Vous êtes sur la page 1sur 392

Management de la Sécurité

Pr. M.D. El Kettani


ISO 27001 LI
Plan
• La sécurité de l’information
• La planification du SMSI
• La mise en œuvre de la SMSI
• Le contrôle, l’audit, l’amélioration du SMSI
Plan détaillé
• La sécurité de l’information
1. Cadre normatif et réglementaire
2. Principes fondamentaux de la sécurité de l’information
3. Systèmes de management de la sécurité de l’information
4. Analyse préliminaire du projet
5. Planification du projet
• La planification du SMSI
• La mise en œuvre de la SMSI
• Le contrôle, l’audit, l’amélioration du SMSI
Plan détaillé
• La sécurité de l’information
• La planification du SMSI
1. Gouvernance
2. Analyse du risque
3. Déclaration d’applicabilité
• La mise en œuvre de la SMSI
• Le contrôle, l’audit, l’amélioration du SMSI
Plan détaillé
• La sécurité de l’information
• La planification du SMSI
• La mise en œuvre de la SMSI
1. Gestion documentaire
2. Design des mesures de contrôle et procédures
3. Mise en œuvre des mesures de contrôle
4. Formation, sensibilisation et communication
5. Gestion des incidents
6. Gestion des opérations
• Le contrôle, l’audit, l’amélioration du SMSI
Plan détaillé
• La sécurité de l’information
• La planification du SMSI
• La mise en œuvre de la SMSI
• Le contrôle, l’audit, l’amélioration du SMSI
1. Monitoring des mesures de contrôle
2. Mesure de la performance des mesures de contrôle
3. Audit interne du SMSI
4. Amélioration continue
5. Audit de certification
La sécurité de
l’information

La sécurité de l’information
1. Cadre normatif et réglementaire
2. Principes fondamentaux
3. Systèmes de management de la sécurité de
l’information
4. Analyse préliminaire du projet
5. Planification du projet
La sécurité de
l’information

1. Cadre normatif et réglementaire


La sécurité de
l’information

1. Cadre normatif et réglementaire


• Organisation Internationale de Normalisation
(ISO):
– Fédération internationale d’organisations
normalisatrices nationales de plus de 150 pays
– Résultats finaux des travaux de l’ISO publiés en
tant que normes internationales
– Plus de 16000 normes publiées depuis 1947
La sécurité de
l’information

1.1. Principes de base des normes ISO


• Représentation égale: 1 vote par pays
• Adhésion volontaire: ISO n’a pas d’autorité en
tant qu’ONG pour leur mise en application
• Orientation d’affaires: ne développe que des
normes qui comblent des besoins du marché
• Approche par consensus des différentes parties
prenantes
• Coopération internationale: plus de 150 pays
membres
La sécurité de
l’information

1.2. Sous-comité ISO/JTC1/SC27

ISO/CEI Exigences, services de


ISO JTC1/SCxx WG1
sécurité et directives
JTC1

Techniques et mécanismes
JTC1/SC27 WG2
de sécurité

Critères d’évaluation de la
WG3
sécurité

Services et contrôles de
WG4
sécurité

Sécurité biométrique,
WG5
identité et vie privée
La sécurité de
l’information

1.3. Définitions
• Règlementation
• Politique
• Norme
• Méthodologie
• Lignes directrices
• Procédures
La sécurité de
l’information

1.3. Définitions
• Réglementation:
– loi officielle qui expose comment quelque chose
doit être effectué et établi; ce ui peut, ou ne peut
pas être fait
La sécurité de
l’information

1.3. Définitions
• Politique de sécurité:
– Précise les valeurs d’une organisation, les objectifs
et les lignes directrices en matière de sécurité de
l’information. Courte et concise, une politique
définit la philosophie de haut niveau de
l’organisation en matière de sécurité de
l’information. Elle précise les directives requises à
l’élaboration et à la mise en œuvre d’un
programme de sécurité de l’information, ainsi
qu’au partage des responsabilités
La sécurité de
l’information

1.3. Définitions
• Norme:
– Selon le guide ISO/CEI 2, « un document de
référence couvrant un large intérêt industriel et
basé sur un processus volontaire, approuvé par un
organisme reconnu, fourni pour des usages
communs et répétés, des règles, des lignes
directrices ou des caractéristiques, pour des
activités, ou leurs résultats, garantissant un niveau
d’ordre optimal dans un contexte donné »
La sécurité de
l’information

1.3. Définitions
• Méthodologie:
– Démarche rigoureuse et normalisée s’appuyant
sur des outils tels que des questionnaires ou des
logiciels spécialisés et permettant de faire
l’analyse de la sécurité de l’information. Une
méthodologie utilise donc des méthodes, càd des
moyens d’arriver efficacement au résultat
souhaité. Ce souhait étant habituellement formulé
dans une norme, on voit que souvent la méthode
sera l’outil utilisé pour satisfaire aux exigences
d’une norme
La sécurité de
l’information

