Vous êtes sur la page 1sur 88

REPUBLIQUE TUNISIENNE

MINISTERE DE LENSEIGNENMENT SUPERIEUR ET DE LA RECHERCHE SCIENTIFIQUE


Universit Virtuelle de Tunis

Mastre en Optimisation et Modernisation des Entreprises : MOME

Mmoire
Pour lobtention dun Diplme de Mastre Professionnel

(1re Promotion)

Mise en uvre dun systme de management de la scurit


de linformation (SMSI) au sein de lAmbassade du Royaume
du Maroc Tunis

Encadr par : - M. Moez Yeddes (UVT) Ralis par : Ali Ben Mouloud

- M. Mounir Arjdal (Structure daccueil)

Anne universitaire : 2010 / 2011


Remerciements

Jexprime toute ma reconnaissance et gratitude ladministration et lensemble du corps enseignant de


lUniversit Virtuelle de Tunis pour leurs efforts nous garantir la continuit et laboutissement de ce
programme de Master.

Je tiens remercier aussi et chaleureusement mes encadreurs MM. Moez Yeddes et Mounir Arjdal
ainsi que Son Excellence lAmbassadeur du Roi du Maroc en Tunisie de mavoir permis de mener ce
travail au sein de lAmbassade malgr la sensibilit du tel sujet dans une structure pareil.

Je remercie enfin tous ceux qui, dune manire ou dune autre, ont contribu la russite de ce travail et
qui nont pas pu tre cits ici.
Rsum / Abstract

Initialement, notre principale motivation tait lie la volont de se dmarquer dans le domaine de la
protection des systmes dinformations par la mise en place dun premier Systme de Management de la
Scurit de lInformation dans le secteur diplomatique.
Aujourdhui, les bnfices ne se mesurent pas seulement en termes dimage mais galement sur le
fonctionnement en interne.
En effet, la mise en uvre du SMSI a t loccasion de mettre en avant limportance de la scurit du
SI, de la faire reconnatre dans les diffrents services et de donner aux actions un rythme clair et partag.
Les exigences pour la mise en place du SMSI sont dcrites par la norme ISO/CEI 27001.
Cette norme sadapte tout type dentreprise, quelque soit le secteur dactivit, sa structure, sa taille et la
complexit de son systme dinformation.
Lapplication de cette norme passe par une dmarche qualiticienne classique : la roue de Deming
(Planifier, Dvelopper, Contrler, Agir) qui permet de prendre en compte des dysfonctionnements le plus
en amont possible et damener une amlioration continue du systme.

Mots cls : Scurit de linformation, SMSI, ISO/CEI27001, PDCA,

In the beginning, our main motivation was related to the will of standing out in the field of information
systems protection by the installation of a first Information Security Management System in the
diplomatic sector.
Today, profits are not appeared only in terms of branding but also on the internal tasks.
Indeed, the implementation of the ISMS was an opportunity to highlight the importance of the
informations system security, to make it recognized in the various services and to give to the actions a
clear and shared rate.
The requirements for the implementation of the WSIS are described in ISO/ECI 27001. This
standard adapts to any type of business, whatever the sector of activity, structure, size and complexity of
its information system.
Applying this standard requires a classic approach of quality: the Deming wheel (Plan, Do, Check,
Act), which can take into account the failures as early as possible and bring a continuous improvement
of the system.

Key words: Information Security, ISMS, ISO/CEI 27001, PDCA.


Table des matires
Remerciements ...........................................................................................................................................10
Rsum / Abstract .................................................................................................................................11
Introduction..............................................................................................................................................16
Premire partie ........................................................................................................................................17
Etat de lart des systmes de management de la scurit de linformation .......................................17
1. Introduction ..................................................................................................................................18
2. Dfinitions ....................................................................................................................................18
2.1- LISO (Organisation Internationale de Normalisation)................................................18
2.2- Les normes ...........................................................................................................................19
2.3- La normalisation .................................................................................................................20
2.4- Historique des normes en matire de scurit de linformation..................................20
3. Les SMSI (Systmes de Management de la Scurit de lInformation) ...............................23
3.1- Les systmes de management ...........................................................................................23
3.2- Scurit de linformation....................................................................................................25
4. Les normes de la famille ISO/CEI 2700x ...............................................................................26
4.1- LISO/CEI 27000...............................................................................................................26
4.2- LISO/CEI 27002...............................................................................................................27
4.3- LISO/CEI 27003...............................................................................................................27
4.4- LISO/CEI 27004...............................................................................................................28
4.5- LISO/CEI 27005...............................................................................................................28
4.6- LISO/CEI 27007...............................................................................................................29
4.7- LISO/CEI 27008...............................................................................................................29
4.8- LISO/CEI 27006...............................................................................................................29
4.9- Normes ISO/CEI 270xx en prparation........................................................................30
Deuxime partie ......................................................................................................................................32
La norme ISO/CEI 27001 : Son approche en quatre phases (Plan, Do, Check, Act)...................32
1. Introduction ..................................................................................................................................33
2. Phase PLAN du PDCA.........................................................................................................34
2.1- Politique et primtre du SMSI ........................................................................................35
2.2- Apprciation des risques ....................................................................................................35
3. Phase DO du PDCA .............................................................................................................45
3.1- Plan de traitement ...............................................................................................................45
3.2- Choix des indicateurs .........................................................................................................46
3.3- Formation et sensibilisation des collaborateurs .............................................................46
3.4- Maintenance du SMSI ........................................................................................................46
4. Phase CHECK du PDCA .....................................................................................................47
4.1- Les audits internes ..............................................................................................................47
4.2- Les contrles internes ........................................................................................................47
4.3- Revues de direction ............................................................................................................47
5. Phase ACT du PDCA............................................................................................................48
5.1- Actions correctives .............................................................................................................48
5.2- Actions prventives ............................................................................................................48
5.3- Actions damliorations .....................................................................................................48
Troisime partie ......................................................................................................................................49
Implmentation et Mise en uvre de la norme ISO / CEI 27001 ...................................................49
1. Introduction ..................................................................................................................................50
2. Structure daccueil ........................................................................................................................50
3. Audit Pralable de lexistant .......................................................................................................51
3.1- Dmarche de laudit pralable...........................................................................................52
3.2- Conclusion de laudit ..........................................................................................................56
4. Article A.5 POLITIQUE DE SECURITE .......................................................................57
4.1- Fondements .........................................................................................................................57
4.2- Dfinitions ...........................................................................................................................58
4.3- Champ dapplication ..........................................................................................................59
4.4- La classification ...................................................................................................................59
4.5- Mentions particulires de confidentialit et les Informations Sensibles Non Classes
(ISNC) ...............................................................................................................................................60
4.6- Laccs aux informations traites lambassade (Information de Scurit dEtat) ..61
4.7- Lieux abritant des informations de scurit dEtat........................................................61
4.8- Contrles et inspections ....................................................................................................62
5. Article A.6 ORGANISATION DE LA SECURITE DE LINFORMATION .........63
5.1- Principe.................................................................................................................................63
5.2- Implication de la direction.................................................................................................63
5.3- Elaboration du Catalogues des Fonctions des Informations de Scurit dEtat de
lAmbassade (CFISE).......................................................................................................................64
5.4- Candidats lhabilitation et gestion de lhabilitation .....................................................64
5.5- Procdure dhabilitation .....................................................................................................65
5.6- La dcision dhabilitation ...................................................................................................68
5.7- La notification de la dcision ............................................................................................70
5.8- Habilitation et changement daffectation ........................................................................71
5.9- Conservation des dcisions ...............................................................................................72
5.10- Rpertoire des habilitations ...............................................................................................72
5.11- Fin de lhabilitation .............................................................................................................72
6. Conclusion .......................................................................................................................................75
Rfrences ...................................................................................................................................................76
Acronymes ..................................................................................................................................................77
Tables des indexes .....................................................................................................................................78
Annexe.........................................................................................................................................................79
Listes des figures

Figure 1: Structure hirarchique des groupes de travail et comits de l'ISO/CEI ........... 19

Figure 2: Historique des normes lies la scurit de l'information .................................. 22

Figure 3: Vue d'un systme de management .......................................................................... 23

Figure 4: Roue de Deming (PDCA) ........................................................................................ 24

Figure 5: Normes de la famille ISO/CEI 2700x ................................................................... 26

Figure 6: Structure de l'ISO/CEI 27001................................................................................. 33

Figure 7 : Etapes de la phase Plan du PDCA......................................................................... 34

Figure 8: Processus d'apprciation des risqu ........................................................................ 36

Figure 9: Modules d'EBIOS ..................................................................................................... 38

Figure 10: Utilisation des modules de MEHARI .................................................................. 41

Figure 11: Phases de la mthode OCTAVE .......................................................................... 43

Figure 12: Cycle de lAudit pralable ....................................................................................... 51

Figure 13: Phases de laudit ....................................................................................................... 52


Introduction
Lomniprsence des informations croissante soutenue par la rvolution numrique des
technologies de linformation et de la communication TIC a amplifi le besoin dassurer
lintgrit, la confidentialit et la disponibilit de linformation.
Malgr des moyens techniques permettant de les contrler et des comptences pour les
mettre en uvre, la complexit des systmes dinformation exige une planification
rigoureuse de la supervision.
Des outils sous forme de codes de bonnes pratiques et mthodes dapprciation des
risques permettent aux entreprises de fixer des objectifs, des priorits et coordonner les
actions entreprendre.
Nanmoins ces outils, bien quayant prouv leur efficacit, souffrent dun manque de
reconnaissance au plan international cause de leur trop grande diversit.
Pour remdier lhtrognit des mthodes et pallier le manque de reconnaissance des
codes de bonnes pratiques , lISO (Organisation Internationale de Normalisation) a
publi en 2005 la norme ISO/CEI 27001.
LISO/CEI 27001, clef de vote dune famille de normes encore en dveloppement,
apporte une dimension supplmentaire la politique de scurit de linformation en y
intgrant le concept de systme de management . Cette norme est la base de notre
rflexion pour ce mmoire.
Le travail de la mise en uvre dun systme de management de la scurit de
linformation (SMSI), prsent dans ce rapport a t effectu dans le cadre de mon
projet de fin dtudes du Master Optimisation et Modernisation de lEntreprise
lUniversit Virtuelle de Tunis.
Ce travail, ralis dans les locaux de lAmbassade du Royaume du Maroc en Tunisie et a
pu men terme grce la collaboration du staff du Ministre des affaires trangres et
de lAmbassade.
Ce rapport sera organis comme suit :
Premire partie : Etat de lart des systmes de management de la scurit de
linformation.
Deuxime partie : La norme ISO/CEI 2700x et principalement ISO/CEI 27001
Son approche en quatre phases (Plan, Do, Check, Act).
Troisime partie : Implmentation et Mise en uvre de la norme au sein de
lAmbassade.

16
Premire partie

Etat de lart des systmes de


management de la scurit de
linformation

17
1. Introduction
Lobjectif de cette premire partie est de prsenter les normes, les concepts, les
processus et les acteurs qui ont permis aux organismes daboutir un systme de
management de la scurit de linformation.

2. Dfinitions

2.1- LISO (Organisation Internationale de Normalisation)

LISO est le fruit dune collaboration entre diffrents organismes de normalisation


nationaux. Au dbut du XXme sicle, LAmerican Institute of Electrical Engineer1 invite
quatre autres instituts professionnels pour constituer une premire organisation
nationale, lAESC (American Engineering Standards Committee) qui aura pour objectif
de publier des standards industriels communs avant de prendre le nom dASA
(American Standards Association) et dtablir des procdures standardises pour la
production militaire pendant la seconde guerre mondiale. En 1947, lASA, le BSI
(British Standards Institute), lAFNOR (Association Franaise de Normalisation) et les
organisations de normalisation de 22 autres pays fondent lOrganisation Internationale
de Normalisation (ISO).

A ce jour, lISO regroupe 157 pays membres, et coopre avec les autres organismes de
normalisation comme le CEN (Comit europen de normalisation) ou la Commission
Electronique Internationale2 (CEI). En 1987, lISO et le CEI crent le Joint Technical
Committee (JTC1) pour la normalisation des Technologies de lInformation (TI). Le
JTC1 allie les comptences de lISO en matire de langage de programmation et codage
de linformation avec celles du CEI qui traitent du matriel tel que les microprocesseurs.
Le JTC1 est compos de plusieurs comits techniques (SC) qui traitent de sujets tels que
la biomtrie, la tlinformatique, les interfaces utilisateurs ou encore les techniques de
scurit de linformation relatives aux normes de la srie ISO/CEI 2700x. La figure 1 ci-
dessous montre la structure hirarchique des diffrents groupes de travail tel que le
WG1 issu du JTC1/SC27 de lISO/CEI [1].

1
Aujourdhui appel Institute of Electrical and Electronics Engineers ou IEEE avec comme objectif la
promotion de la connaissance dans le domaine de lingnierie lectrique.
2
CEI est charge de la normalisation dquipements lectriques. Il est courant de voir ISO/CEI pour
nommer une norme labore conjointement par les deux organismes.

18
Figure 1: Structure hirarchique des groupes de travail et comits de l'ISO/CEI

Cr en 2006, le JTC1/SC27 de lISO/CEI a dvelopp un nombre important de


normes au sein du WG13, celles de la famille ISO/CEI 2700x.

2.2- Les normes


L'ISO et le CEI donnent la dfinition suivante : () document tabli par consensus et
approuv par un organisme reconnu, qui fournit, pour des usages communs et rpts, des rgles, des
lignes directrices ou des caractristiques, pour des activits ou leurs rsultats garantissant un niveau
d'ordre optimal dans un contexte donn4. Les documents tablis par consensus sont appels
norme . On distingue quatre familles de normes :

Les normes fondamentales concernent les rgles qui ont trait la mtrologie.
Les normes de spcifications, traitent des caractristiques et des seuils de
performance dun produit ou dun service.
Les normes danalyse et dessais, renseignent sur les mthodes et moyens pour la
ralisation dun essai sur un produit.
Les normes dorganisation qui dcrivent les fonctions et les relations
organisationnelles au sein dun organisme.

Ces normes peuvent relever de groupes ou dorganismes de normalisation


internationaux ou nationaux tels que le CEN qui a pour but lharmonisation des
normes nationales europennes, lISO qui publie les normes internationales et
LAFNOR qui soccupe des normes franaises [2].

3 Le WG1 est le groupe de travail en charge dorganiser et rdiger les normes lies au domaine de la
scurit de linformation.
4
Directives ISO/CEI partie 2 : Rgles de structure et de rdaction des Nomes internationales,
cinquime dition, 2004 ( 3.1).

19
2.3- La normalisation

Selon le Journal Officiel du gouvernement franais, la normalisation () a pour objet de


fournir des documents de rfrence labors de manire consensuelle par toutes les parties intresses,
portant sur des rgles, des caractristiques, des recommandations ou des exemples de bonnes pratiques
relatives des produits, des services, des mthodes, des processus ou des organisations. Elle vise
encourager le dveloppement conomique et l'innovation tout en prenant en compte des objectifs de
dveloppement durable () (Art. 1 du dcret du 16 juin 2009)5. Les documents de
rfrence labors au terme du processus de normalisation sont les normes .

2.4- Historique des normes en matire de scurit de


linformation
Au cours des vingt dernires annes les normes lies la scurit de linformation ont
volu ou ont t remplaces. Ces changements rendent difficile une bonne
comprhension du sujet. Un rappel historique de lvolution de ces normes permet de
clarifier la situation normative en matire de scurit de linformation.

Au dbut des annes 90, de grandes entreprises britanniques se concertent pour tablir
des mesures visant scuriser leurs changes commerciaux en ligne. Le rsultat de cette
collaboration servit de rfrence en la matire pour dautres entreprises qui souhaitaient
mettre en uvre ces mesures. Cette initiative prive fut appuye par le Dpartement des
Transports et de lIndustrie britannique qui supervisa la rdaction au format du BSI,
dune premire version de projet de norme de gestion de la scurit de linformation.

En 1991, un projet de best practices code de bonnes pratiques, prconise la


formalisation dune politique de scurit de linformation. Cette politique de scurit
doit intgrer au minimum huit points stratgique et oprationnel6 ainsi quune mise
jour rgulire de la politique.

5
Le Dcret n 2009-697 du 16 juin 2009 relatif la normalisation, JO du 17 juin 2009, explicite le
fonctionnement du systme franais de normalisation et rappelle la procdure d'laboration et
d'homologation des projets de normes et les modalits d'application des normes homologues.
6
Les points oprationnel de la politique de scurit de linformation peuvent par exemple concerner la
politique de sauvegarde, des mots de passe. Les points stratgiques concerneront les engagements de la
direction vis--vis de la scurit de linformation.

20
En 1995, le BSI publie la norme BS7799 qui intgre dix chapitres runissant plus de 100
mesures dtailles de scurit de linformation, potentiellement applicables selon
lorganisme concern.

En 1998, la norme BS7799 change de numrotation et devient la norme BS7799-1. Elle


est complte par la norme BS7799-2 qui prcise les exigences auxquelles doit rpondre
un organisme pour mettre en place une politique de scurit de linformation. Cette
nouvelle norme est fonde sur une approche de la matrise des risques et sur le principe
du management de la scurit de linformation.

En 2000, la norme BS7799-1, devient la norme de rfrence internationale pour les


organismes souhaitant renforcer leur scurit de linformation. Aprs avoir suivi un
processus de concertation au niveau international et quelques ajouts, lISO lui attribue
un nouveau nom, ISO/IEC 17799: 2000.

En 2002, le BSI fait voluer la norme BS7799-2 en sinspirant des normes ISO 9001
:2000 et ISO 14001: 1996. La norme adopte dfinitivement une approche de
management de la scurit de linformation.

En 2005, lISO/CEI adopte la norme BS7799-2 sous la rfrence ISO/CEI 27001:


2005 en y apportant quelques modifications pour se rapprocher le plus possible du
principe de systme de management dvelopp par les normes ISO 9001 et
ISO14001. LISO/IEC 27001: 2005 spcifie les exigences pour la mise en place dun
SMSI (systme de management de linformation).

