En 1998, il est adjoint une partie 2 la BS 7799 dans laquelle plus de 100 mesures de scurit sont
dtailles selon le principe du management de la scurit du systme dinformation (Information
Security Management System - ISMS) et fonde sur une approche de matrise des risques. La
motivation de la partie 2 a t de mettre disposition les fondements dun schma de certification
permettant dattester la conformit ce qui est devenu la partie 1.
La priorit a t donne lintgration des problmatiques de-business en les structurant dans la
partie 1 de la BS 7799, pour que cette norme puisse tre prsente lISO. Le nombre de mesures
passe alors 127.
La BS7799-1:1999 est reconnue aprs une rflexion au niveau international et devient alors la
norme internationale ISO / IEC 17799 en 2000.
La BS 7799-2:2002 remplace la version de 1998 de la BS7799-2 pour mieux sinspirer des autres
systmes de management dj existants tels que BS EN ISO 9001:2000 et BS EN ISO 14001:1996
afin de permettre une implmentation intgre des diffrents systmes de management.
-4-
CLUSIF 2004
Au sein de lorganisme la norme concerne, aussi bien le systme informatique, que les aspects
humains et physiques, les processus, etc.
Au-del de la dfinition issue dun dictionnaire, nous pouvons dfinir une norme comme tant un document de
rfrence issu dun consensus dacteurs du march et reconnu au niveau local, rgional, national ou international.
-5-
CLUSIF 2004
Pays2
Norme
Asie
Japon
Ocanie
Australie
Nlle Zlande
Europe
Danemark
DS484-2
Espagne
Sude
Afrique
Afrique du
Sud
SABS7799-2
A dcembre 2004, plus de 1000 certificats BS7799-2 ont t recenss travers le monde. Ce
nombre reprsente une augmentation de plus de 100% par rapport dbut 2003.
Leur rpartition gographique est de 47% au Japon, environ 18% en Royaume Uni, 14% dans le
reste de lEurope, 17% en Asie (hors Japon), 2% pour les Amriques et 2% Pour le reste du monde.
Aucun certificat na t dlivr en France.
Comme pour les normes ISO9000, ces certificats portent le plus souvent sur un sous-ensemble des
diffrents organismes. De ce fait, certains organismes peuvent dtenir plusieurs certificats. Ces
diffrents points sont dvelopps au chapitre 4.
Hors Royaume-Uni.
-6-
CLUSIF 2004
La BS 7799-2 sappuie sur une approche processus pour dfinir, implmenter, mettre en fonction,
matriser et amliorer lefficacit de lorganisation dun SMSI.
La dmarche du British Standard suit le Modle PDCA (Plan-Do-Check-Act), connu galement
sous le nom de Roue de Deming (cf. ISO9001:2000) qui sapplique ainsi tout SMSI.
Lapproche processus met laccent sur limportance des points suivants :
PLAN
DO
ACT
CHECK
-7-
CLUSIF 2004
Rle / Intrt
Etape
Propritaires des
informations, Responsables
mtiers
Responsable de lanalyse de
risques
P/C
RSSI
Tous
Lance la dmarche PDCA
Direction Gnrale
P
Valide le traitement du risque
Contrle Interne
-8-
CLUSIF 2004
-9-
CLUSIF 2004
des nouvelles menaces identifies. Cette tape, planifie, est loccasion dadapter les procdures qui
ont t mises en place dans le SMSI en fonction des risques, quils soient initiaux ou nouveaux, et
de leur niveau dacceptation.
Aucune mthode danalyse de risques nest prconise dans la BS7799-2. Toute mthode,
suffisamment prouve, peut tre utilise condition quelle soit bien adapte au SMSI en cours de
dfinition, lorganisme et au contexte dutilisation (application, type de rsultat attendu,
spcificit du domaine, compatibilit avec le rfrentiel de lentit, etc.).
Les mthodes les plus connues en France sont EBIOS (DCSSI) et MEHARI (Clusif).
Chacune possde sa propre base de connaissance (vulnrabilits, mthodes dattaques, exigences de
scurit, etc.), qui peut ne pas traiter tous les thmes cits dans la BS7799-2.
