LES REFERENTIELS

DE LA GESTION DES
RISQUES ET DE LA
SCURIT
INFORMATIQUE
Panorama des rfrentiels et des
nouveauts

for
sustainable
results

TOUS DROITS RESERVES ADDED

Add a

SOMMAIRE
Introduction
Les rfrentiels de la gouvernance du SI
Les rfrentiels de la scurit
Les rfrentiels du dveloppement et de la gestion de projet
Les rfrentiels de la continuit
Certifications
Questions

TOUS DROITS RESERVES ADDED

SMINAIRE SSI

INTRODUCTION
Avant de commencer :
Il ne faut pas tout a4endre des rfren6els et des normes !
Une norme naide pas choisir le bon niveau de granularit et de dtail
pour conduire des analyses de risques.
Pas de garan6e que les processus seront plus ecace, pour matriser
vos risques !
Adopter les bonnes pra6ques des normes, cer6er sur opportunit
Seul le bon sens, le pragma6sme et lexper6se assurent la per6nence
des choix dimplmenta6on !

TOUS DROITS RESERVES ADDED

SMINAIRE SSI

INTRODUCTION
CONSTATS GENERALEMENT ADMIS :

Absence de rfren6els dans les organisa6ons

Les projets informa6ques ont mauvaise rputa/on : 50 60% des projets qui introduisent
des nouvelles technologies (CRM, ERP, GED, KM) chouent, ou au mieux ne rpondent pas
aux objec/fs ini/aux (source ISACA).

20% de dpassement des cots et au moins 40% des dlais sur les projets.

Absence d'indicateurs ables de performance.

TOUS DROITS RESERVES ADDED

SMINAIRE SSI

INTRODUCTION
A quoi a sert ?

No6on de langage commun / Partage / Code
A rassurer
A faciliter le transfert
A faire du business notamment avec ltranger
Ex: CB, internet, etc

TOUS DROITS RESERVES ADDED

SMINAIRE SSI

INTRODUCTION
BS 7799

17799

15504

ISO 15504 BS 15000 BS 7799 ISO 17799 -

20000

est une dmarche dvaluation des processus

nouvellement ISO 20000.
norme anglaise sur la scurit des informations, nouvellement ISO 27001.
norme internationale concernant la scurit de l'information, dont le titre est Code de bonnes pratiques pour
la gestion de la scurit d'information. Il s'agit maintenant de la norme ISO/CEI 27002.

TOUS DROITS RESERVES ADDED

27001

SMINAIRE SSI

CARTE DES REFERENTIELS

Rpar//on des rfren/els du SI pour les entreprises et pour les individus :

Management

de Projet

ls
Logicie

e
d

t
n
ppeme
Dvelo
CMMI
PMP

Gouvernance & contrle

PRINCE2

CISA

COBIT

ISO 2700X

ISO 22301

ITIL

SCRUM/AGILE

Scurit Informa6que

ISO 20000

Ges6on de la
con6nuit
ISO 9001

CISM

CGEIT
CRISC

eSCM

EFQM

Externalisa6on

BS7799
PCI-DSS

Six Sigma

TOUS DROITS RESERVES ADDED

Cer/ca/on pour entreprises

Cer/ca/on pour des individus

UNE ADAPTATION
NCESSAIRE

PRIMTRE COUVERT
COSO

Quoi

Comment

COBIT
P ISO
CI 27001
-
D
S
S

Scurit

ISO 9000
ITIL

Gestion des services

Qualit

Primtre couvert

TOUS DROITS RESERVES ADDED

UNE ADAPTATION
NCESSAIRE

LES RFRENTIELS DE LA GOUVERNANCE DU SI

Mes besoins :
Mettre en place des contrles internes informatique
Auditer la fonction informatique
Couvrir lensemble des problmatiques des systmes dinformation
Bnficier dun cadre global pour les processus informatiques
Rponse : COBIT : Control OBjective for Information and related Technology
(ISACA)

Il constitue un cadre de rfrence des meilleures pratiques constates dans

diverses entreprises publiques et prives et propose un dcoupage des diffrents
domaines et activits de la fonction informatique.

Il relie les objectifs du SI ceux de lentreprise afin dvaluer la maturit de celle-ci

envers la gestion et la matrise de son SI : outil pour les auditeurs.