En 2007, dans un souci de clarification, lISO renomme la norme ISO/IEC 17799 :2005
en changeant sa numrotation pour ISO/IEC 27002. La norme se greffe la famille des
normes ISO/IEC 2700x toujours en dveloppement.

La figure 2 ci-dessous rsume lhistorique des normes traitant de la scurit de


linformation.

21
Figure 2: Historique des normes lies la scurit de l'information

Aujourdhui les organismes disposent de deux normes qui se sont imposes comme
rfrence des SMSI, lISO/CEI 27001 :2005 qui dcrit les exigences pour la mise en
place d'un SMSI et lISO/CEI 27002 qui regroupe un ensemble de bonnes pratiques
best practices pour la gestion de la scurit de l'information.

Autour de ces deux normes viennent sarticuler dautres normes de la mme famille,
ISO/CEI 2700x, encore en dveloppement pour certaines [3].

Dans la partie qui suit nous prsentons les principales proprits dun SMSI avant
daborder les normes de la srie ISO/CEI 2700x qui se sont imposes comme
rfrences des SMSI.

22
3. Les SMSI (Systmes de Management de la Scurit de
lInformation)

3.1- Les systmes de management


La norme ISO 9000 dfinit le systme de management comme : () un systme permettant
dtablir une politique, des objectifs et atteindre ces objectifs ().

Un systme de management peut tre interprt comme un ensemble de mesures


organisationnelles et techniques ciblant un objectif comme le montre la figure 3 ci-
dessous.

Figure 3: Vue d'un systme de management

Un systme de management se caractrise par un engagement de lensemble des


collaborateurs de lorganisme ; quel que soit le primtre du systme sur lactivit de
lorganisme, il ncessite limplication de tous les mtiers. A cette approche transversale
doit sassocier une approche verticale. Lensemble de la hirarchie de lorganisme, de la
direction jusquaux parties intresses, c'est--dire les fournisseurs, partenaires et
actionnaires doivent tre engags dans la mise en uvre du systme [4]. Une autre
caractristique des systmes de management est la formalisation des politiques et
procdures de lorganisme afin de pouvoir tre audit.

Ces engagements ont un cot en ressources matrielles, humaines et financires.

Comment justifier cet investissement ? Les systmes de management sappuient sur des
guides de bonnes pratiques, mcanismes damlioration continue favorisant la
capitalisation sur les retours dexprience, ce qui a pour effet daccroitre la fiabilit. En
outre, laudit du systme de management par un cabinet daudit indpendant permet
dtablir une relation de confiance entre le client et le fournisseur.

23
Le fonctionnement du systme de management se fait selon le modle PDCA de
langlais Plan, Do, Check, Act, en franais planifier, faire, contrler et corriger. Ces
quatre phases sont illustres dans la figure 4 ci-dessous.

Figure 4: Roue de Deming (PDCA)

Plan : dire ce que lon va raliser dans un domaine particulier.


Do : faire ce qui a t annonc.
Check : vrifier les carts entre les phases plan et do .
Act : ajuster les carts constats de la phase check .

Une fois que les objectifs fixs par le management sont atteints, il faut sy tenir dans la
dure. La flche sur la roue Deming, montre quun nouveau cycle du processus du
systme de management doit tre entrepris pour y parvenir. Notons que le modle
PDCA sapplique au systme de management dans son ensemble ainsi qu chacun de
ses processus [5].

On retrouve les systmes de management dans des secteurs dactivits aussi varis que la
sant et la scurit du travail avec la norme OHSAS 18001, lenvironnement avec la
norme ISO 14001, les services informatiques avec le rfrentiel ISO/CEI 20000, la
scurit alimentaire avec la norme ISO 22000, la qualit avec la norme ISO 9001 ou
encore la scurit de linformation avec la norme ISO/CEI 27001 que nous allons traiter
dans les points suivants.

24
3.2- Scurit de linformation

Dans le SMSI, linformation nest pas restreinte aux systmes informatiques.

Linformation est prendre au sens large du terme. Elle doit tre tudie sous toutes ses
formes indpendamment de son support, humain, papier, logiciel, etc.

Le terme scurit doit tre compris comme lensemble des moyens dploys pour se
protger contre les actes de malveillance. La scurit du SMSI est dfinie par la norme
ISO 13335-1 travers les notions de confidentialit, dintgrit et de disponibilit.

Confidentialit : seuls les entits, personnes et processus autoriss, ont accs


linformation.
Intgrit : linformation ne peut tre modifie que par ceux qui en ont le droit.
Disponibilit : linformation doit tre accessible lentit, la personne ou le
processus qui a un droit daccs.

Ces trois principes de scurit peuvent tre tendus, les SMSI intgrent dautres notions
telles que lauthentification, la traabilit, la non-rpudiation, limputabilit qui
constituent des mcanismes de scurit que lon dploie en fonction des besoins de
scurit de lorganisme [6].

En conclusion on peut dfinir les SMSI comme des ensembles dlments interactifs
permettant un organisme de fixer une politique et des objectifs de scurit de
linformation, dappliquer la politique, datteindre ces objectifs, de les contrler et de les
amliorer.

Les objectifs sont fixs sur un primtre dfini et doivent tre en adquation avec les
besoins de lorganisme concern, cest--dire que les mesures de scurit sont dployer
en fonction du contexte, avec un juste dosage, sans exagrations, ni trop de tolrance
avec comme finalit la protection des actifs dinformation.

Nous avons vu que lvolution des normes lies la scurit de linformation a men
llaboration de SMSI. Dans la partie qui suit nous prsentons la famille des normes
ISO/CEI 2700x qui font figure de rfrence en la matire.

25
4. Les normes de la famille ISO/CEI 2700x
Dans la famille ISO/CEI on trouve deux catgories de normes. Celles qui mettent des
exigences : ISO/CEI 27001 et celles qui formulent des recommandations : ISO/CEI
27002. Notons que certaines normes sont encore en cours de rdaction, cest le cas des
normes ISO/CEI 27007 Audit des SMSI et ISO/CEI 27008 Audit des mesures de
scurit .

Comme reprsent sur la figure 5 ci-dessous, la norme ISO/CEI 27001 est le centre de
gravit des rfrentiels du SMSI. La norme ISO/CEI 27001 formule les exigences
relatives aux SMSI et fournit une liste de mesures de scurit pouvant tre intgres au
systme [7].

Figure 5: Normes de la famille ISO/CEI 2700x

4.1- LISO/CEI 27000


Cette norme a t publie pour rpondre au besoin de dfinir une terminologie pour les
SMSI. Comme nous lavons vu prcdemment, beaucoup de rfrentiels antrieurs
ISO/CEI 27001 ont t publis ces dernires annes. Ces normes ne fournissent pas de
notions, ni de vocabulaire commun, permettant une bonne comprhension des SMSI,
cest ce que propose lISO/CEI 27000.

LISO/CEI 27000 est structure en trois parties. La premire, dfinit 46 termes tels que,
la confidentialit, lintgrit, la disponibilit, lauthenticit, tous principalement axs sur
lapprciation et lanalyse des risques, des menaces, de la vulnrabilit, etc. Par exemple,

26
le mot risque est la combinaison de la probabilit dun vnement et de ses
consquences .

La deuxime partie dveloppe la notion de processus avec le modle PDCA et prsente


les concepts propres aux SMSI comme par exemple, limportance de lengagement de la
direction.

La troisime partie, est une prsentation de lensemble des normes de la famille


ISO/CEI 2700x.

4.2- LISO/CEI 27002


La norme propose sur onze chapitres, une liste de 133 mesures de scurit
accompagnes chacune de points aborder pour la mise en place dun SMSI.

Parmi ces chapitres, on a par exemple, la gestion des actifs, la scurit physique, la
scurit des ressources humaines, la gestion des incidents, la continuit dactivit, la
conformit etc. En rsum, lISO/CEI 27002 est un guide de bonnes pratiques, une
srie de prconisations concrtes, abordant les aspects tant organisationnels que
techniques, qui permettent de mener bien les diffrentes actions dans la mise en place
dun SMSI [8].

4.3- LISO/CEI 27003


Publie en janvier 2010, ISO 27003 facilite la mise en uvre du SMSI. Elle est utilise
en complment de la norme ISO 27001. LISO 27003 propose cinq tapes pour
implmenter le SMSI. Ces tapes concernent linitialisation du projet, sa politique et son
primtre, lanalyse des exigences en matire de scurit de linformation, lapprciation
des risques et enfin llaboration du SMSI. Chacune de ces tapes est divise en activits
qui font lobjet dune clause contenant :
un rsum de lactivit (explication de ltape en question),
les entres (tous les documents utiliser au cours de ltape),
les recommandations (dtail des points aborder),
les sorties (liste des livrables produire).

27
En rsum, ISO 27003 propose un grand nombre de points aborder et numre les
documents produire et consulter. Notons que ISO/CEI 27003 reprend les lignes
directrices de la norme ISO/CEI 13335 devenue aujourdhui obsolte.

4.4- LISO/CEI 27004


Cette norme concerne la gestion des indicateurs. Lutilisation dindicateurs dans le
domaine de la scurit est nouvelle. La norme ISO/CEI 27001 impose leur mise en
place dans le SMSI mais sans prciser comment et lesquels utiliser. En utilisant les
mesures des indicateurs lobjectif est didentifier les points du SMSI qui ncessitent une
amlioration ou une correction.

4.5- LISO/CEI 27005


Une des tapes du PDCA les plus difficiles mettre en uvre est lapprciation des
risques7. LISO/CEI 27001 fixe des objectifs atteindre pour tre en conformit avec
la norme, mais ne donne aucune indication sur les moyens dy parvenir. Nous verrons
quil existe un nombre important de mthodes dapprciation des risques qui offrent une
dmarche formelle et pragmatique.

Nanmoins, lISO/CEI a souhait proposer sa propre mthode avec la norme ISO/CEI


27005. Lobjectif nest pas de remplacer ou rendre obsoltes les mthodes existantes
mais dharmoniser le vocabulaire employ. LISO/CEI 27005 est constitue de douze
chapitres. Les points les plus importants sont traits dans les chapitres sept douze.

Chap. 7, tablissement du contexte

Chap. 8, apprciation du risque

Chap. 9, traitement du risque

Chap. 10, acceptation du risque

Chap. 11, communication du risque

7
Lapprciation des risques est ltape 2 de la phase PLAN du PDCA propos par lISO/CEI 27001.

28
Chap. 12, surveillance et rvision du risque

En complment de ces chapitres, viennent sajouter six annexes proposant des


explications plus dtailles qui prsentent des listes de menaces et vulnrabilits types.
LISO/CEI 27005 peut aussi servir de rfrence aux organismes qui cherchent valuer
une mthode dapprciation des risques [9].

4.6- LISO/CEI 27007


Cette norme est ltat de brouillon WD8 . On peut cependant avancer quelle sera le
pendant de la norme gnrique ISO 190119 pour les SMSI. LISO/CEI 27007 donnera
les lignes directrices pour auditer les SMSI.

4.7- LISO/CEI 27008


A ltat de WD, lISO/CEI 27008 traitera de laudit des SMSI en proposant un guide qui
permettra de contrler les mesures de scurit. Elle fournira pour chacune des mesures
de scurit de la 27002, des moyens danalyse des besoins en contrle, en tenant compte
de limportance des risques et des actifs. On pourra ainsi dterminer les mesures
contrler. Ces points sont importants car les auditeurs internes ou externes doivent
contrler des mesures aussi varies que la gestion des mots de passe, la procdure de
gestion des incidents et le suivi de lgislation en vigueur.

4.8- LISO/CEI 27006


Cette norme est une reprise enrichie de la norme ISO 1702110. Etant destine aux
cabinets daudit en charge de certifier les organismes, lISO/CEI 27006 est moins
connue que lISO/CEI 27001 qui sadresse directement aux organismes souhaitant

8
WD (working draft) est ltat projet de la norme avant sa publication.
9
ISO 19011 fournit des conseils sur les principes de l'audit, le management des programmes d'audit, la
ralisation d'audits de systmes de management. Cest une norme gnrique qui peut sappliquer
diffrents types de systmes de management.
10
ISO 17021 spcifie les principes et les exigences relatives la comptence, la cohrence et
l'impartialit lors des audits et lors de la certification de systmes de management de tous types, ISO
27001 pour les SMSI, 9001 pour le management ou 14001 pour lenvironnement.

29
mettre en place un SMSI. LISO/CEI 27006 fournit aux organismes de certification les
exigences quils doivent faire respecter pour attribuer leurs clients une certification.
Ces exigences sont par exemple : instaurer des mesures pour garantir la confidentialit
des donnes relatives leurs clients, tablir des procdures appropries pour certifier le
SMSI ou encore vrifier rgulirement que les auditeurs soient comptents en matire
de scurit de linformation. Les exigences ne dcrivent cependant pas comment
lorganisme peut parvenir la mise en place dun SMSI. Lorganisme doit pour cela
procder un certain nombre de tches telles que raliser un audit des risques, trouver
des indicateurs, mettre en uvre les mesures de scurit etc. Lorganisme a par
consquent besoin dun guide de bonnes pratiques pour mener bien son SMSI, et cest
prcisment le rle des normes ISO/CEI 27002 ISO/CEI 27008.

4.9- Normes ISO/CEI 270xx en prparation


Le tableau 1 ci-dessous donne un aperu des domaines qui seront couverts par les
normes de la famille ISO/CEI 270xx.

PROJET SECTEUR DACTIVITE

ISO/CEI 27010 Gestion de la communication inter


secteur

ISO/CEI 27031 Continuit dactivit

ISO/CEI 27032 Cyber scurit

ISO/CEI 27033 Scurit rseau

ISO/CEI 27034 Scurit des applications

ISO/CEI 27035 Gestion des incidents

ISO/CEI 27036 Audit des mesures de scurit du SMSI

ISO/CEI 27037 Gestion des preuves numriques

Tableau 1 : Normes ISO/CEI 270xx en prparation

30
Il est noter que certains secteurs comme les tlcommunications ou le domaine
mdical ont dvelopp des normes plus spcifiques leur mtier, ISO/CEI 27011 et
ISO/CEI 27799.

31
Deuxime partie

La norme ISO/CEI 27001 : Son


approche en quatre phases (Plan,
Do, Check, Act).

32
1. Introduction
Pour tre en conformit avec la norme ISO/CEI 27001, les SMSI doivent rpondre
toutes les exigences comprises entre les chapitres 4 et 8 illustrs dans la figure 6
suivante [10]:

Figure 6: Structure de l'ISO/CEI 27001

Le chapitre 5 concerne tout ce qui possde un rapport avec les responsabilits


du management.
Le chapitre 6 prcise tout ce qui touche aux audits internes.
Le chapitre 7 dveloppe les aspects relatifs aux revues des diffrents lments du
SMSI.
Le chapitre 8 dfinit les notions dactions correctives et prventives.
Le chapitre 4 est au centre de la norme, il regroupe les quatre phases du PDCA
(PLAN, DO, CHECK, ACT) de la roue de Deming.

33
2. Phase PLAN du PDCA
La phase Plan du PDCA consiste fixer les objectifs du SMSI en suivant quatre
grandes tapes, la politique et le primtre du SMSI, lapprciation des risques, le
traitement des risques dcid en tenant en compte des risques rsiduels et la slection
des mesures de scurit prsentes dans le SoA11 (Statement of Applicability).

Dans la figure 7 ci-dessous, une vue du droulement de la phase Plan.

Figure 7 : Etapes de la phase Plan du PDCA

11
SoA (Statement of Applicability) est un document sous forme de tableau qui numre les mesures de
scurit du SMSI ainsi que celles non appliques.

34
2.1- Politique et primtre du SMSI

La premire tape consiste dfinir la politique et le primtre du SMSI.

La politique est l pour prciser le niveau de scurit qui sera appliqu au sein du
primtre du SMSI. La norme ne fixe pas dexigences sur le primtre, il peut tre
restreint ou couvrir lensemble des activits de lorganisme. Lobjectif est dy inclure les
activits pour lesquelles les parties prenantes exigent un certain niveau de confiance.

2.2- Apprciation des risques


La deuxime tape concerne un des points les plus importants de lISO/CEI 27001,
lapprciation des risques. Le problme de lapprciation des risques nest pas nouveau
et est trait par de nombreuses mthodes dveloppes dans diffrents secteurs privs,
acadmiques et agences gouvernementales. Certaines mthodes sont trs rpandues
dans les organismes. En France, les plus connues sont EBIOS et MEHARI, aux Etats-
Unis, OCTAVE. LISO/CEI propose aussi une mthode, la norme ISO/CEI 27005,
mais ne limpose pas. LISO/CEI 27001 ne fait que fixer un cahier des charges
spcifiant chacune des tapes clefs de lapprciation des risques. Lorganisme a le libre
choix, de dvelopper sa propre mthode en suivant les objectifs fixs par lISO/CEI
27001 ou den appliquer une dj prouve.

Dans les points suivants nous dtaillons le processus dapprciation des risques avant de
donner trois exemples de mthodes parmi les plus connues.

2.2.1- Processus dapprciation des risques

Le processus dapprciation des risques se droule en sept tapes, illustres dans figure 8
ci-dessous.

35
Figure 8: Processus d'apprciation des risqu

La premire tape consiste dresser une liste de tous les actifs qui ont une importance en
matire dinformation au sein du SMSI. On distingue gnralement six catgories
dactifs.

Matriel, pour tous les quipements rseau et systme.


Physique, pour les bureaux, lieux de production, de livraisons.
Logiciel, pour les bases de donnes, fichiers, les systmes dexploitation.
Humain, pour tous les collaborateurs de lorganisme.
Documents, pour les documents papier, manuels dutilisation.

36
Immatriel, pour le savoir faire de lorganisme.

La deuxime tape vise attribuer pour chaque actif dinformation un propritaire .


La norme dfinit le propritaire comme tant la personne qui connat le mieux la valeur
et les consquences dune compromission en termes de disponibilit, dintgrit et de
confidentialit de lactif.