- 10 -
CLUSIF 2004
4. BS7799-2 ET CERTIFICATION
4.1 La certification BS7799-2 des organismes
Une des motivations des utilisateurs de la BS7799-2 est dobtenir une certification sur une
organisation, un service ou une entit, afin de pouvoir notamment en faire tat. La certification ne
garantit pas un niveau de scurit, elle atteste de lapplication dune dmarche de management de la
scurit de linformation selon la norme BS7799-2.
La validit dun certificat BS7799-2 est de trois ans, sous rserves dune surveillance au minimum
annuelle effectue par lorganisme certificateur sur un chantillon de processus.
Si des non-conformits majeures par rapport la dmarche BS7799-2 sont constates, la
certification BS7799-2 nest pas accorde (ou immdiatement supprime, dans le cas dun audit de
surveillance). Si des non-conformits mineures sont constates, elles sont rapportes dans le rapport
daudit. Lentit est tenue dans un dlai rapide de prsenter un plan des actions correctives, dont
lexcution sera vrifie lors du prochain audit de surveillance.
De notre comprhension, un organisme de certification ne peut pas assister lentit dans sa
dmarche de prparation la certification.
Dans le cadre de la certification BS7799-2, le schma de certification est le suivant :
Autorit daccrditation
(COFRAC, UKAS, etc.)
Accrdite sur la base de EN45012 + EA-7/03
Organismes accrdits
(organismes certificateurs)
valuent puis certifient le SMSI sur la base de la BS7799-2 et les documents
fournis par lentit (politique de scurit, plan de traitement des risques, etc.)
Organisme certifi
- 11 -
CLUSIF 2004
A ce jour, il nexiste pas de certificateur franais. Nanmoins, il est possible pour un organisme
franais de se faire certifier par un certificateur (franais ou tranger) accrdit lui-mme par une
autorit dun autre pays europen.
Des organismes franais ont envisag dentamer une dmarche en vue dune certification, mais la
plupart se sont interrompus, notamment faute dun certificateur franais.
- 12 -
CLUSIF 2004
4.3.2 ISO15408
La certification selon les Critres Communs ( CC ou encore ISO15408 ) concerne les
produits et systmes informatiques (pas ncessairement des produits et systmes de scurit
informatique).
A la diffrence des autres certifications, un produit est certifi ISO15408 par rapport un niveau
dassurance ( tort aussi appel niveau de scurit ) de EAL1 (le plus faible) EAL7 (le plus
lev). Ces diffrents niveaux impliquent une tude plus ou moins approfondie de la cible
dvaluation (Target Of Evaluation, TOE) qui dlimite le primtre du produit qui est valu.
Le schma de certification ISO15408 diffre des certifications traditionnelles puisquil nexiste
quun seul organisme de certification gouvernemental : la DCSSI, en France. De mme, les
laboratoires dvaluation (CESTI) sont accrdits par le COFRAC, et doivent tre aussi agrs par
la DCSSI.
Ainsi, un organisme souhaitant faire valuer un produit (ou systme) doit :
dterminer sa cible dvaluation (TOE), qui inclut le niveau dassurance,
la faire valider par la DCSSI,
choisir un laboratoire dvaluation agr,
faire valuer son produit.
- 13 -
CLUSIF 2004
A lissue de lvaluation, le dossier dvaluation est transmis la DCSSI, qui mettra le cas chant
le certificat correspondant.
La certification dun produit ou dun systme est un investissement long terme puisque le
processus dvaluation peut prendre plusieurs mois.
De mme, tout changement significatif de la cible dvaluation ncessite une r-valuation de
lensemble.
- 14 -
CLUSIF 2004
5. CONCLUSION
La norme BS7799-2 a rencontr une large audience et adhsion dans diffrents pays. Il est
vraisemblable qu'elle servira de base de travail une prochaine norme internationale de type ISO.
Jusqu' prsent il manquait une dmarche structure de mise en uvre d'une politique de scurit
au quotidien. La BS7799-2 comble ce vide et permet des organismes de structurer la gestion de
leur scurit.
Si on se rfre aux donnes publiques, il apparat l'vidence une trs forte croissance en termes de
nombre de certificats dlivrs sur un an. Toutefois on constate que l'Europe continentale et
l'Amrique du Nord sont en retard par rapport la Grande Bretagne et l'Asie sur ce point.
- 15 -
CLUSIF 2004