TOUS DROITS RESERVES ADDED

UNE ADAPTATION
NCESSAIRE

COBIT V4.1

10

COBIT (Control Objectives for Information and

Related Technology) est publi par lISACA. Il
constitue un cadre de rfrence des meilleures
pratiques constates dans diverses entreprises
publiques et prives et propose un dcoupage
des diffrents domaines et activits de la fonction
informatique.

Il relie les objectifs du SI ceux de lentreprise

afin dvaluer la maturit de celle-ci envers la
gestion et la matrise de son SI : outil pour les
auditeurs.

Il recense 34 processus qui couvrent 210

objectifs de contrle regroups en 4
domaines : Planifier et Organiser, Acqurir et
Implmenter, Dlivrer et Supporter, Surveiller et
Evaluer.

TOUS DROITS RESERVES ADDED

UNE ADAPTATION
NCESSAIRE

COBIT V5 - 2012

COBITv4.1 + Val IT + Risk IT =>

Le COBIT propose un rfrentiel de

gouvernance du systme d'information
architectur autour de 5 Principes :

1. Rpondre
au besoin des
par/es
prenantes
5. Sparer le
management
opra/onnel
de la
gouvernance

4. Proposer
une approche
holis/que

11

TOUS DROITS RESERVES ADDED

2. Couvrir les
processus de
bout en bout

COBIT 5
principes

3. MeXre en
uvre un
cadre unique
intgr

UNE ADAPTATION
NCESSAIRE

LES RFRENTIELS DE LA SCURIT DU SI

Mes besoins :
Mettre en place un systme global de management de la scurit => ISO 27001
Scuriser des donnes sensibles => PCI-DSS
Mettre en place un niveau basique de scurit => ITIL, ISO 27001

12

TOUS DROITS RESERVES ADDED

UNE ADAPTATION
NCESSAIRE

LES RFRENTIELS DE LA SCURIT DU SI

ISO 27001:2005 : Systme de management de la scurit (SMSI)
Destin organiser le mtier du RSSI
Le + de la norme ISO 27001:
Lalignement avec les risques
Ladoption de la dmarche qualit (de processus de scurit bien
identifis, contrle systmatique des lments mis en uvre via le
SMSI, gestion de documentation, gestion stricte des enregistrements)

13

TOUS DROITS RESERVES ADDED

UNE ADAPTATION
NCESSAIRE

LES RFRENTIELS DE LA SCURIT DU SI

ISO 27001:2005 : Systme de management de la scurit (SMSI)
Destin organiser le mtier du RSSI
La norme ISO 27001 impose :
1) la conduite dune analyse de risque
2) la dfinition dun plan de traitement
3) Le contrle de lapplication stricte de ce plan
Open Source software pour ISO 27001/27005 (en anglais).
http://esis.sourceforge.net/

14

TOUS DROITS RESERVES ADDED

UNE ADAPTATION
NCESSAIRE

ISO 27005 : GESTION DES RISQUES

15

TOUS DROITS RESERVES ADDED

UNE ADAPTATION
NCESSAIRE

CONVERGENCE ISO 2700X ET AUTRES RFRENTIELS

Quelles convergences ?
CMMi & Processus ITIL facilient la mise en uvre de ISO 27002 (code de bonnes
pra/ques)

COBIT et son approche par les risques aide la mise en place de la dmarche danalyse de
risque
ISO 20000 (issu de ITIL) > ISO 27001 (iden/que sur la par/e scurit)
ISO 9000 permet d acclrer la cer/ca/on lISO 27001 notamment

Dmarche damliora/on con/nue

Revu du management
Ges/on documentaire, ges/on des comptences, audit interne
Sarbannes-Oxley (IT SOX) => ISO27001 (chan/llonnage iden/que, )

16

TOUS DROITS RESERVES ADDED

UNE ADAPTATION
NCESSAIRE

LES RFRENTIELS DE LA SCURIT DU SI

17

TOUS DROITS RESERVES ADDED

UNE ADAPTATION
NCESSAIRE

LA CERTIFICATION ISO 27001 DANS LA MONDE

18

TOUS DROITS RESERVES ADDED

UNE ADAPTATION
NCESSAIRE

LES RFRENTIELS DE LA SCURIT DU SI

Les difficults majeures rencontres sur les audits de certification :
La formalisation de la gestion des enregistrements et des lments de preuves
demandent des efforts importants ! Les contrles sont raliss sur cette base !
La connaissance du primtre concern, des principes et des rgles de scurit.
Les auditeurs vont interroger aussi bien les responsables mtiers que les employs,
voire les prestataires.
La certification dun SMSI nayant pas encore fait ses preuves. La norme autorise la
certification dun SMSI nayant pas encore ralis une boucle complte du PDCA.
Passage de la norme plus facile mais des difficults sont prvoir lors des audits de
renouvellement sur la partie CHECK et ACT