La troisime tape est lidentification des vulnrabilits des actifs recenss. La


vulnrabilit est la proprit intrinsque du bien qui lexpose aux menaces. A titre
dexemple, un ordinateur portable est vulnrable au vol mais sa vulnrabilit nest pas le
vol mais sa portabilit. Dans ce cas lidentification de la vulnrabilit est la portabilit.

La quatrime tape est lidentification des menaces qui psent sur les actifs
dinformation prcdemment recenss. Si lon reprend lexemple de lordinateur
portable, la menace est dans ce cas le vol.

La cinquime tape vise valuer limpact dune perte de la confidentialit, de la


disponibilit ou de lintgrit sur les actifs. Pour mesurer cet impact on peut par exemple
utiliser une matrice des risques12, la norme nimpose aucun critre de mesure.

La sixime tape demande dvaluer la vraisemblance des prcdentes tapes du


processus en plaant dans leur contexte les actifs. Il sagit par exemple de considrer les
mesures de scurit dj en vigueur dans lorganisme. Si lordinateur portable possde
une clef dauthentification, un cryptage de ses donnes ou un accs VPN13 pour
travailler, alors la vraisemblance dobserver un impact sur la confidentialit, la
disponibilit ou lintgrit de ses donnes est limite.

La septime tape consiste attribuer une note finale refltant les risques pour chacun
des actifs dinformation. La norme nimpose aucune formule, on peut par exemple
utiliser un code couleur (rouge pour un niveau de risque trs lev, orange pour moyen
et vert pour faible [9].

Dans le point suivant, nous prsentons trois mthodes connues et largement employes
par les organismes pour lapprciation des risques de leur SMSI.

12
La matrice des risques permet de mettre en rapport les niveaux de risques dfinis par la direction avec
ceux identifis dans lapprciation des risques.
13
VPN (rseau priv virtuel) est vu comme une extension des rseaux locaux et prserve la scurit
logique que l'on peut avoir l'intrieur d'un rseau local.

37
2.2.2- Mthodes dapprciation des risques

En 2004, une tude du CLUSIF (Club de la Scurit de lInformation Franais)


dnombrait plus de deux cents mthodes dapprciation des risques. Nous en avons
retenu trois, EBIOS, MEHARI et OCTAVE qui pour lENISA (European Network
and Information Security Agency) figurent parmi les plus utilises [11].

EBIOS

Dveloppe dans les annes 90 sous l'autorit de lagence franaise ANSSI (Agence
nationale de la scurit des systmes dinformation), cette mthode est lExpression des
Besoins et Identification des Objectifs de Scurit. Elle permet dapprcier, de traiter et
communiquer sur les risques au sein dun SMSI.

LANSSI et le Club EBIOS14 proposent en libre accs sur leur site web toute la
documentation15 ainsi quun logiciel libre16 facilitant lutilisation de la mthode.

Lapproche de la mthode est itrative, chaque module peut tre rvis, amlior et tenu
jour de manire continue [12].

EBIOS se compose de cinq modules reprsents dans la figure 9 ci-dessous :

Figure 9: Modules d'EBIOS

14
Le club EBIOS sur le site : www.club-ebios.org, est une communaut francophone de la gestion des
risques base sur la mthode EBIOS.
15
La mthode EBIOS est publie sous la forme d'un guide et de bases de connaissances riches et
adaptables (types de biens, d'impacts, de sources de menaces, de menaces, de vulnrabilits et de mesures
de scurit).
16
Logiciel libre EBIOS, intgre une base de connaissances permettant de saisir les hypothses et de
synthtiser les rsultats.

38
Module 1 : il concerne ltude du contexte. Il sagit de dtailler lorganisation, les
missions, les contraintes et les mtiers pour rendre applicable et cohrent le choix des
objectifs de scurit. Le point suivant consiste identifier les fonctions estimes
sensibles, la perte, le dysfonctionnement ou la divulgation dinformations qui peuvent
avoir des rpercussions sur le bon fonctionnement de lorganisme.

Enfin, on rpertorie sous forme de matrice les entits17 techniques propres au SMSI
(matriel, logiciels, rseaux) ainsi que les entits organisationnelles (groupes de
collaborateurs) pour tablir les liens entre les lments essentiels et les entits.

Module 2 : il concerne ltude des vnements redouts. Cette tape permet de dfinir
les besoins de scurit des lments essentiels prcdemment identifis. On quantifie les
besoins sur une chelle de 0 4 laide dun questionnaire que lon adresse aux
collaborateurs de lorganisme. Les besoins sont slectionns sur des critres de scurit
tels que la disponibilit, lintgrit, la confidentialit et la non-rpudiation ainsi que sur
des critres dimpacts18 (interruption de services, dommages matriels).

Module 3 : consiste tudier les scnarios de menaces. Estimer, valuer les menaces
(incendie, perte dalimentation lectrique, divulgation dinformation etc.) et identifier les
objectifs de scurit qu'il faut atteindre pour les traiter. EBIOS fournit une liste de
menaces que lon associe aux lments essentiels dfinis dans le module 1. Puis on
attribue chaque lment un niveau de vulnrabilit sur une chelle de 0 4.

Module 4 : il vise tudier les risques. Cette tape permet de dresser une cartographie
des risques. Elle explique aussi comment traiter le risque. Estimer, valuer les risques
puis identifier les objectifs de scurit atteindre pour les traiter.

17
Terme employ par la mthode pour dcrire un constituant de lorganisme.
18
Critres dimpacts, une liste est fournit par EBIOS.

39
Module 5 : il concerne ltude des mesures de scurit. Cette dernire tape explique
comment appliquer les mesures de scurit mettre en uvre, comment planifier la
mise en uvre de ces mesures et comment valider le traitement des risques rsiduels.

En conclusion, la mthode EBIOS par son caractre exhaustif, permet de formaliser


tout le SMSI et son environnement. Cette mthode contribue formuler une politique
de scurit du systme dinformation. Cest une des mthodes pour mettre en uvre le
cadre dfini par l'ISO/CEI 27005. Elle rpond aux exigences de lISO/CEI 27001 et
peut exploiter les mesures de scurit de l'ISO/CEI 27002.

MEHARI

La mthode MEHARI (Mthode Harmonise dAnalyse de Risques) a t dveloppe


dans les annes 1990 par le CLUSIF19 (Club de la Scurit de l'Information Franais). A
lorigine, cette mthode ne traitait que de lanalyse des risques. Elle a volu pour
permettre une gestion de la scurit de lorganisme dans un environnement ouvert et
gographiquement rparti.

MEHARI a t adopte par des milliers dorganismes travers le monde et reste la


mthode la plus utilise en France, en particulier dans l'industrie. Lutilisation et la
distribution de son logiciel sont libres. En outre, certaines bases de connaissances sont
disponibles et une tude illustre la mthode pour faciliter son utilisation.

MEHARI s'appuie sur deux mthodes anciennes aujourdhui abandonnes, appeles


MARION20 (Mthode d'Analyse de Risques Informatiques Optimise par Niveau) et
MELISA (Mthode d'valuation de la Vulnrabilit Rsiduelle des Systmes
d'armement).

Contrairement la mthode EBIOS, MEHARI repose sur des scnarios de risques qui
permettent didentifier les risques potentiels au sein de lorganisme. Elle est dfinie
comme une bote outils conue pour la gestion de la scurit. En fonction des besoins,
des choix dorientation, de politique de l'organisation ou simplement des circonstances,

19
Club de la Scurit de l'Information Franais, est une association franaise d'entreprises et de
collectivits runie en groupes de rflexion et d'changes autour de diffrents domaines de la scurit de
l'information : gestion des risques, politiques de scurit, cybercriminalit, intelligence conomique.
20
Marion, mthode d'audit, propose depuis 1983 par le CLUSIF, visant valuer le niveau de scurit
informatique d'une entreprise.

40
la mthode veille ce qu'une solution dapprciation des risques approprie puisse tre
labore. La mthode est prsente sous la forme d'un ensemble que l'on appelle
modules, centrs sur l'valuation des risques et leur gestion [13].

Chaque module peut tre utilis indpendamment ou en combinaison et conduit


gnralement un plan d'action, comme le montre la figure 10 ci-dessous.

Figure 10: Utilisation des modules de MEHARI

Les modules sont les suivants :

Le module analyse des enjeux et classification permet d'identifier et danalyser les


ressources21 de lorganisation ainsi que les enjeux concernant la scurit. Ce module
sappuie sur quatre principes.

Le premier, consiste prsenter les mtriques de la mthode (quantification de


la potentialit et de limpact, apprciation des niveaux de risques).
Le deuxime, vise dresser une liste des priorits respecter. Ces objectifs de
scurit, tablis par la direction, dpendent des spcificits de lorganisme.
Le troisime, concerne la classification des ressources de lentreprise. Les
ressources sont identifies et classes en fonction de leur impact en termes de
disponibilit, dintgrit et de confidentialit.

21
Ressources peuvent tre aussi bien les locaux, quun serveur ou un groupe demploys, la norme
ISO/CEI 27001 utilise le terme actif pour dfinir les ressources.

41
Le quatrime principe est la mise en uvre de la charte et de la politique de
scurit de lorganisme.

Le second module concerne les services de scurit. A laide de la base de connaissance


des mesures de scurit de la mthode on corrige les points faibles par des plans
d'action, on value l'efficacit des mesures mises en uvre, on prpare lanalyse des
risques induits par les faiblesses mises en vidence, et on termine par un audit des
vulnrabilits sur la base des normes en usage.

Le troisime module est lanalyse des situations de risque qui permet de faire une
synthse des actions de scurit pralablement menes. On slectionne des indicateurs
en fonction des objectifs fixs dans le premier module. Ces indicateurs permettent de
comparer les rsultats obtenus aux objectifs fixs. Cette dernire tape offre un suivi
dans le temps du niveau de scurit de linformation.

En conclusion, la mthode MEHARI, se caractrise par une dmarche descendante ,


c'est--dire une dlgation des dcisions de la direction vers les entits oprationnelles.
Elle convient bien aux organisations multi-environnements. Cette mthode est
conforme au cahier des charges impos par lISO/CEI 27001.

OCTAVE

OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) est une
mthode dvaluation du risque dveloppe en 1999 par le Software Engineering
Institute de lUniversit Carnegie Mellon aux Etats-Unis. La documentation est publique
et la dernire version 2.0 date de 2001. Par rapport aux autres mthodes, sa dernire
mise jour est ancienne mais demeure pertinente. Cette mthode se caractrise par une
analyse des risques qui peut tre ralise exclusivement partir des ressources internes.
Elle permet, comme les autres mthodes, lvaluation des menaces et les vulnrabilits
des actifs dinformation recenss [14]. La mthode est dveloppe autour de trois phases
comme le montre la figure 11 ci-dessous.

42
Figure 11: Phases de la mthode OCTAVE

La premire phase a pour objectif didentifier les actifs les plus importants en fonction
des menaces et vulnrabilits qui leurs sont associs. On interroge les collaborateurs
tous les niveaux de lorganisme pour rassembler le plus dinformations possibles. Cela
permet de dresser des profils de menaces sur les actifs et les besoins en scurit sur la
base de critres tels que la disponibilit, lintgrit et de confidentialit de linformation.

La deuxime phase a pour but lidentification des vulnrabilits dites techniques. On


value par exemple, l'infrastructure rseau, on examine les chemins d'accs de chaque
actif critique en vue dobtenir une mesure de la vulnrabilit des infrastructures.

La troisime phase de la mthode dcline le dveloppement de la stratgie de la scurit


et sa planification par une analyse de risque et la mise en place des mesures de scurit.

En conclusion, la mthode OCTAVE offre une stratgie de protection pour


l'organisationnel et l'oprationnel. Un plan de gestion des risques pour les infrastructures
lies linformation et un plan d'action pour l'ensemble de l'organisation. La mthode
vise les administrations et les grands comptes. Il existe aussi une version adapte pour
les PME.

En rsum, lapproche systmatique et structure de ces mthodes, permet dvaluer les


vulnrabilits dun systme dinformation, de quantifier les risques et daider la mise en
uvre dun processus dapprciation des risques du SMSI.

43
Cependant, si lobjectif est commun, les termes et expressions employes varient dune
mthode lautre. LISO/CEI 27001 et 27005 apporte une cohrence lensemble du
processus ce qui facilite sa comprhension.

Aprs avoir tudi en dtail ltape 2 de la phase Plan du PDCA, nous allons
poursuivre avec ltape 3 qui concerne le traitement des risques et lidentification des
risques rsiduels.

2.2.3- Traitement des risques

La troisime tape concerne le choix du traitement des risques. LISO/CEI 27001 a


identifi quatre traitements possibles du risque, lacceptation, lvitement, le transfert et
la rduction.

Accepter le risque revient ne dployer aucune mesure de scurit autre que


celles dj en place. Cette dcision peut tre justifie si le vol de donnes dans
un cas prcis na pas dimpact sur lorganisme.
Eviter le risque consiste supprimer par exemple lactivit ou le matriel
offrant un risque.
Transfrer un risque par souscription dune assurance ou par sous-traitance.
Ces moyens de transfert du risque sont souvent employs quand Lorganisme ne
peut ou ne souhaite pas mettre en place les mesures de scurit qui
permettraient de le rduire.
Rduire le risque consiste prendre des mesures techniques et
organisationnelles pour ramener un niveau acceptable le risque. Cest le
traitement le plus courant.

Il existe dautres traitements du risque possibles mais pour tre en conformit avec la
norme, il faut en priorit considrer ceux que nous venons de citer.

Aprs avoir slectionn le traitement et mis en place les mesures de scurit, un risque
peut persister. Il convient de traiter ce risque comme les autres c'est--dire, laccepter,
lviter, le transfrer ou le rduire.

44
2.2.4- Slection des mesures de scurit

Ltape 4 est la dernire tape de la phase Plan du PDCA, elle consiste slectionner
les mesures de scurit. La norme ISO/CEI 27001 propose dans son annexe A, 133
mesures de scurit rparties sur onze chapitres. A ce stade, le travail consiste dresser
un tableau, appel SoA (Statement of Applicability) dans lequel figurent les 133 mesures
quil faut dclarer applicables ou non applicables, pour rduire les risques du SMSI.
Notons que les 133 mesures proposes par lISO/CEI 27001 rpertorient presque tout
ce qui peut tre entrepris en matire de scurit de linformation cependant, cette liste
ne comporte pas dexemples ni dexplications sur le dploiement des mesures
entreprendre. LISO/CEI 27002 rpond en partie ce besoin en fournissant une srie
de prconisations et dexemples techniques et organisationnels qui couvrent la liste de
lISO/CEI 27001.

Une fois choisie la politique et le primtre du SMSI, apprcis et traits les risques, et
slectionnes les 133 mesures de scurit dans le tableau SoA, il faut mettre en uvre les
objectifs fixs de la phase Plan du PDCA. Il sagit de la phase Do du PDCA.

3. Phase DO du PDCA
Cette phase consiste dcrire la mise en uvre des mesures de scurit slectionnes
dans le SoA travers quatre tapes.

3.1- Plan de traitement


Il faut premirement grer linterdpendance des actions entreprendre. Certaines
mesures sont partiellement ou dj en place, dautres doivent tre intgralement
dployes ou ncessitent la mise en uvre dune autre action avant de pouvoir tre
lances. Ce travail revient tablir un plan de traitement qui peut tre assimil de la
gestion de projet. Une fois ce travail effectu, il faut dployer les mesures de scurit en
suivant le plan de traitement.

Par la suite, le responsable de projet doit dfinir des mesures defficacit pour
contrler le bon fonctionnement du SMSI.

45
3.2- Choix des indicateurs

Ce point consiste mettre en place des indicateurs de performance pour vrifier


lefficacit des mesures de scurit ainsi que des indicateurs de conformit pour
contrler la conformit du SMSI. Trouver de bons indicateurs nest pas une tche facile.
La norme ne prconise pas dindicateurs prcis utiliser mais lISO/CEI 27004 propose
une dmarche qui peut aider les slectionner [10].

Ltape suivante concerne la sensibilisation des collaborateurs aux principes de la


scurit de linformation.

3.3- Formation et sensibilisation des collaborateurs


Nous avons vu que les mesures de scurit couvrent de nombreux domaines allant de la
scurit organisationnelle la scurit physique, en passant par la scurit des systmes
rseaux etc. Les collaborateurs doivent matriser les outils de scurit dploys dans les
domaines trs varis. Une formation du personnel peut savrer ncessaire.

La sensibilisation la scurit du systme dinformation concerne tous les


collaborateurs. Elle peut dbuter par un rappel des engagements de leur entreprise en
matire de scurit et se poursuivre par une liste de conseils tels que le respect de
certaines rgles de scurit pour les mots de passe et lenvironnement de travail.

3.4- Maintenance du SMSI


La maintenance consiste garantir le bon fonctionnement de chacun des processus du
SMSI et vrifier que leur documentation est jour. Cela permet lauditeur externe de
contrler la gestion du SMSI. Il est noter que tous les systmes de management ISO
sont concerns par la maintenance [7].
A ce stade de lavancement du SMSI, les mesures identifies du SoA fonctionnent, les
indicateurs sont implments et les collaborateurs de lorganisme forms et sensibiliss
la scurit du SMSI, nous pouvons poursuivre avec la phase Check du PDCA.

46
4. Phase CHECK du PDCA
La phase Check du PDCA concerne les moyens de contrle mettre en place pour
assurer lefficacit du SMSI et sa conformit au cahier des charges de la norme
ISO/CEI 27001 [10]. Pour rpondre ces deux exigences de la norme, les organismes
emploient le contrle et les audits internes ainsi que les revues de direction.

4.1- Les audits internes


Laudit interne peut sorganiser avec le personnel de lorganisme ou tre sous trait un
cabinet conseil. Si laudit est confi un collaborateur, il ne faut pas que ce dernier
puisse auditer un processus dans lequel il est impliqu au niveau de sa mise en uvre ou
de son exploitation. Laudit a pour but de contrler la conformit et lefficacit du SMSI
en recherchant les carts entre la documentation du systme (enregistrement,
procdures, etc.) et les activits de lorganisme. La norme exige que la mthode utilise
pour laudit soit documente dans une procdure et que les rapports soient enregistrs
pour tre utiliss lors des revues de direction.

4.2- Les contrles internes


Lobjectif du contrle interne est de sassurer au quotidien que les collaborateurs
appliquent correctement leurs procdures. Contrairement laudit interne qui est
planifi longtemps lavance, les contrles internes sont inopins.

4.3- Revues de direction


La revue est une runion annuelle qui permet aux dirigeants de lorganisme danalyser les
vnements qui se sont drouls sur lanne en cours. Les points passs en revue sont
gnralement :

les rsultats des audits,


le retour des parties prenantes,
ltat des lieux sur les actions prventives et correctives,
les menaces mal apprhendes lors de lapprciation des risques,
linterprtation des indicateurs et les changements survenus dans lorganisme.

47
A partir de ces informations la direction peut fixer de nouveaux objectifs et allouer de
nouvelles ressources (financires, humaines et matrielles).

Les contrles de la phase Check peuvent faire apparatre des dysfonctionnements du


SMSI. Cela peut tre un cart entre les exigences de la norme et le systme de
management ou des mesures de scurit inefficaces.

Cest dans la phase Act du PDCA que lon rduit les dysfonctionnements par des
actions correctives, prventives ou damliorations.

5. Phase ACT du PDCA

5.1- Actions correctives


On intervient de manire corrective lorsquun dysfonctionnement ou un cart est
constat. On agit premirement sur les effets pour corriger cet cart ou
dysfonctionnement, puis sur les causes pour viter quils ne se rptent.

5.2- Actions prventives


On emploie les actions prventives quand une situation risque est dtecte. On agit sur
les causes avant que lcart ou le dysfonctionnement ne se produisent.

5.3- Actions damliorations


Les actions damliorations ont pour objectif lamlioration de la performance du SMSI.

Les rsultats des diffrentes actions doivent tre enregistrs et communiqus aux parties
prenantes. Ces actions contribuent rendre plus efficace et performant le SMSI.

Nous avons prsent la mthode et les exigences de la norme ISO/CEI 27001 pour
mettre en uvre un SMSI. Dans la partie qui suit, nous allons voir comment on a
procder pour implmenter cette norme et la mettre en uvre au sein de lAmbassade.

48
Troisime partie

Implmentation et Mise en uvre de


la norme ISO / CEI 27001

49
1. Introduction

Dans le cadre de ce travail, on procdera limplmentation et mise en uvre de la


norme au sein de lAmbassade du Royaume du Maroc en Tunisie, les services et les
dpartements sous sa tutelle.
Procder un travail pareil au sein de la structure ncessite plusieurs autorisations et
vrifications au niveau central au Maroc et un suivi rigoureux de la publication des
donnes rsultantes de ce travail aux niveaux acadmiques et professionnel.
Aprs plusieurs mois de labeur, je ne suis autoris de diffuser quune partie (prsente
dans ce rapport) de la totalit du travail effectu vu que les informations traites au sein
de lAmbassade touchent la scurit dEtat.
Aprs une prsentation de la structure daccueil, on procdera une prsentation
succincte de laudit effectu et les procdures mise en place lors dimplmentation de la
norme.
Seules les parties faisant objet dune approbation centrale et pour les raisons
acadmiques seront prsentes dans ce mmoire de Master.

2. Structure daccueil
Pour un premier lieu, notre travail sera orient vers la chancellerie diplomatique et sera
gnralis sur lensemble des services et dpartements sous la tutelle de lambassade.
La chancellerie diplomatique est forme dune quipe de diplomates et dirige par
lAmbassadeur.
Elle assiste lAmbassadeur, en troite coordination avec les autres responsables des
services de lAmbassade, dans ses fonctions de reprsentation du Royaume du Maroc en
Tunisie, de mise en uvre de la politique trangre marocaine, et de promotion auprs
des autorits tunisiennes des prises de position du Maroc sur les grands sujets
dactualit .
La chancellerie contribue la promotion des relations amicales entre le Maroc et la
Tunisie par ses contacts sur place, mais aussi en organisant les visites de personnalits
marocaines et en favorisant les changes de points de vues entre officiels des deux pays.

50
3. Audit Pralable de lexistant
Comme lon avait mentionn dans les chapitres prcdents, Un SMSI utilise comme
lment d'entre les exigences relatives la scurit de l'information et les attentes des
parties intresses, et il produit, par les actions et processus ncessaires, les rsultats de
scurit de l'information qui satisfont ces exigences et ces attentes
Laudit men vise dans ce cadre de travail :
La dtermination de lexistant et des carts par rapport la norme ISO/CEI 27001
La dtermination de lexistence ou pas dun SMSI
La proposition dactions correctives pour la mise en conformit du SMSI existant la
norme ISO/CEI 27001 ou la mise en place dun nouveau SMSI conforme la norme
si aucun SMSI nest existant lAmbassade.
Le processus de laudit pralable men au sein de lAmbassade est conforme aux
exigences rglementaires au Maroc gres par lAgence Nationale de la Rgulation et des
Tlcommunication [15].
Ce processus est rptitif et perptuel. Il dcrit un cycle de vie qui est schmatis laide
de la figure suivante :

Figure 12: Cycle de lAudit pralable

A niveau de ce travail, laudit pralable se prsente essentiellement suivant deux parties


comme le prsente le prcdent schma :
Laudit organisationnel et physique.
Laudit technique.

51
La troisime partie de laudit intrusif ne peut tre mene qu partir des services
centraux du Conseil Suprieur de Dfense [16] Rabat (CSD).
Dans ce travail acadmique et pour des raisons de scurit, on est autoris
prsenter seulement la dmarche de laudit et les conclusions de ce dernier [16][17].

3.1- Dmarche de laudit pralable


Tel que prcdemment voqu, laudit pralable dun SMSI se droule suivant deux
principales tapes. Cependant il existe une phase tout aussi importante qui est une phase
de prparation. Nous schmatisons lensemble du processus daudit travers la figure
suivante :

Figure 13: Phases de laudit

3.1.1- Prparation de laudit


Cette phase est aussi appele phase de pr audit. Elle constitue une phase importante
pour la ralisation de laudit sur terrain. En effet, cest au cours de cette phase que se
dessinent les grands axes qui devront tre suivis lors de laudit sur terrain.
Elle se manifeste par des rencontres entre auditeur et responsables de lambassade. Au
cours de ces entretiens, devront tre exprimes les esprances des responsables vis--vis
de laudit, il doit tre fix ltendu de laudit ainsi que les zones et lments auditer, de
mme quun planning de ralisation de la mission de laudit.
Les personnes qui seront amenes rpondre au questionnaire concernant laudit du

52
SMSI doivent tre galement identifies.
Une fois que les deux parties (auditeur-audit) ont harmonis leur registre , laudit sur
terrain peut tre entam. Il dbute par laudit organisationnel et physique.

3.1.2- Audit organisationnel et physique


Dans cette tape, il sagit de sintresser laspect physique et organisationnel de
lAmbassade.
Nous nous intressons donc aux aspects de gestion et dorganisation de la scurit, sur
les plans organisationnels, humains et physiques.
Lobjectif vis par cette tape est donc davoir une vue globale de ltat de scurit du
SMSI et didentifier les risques potentiels sur le plan organisationnel.
Droulement
Afin de raliser cette tape de laudit, ce volet doit suivre une approche mthodologique
qui sappuie sur une batterie de questions .
Ce questionnaire prtabli devra tenir compte des ralits de lAmbassade (on nest pas
autoris diffuser ce questionnaire).
A lissu de ce questionnaire, et suivant une mtrique, lauditeur est en mesure dvaluer
les carts par rapport la norme et dapprcier le niveau de maturit en termes de
scurit de lAmbassade, ainsi que la conformit de cette dernire par rapport la norme
rfrentielle de laudit qui est lISO/CEI 27001.
Le questionnaire daudit se compose de 185 questions. Chaque question est affecte
dun coefficient de pondration portant sur lefficacit de la rgle du rfrentiel sur
laquelle porte la question, en matire de rduction de risque.
Aprs la validation du Questionnaire, les rponses choisies seront introduites dans
lapplication ddi cet audit et que nous avons dveloppe sous S.A.S22 pour permettre
lautomatisation du traitement du questionnaire.
Le traitement consiste au calcul dune moyenne pondre par les notes obtenues en
fonction des rponses choisies et du coefficient defficacit. Lon obtient un rsultat
chiffr (de 0 6 ou exprim en pourcentage) reprsentant le niveau de scurit (la

22
Statistical Analysis System, cest un langage de programmation de quatrime gnration (L4G) dit par
le SAS Institute. Il existe depuis plus de trente ans. Depuis 2004, SAS en est la version 9, ce qui
correspond une volution majeure dans le logiciel car il intgre une nouvelle brique conceptuelle
destine s'implanter dans le monde des logiciels dinformatique dcisionnelle (Business Intelligence).

53
maturit) du SMSI audit.
Une fois cette phase ralise, il est question de passer ltape suivante de laudit ; il
sagit notamment de laudit technique.

3.1.3- Audit technique


Cette tape de laudit sur terrain vient en seconde position aprs celle de laudit
organisationnel. Laudit technique est ralis suivant une approche mthodique allant de
la dcouverte et la reconnaissance des applicatifs, standards tlphoniques, du rseau
audit jusquau sondage des services rseaux actifs et vulnrables. Cette analyse devra
faire apparatre les failles et les risques, les consquences dintrusions ou de
manipulations illicites des informations.
Au cours de cette phase, lauditeur pourra galement apprcier lcart davec les
rponses obtenues lors des entretiens. Il sera mme de tester la robustesse de la
scurit du systme dinformation et sa capacit prserver les aspects de
confidentialit, dintgrit, de disponibilit et dautorisation.
Cependant, lauditeur doit veiller ce que les tests raliss ne mettent pas en cause la
continuit de service du systme audit.
Droulement
Vu les objectifs escompts lors de cette tape, leurs aboutissements ne sont possibles
que par lutilisation de diffrents outils agres par le Conseil Suprieur de Dfense.
Ces outils sont classs et ne peuvent pas tre diffus et leur manipulation mtait
impossible avant de bnficier dune procdure dhabilitation qui a pris quelques
semaines.

3.1.4- Audit intrusif


Cet audit permet dapprcier le comportement des installations techniques de
lAmbassade face des attaques. Egalement, il permet de sensibiliser les acteurs
(management, quipes sur site, les utilisateurs) par des rapports illustrant les failles
dceles, les tests qui ont t effectus (scnarios et outils) ainsi que les
recommandations pour palier aux insuffisances identifies.
Droulement
La phase de droulement de cet audit ne peut tre utilise que par le Conseil Suprieur
de Dfense Rabat et ses quipes [16].

54
3.1.5- Synthse de laudit pralable :
A la fin des prcdentes phases daudit, nous pouvons formuler les constats suivants :
Existence de plusieurs SMSI et lexistence dun SMSI au niveau central Rabat
par rapport un type dinformation bien particulier.
Le dit SMSI existant touche des informations classes de type trs particulier.

Les SMSI existant au sein de lAmbassade sont :


systme de la messagerie scurise
Systme de la messagerie scurise spciale I
Systme de la messagerie scurise spciale II
Systme de messagerie scurise spciale III
Systme de la Gestion Intgre de la Dpense publique
Systme de Dmatrialisation de la commande publique
Gestion des Ressources
systme fdrateur de services e-finances
Systme de paie publique
Systme dEmission des Passeports Biomtriques et Provisoires
Systme de la Carte Nationale d'identit lectronique -
Infrastructure data scurise avec le Ministre de lIntrieur
Systme de lEtat Civile
Systme de Identifiant Commun de l'Entreprise
Application consulaire
Systme du visa scuris
Systme du Registre Central du Commerce
Systme de la Proprit Intellectuelle et Industrielle
Systme d'Information et de Rservation des Produits Touristiques au Maroc
Systme de Gestion des Retraites Publiques et Prives
Systme de Gestion des Actifs et des Inventaires des reprsentations
diplomatiques marocaines lEtranger
Systme de Gestion du matriel informatique et de tlcommunication des
Reprsentations Diplomatiques Marocaines lEtranger

55
3.2- Conclusion de laudit
Suite aux prcdentes synthses, les SMSI existants sont conformes aux exigences de la
norme ISO/CEI 27001 mais ne sont pas regroups sous un seul SMSI qui pourra
assurer lapplication de la norme en intgralit.
Le chevauchement des accs aux multiples SMSI existant peut crer des vulnrabilits
de scurit car y a pas un pilotage horizontal de ces SMSI par un SMSI central.
De ce fait, la mise en uvre de la norme ISO/CEI 27001 au sein de lambassade ne peut
se faire que par la mise en place dun SMSI qui regroupe les autres SMSI sous un seul,
avec une politique de scurit et organisation de ce nouveau SMSI. Les autres SMSI
existants seront harmoniss pour la conformit la norme par rapport aux articles
correspondants.
Dans le cadre de ce travail acadmique, lautorisation de diffusion partielle de ce rapport
ne touche que les Articles A.5 et A.6 de la norme ISO/CEI 27001 aprs modification
requise de quelques donnes par les services comptents Rabat.
Dans lannexe sont prsents les articles A.5 A.15 de ladite norme o on trouve
numrs les objectifs de scurit et les mesures de scurit de chaque article, avec des
recommandations de mise en uvre et des lignes directrices affrentes aux meilleures
pratiques.
Les listes figurant dans cet annexe ne sont pas exhaustives et un organisme peut
considrer ncessaires des objectifs et des mesures de scurit additionnels.

56
4. Article A.5 POLITIQUE DE SECURITE

4.1- Fondements

La politique de scurit de linformation se base sur la protection de linformation dite


de Scurit dEtat.
Toutes les informations traites au sein de lAmbassade sont considres des
informations de Scurit dEtat [16].
Ces informations constituent une cible majeure pour les services trangers et les
groupements ou les individus isols ayant pour objectif de dstabiliser lEtat ou la
socit.
Les informations de Scurit dEtat ncessitent une protection particulire, permettant
den matriser et den limiter la diffusion, dans des conditions dfinies dans la prsente
politique.
Latteinte ces informations est considre selon la lgislation marocaine comme acte
de haute trahison passible la peine de mort (Article 181 du Code Pnal)23 [18].
Il existe trois niveaux de classification : Trs Secret, Secret et Confidentiel.
Les trois niveaux relvent du primtre de la dfense nationale vue que ce sont des
informations de scurit dEtat.
Peuvent faire lobjet de ces classifications les procds, objets, documents, informations,
rseaux informatiques, donnes informatises ou fichiers dont la divulgation est de
nature nuire la dfense nationale ou pourrait conduire la dcouverte dun secret de
la dfense nationale.
Bnficient galement de la protection du secret les lieux qui, en raison des installations
ou activits quils abritent, sont classifis.
Linobservation des mesures de protection induites par la classification gnre la mise en
uvre du dispositif de rpression pnale et sera considre comme un acte de haute
trahison. La politique de scurit vise aussi rendre responsable, pnalement et

23 Article 181. 4 Tout Marocain qui livre une autorit trangre ou ses agents, sous quelque
forme et par quelque moyen que ce soit, un secret de la dfense nationale ou qui s'assure par quelque
moyen que ce soit la possession d'un secret de cette nature en vue de le livrer une autorit trangre ou
ses agents;

57
administrativement, toute personne ayant accs des informations ou supports
classifis.
Une information classifie est compromise lorsquelle est porte la connaissance du
public ou dune personne non habilite ou nayant pas le besoin den connatre.
Lvaluation des risques de compromission des informations ou supports classifis et
des vulnrabilits des personnes ou des systmes les traitant, au regard des intrts
fondamentaux de la nation, est essentielle afin de garantir la protection de linformation
de scurit dEtat.
La stricte application des mesures de scurit dfinies dans la prsente politique
contribue lefficacit du dispositif et permet de lutter contre des actions malveillantes,
souvent facilites par lignorance, limprudence, linattention ou la ngligence.
La protection de linformation de scurit dEtat, quil sagisse dune information, dun
support ou dun lieu classifi, doit tre assure par les personnes y accdant.
En cas de manquement, mme involontaire, ces personnes se rendent coupables de
haute trahison.

4.2- Dfinitions

La mise en place du SMSI central de lAmbassade ainsi que la prsente politique de


scurit emploiera les expressions suivantes :

habilitation , pour dsigner la dcision explicite, dlivre lissue dune


procdure spcifique permettant une personne, en fonction de son besoin
den connatre, davoir accs aux informations ou supports classifis au
niveau prcis dans la dcision ainsi quau(x) niveau(x) infrieur(s) ;
Informations ou supports classifis , pour dsigner les procds,
objets, documents, informations, rseaux informatiques, donnes
informatises ou fichiers prsentant un caractre de secret de la dfense
nationale ;
Lieux classifis , pour dsigner les lieux auxquels il ne peut tre accd
sans que, en raison des installations ou des activits quils abritent, cet accs
donne par lui-mme connaissance dune information de scurit dEtat et
ayant fait lobjet dune dcision de classification ;

58
systmes dinformation , pour dsigner lensemble des moyens
informatiques ayant pour finalit d'laborer, de traiter, de stocker,
dacheminer, de prsenter ou de dtruire l'information ;
contrat , pour dsigner tout contrat, toute convention, tout march quel
que soit son rgime juridique ou sa dnomination, dans lequel un candidat
ou un cocontractant, public ou priv, est amen loccasion de la passation
du contrat ou de son excution connatre et ventuellement dtenir dans
ses locaux des informations ou des supports classifis.

4.3- Champ dapplication

Les dispositions de la prsente politique sont applicables dans toutes les administrations
et services sous lautorit de lAmbassade du Royaume du Maroc en Tunisie ainsi qu
toute personne dpositaire, mme titre provisoire, dune information relative
lAmbassade, y compris dans le cadre de la passation et de lexcution dun contrat.