19

TOUS DROITS RESERVES ADDED

UNE ADAPTATION
NCESSAIRE

LES RFRENTIELS DE LA GESTION PROJET

PMP
ITIL (partie projet)
CMMi
Srcum/AGILE
PRINCE2

20

TOUS DROITS RESERVES ADDED

UNE ADAPTATION
NCESSAIRE

PRINCE 2 - PRINCIPES
PRINCE2 peut tre appliqu quelle que soit la taille et la nature du projet ou
lorganisation, parce que PRINCE2 repose sur 7 principes :
Jus/ca/on con/nue pour lentreprise
Leons /res de lexprience
Rles et responsabilits dnis
Management par squences
Management par excep/on
Focalisa/on sur le produit
Adapta/on lenvironnement de projet

21

TOUS DROITS RESERVES ADDED

UNE ADAPTATION
NCESSAIRE

LES RFRENTIELS DE LA CONTINUIT

ISO 22301:2012 : Systme de management de la continuit dactivit
ISO 22301 sapplique toutes les organisations qui souhaitent:
1) tablir, mettre en uvre, maintenir et amliorer un SMCA;
2) assurer la conformit avec la politique de continuit des activits;
3) dmontrer la conformit des tiers;
4) obtenir la certification / lenregistrement de son SMCA par un organisme de
certification indpendant;
5) dposer une auto-dtermination et une auto-dclaration de conformit
cette norme internationale.

22

TOUS DROITS RESERVES ADDED

UNE ADAPTATION
NCESSAIRE

LES RFRENTIELS DE LA CONTINUIT

ISO 22301:2012 : Systme de management de la continuit dactivit
ISO 22301 sapplique toutes les organisations qui souhaitent:
1) tablir, mettre en uvre, maintenir et amliorer un SMCA;
2) assurer la conformit avec la politique de continuit des activits;
3) dmontrer la conformit des tiers;
4) obtenir la certification / lenregistrement de son SMCA par un organisme de
certification indpendant;
5) dposer une auto-dtermination et une auto-dclaration de conformit
cette norme internationale.

23

TOUS DROITS RESERVES ADDED

UNE ADAPTATION
NCESSAIRE

CERTIFICATIONS
Cer6ca6on

Organisme

Condi6ons

Pour qui

CISA

ISACA

525$, 5 ans dexprience

Auditeur (79.000)

CISM

ISACA

525$, 5 ans dexp.

Auditeur / scurit

CRISC (2011)

ISACA

525$, 7 ans dexp.

Auditeur / scurit / Expert

ISO 27001 LA ou LI

Mul/ples

Selon organisme, 5 ans

Consultant/Auditeur scurit

ISO 27005 Risk

Manager

Mul/ples

Selon organisme, 5 ans

Consultant/Auditeur scurit

ISO 27001 LI

Mul/ples

Selon organisme

Responsable scurit (RSSI)

PCI-DSS

PCI-Council

5000 $ + redevance cabinet Responsable projet PCI

PRINCE2 (Foun, Pra)

OGC

Pas de valida/on exp

Responsable de projet

ITILv3 (Found, Pra,

Expert)

OGC

Pas de valida/on exp

Personnel de la DSI

CISSP, GIAC, etc.

24

TOUS DROITS RESERVES ADDED

Expert en scurit

UNE ADAPTATION
NCESSAIRE

QUESTIONS?

vrie

ou
Thibaut de la B

ulting.com
tbo@added-cons
3
+33.6.89.72.66.6

sulting.com
www.added-con

The informa/on contained in the following pages is intended solely for the addressed recipient. The recipient agrees to treat the informa/on contained in this document as conden/al and
or proprietary informa/on of Added. The recipient also agrees that this document may contain trade secrets of Added which would provide a compe//ve advantage to others. As a result, the
informa/on contained in this document shall not be disclosed, used or duplicated, in whole or in part, for any purpose other than to evaluate Added.
for
sustainable
results

25

CONFIDENTIAL ADDED

Add a