4.4- La classification

La dcision de classifier au titre du secret de la dfense nationale une information ou un


support a pour consquence de le placer sous la protection de dispositions spcifiques
du Code Pnal (Article 181) [18].
Lapposition du marquage de classification constitue le seul moyen de confrer cette
protection particulire.

Trois niveaux de classification :


Trs Secret:
rserv aux informations et supports qui concernent les priorits
gouvernementales en matire de dfense et de scurit nationale et dont
la divulgation est de nature nuire trs gravement la Scurit dEtat ;
Secret:
rserv aux informations et supports dont la divulgation est de nature
nuire gravement la Scurit dEtat ;

59
Confidentiel:
rserv aux informations et supports dont la divulgation est de nature
nuire la Scurit dEtat ou pourrait conduire la dcouverte dun secret
classifi au niveau

Une information nayant pas fait lobjet dune dcision de classification lun des
trois niveaux dfinis nest pas protg au titre du secret de Scurit de lEtat

4.5- Mentions particulires de confidentialit et les


Informations Sensibles Non Classes (ISNC)

Certaines informations quil ny a pas lieu de classifier peuvent cependant recevoir, de la


part de leur metteur, une marque de confidentialit destine restreindre leur diffusion
un domaine spcifique (prcis par une mention particulire) ou garantir leur
protection (telle que Diffusion Restreinte).
Ces mentions, qui ne traduisent pas une classification et ont pour seul objectif la
sensibilisation de lutilisateur la ncessit de discrtion dont il doit faire preuve dans la
manipulation des informations couvertes par cette mention. Ces informations seront
considres des Informations Sensibles Non Classes (ISNC).
Une information sensible est une information dont la compromission, l'altration, le
dtournement ou la destruction, est de nature nuire la Scurit de lEtat et la
continuit du fonctionnement des services de l'Etat et de l'exercice du pouvoir de lEtat.

Il existe trois catgories dinformations Sensibles Non Classes:

1re catgorie : ISNC sur lesquels une atteinte la disponibilit, l'intgrit ou


la confidentialit peut entrainer la neutralisation d'une fonction majeure dans le
fonctionnement des services de l'Etat et de l'exercice du pouvoir ;

2me catgorie : ISNC sur lesquels une atteinte la disponibilit, l'intgrit ou


la confidentialit peut entrainer une dgradation du fonctionnement des
services de l'Etat et de l'exercice du pouvoir

60
3me catgorie : ISNC sur lesquels une atteinte la disponibilit, l'intgrit ou
la confidentialit peut entrainer une gne dans le fonctionnement des services
de l'Etat et l'exercice du pouvoir

4.6- Laccs aux informations traites lambassade


(Information de Scurit dEtat)

Seules des personnes qualifies peuvent accder aux informations classes ou ayant une
mention particulire.
La qualification exige la runion de deux conditions cumulatives :
A. Le besoin de connatre ou daccder une information classifie est dans la
mesure o lexercice de la fonction ou laccomplissement de la mission
lexige.
B. La dlivrance de lhabilitation correspondant au degr de classification de
linformation considre : la dcision dhabilitation est une autorisation
explicite, dlivre lissue dune procdure spcifique permettant une
personne, sous rserve du besoin den connatre, davoir accs aux
informations ou supports dinformation de scurit dEtat au niveau prcis
dans la dcision ainsi quau(x) niveau(x) infrieur(s).
La dcision dhabilitation est assortie dun engagement de respecter, aprs en
avoir dment pris connaissance, les obligations et les responsabilits lies la
protection des informations ou supports classifis.

4.7- Lieux abritant des informations de scurit dEtat

Les lieux abritant des lments couverts par une classification sont les locaux dans
lesquels sont dtenus des informations ou supports classifis, quel quen soit le niveau,
par des personnes par ailleurs habilites au niveau requis.
Les lieux classifis sont ceux auxquels il ne peut tre accd sans que, en raison des
installations ou des activits quils abritent, cet accs donne par lui-mme connaissance
dune information de scurit dEtat et qui ont fait lobjet dune dcision de
classification.

61
Laccs ces lieux, pour motif de service, est encadr par les dispositions relatives au
droit du travail, aux contrats de prestation de service, au droit pnal, la procdure
pnale ou issues de conventions internationales.

4.8- Contrles et inspections

Des contrles et des inspections sont organiss priodiquement pour vrifier


lapplication des instructions et des directives relatives la protection de linformation
de scurit dEtat.
Les inspections et les contrles sont assurs par la cellule de scurit de lInformation
cre par la dite politique. Cette cellule propose toutes mesures propres amliorer les
conditions gnrales de scurit de linformation et le maintien du SMSI central de
lAmbassade.
Les inspections et les contrles sont organiss en liaison avec les autres services et
dpartements sous tutelle de lambassade du royaume du Maroc en Tunisie
En cas danomalies constates, la cellule Scurit de lInformation peut saisir, par
lintermdiaire de lambassadeur de Sa Majest, les services qui concourent la
rpression des crimes et dlits.
Les rapports de synthse incluant les mesures prconises pour rectifier les dficiences
constates et leur planification sont adresss aux autorits centrales responsables des
services est dpartement reprsent au sein de lAmbassade.

62
5. Article A.6 ORGANISATION DE LA SECURITE
DE LINFORMATION

5.1- Principe
Nul nest qualifi pour connatre des informations de Scurit dEtat ou supports sil
nest habilit au niveau requis et sil na le besoin de les connatre.

5.2- Implication de la direction


a. Le Conseil Suprieur de Dfense Rabat [16] : Partie non diffuse /Contenu
Confidentiel
b. LAmbassadeur de Sa Majest le Roi [17]:

Pour le niveau Trs Secret :


o Dtermine les critres et les modalits dorganisation de la protection
et dfinit des classifications spciales correspondant aux diffrentes
priorits gouvernementales au sein de lambassade et le pays de
reprsentation ;
o fixe les conditions dans lesquelles chaque cadre ou agent et
dpartement dont il a la charge dtermine les informations et
supports quil y a lieu de classifier ce niveau ;
Pour les niveaux Secret et Confidentiel :
o Fixe les conditions dans lesquelles chaque ministre, pour le
dpartement dont il a la charge, dtermine les informations et
supports quil y a lieu de classifier et les modalits de leur protection;
Pour les habilitations :
o Dfinit la procdure pralable la dcision dhabilitation ;
o Prend la dcision dhabilitation pour le niveau Trs Secret et indique
les classifications spciales auxquelles la personne habilite peut
accder.

Pour lexercice de ces comptences, lAmbassadeur est assist par le conseiller en


scurit, lattach militaire et la cellule Scurit de lInformation.

63
5.3- Elaboration du Catalogues des Fonctions des Informations
de Scurit dEtat de lAmbassade (CFISE)

LAmbassadeur de Sa Majest Le Roi assist par le conseiller en scurit, lattach


militaire et la cellule de scurit de lInformation laborent les instructions ncessaires
pour faire tablir au sein de chaque service de lambassade et pour chaque niveau de
classification, la liste des fonctions ncessitant laccs des informations ou supports
classifis. Ces listes sont dsignes Catalogues des Fonctions des Informations de
Scurit dEtat .
Cest en rfrence aux CFISE que les demandes dhabilitation sont tablies. Lorsquune
demande dhabilitation parvient, le secrtariat particulier de lAmbassadeur vrifie
linscription de la fonction concerne dans le catalogue des fonctions ISE
correspondant. Il examine, titre exceptionnel, le bien-fond de la demande lorsque
lemploi ne figure pas au catalogue.
Ces catalogues peuvent tre tablis par direction, par service ou au niveau des services
reprsents. Ils sont mis jour au moins une fois par an, notamment loccasion dune
rorganisation de service.
Afin de faciliter lactualisation, il est vrifi auprs des titulaires des postes rpertoris
sils ont effectivement eu accs des informations classifies pour le niveau concern.
Lhabilitation ne permet pas daccder sans limite toute information ou tout support
classifi au niveau correspondant.
Une personne habilite naccde une information ou un support classifi que si son
autorit hirarchique estime que cet accs est ncessaire lexercice de sa fonction ou
laccomplissement de sa mission.
Lautorit hirarchique apprcie de faon rigoureuse et mesure le besoin de connatre
des informations classifies.

5.4- Candidats lhabilitation et gestion de lhabilitation

Lors de leur demande dhabilitation, les candidats sont informs, par les mentions
portes sur la notice individuelle qui leur est remise, des obligations induites par
lhabilitation ainsi que des dispositions relatives leur responsabilit pnale en cas de
compromission.

64
A la notification dune dcision dhabilitation favorable par lofficier de scurit suite la
dcision de lAmbassadeur, linformation initiale est complte par une sance de
sensibilisation aux risques de compromission puis, par la suite, par des rappels
priodiques de la rglementation en vigueur.
Une sensibilisation aux menaces dinvestigations ou dapproches par des individus ou
des organisations trangres est obligatoire et des rgles de prudence lmentaire sont
rappeles.
Lautorit hirarchique doit veiller lhabilitation du personnel plac sous sa
responsabilit et, ce titre, initier, par la constitution dun dossier, la procdure
dhabilitation au niveau requis par le catalogue des fonctions ISE de lAmbassade.
La demande dhabilitation dclenche une procdure destine vrifier quune personne
peut, sans risque pour la scurit nationale ou pour sa propre scurit, connatre des
informations ou supports classifis dans lexercice de ses fonctions. La procdure
comprend une enqute de scurit permettant lautorit dhabilitation de prendre sa
dcision en toute connaissance de cause.
Les informations ou supports classifis ne peuvent tre ports la connaissance de
personnes non habilites.
Aussi, toute personne visant ou occupant un poste pour lequel le besoin dune
habilitation est avr et qui refuserait de se soumettre la procdure dhabilitation devra
tre carte du poste considr.

5.5- Procdure dhabilitation

La procdure pralable la dcision dhabilitation est une opration coteuse en temps


et en personnel.
Lorsquun poste pourvoir exige une habilitation au niveau Secret ou Confidentiel, la
procdure nest engage quau seul profit de la personne effectivement nomme dans
lemploi, sauf cas particulier.
Anticiper la prise de poste en engageant la procdure dhabilitation sans attendre la prise
effective de fonction peut tre une mesure de bonne gestion, qui permet la personne
nouvellement affecte de prendre connaissance des informations classifies sans perdre
de temps.

65
Il convient toutefois dviter toute surcharge inutile des services chargs de cette
mission en limitant autant que possible le nombre de demandes dhabilitation.
Lorsque lhabilitation requise est du niveau Trs Secret, il revient au Conseil Suprieur de
Dfense Rabat dapprcier lopportunit dune enqute portant sur chacun des
candidats au poste concern.

5.5.1- Constitution du dossier

Le dossier dhabilitation a pour objet de runir les lments qui seront vrifis lors de
lenqute de scurit. Il est en format papier et constitu de :
La demande dhabilitation formule par le chef du service employeur attestant
le besoin de connatre des informations ou supports classifis un niveau
donn, pour une personne nommment dsigne ;
La notice individuelle de scurit, renseigne intgralement par lintress et
vrifie par lofficier de scurit de lambassade. Elle est tablie en trois
exemplaires (un original et deux photocopies, dates et revtues de la signature
originale du candidat) ;
Trois photographies didentit originales, identiques et rcentes.

5.5.2- Instruction du dossier

Les enqutes de scurit menes dans le cadre de la procdure dhabilitation sont des
enqutes administratives et denvironnement permettant de dceler chez le candidat
dventuelles vulnrabilits.
Elles sont diligentes par le Conseil Suprieur de Dfense, le service enquteur du
ministre de lintrieur et le service enquteur de ladministration de la dfense [16].
Les enqutes sont fondes sur des critres objectifs permettant de dterminer si
lintress, par son comportement ou par son environnement proche, prsente une
vulnrabilit, soit parce quil constitue lui-mme une menace pour la scurit, soit parce
quil se trouve expos un risque de chantage ou de pressions pouvant mettre en pril
les intrts de lEtat, chantage ou pressions exercs par un service tranger de
renseignement, un groupe terroriste, une organisation ou une personne se livrant des
activits subversives.

66
5.5.3- Clture de linstruction et avis de scurit, dure dhabilitation et
conclusions

Les enqutes menes dans le cadre de lhabilitation sachvent par lmission dun avis
de scurit, par lequel les services enquteurs font connatre les conclusions techniques
lAmbassadeur pour prendre la dcision dhabilitation.
Cet avis est une valuation des vulnrabilits ventuellement dtectes lors des enqutes
et permettent lAmbassadeur dapprcier lopportunit de lhabilitation de lintress,
au regard des lments communiqus et des garanties quil prsente pour le niveau
dhabilitation requis.

Les conclusions de lavis de scurit sont de trois types :


avis sans objection, lorsque linstruction na rvl aucun lment de
vulnrabilit de nature constituer un risque pour la scurit des informations
ou supports classifis ni pour celle de lintress ;

avis restrictif , lorsque lintress prsente certaines vulnrabilits constituant


des risques directs ou indirects pour la scurit des informations ou supports
classifis auxquels il aurait accs, mais que des mesures de scurit spcifiques
prises par lofficier de scurit permettraient de matriser ;

avis dfavorable, lorsque des informations prcises font apparatre que


lintress prsente des vulnrabilits faisant peser sur le secret des risques tels
quaucune mesure de scurit ne semble suffisante les neutraliser.

Lavis de scurit est mis pour un niveau donn dhabilitation. Lavis sans objection
est valable pour le niveau prcis ainsi que pour le(s) niveau(x) infrieur(s).
Pour les avis restrictifs ou dfavorables, les services enquteurs se prononcent, au cas
par cas, sur lopportunit daccorder une habilitation pour le(s) niveau(x) infrieur(s).
Les avis restrictifs ou dfavorables sont classifis au niveau Confidentiel.

67
Les avis restrictifs et dfavorables sont assortis dune fiche confidentielle indiquant les
motifs de lavis. Cette fiche est compose de deux parties distinctes, permettant de
sparer les lments, non classifis, qui peuvent tre communiqus au candidat, de ceux,
le cas chant classifis, qui ne peuvent tre ports qu la connaissance de
lAmbassadeur.
Ne pouvant tre reproduite, la fiche confidentielle est retourne aprs communication et
sans dlai au service enquteur qui la mise, aux fins de conservation.
La dure de validit de lavis de scurit est fonction du niveau dhabilitation demand.
Elle ne peut excder :
Cinq ans pour le niveau Trs Secret;
Sept ans pour le niveau Secret;
Dix ans pour le niveau Confidentiel.

Lavis de scurit ne constitue en soi ni une autorisation ni un refus, et ne lie pas


lAmbassadeur, qui prend sa dcision aprs avoir apprci les diffrents lments
recueillis pendant linstruction du dossier.

5.6- La dcision dhabilitation

La dcision dhabilitation ou de refus dhabilitation est prononce par lAmbassadeur au


regard des conclusions du service enquteur. Quel que soit le sens de lavis de scurit,
auquel il nest dailleurs fait aucune rfrence dans la dcision, lAmbassadeur peut
admettre ou rejeter une demande dhabilitation.
LAmbassadeur peut dcider, lorsque lenqute a mis en valeur des lments de
vulnrabilit, de naccorder lhabilitation quaprs avoir pris des prcautions particulires
dclenches par une procdure de mise en garde.

5.6.1- La dcision dhabilitation

La dcision dhabilitation est lautorisation donne une personne, en fonction de son


besoin den connatre, daccder aux informations ou supports classifis au niveau
prcis dans la dcision, ainsi quau(x) niveau(x) infrieur(s).

68
Pour le niveau Trs Secret, la dcision prcise la classification spciale concerne.
Lorsquune personne doit avoir accs de faon rgulire des informations relevant de
plusieurs classifications spciales, une dcision dhabilitation doit tre mise pour
chacune de ces classifications. Aussi une personne peut-elle tre vise par plusieurs
dcisions dhabilitation.

5.6.2- La mise en garde

Lorsquun avis de scurit est restrictif ou dfavorable, lAmbassadeur peut nanmoins


dcider daccorder lhabilitation tout en mettant en garde lofficier de scurit
comptent.
Cette procdure permet celui-ci de mettre en uvre des mesures de scurit ou de
prendre des prcautions particulires lgard de lintress, si ncessaire avec le conseil
suprieur de dfense ou du service enquteur. Le service enquteur, en liaison avec le
Conseil Suprieur de dfense, apprcie, parmi les lments rvls par lenqute, ce quil
convient de communiquer lofficier de scurit et, le cas chant, aux chefs de services.
A lissue de lentretien de mise en garde, une attestation particulire est signe par
lofficier de scurit de lambassade.
La dcision dhabilitation nest rendue qu lissue de la procdure. Lattestation est
conserve par lAmbassadeur.
Au niveau Trs Secret, la procdure de mise en garde est mene par le Conseil Suprieur
de Dfense, qui conserve lattestation.

5.6.3- La mise en veil

Lorsque lAmbassadeur dcide daccorder lhabilitation sur la base dun avis de scurit
restrictif ou en dpit dun avis de scurit dfavorable, il peut choisir de demander la
mise en veil de lintress, qui consiste sensibiliser ce dernier sur les lments
communicables de vulnrabilit rvls par lenqute.
La mise en veil est mene par lambassadeur, en prsence de lofficier de scurit.
Lambassadeur dfinit les modalits de la mise en veil en liaison avec le service
enquteur et peut, au cas par cas, solliciter sa prsence lors de lentretien avec lintress.
Le cas chant, lofficier de scurit tudie avec ce service les mesures de scurit

69
complmentaires mettre en uvre au regard de la situation.
A lissue de lentretien de mise en veil, une attestation particulire est signe par le
reprsentant de lambassadeur, par lofficier de scurit et par lintress.
La dcision dhabilitation nest rendue qu lissue de la procdure. Lattestation est
conserve par lambassadeur.
Au niveau Trs Secret, la mise en veil est mene par le Conseil Suprieur de Dfense, qui
conserve lattestation.

5.6.4- Le refus dhabilitation

Lintress est inform de la dcision dfavorable prise son endroit. Un refus


dhabilitation na pas tre motiv lorsquil repose sur des informations qui ont t
classifies.

5.7- La notification de la dcision

La dcision prise par lambassadeur est transmise lofficier de scurit. A rception, ce


dernier notifie au candidat lhabilitation la dcision individuelle prise son endroit,
quelle soit favorable ou non.

5.7.1- Dcision favorable et engagement de responsabilit

La dcision dhabilitation est notifie par lofficier de scurit comptent lintress,


qui signe un engagement de responsabilit.
Par cet acte, le candidat reconnat avoir eu connaissance des obligations particulires
imposes par laccs une information ou un support classifi, ainsi que des sanctions
prvues en cas dinobservation, dlibre ou non, de la rglementation protgeant
linformation de scurit dEtat.
Il est galement notifi lintress quil est tenu dinformer au plus vite, pendant toute
la dure de son habilitation, lofficier de scurit de tout changement affectant sa vie
personnelle (mariage, divorce, tablissement ou rupture dune vie commune),
relations professionnelles ou son lieu de rsidence.
Il lui est signifi quil devra linformer de toute relation suivie et frquente, dpassant le

70
strict cadre professionnel, avec un ou plusieurs citoyens trangers.
Lofficier de scurit devra alors lui faire remplir, afin de mettre jour les informations,
une notice individuelle et la transmettre lambassadeur.
Ce changement de situation pourra justifier un rexamen du dossier dhabilitation et, le
cas chant, la saisie du service enquteur en vue de lmission dun nouvel avis.
Le second volet de cet engagement est sign par lintress la cessation de ses
fonctions ou au retrait de lhabilitation, et prcise que les obligations relatives la
protection des informations classifies auxquelles il a pu tre donn accs, perdurent au-
del du terme mis ses fonctions ou son habilitation. Une fois sign, ce second volet
est retourn lambassadeur.

5.7.2- Refus dhabilitation

La dcision de refus dhabilitation est notifie lintress par lofficier de scurit.


Lintress contresigne la dcision, attestant ainsi en avoir pris connaissance.
Si le candidat sollicite, par lexercice dun recours, une explication du rejet de la demande
dhabilitation, il obtient communication des motifs lorsquils ne sont pas classifis.
Lorsquils le sont, le candidat se voit opposer les rgles applicables aux informations
classes.

5.8- Habilitation et changement daffectation

Lorsquune personne habilite change daffectation, son habilitation prend fin et une
autre dcision peut tre prise, si la nouvelle affectation lexige, sur la base de lavis de
scurit en cours.
Si lambassadeur change, lofficier de scurit de lambassade renvoie la dcision
dhabilitation et lengagement de responsabilit lambassadeur sortant.
Afin dinformer le nouvel ambassadeur quun avis de scurit est en cours de validit,
lofficier de scurit de lambassade lui transmet un certificat de scurit.
Si lavis est restrictif ou dfavorable, le nouvel ambassadeur peut, pour prendre sa
dcision, demander connatre les motifs qui lont justifi.
Pour le niveau Trs Secret, lorsque lhabilitation est devenue sans objet en raison du
changement daffectation de son titulaire, lambassadeur en avise le Conseil Suprieur de

71
Dfense et lui renvoie sans dlai la dcision dhabilitation ainsi que lengagement de
responsabilit (volet 2), dment sign.

5.9- Conservation des dcisions

Pendant leur dure de validit, les dcisions dhabilitation sont conserves par lofficier
de scurit. Ces documents, qui portent une mention de protection, ne sont en aucun
cas remis aux intresss ni reproduits.
En cas de ncessit, il peut tre remis aux intresss, par lambassadeur, un certificat de
scurit dlivr pour une mission dtermine et une priode limite. La dlivrance de ces
certificats peut tre dlgue lofficier de scurit. Ce certificat est restitu lofficier
de scurit ds le retour de mission.

5.10- Rpertoire des habilitations

Il est tenu, pour chacun des trois niveaux de classification, un rpertoire :


Des dossiers dhabilitation en cours dinstruction ;
Des habilitations en cours de validit.

Le Conseil Suprieur de Dfense tient jour le rpertoire central des habilitations au


niveau Trs Secret.
Un rapport de suivi trimestriel des personnes habilites est adress au Conseil Suprieur
de Dfense.

5.11- Fin de lhabilitation

Lhabilitation prend fin de trois manires : soit lorsque lintress quitte le poste qui a
motiv son habilitation, soit lorsque la validit de lhabilitation expire, soit parce que
lhabilitation est retire.

72
5.11.1- Cessation des fonctions

Lhabilitation lie loccupation dun poste ou lexercice dune fonction dtermine


expire lorsque son titulaire change daffectation ou cesse ses fonctions. En quittant
lemploi prcis dans la dcision dhabilitation, le titulaire signe, le second volet de
lengagement de responsabilit.

5.11.2- Expiration de validit et renouvellement

Le titulaire dune habilitation dont le terme fix dans la dcision arrive chance signe,
le second volet de son engagement de responsabilit.
Seule une demande de renouvellement, engage dans les formes et les dlais requis,
permet de proroger provisoirement la validit de lhabilitation, afin dviter une
interruption inopportune des conditions demploi, de fonction ou de la mission du
titulaire.
La demande de renouvellement doit tre effectue dans le dlai de six mois et, au plus
tard, un mois avant la date dexpiration de lhabilitation en cours.
Elle doit comprendre une nouvelle demande dhabilitation et trois exemplaires, mis
jour et signs, de la notice individuelle, accompagns de trois photographies datant de
moins dun an.
La validit de la dcision initiale dhabilitation est proroge dune dure maximale de
douze mois aprs premption de lavis de scurit, lorsque le besoin de connatre des
informations classifies subsiste au-del de la dure de validit de cet avis, et la
condition imprative quune demande de renouvellement ait t rgulirement engage,
dans lattente des conclusions de linstruction du nouveau dossier.
Cette prorogation est autorise dans les mmes conditions lorsquune demande, un
niveau suprieur, est formule dans le dlai de six un mois (au plus tard) prcdant la
date dexpiration de lhabilitation en cours.

5.11.3- Retrait dhabilitation

La dcision dhabilitation ne confre pas son bnficiaire de droit acquis son


maintien. Lhabilitation peut tre retire en cours de validit ou loccasion dune

73
demande de renouvellement si lintress ne remplit plus les conditions ncessaires sa
dlivrance, ce qui peut tre le cas lorsque des lments de vulnrabilit apparaissent,
signals par exemple par :
Le service enquteur ;
Le suprieur hirarchique ou lofficier de scurit, la suite dun changement de
situation ou de comportement rvlant un risque pour la scurit nationale.

La dcision de retrait est notifie lintress dans les mmes formes que le refus
dhabilitation, sans que les motifs lui soient communiqus sils sont classifis.
Lintress est inform des voies de recours et des dlais qui lui sont ouverts pour
contester cette dcision.

74
6. Conclusion

Lintgralit de notre travail de mise en place dun SMSI central conformment la


norme ISO/CEI 27001 au sein de lAmbassade du Royaume du Maroc en Tunisie a t
valide et flicite par les Services Centraux au Maroc et le Conseil Suprieur de
Dfense.

A lissue de ce travail, une perspective de gnralisation de cette mise en place sur


lensemble des reprsentations diplomatiques marocaines ltranger est envisage par le
Ministre des Affaires Etrangres pour lanne 2012. Lobjectif futur est daboutir une
certification du rseau diplomatique marocain par un organisme accrdit par lISO do
une nouvelle mission que je serai amen chapoter.

Lobstacle principal rencontr lors de ce travail est sur le volet de diffusion partielle du
contenu de ce rapport pour les raisons acadmiques. Apres deux mois dattente, il mest
autoris de diffuser que les parties contenues dans ce rapport.

Grce au programme poursuivit au sein de ce master, jai pu contribuer au


dveloppement et loptimisation du fonctionnement de lAmbassade du Royaume du
Maroc en Tunisie par la russite de la mise en place dun SMSI central conforme la
norme ISO/CEI 27001.

75
Rfrences

Bibliographie
[3] Alan Calder, The case for ISO 27001. Ed. IT Governance Publishing 2006.
[6] Alan Calder, Information Security Based on ISO 27001/ISO 27002 A Management
Guide Editeur : van Haren Publishing; dition : 2nd edition (31 juillet 2009).
[14] C. Alberts, A. Dorofee, J. Stevens. Introduction to the OCTAVE Approach.
Networked Systems Survivability Program. Carnegie Mellon Software Engineering
Institute Pittsburgh, 2003.
[4] Jean-Louis Le Moigne, La Thorie du systme gnral : Thorie de la modlisation.
Presses Universitaires de France, Paris, 1977.

Webographie
[15] ANRT, Agence Nationale de la Regulation et des Telecommunication. Disponible
sur : http://www.anrt.net.ma
[2] CEN. About us. Disponible sur : http://www.cen.eu/cen/pages/default.aspx
[13] CLUSIF, Prsentation de MEHARI. Disponible sur : http://www.clusif.asso.fr
[18] CODE PENAL MAROCAIN. Disponible sur : http://adala.justice.gov.ma
[11] ENISA Inventory of Risk Management / Risk Assessment Methods and Tools.
Disponible sur : http://www.enisa.europa.eu
[1] ISO. Discover ISO. Disponible sur : http://www.iso.org/iso/home.htm
[7] ISO. Information security management systems. Disponible sur: http://www.iso.org

Notes Directives
[5] ISO 9001. Quality management systems: Requirements. International Organization
for Standardization, Geneva, 2000.
[8] ISO/IEC 27002. Information technology - Security techniques - Code of practice
for information security management. International Organization for
Standardization, Geneva, 2005.
[9] ISO/IEC 27005. Information technology - Security techniques Information
security risk management. International Organization for Standardization, Geneva,
2008.
[10] ISO/IEC 27001. Information technology - Security techniques Information
security management systems - Requirements. International Organization for
Standardization, Geneva, 2005.
[12] EBIOS, Mthode de gestion des risques, ANSSI, Version du 25 janvier 2010.
[17] Note Circulaire du Ministre des Affaires Etrangres et de la Coopration.
[16] Note Directive du Conseil Suprieur de Dfense Marocain.

76
Acronymes
AESC : American Engineering Standards Committee
AFNOR : Association Franaise de Normalisation
ANSSI : Agence Nationale de la Scurit des Systmes dInformation
ASA : American Standards Association
BSI : British Standards Institute
CEI : Commission Electronique Internationale
CEN : Comit Europen de Normalisation
CFISE : Catalogue des Fonctions des Informations de Scurit dEtat
CLUSIF : Club de la Scurit de lInformation Franais
CSD : Conseil Suprieur de Dfense
EBIOS : Etude des Besoins et Identification des Objectifs de Scurit
ENISA : European Network and Information Security Agency
ISNC : Information Sensible Non Classe
ISE : Information de Scurit dEtat
ISO : Organisation Internationale de Normalisation
JTC : Joint Technical Committee
MARION : Mthode dAnalyse de Risques Informatiques Optimise par Niveau
MEHARI : Mthode Harmonise dAnalyse des Risques
MELISA : Mthode dEvaluation de la Vulnrabilit Rsiduelle des Systmes
dArmement
OCTAVE : Operationally Critical Threat, Asset, and Vulnerability Evaluation
PDCA : Plan, Do, Check, Act
PME : Petites et Moyennes Entreprises
SAS : Statistical Analysis System
SMI : Systme de Management de lInformation
SMSI : Systme de Management de la Scurit de lInformation
SoA : Statement of Applicability
TI : Technologies de lInformation
TIC : Technologies de lInformation et de la Communication
VPN : Virtual Private Network
WD : Working Draft
WG : Working Group

77
Tables des indexes

A I
Plan 11, 12, 15, 16, 24, 32, 34,
Act 11, 12, 16, 24, 32, 48, 77 Implmentation 13, 16, 49 44, 45, 77
audit 13, 15, 23, 29, 40, 42, 47, information 0, 2, 11, 12, 15, 16,
50, 51, 52, 53, 54, 55, 56, 9, 17, 18, 19, 20, 21, 22, 24,
17 25, 27, 30, 36, 37, 38, 39, R
authenticit 26, 13 40, 42, 43, 45, 46, 51, 54,
55, 57, 58, 59, 60, 61, 62,
ressources 23, 27, 41, 42, 48, 4,
64, 65, 70, 76, 1, 2, 3, 4, 5,
7
C 6, 7, 9, 10, 11, 12, 13, 14,
risque27, 28, 29, 37, 39, 42, 43,
15, 16, 17
44, 48, 53, 65, 66, 67, 74, 4,
CEI 11, 12, 13, 15, 16, 18, 19, inspections 13, 62
7, 12, 14, 15, 17
21, 22, 24, 25, 26, 27, 28, intgrit 16, 25, 26, 37, 39, 41,
29, 30, 31, 32, 33, 35, 40, 43, 54, 60, 61, 6, 7, 9, 13
41, 42, 44, 45, 46, 47, 48, ISNC 13, 60, 61, 77
ISO/CEI 27001 11, 12, 15, 16, S
49, 51, 53, 56, 75, 77, 1
certificat 71, 72 21, 22, 24, 26, 28, 29, 32,
33, 35, 40, 41, 42, 44, 45, scurit 0, 2, 11, 12, 13, 15, 16,
Check 11, 12, 16, 24, 32, 46,
47, 48, 51, 53, 56, 75, 1 17, 18, 19, 20, 21, 22, 24,
47, 48, 77
25, 26, 27, 28, 29, 30, 34,
classification 13, 41, 57, 58, 59,
35, 37, 38, 39, 40, 41, 42,
60, 61, 64, 69, 72, 3, 4
M 43, 44, 45, 46, 48, 50, 51,
code 20, 37, 7, 13
52, 53, 54, 56, 57, 58, 59,
confidentialit 13, 16, 25, 26,
61, 62, 63, 64, 65, 66, 67,
30, 37, 39, 41, 43, 54, 60, matrise 21
68, 69, 70, 71, 72, 73, 74, 1,
61, 2, 13, 16 management 0, 2, 12, 15, 16,
2, 4, 5, 6, 7, 8, 9, 10, 11, 12,
conformit 27, 28, 33, 44, 46, 17, 18, 21, 23, 24, 29, 33,
13, 14, 15, 16
47, 51, 53, 56, 16 46, 48, 54, 76
Scurit dEtat 13, 57, 59, 60,
menace 37, 66
61, 63, 64, 77
mesure 37, 43, 44, 53, 61, 65,
SMSI 0, 2, 11, 12, 16, 21, 22,
D 67
23, 25, 26, 27, 28, 29, 30,
mesures 20, 21, 23, 25, 26, 27,
33, 34, 35, 36, 37, 38, 39,
Deming 11, 15, 24, 33 28, 29, 30, 34, 37, 38, 40,
40, 43, 45, 46, 47, 48, 51,
disponibilit 16, 25, 26, 37, 39, 42, 43, 44, 45, 46, 48, 56,
52, 53, 54, 55, 56, 58, 62,
41, 43, 54, 60, 61, 6, 7, 15 57, 58, 62, 67, 69, 1, 2, 5, 7,
75, 77, 1
Do 11, 12, 16, 24, 32, 45, 77 9, 10, 11, 12, 13, 16
stratgie 43
Systme 11, 55, 77, 1, 12

G N
T
guide de bonnes pratiques 27, norme 11, 12, 13, 16, 18, 19,
30 20, 21, 23, 24, 25, 26, 27,
TIC 16, 77
28, 29, 32, 33, 35, 37, 41,
44, 45, 46, 47, 48, 49, 50,
51, 53, 56, 75
H V
habilitation 13, 14, 54, 58, 61, vulnrabilit 26, 37, 39, 43, 66,
63, 64, 65, 66, 67, 68, 69,
P
67, 68, 69, 74, 14
70, 71, 72, 73, 74
PDCA 11, 12, 13, 15, 24, 27,
28, 33, 34, 44, 45, 46, 47,
48, 77

78
ISO/CEI 27001:2005(F)

Annexe
(normative)

Objectifs de scurit et mesures de scurit

Les objectifs de scurit et les mesures de scurit numrs dans le Tableau A.1 proviennent
directement et sont aligns sur les objectifs de scurit et les mesures de scurit numrs
dans l'ISO/CEI 27001: 2005, Articles 5 15. Les listes figurant dans ces tableaux ne sont pas
exhaustives et un organisme peut considrer ncessaires des objectifs de scurit et des mesures
de scurit additionnels. Les objectifs de scurit et les mesures de scurit mentionns dans
ces tableaux doivent tre slectionns comme partie intgrante du processus d'application du
SMSI spcifi en 4.2.1.

Les Articles 5 15 de l'ISO/CEI 27001: 2005 fournissent des recommandations de mise en


uvre et des lignes directrices affrentes aux meilleures pratiques, venant l'appui des mesures
spcifies aux paragraphes A.5 A.15.

Tableau A.1 Objectifs de scurit et mesures de scurit

A.5 Politique de scurit


A.5.1 Politique de scurit de l'information
Objectif: Apporter la scurit de linformation une orientation et un soutien de la part de la direction,
conformment aux exigences mtier et aux lois et rglements en vigueur.
Mesure
Document de politique de
A.5.1.1 scurit de linformation Un document de politique de scurit de linformation doit tre
approuv par la direction, puis publi et diffus auprs de
lensemble des salaris et des tiers concerns.
Mesure
Rexamen de la politique de
A.5.1.2 scurit de linformation Pour garantir la pertinence, ladquation et lefficacit de la politique
de scurit de linformation, la politique doit tre rexamine
intervalles fixs pralablement ou en cas de changements majeurs.
A.6 Organisation de la scurit de linformation
A.6.1 Organisation interne
Objectif: Grer la scurit de linformation au sein de lorganisme.
Mesure

A.6.1.1 Implication de la direction La direction doit soutenir activement la politique de scurit au sein
vis--vis de la scurit de de lorganisme au moyen de directives claires, dun engagement
l'information dmontr, dattribution de fonctions explicites et dune
reconnaissance des responsabilits lies la scurit de
linformation.
Mesure
Coordination de la scurit
A.6.1.2 de l'information Les activits relatives la scurit de linformation doivent tre
coordonnes par des intervenants ayant des fonctions et des rles
appropris reprsentatifs des diffrentes parties de lorganisme.
Mesure
A.6.1.3 Attribution des
responsabilits en matire Toutes les responsabilits en matire de scurit de linformation
de scurit de linformation doivent tre dfinies clairement.
Mesure
A.6.1.4 Systme dautorisation
concernant les moyens de Un systme de gestion des autorisations doit tre dfini et mis en
traitement de linformation uvre pour chaque nouveau moyen de traitement de linformation.

1
ISO/CEI 27001:2005(F)

Mesure
Engagements de
A.6.1.5 confidentialit Les exigences en matire dengagements de confidentialit ou de
non-divulgation, conformment aux besoins de lorganisme, doivent
tre identifies et rexamines rgulirement.
Mesure
A.6.1.6 Relations avec les autorits
Des relations appropries doivent tre mises en place avec les
autorits comptentes.
Mesure

A.6.1.7 Relations avec des groupes Des contacts appropris doivent tre entretenus avec des groupes
de spcialistes de spcialistes, des forums spcialiss dans la scurit et des
associations professionnelles.
Mesure
Des rexamens rguliers et indpendants de lapproche retenue par
Rexamen indpendant de lorganisme pour grer et mettre en uvre sa scurit (c'est--dire
A.6.1.8 la scurit de linformation le suivi des objectifs de scurit, les politiques, les procdures et les
processus relatifs la scurit de linformation) doivent tre
effectus ; de tels rexamens sont galement ncessaires lorsque
des changements importants sont intervenus dans la mise en uvre
de la scurit.
A.6.2 Tiers
Objectif: Assurer la scurit de l'information et des moyens de traitement de l'information appartenant l'organisme
et consults, traits, communiqus ou grs par des tiers.
Mesure
A.6.2.1 Identification des risques Les risques pesant sur linformation et les moyens de traitement de
provenant des tiers lorganisme qui dcoulent dactivits impliquant des tiers doivent tre
identifis, et des mesures appropries doivent tre mises en uvre
avant daccorder des accs.
Mesure
A.6.2.2 La scurit et les clients
Tous les besoins de scurit doivent tre traits avant daccorder
aux clients laccs linformation ou aux actifs de lorganisme.
Mesure

La scurit dans les accords Les accords conclus avec des tiers qui portent sur laccs, le
A.6.2.3 conclus avec des tiers traitement, la communication ou la gestion de linformation, ou des
moyens de traitement de linformation de lorganisme, ou qui portent
sur lajout de produits ou de services aux moyens de traitement de
linformation, doivent couvrir lensemble des exigences applicables
en matire de scurit.

2
ISO/CEI 27001:2005(F)

A.7 Gestion des actifs


A.7.1 Responsabilits relatives aux actifs
Objectif: Mettre en place et maintenir une protection approprie des actifs de lorganisme.
Mesure
A.7.1.1 Inventaire des actifs
Tous les actifs doivent tre clairement identifis et un inventaire
de tous les actifs importants doit tre ralis et gr.
Mesure

A.7.1.2 Proprit des actifs La proprit de chaque information et des moyens de traitement
de linformation doit tre attribue3) une partie dfinie de
lorganisme.
Mesure
A.7.1.3 Utilisation correcte des actifs Des rgles permettant lutilisation correcte de linformation et
des actifs associs aux moyens de traitement de linformation
doivent tre identifies, documentes et mises en uvre.
A.7.2 Classification des informations
Objectif: Garantir un niveau de protection appropri aux informations.
Mesure
A.7.2.1 Lignes directrices pour la Les informations doivent tre classes en termes de
classification valeur, dexigences lgales, de sensibilit et de criticit.
Mesure

A.7.2.2 Marquage et manipulation Un ensemble appropri de procdures pour le marquage et


de l'information la manipulation de linformation doit tre labor et mis en
uvre conformment au plan de classification adopt par
lorganisme.

3) Explication: Le terme "propritaire" identifie une personne ou une entit ayant accept la responsabilit du
contrle de la production, de la mise au point, de la maintenance, de lutilisation et de la protection des actifs. Ce
terme ne signifie pas que la personne jouit proprement parler de droits de proprit sur l'actif.

3
ISO/CEI 27001:2005(F)

A.8 Scurit lie aux ressources humaines

A.8.1 Avant le recrutement4)


Objectif: Garantir que les salaris, contractants et utilisateurs tiers connaissent leurs responsabilits et quils
conviennent pour les fonctions qui leur sont attribues et rduire le risque de vol, de fraude ou de mauvais usage
des quipements.
Mesure
A.8.1.1 Rles et responsabilits Les rles et responsabilits en matire de scurit des salaris,
contractants et utilisateurs tiers doivent tre dfinis et documents
conformment la politique de scurit de linformation de
lorganisme.
Mesure

A.8.1.2 Slection Quil sagisse de postulants, de contractants ou dutilisateurs tiers,


les vrifications des informations concernant tous les candidats
doivent tre ralises conformment aux lois, aux rglements et
ltique et doivent tre proportionnelles aux exigences mtier, la
classification des informations accessibles et aux risques identifis.
Mesure

A.8.1.3 Conditions dembauche Dans le cadre de leurs obligations contractuelles, les salaris,
contractants et utilisateurs tiers doivent se mettre daccord sur les
modalits du contrat dembauche les liant et le signer. Ce contrat
doit dfinir leurs responsabilits et celles de lorganisme quant la
scurit de linformation.
A.8.2 Pendant la dure du contrat
Objectif: Veiller ce que tous les salaris, contractants et utilisateurs tiers soient conscients des menaces pesant
sur la scurit de linformation, de leurs responsabilits financires ou autres, et disposent des lments requis
pour prendre en charge la politique de scurit de lorganisme dans le cadre de leur activit normale et rduire le
risque derreur humaine.
Mesure

A.8.2.1 Responsabilits de la La direction doit demander aux salaris, contractants et utilisateurs


direction tiers dappliquer les rgles de scurit conformment aux politiques
et procdures tablies de lorganisme.
Mesure

A.8.2.2 Sensibilisation, qualification Lensemble des salaris dun organisme et, le cas chant, les
et formations en matire de contractants et utilisateurs tiers doivent suivre une formation
scurit de linformation adapte sur la sensibilisation et doivent recevoir rgulirement les
mises jour des politiques et procdures de lorganisme,
pertinentes pour leurs fonctions.
Mesure
A.8.2.3 Processus disciplinaire
Un processus disciplinaire formel doit tre labor pour les salaris
ayant enfreint les rgles de scurit.

4) Explication: Le terme "recrutement" dfini ici couvre toutes les diffrentes situations suivantes: recrutement de
personnes (dure provisoire ou plus longue dure), affectation de domaines d'activit, modification de domaines d'activit,
cession de contrats et rsiliation de l'un de ces contrats.

4
ISO/CEI 27001:2005(F)

A.8.3 Fin ou modification du contrat


Objectif: Veiller ce que les salaris, contractants et utilisateurs tiers quittent un organisme ou changent de
poste selon une procdure dfinie.
Mesure
A.8.3.1
Responsabilits en fin de Les responsabilits relatives aux fins ou aux modifications de
contrat contrats doivent tre clairement dfinies et attribues.
Mesure

A.8.3.2 Restitution des actifs Tous les salaris, contractants et utilisateurs tiers doivent restituer la
totalit des actifs de lorganisme quils ont en leur possession la fin
de leur priode demploi, contrat ou accord.
Mesure
A.8.3.3 Retrait des droits daccs Les droits daccs de lensemble des salaris, contractants et
utilisateurs tiers linformation et aux moyens de traitement de
linformation doivent tre supprims la fin de leur priode demploi,
ou modifis en cas de modification du contrat ou de laccord.
A.9 Scurit physique et environnementale
A.9.1 Zones scurises
Objectif: Empcher tout accs physique non autoris, tout dommage ou intrusion dans les locaux ou portant sur
les informations de lorganisme.
Mesure

A.9.1.1 Primtre de scurit Les zones contenant des informations et des moyens de traitement
physique de linformation doivent tre protges par des primtres de
scurit (obstacles tels que des murs, des portes avec un contrle
daccs par cartes, ou des bureaux de rception avec personnel
daccueil).
Mesure
Contrles physiques des
A.9.1.2 accs Les zones scurises doivent tre protges par des contrles
lentre adquats pour sassurer que seul le personnel habilit est
admis.
Mesure
A.9.1.3 Scurisation des bureaux,
des salles et des Des mesures de scurit physique doivent tre conues et
quipements appliques pour les bureaux, les salles et les quipements.
Mesure

A.9.1.4 Protection contre les Des mesures de protection physique contre les dommages causs
menaces extrieures et par les incendies, les inondations, les tremblements de terre, les
environnementales explosions, les troubles civils et autres formes de catastrophes
naturelles ou de sinistres provoqus par lhomme, doivent tre
conues et appliques.
Mesure
A.9.1.5
Travail dans les zones Des mesures de protection physique et des directives pour le travail
scurises en zone scurise doivent tre conues et appliques.
Mesure

A.9.1.6 Zones daccs public, de Les points daccs tels que les zones de livraison/chargement et les
livraison et de chargement autres points par lesquels des personnes non habilites peuvent
pntrer dans les locaux doivent tre contrls. Les points daccs
doivent galement, si possible, tre isols des moyens de traitement
de linformation, de faon viter les accs non autoriss.

5
ISO/CEI 27001:2005(F)

A.9.2 Scurit du matriel


Objectif: Empcher la perte, lendommagement, le vol ou la compromission des actifs et linterruption des activits
de lorganisme.
Mesure
Choix de lemplacement et
A.9.2.1 protection du matriel Le matriel doit tre situ et protg de manire rduire les
risques de menaces et de dangers environnementaux et les
possibilits daccs non autoris.
Mesure
A.9.2.2 Services gnraux
Le matriel doit tre protg des coupures de courant et autres
perturbations dues une dfaillance des services gnraux.
Mesure

A.9.2.3 Scurit du cblage Les cbles lectriques ou de tlcommunications transportant des


donnes doivent tre protgs contre toute interception
dinformation ou dommage.
Mesure
A.9.2.4 Maintenance du matriel
Le matriel doit tre entretenu correctement pour garantir sa
disponibilit permanente et son intgrit.
Mesure
Scurit du matriel hors
A.9.2.5 La scurit doit tre applique au matriel utilis hors des locaux de
des locaux
lorganisme en tenant compte des diffrents risques associs au
travail hors site.
Mesure

Mise au rebut ou recyclage Tout le matriel contenant des supports de stockage doit tre vrifi
A.9.2.6 scuris(e) du matriel pour sassurer que toute donne sensible a bien t supprime et
que tout logiciel sous licence a bien t dsinstall ou cras de
faon scurise, avant sa mise au rebut.
Mesure

A.9.2.7 Sortie d'un actif Un matriel, des informations ou des logiciels ne doivent pas tre
sortis des locaux de lorganisme sans autorisation pralable.
A.10 Gestion de lexploitation et des tlcommunications
A.10.1 Procdures et responsabilits lies l'exploitation
Objectif: Assurer lexploitation correcte et scurise des moyens de traitement de linformation.
Mesure
Procdures dexploitation Les procdures dexploitation doivent tre documentes, tenues
A.10.1.1
documentes jour et disponibles pour tous les utilisateurs concerns.
Mesure
Management des Les changements apports aux systmes et moyens de traitement
A.10.1.2
modifications de linformation doivent tre contrls.
Mesure
A.10.1.3 Sparation des tches Les tches et les domaines de responsabilit doivent tre spars
pour rduire les occasions de modification ou de mauvais usage non
autoris(e) ou involontaire des actifs de lorganisme.
Mesure
A.10.1.4 Sparation des quipements Les quipements de dveloppement, d'essai et dexploitation
de dveloppement, d'essai doivent tre spars pour rduire les risques daccs ou de
et dexploitation changements non autoriss dans le systme dinformation en
exploitation.

6
ISO/CEI 27001:2005(F)

A.10.2 Gestion de la prestation de service conclus avec un tiers


Objectif: Mettre en uvre et maintenir un niveau de scurit de linformation et de service adquat et conforme
aux accords de prestation de service conclus avec un tiers.
Mesure
Il doit tre assur que les mesures de scurit, les dfinitions du
A.10.2.1 Prestation de service service et les niveaux de prestation prvus dans laccord de
prestation de service tiers sont mis en uvre, appliqus et tenus
jour par le tiers.
Mesure
Surveillance et examen des
A.10.2.2 Les services, rapports et enregistrements fournis par les tiers
services tiers
doivent tre rgulirement contrls et rexamins, et des audits
doivent tre rgulirement raliss.
Mesure

A.10.2.3 Gestion des modifications Les changements effectus dans la prestation de service,
dans les services tiers comprenant le maintien et lamlioration des politiques, procdures
et mesures existant en matire de scurit de linformation, doivent
tre grs en tenant compte de la criticit des systmes et
processus de gestion concerns et de la rvaluation du risque.
A.10.3 Planification et acceptation du systme

Objectif: Rduire le plus possible le risque de pannes du systme.


Mesure

A.10.3.1 Dimensionnement Lutilisation des ressources doit tre surveille et ajuste au plus
prs, et des projections doivent tre faites sur les dimensionnements
futurs pour assurer les performances requises par le systme.
Mesure

A.10.3.2 Acceptation du systme Les critres dacceptation doivent tre fixs pour les nouveaux
systmes dinformation, les nouvelles versions et les mises
niveau, et les tests adapts du (des) systme(s) doivent tre
raliss au moment du dveloppement et pralablement leur
acceptation.
A.10.4 Protection contre les codes malveillant et mobile
Objectif: Protger lintgrit des logiciels et de linformation.
Mesure
A.10.4.1 Mesures contre les codes Des mesures de dtection, de prvention et de recouvrement pour
malveillants se protger des codes malveillants ainsi que des procdures
appropries de sensibilisation des utilisateurs doivent tre mises en
uvre.
Mesure
A.10.4.2 Mesures contre le code Lorsque lutilisation de code mobile est autorise, la configuration
mobile doit garantir que le code mobile fonctionne selon une politique de
scurit clairement dfinie et tout code mobile non autoris doit tre
bloqu.
A.10.5 Sauvegarde
Objectif: Maintenir lintgrit et la disponibilit des informations et des moyens de traitement de linformation.
Mesure
Sauvegarde des
A.10.5.1 informations Des copies de sauvegarde des informations et logiciels doivent tre
ralises et soumises rgulirement essai conformment la
politique de sauvegarde convenue.

7
ISO/CEI 27001:2005(F)

A.10.6 Gestion de la scurit des rseaux


Objectif: Assurer la protection des informations sur les rseaux et la protection de linfrastructure sur laquelle elles
sappuient.
Mesure
A.10.6.1 Mesures sur les rseaux
Les rseaux doivent tre grs et contrls de manire adquate
pour quils soient protgs des menaces et pour maintenir la
scurit des systmes et des applications utilisant le rseau,
notamment les informations en transit.
Mesure
A.10.6.2 Scurit des services rseau
Pour tous les services rseau, les fonctions rseau, les niveaux de
service et les exigences de gestion doivent tre identifis et intgrs
dans tout accord sur les services rseau, quils soient fournis en
interne ou en externe.
A.10.7 Manipulation des supports
Objectif: Empcher la divulgation, la modification, le retrait ou la destruction non autoris(e) d'actifs et linterruption
des activits de lorganisme.

Gestion des supports Mesure


A.10.7.1 amovibles Des procdures doivent tre mises en place pour la gestion des
supports amovibles.
Mesure
A.10.7.2 Mise au rebut des supports
Les supports qui ne servent plus doivent tre mis au rebut de faon
sre, en suivant des procdures formelles.
Mesure
Procdures de manipulation
A.10.7.3 des informations Des procdures de manipulation et de stockage des informations
doivent tre tablies pour protger ces informations dune
divulgation non autorise ou dun mauvais usage.

Scurit de la Mesure
A.10.7.4 documentation systme La documentation systme doit tre protge contre les accs non
autoriss.

8
ISO/CEI 27001:2005(F)

A.10.8 Echange des informations


Objectif: Maintenir la scurit des informations et des logiciels changs au sein de lorganisme et avec une entit
extrieure.
Mesure
Politiques et procdures
A.10.8.1 dchange des informations Des politiques, procdures et mesures dchange formelles doivent
tre mises en place pour protger les changes dinformations lies
tous types dquipements de tlcommunication.
Mesure
A.10.8.2 Accords dchange
Des accords doivent tre conclus pour lchange dinformations et
de logiciels entre lorganisme et la partie externe.
Mesure
Supports physiques en
A.10.8.3 transit Les supports contenant des informations doivent tre protgs
contre les accs non autoriss, le mauvais usage ou laltration lors
du transport hors des limites physiques de lorganisme.
Mesure
A.10.8.4 Messagerie lectronique
Les informations lies la messagerie lectronique doivent tre
protges de manire adquate.
Mesure
Systmes dinformation
A.10.8.5 dentreprise Des politiques et procdures doivent tre labores et mises en
uvre pour protger linformation lie linterconnexion de
systmes dinformations dentreprise.
A.10.9 Services de commerce lectronique
Objectif: Assurer la scurit des services de commerce lectronique, ainsi que leur utilisation scurise.
Mesure
Les informations lies au commerce lectronique transmises sur les
A.10.9.1 Commerce lectronique rseaux publics doivent tre protges contre les activits
frauduleuses, les litiges sur les contrats et la divulgation et la
modification non autorises.
Mesure
A.10.9.2 Transactions en ligne Les informations lies aux transactions en ligne doivent tre
protges pour empcher la transmission incomplte, les erreurs
dacheminement, la modification non autorise, la divulgation non
autorise, la duplication non autorise du message ou la rmission.
Mesure
Informations disposition du
A.10.9.3
public Lintgrit des informations mises disposition sur un systme
accessible au public doit tre protge pour empcher toute
modification non autorise.
A.10.10 Surveillance
Objectif: Dtecter les traitements non autoriss de linformation.
Mesure
Les journaux daudit, qui enregistrent les activits des utilisateurs,
A.10.10.1 Journaux daudit les exceptions et les vnements lis la scurit doivent tre
produits et conservs pendant une priode pralablement dfinie
afin de faciliter les investigations ultrieures et la surveillance du
contrle daccs.
Mesure
Surveillance de lexploitation
A.10.10.2
du systme Des procdures permettant de surveiller lutilisation des moyens de
traitement de linformation doivent tre tablies et les rsultats des
activits de surveillance doivent tre rexamins priodiquement.

9
ISO/CEI 27001:2005(F)

Mesure
A.10.10.3
Protection des informations Les quipements de journalisation et les informations journalises
journalises doivent tre protgs contre le sabotage et les accs non autoriss.
Mesure
A.10.10.4
Journal administrateur et Les activits de ladministrateur systme et de loprateur systme
journal des oprations doivent tre journalises.
Mesure
A.10.10.5 Rapports danomalies
Les ventuels dfauts doivent tre journaliss et analyss et les
mesures appropries doivent tre prises.
Mesure
A.10.10.6 Synchronisation des Les horloges des diffrents systmes de traitement de linformation
horloges dun organisme ou dun domaine de scurit doivent tre
synchronises laide dune source de temps prcise et
pralablement dfinie.
A.11 Contrle d'accs
A.11.1 Exigences mtier relatives au contrle d'accs
Objectif: Matriser laccs linformation.
Mesure
A.11.1.1 Politique de contrle daccs
Une politique de contrle daccs doit tre tablie, documente et
rexamine sur la base des exigences mtier et de scurit.
A.11.2 Gestion des accs des utilisateurs
Objectif: Contrler laccs des utilisateurs autoriss et empcher les accs non autoriss aux systmes
dinformation.
Mesure
Enregistrement des
A.11.2.1 Une procdure formelle dinscription et dsinscription des
utilisateurs
utilisateurs destine accorder et supprimer laccs tous les
systmes et services dinformation doit tre dfinie.
Mesure
A.11.2.2 Gestion des privilges
Lattribution et lutilisation des privilges doivent tre restreintes et
contrles.
Mesure
A.11.2.3
Gestion du mot de passe Lattribution de mots de passe doit tre ralise dans le cadre dun
utilisateur processus formel.

Rexamen des droits Mesure


A.11.2.4 daccs utilisateurs La direction doit rexaminer les droits daccs utilisateurs
intervalles rguliers par le biais dun processus formel.

10
ISO/CEI 27001:2005(F)

A.11.3 Responsabilits de lutilisateur


Objectif: Empcher laccs dutilisateurs non habilits et la compromission ou le vol dinformations et de moyens de
traitement de linformation.
Mesure

A.11.3.1 Utilisation du mot de passe Il doit tre demand aux utilisateurs de respecter les bonnes
pratiques de scurit lors de la slection et de lutilisation de mots
de passe.

Matriel utilisateur Mesure


A.11.3.2 laiss sans surveillance Les utilisateurs doivent sassurer que tout matriel laiss sans
surveillance est dot dune protection approprie.
Mesure
A.11.3.3 Politique du bureau Une politique du bureau propre doit tre adopte pour les
propre et de lcran vide documents papier et les supports de stockage amovibles, et une
politique de lcran vide doit galement tre adopte pour les
moyens de traitement de linformation.
A.11.4 Contrle d'accs rseau
Objectif: Empcher les accs non autoriss aux services disponibles sur le rseau.
Mesure
A.11.4.1 Politique relative
lutilisation des services en Les utilisateurs doivent avoir uniquement accs aux services pour
rseau lesquels ils ont spcifiquement reu une autorisation.
Mesure
A.11.4.2 Authentification de
lutilisateur pour les Des mthodes dauthentification appropries doivent tre utilises pour
connexions externes contrler laccs des utilisateurs distants.
Mesure
Identification des matriels
A.11.4.3
en rseaux Lidentification automatique de matriels doit tre considre
comme un moyen dauthentification des connexions partir de lieux et
matriels spcifiques.
Mesure
A.11.4.4 Protection des ports de
diagnostic et de Laccs physique et logique aux ports de diagnostic et de
configuration distance configuration distance doit tre contrl.
Mesure
Cloisonnement des rseaux
Les groupes de services dinformation, dutilisateurs et de systmes
A.11.4.5 dinformation doivent tre spars sur le rseau.
Mesure
Mesure relative la
A.11.4.6 connexion rseau Pour les rseaux partags, en particulier les rseaux qui stendent au-
del des limites de lorganisme, la capacit de connexion rseau des
utilisateurs doit tre restreinte, conformment la politique de contrle
daccs et aux exigences relatives aux applications mtier (voir 11.1)

Mesure
A.11.4.7 Contrle du routage rseau
Des mesures du routage des rseaux doivent tre mises en uvre afin
dviter que les connexions rseau et les flux dinformations ne portent
atteinte la politique de contrle daccs des applications mtier.

11
ISO/CEI 27001:2005(F)

A.11.5 Contrle d'accs au systme d'exploitation


Objectif: Empcher les accs non autoriss aux systmes dexploitation.

Ouverture de sessions Mesure


A.11.5.1 scurises Laccs aux systmes dexploitation doit tre soumis une
procdure scurise douverture de session.

Identification et Mesure
authentification de Un identifiant unique et exclusif doit tre attribu chaque utilisateur
A.11.5.2
lutilisateur et une technique dauthentification doit tre choisie, permettant de
vrifier lidentit dclare par lutilisateur.

Systme de gestion des Mesure


A.11.5.3 mots de passe Les systmes qui grent les mots de passe doivent tre interactifs et
doivent fournir des mots de passe de qualit.
Mesure
Emploi des utilitaires
A.11.5.4
systme Lemploi des programmes utilitaires permettant de contourner les
mesures dun systme ou dune application doit tre limit et
contrl troitement.

Dconnexion automatique Mesure


A.11.5.5 des sessions inactives Les sessions inactives doivent tre dconnectes aprs une priode
dinactivit dfinie.

Limitation du temps de Mesure


A.11.5.6 connexion Les temps de connexion doivent tre restreints afin dapporter un
niveau de scurit supplmentaire aux applications haut risque.
A.11.6 Contrle d'accs aux applications et l'information
Objectif: Empcher les accs non autoriss aux informations stockes dans les applications.
Mesure
Restriction daccs
A.11.6.1 linformation Pour les utilisateurs et le personnel charg de lassistance
technique, laccs aux informations et aux fonctions applicatives doit
tre restreint conformment la politique de contrle daccs.

Isolement des systmes Mesure


A.11.6.2 sensibles Les systmes sensibles doivent disposer d'un environnement
informatique ddi (isol).
A.11.7 Informatique mobile et tltravail
Objectif: Garantir la scurit de linformation lors de lutilisation dappareils informatiques mobiles et dquipements
de tltravail.
Mesure
A.11.7.1 Informatique et Une procdure formelle et des mesures de scurit appropries
communications mobiles doivent tre mises en place pour assurer une protection contre le
risque li lutilisation dappareils informatiques et de
communication mobiles.
Mesure
A.11.7.2 Tltravail
Une politique, des procdures et des programmes oprationnels
spcifiques au tltravail doivent tre labors et mis en uvre.

12
ISO/CEI 27001:2005(F)

A.12 Acquisition, dveloppement et maintenance des systmes dinformation


A.12.1 Exigences de scurit applicables aux systmes d'information
Objectif: Veiller ce que la scurit fasse partie intgrante des systmes dinformation.
Mesure
Analyse et spcification des
A.12.1.1 exigences de scurit Les exigences mtier relatives aux nouveaux systmes
dinformation ou les amliorations apportes aux systmes
dinformation existants doivent spcifier les exigences de scurit.
A.12.2 Bon fonctionnement des applications
Objectif: Empcher toute erreur, perte, modification non autorise ou tout mauvais usage des informations dans les
applications.

Validation des donnes en Mesure


A.12.2.1 entre Les donnes entres dans les applications doivent tre valides afin
de vrifier si elles sont correctes et appropries.
Mesure
Mesure relative au
A.12.2.2 traitement interne Des contrles de validation doivent tre inclus dans les applications
afin de dtecter les ventuelles altrations de linformation dues
des erreurs de traitement ou des actes dlibrs.
Mesure
A.12.2.3 Intgrit des messages
Les exigences permettant dassurer lauthentification et la protection
de lintgrit des messages dans les applications doivent tre
identifies, et des mesures appropries doivent tre identifies et
mises en uvre.
Mesure
Validation des donnes en
A.12.2.4 sortie Les donnes de sortie dune application doivent tre valides pour
assurer que le traitement des informations stockes est correct et
adapt aux circonstances.
A.12.3 Mesures cryptographiques
Objectif: Protger la confidentialit, lauthenticit ou lintgrit de linformation par des moyens cryptographiques.
Mesure
A.12.3.1
Politique dutilisation des Une politique dutilisation des mesures cryptographiques en vue de
mesures cryptographiques protger linformation doit tre labore et mise en uvre.
Mesure
A.12.3.2 Gestion des cls
Une procdure de gestion des cls doit favoriser lutilisation par
lorganisme de techniques cryptographiques.
A.12.4 Scurit des fichiers systme
Objectif: Garantir la scurit des fichiers systme.

Mesure relative aux logiciels Mesure


A.12.4.1 en exploitation Des procdures doivent tre mises en place pour contrler
linstallation du logiciel sur les systmes en exploitation.

Protection des donnes Mesure


A.12.4.2 systme dessai Les donnes dessai doivent tre slectionnes avec soin,
protges et contrles.

A.12.4.3 Mesure
Contrle daccs au code
source du programme Laccs au code source du programme doit tre restreint.

13
ISO/CEI 27001:2005(F)

A.12.5 Scurit en matire de dveloppement et dassistance technique


Objectif: Garantir la scurit du logiciel et des informations dapplication.

Procdures de contrle des Mesure


A.12.5.1 modifications La mise en uvre des modifications doit tre contrle par le biais
de procdures formelles.

Rexamen technique des Mesure


A.12.5.2 applications aprs Lorsque des modifications sont apportes aux systmes
modification du systme dexploitation, les applications critiques mtier doivent tre
dexploitation rexamines et testes afin de vrifier labsence de tout effet
indsirable sur lactivit ou sur la scurit.
Mesure
Restrictions relatives la
A.12.5.3 La modification des progiciels ne doit pas tre encourage, et doit
modification des progiciels
tre limite aux changements ncessaires. Un contrle strict doit
galement tre exerc sur ces modifications.

A.12.5.4 Fuite dinformations Mesure


Toute possibilit de fuite dinformations doit tre empche.

Externalisation du Mesure
A.12.5.5 dveloppement logiciel Le dveloppement logiciel externalis doit tre encadr et contrl
par l'organisme.
A.12.6 Gestion des vulnrabilits techniques
Objectif: Rduire les risques lis lexploitation des vulnrabilits techniques ayant fait lobjet dune publication.
Mesure
Mesure relative aux
A.12.6.1 vulnrabilits techniques Toute information concernant toute vulnrabilit technique des
systmes dinformation en exploitation doit tre obtenue temps,
lexposition de lorganisme aux dites vulnrabilits doit tre value
et les actions appropries doivent tre entreprises pour traiter le
risque associ.
A.13 Gestion des incidents lis la scurit de linformation
A.13.1 Remonte des vnements et des failles lis la scurit de linformation
Objectif: Garantir que le mode de notification des vnements et failles lis la scurit de linformation permet la
mise en uvre dune action corrective, dans les meilleurs dlais.

Remonte des vnements Mesure


A.13.1.1 lis la scurit de Les vnements lis la scurit de linformation doivent tre
linformation signals, dans les meilleurs dlais, par les voies hirarchiques
appropries.
Mesure
A.13.1.2 Remonte des failles de Il doit tre demand tous les salaris, contractants et utilisateurs
scurit tiers des systmes et services dinformation de noter et de signaler
toute faille de scurit observe ou souponne dans les systmes
ou services.

14
ISO/CEI 27001:2005(F)

A.13.2 Gestion des incidents lis la scurit de linformation et des amliorations


Objectif: Garantir la mise en place dune approche cohrente et efficace pour la gestion des incidents lis la
scurit de linformation.
Mesure
Responsabilits et
A.13.2.1 procdures Des responsabilits et des procdures doivent tre tablies,
permettant de garantir une rponse rapide, efficace et pertinente en
cas dincident li la scurit de linformation.

Exploitation des incidents Mesure


A.13.2.2 lis la scurit de Des mcanismes doivent tre mis en place, permettant de quantifier
linformation dj survenus et surveiller les diffrents types dincidents lis la scurit de
linformation ainsi que leur volume et les cots associs.
Mesure
A.13.2.3 Collecte de preuves
Lorsquune action en justice civile ou pnale est engage contre une
personne physique ou un organisme, la suite dun incident li la
scurit de linformation, les lments de preuve doivent tre
recueillis, conservs et prsents conformment aux dispositions
lgales relatives la prsentation de preuves rgissant la ou les
juridiction(s) comptente(s).
A.14 Gestion de la continuit de lactivit
A.14.1 Gestion de la continuit de lactivit dun point de vue aspects de la scurit de linformation
Objectif: Empcher les interruptions des activits de lorganisme, protger les processus mtier cruciaux des effets
causs par les dfaillances majeures des systmes dinformation ou par des sinistres et garantir une reprise de ces
processus dans les meilleurs dlais.

Intgration de la scurit de Mesure


linformation dans le Un processus de continuit de lactivit dans lensemble de
A.14.1.1 processus de gestion du lorganisme doit tre labor et gr, qui satisfait aux exigences en
plan de continuit de matire de scurit de linformation requises pour la continuit de
lactivit lactivit de lorganisme.
Mesure
A.14.1.2 Continuit de lactivit et Les vnements pouvant tre lorigine dinterruptions des
apprciation du risque processus mtier doivent tre identifis, tout comme la probabilit et
limpact de telles interruptions et leurs consquences pour la
scurit de linformation.

laboration et mise en Mesure


A.14.1.3 uvre des plans de Des plans doivent tre labors et mis en uvre pour maintenir ou
continuit intgrant la restaurer lexploitation et assurer la disponibilit des informations au
scurit de linformation niveau et dans les dlais requis suite une interruption ou une
panne affectant les processus mtier cruciaux.
Mesure

A.14.1.4 Cadre de la planification de Un cadre unique pour les plans de continuit de lactivit doit tre
la continuit de lactivit gr afin de garantir la cohrence de lensemble des plans, de
satisfaire de manire constante aux exigences en matire de
scurit de linformation et didentifier les priorits en matire de
mise lessai et de maintenance.
Mise lessai, gestion et Mesure
A.14.1.5 rvaluation constante des
plans de continuit de Les plans de continuit de lactivit doivent tre tests et mis jour
lactivit rgulirement afin de sassurer quils sont actualiss et efficaces.

15
ISO/CEI 27001:2005(F)

A.15 Conformit
A.15.1 Conformit aux exigences lgales
Objectif: Eviter toute violation des obligations lgales, statutaires, rglementaires ou contractuelles et des
exigences de scurit.
Mesure
A.15.1.1 Identification de la lgislation Pour chaque systme dinformation et pour lorganisme, toutes les
en vigueur exigences lgales, rglementaires et contractuelles en vigueur
doivent tre dfinies, documentes et mises jour, ainsi que la
procdure utilise par lorganisme pour satisfaire ces exigences.
Mesure

A.15.1.2 Droits de proprit Des procdures appropries doivent tre mises en uvre, visant
intellectuelle (DPI) garantir la conformit avec les exigences lgales, rglementaires et
contractuelles concernant lutilisation du matriel pouvant tre
soumis des droits de proprit intellectuelle et lutilisation des
logiciels propritaires.

A.15.1.3 Protection des Mesure


enregistrements de Les enregistrements importants doivent tre protgs contre la
lorganisme perte, destruction et falsification conformment aux exigences
lgales, rglementaires et aux exigences mtier.
Mesure
Protection des donnes et
A.15.1.4 La protection et la confidentialit des donnes doivent tre
confidentialit des
informations relatives la garanties, telles que lexigent la lgislation ou les rglementations
vie prive applicables, et les clauses contractuelles le cas chant.
Mesure prventive lgard Mesure
du mauvais usage des
moyens de traitement de Les utilisateurs doivent tre dissuads de toute utilisation de
A.15.1.5 linformation moyens de traitement de linformation des fins illgales.

Rglementation relative aux Mesure


A.15.1.6 mesures cryptographiques Des mesures cryptographiques doivent tre prises conformment
aux accords, lois et rglementations applicables.
A.15.2 Conformit avec les politiques et normes de scurit et conformit technique
Objectif: Sassurer de la conformit des systmes avec les politiques et normes de scurit de lorganisme.
Mesure
Conformit avec les
A.15.2.1 politiques et les normes de Les responsables doivent sassurer de lexcution correcte de
scurit lensemble des procdures de scurit places sous leur
responsabilit en vue de garantir leur conformit avec les politiques
et normes de scurit.

A.15.2.2 Vrification de la conformit Mesure


technique La conformit des systmes dinformation avec les normes relatives
la mise en uvre de la scurit doit tre vrifie rgulirement.

16
ISO/CEI 27001:2005(F)

A.15.3 Prises en compte de l'audit du systme d'information


Objectif: Optimiser lefficacit et rduire le plus possible linterfrence avec le/du processus daudit du systme
dinformation.
Mesure
A.15.3.1
Contrles de laudit du Les exigences daudit et les activits impliquant des contrles des
systme dinformation systmes en exploitation doivent tre planifies de manire prcise
et doivent tre le rsultat dun accord afin de rduire le plus possible
le risque de perturbations des processus mtier.

Protection des outils daudit Mesure


A.15.3.2 du systme dinformation Laccs aux outils daudit du systme dinformation doit tre protg
afin dempcher tous mauvais usage ou compromission ventuels.

17
0