1.3. Définitions
• Lignes directrices:
– Directive importante qui devrait être respectée,
bien qu’elle ne soit pas obligatoire. Ce sont des
déclarations générales permettant d’atteindre les
objectifs de la politique en fournissant
l’infrastructure dans laquelle seront implantées les
procédures
La sécurité de
l’information

1.3. Définitions
• Procédures:
– Instructions spécifiques qui expliquent clairement
les étapes à suivre afin de déterminer comment la
politique, les directives et les normes de soutien
seront réellement mises en œuvre dans un
environnement d’exploitation
La sécurité de
l’information

1.4. Conformité légale


• Les lois applicables et les règlementations
doivent être suivies par l’organisation
• Dans la plupart des pays, la mise en œuvre
d ’une norme ISO est une décision de
l’organisation, pas une condition légale
• Dans tous les cas, les lois ont la priorité sur les
normes
• Référence : ISO 27002
– Annexe 15: conformité (15.1 & 15.1.1)
La sécurité de
l’information

1.5. Normes ISO


• Exemples:
– ISO 9001: qualité
– ISO 13485: services médicaux
– ISO 14001: environnement
– ISO 20000: services TI:
• ie ITIL, avec en plus sys. de mgt améliorable dans le
temps
– ISO 22000: inspection alimentaires
– ISO 29001: industrie pétrochimique
La sécurité de
l’information

1.5. Normes ISO


• Principes ISO:
– Amélioration continue

PDCA

PDCA
La sécurité de
l’information

1.5. Normes ISO


• •Pas
Principes ISO:
d’implémentation parfaite dès le début
•Exemple:
– Amélioration continue
• A1 (quelques astuces),
• A2 (quelques contrôles),
• A3 (optimiser les contrôles) PDCA
•Délai: dépend du périmètre (global ou certains process) et des
ressources (internes ou clé en main)
•Cas de IAM :
•2 ans (50 personnes en interne, + consultants externes),
PDCA
sensibilisation de 11500 personnes
•Remontée d’information au PDG (tous les 2 jours)
•Conseiller n°1: adjoint
•Cas de Bank Al Maghrib:
•3000 personnes
•Étude: 6 mois
•mise en place: 1 an
•Chemin le plus critique : 4 mois (dépend du ps le plus long)
La sécurité de
l’information

1.5. Normes ISO


• Normes en sécurité:
– Exemples:
• ISO 27001: SMSI
• ISO 27002: bonnes pratiques
• ISO 18033: cryptographie
• ISO 18044: gestion des incidents
• ISO 13335: GMIT (Guidelines for Management of IT
Security)
• ISO 10736: protocoles de transport
• ISO 15408: critères communs
La sécurité de
l’information

1.6. Famille ISO 27000


ISO 27001
ISO 27002 Exigences pour
Guide de bonnes les SMSI ISO 27000
pratiques Vocabulaire et
fondamentaux

ISO 27003 ISO 27799


Guide de mise Guide pour l’utilisation
en place d’un Famille ISO de ISO 27002 dans le
SMSI 27000 secteur de la santé

ISO 27004 ISO 27007


Mesure d’un Guide pour
SMSI l’audit des SMSI

ISO 27005 ISO 27006


Gestion des risques Exigences pour les
de la sécurité de organisations auditant
l’information et certifiant les SMSI
La sécurité de
l’information

1.6.1. ISO 27001


• Un peu d’histoire (1990-1998):
1996-97:
L’industrie demande
un moyen de se
certifier au code
1992:
Publié comme code
de pratiques de 1998:
l’industrie Schéma britannique
de certification du
SGSI
1995:
BS7799 est publiée
comme norme du
Début des années 90: Royaume Uni
code de pratique de la
gestion de la sécurité
de l’information
La sécurité de
l’information

1.6.1. ISO 27001


• Un peu d’histoire (1999-...): A venir…
2005:
Nouvelle version d'ISO
17799;
Publication d'ISO 27001
2000:
Norme
internationale
2007:
ISO/IEC 17999:2000
Publication de ISO
27002 et ISO 27006

2002:
BS7799:2 2002
1999:
Révision
BS 7799-1:1999
BS 7799-2:1999
La sécurité de
l’information

1.6.1. ISO 27001


• ISO 27001: gestion de la sécurité de l'information
– Spécification pour les SMSI:
– Spécifie les exigences pour la conception, la mise en
place et la documentation des SMSI (<> directive)
– Spécifie les exigences pour la mise en œuvre de
contrôles conformément aux besoins des
organisations
– L'annexe A se compose de 11 sections comportant
133 contrôles de ISO 27002
– Les organismes peuvent postuler à la certification à
cette norme
– Voir clause 0.1
La sécurité de
l’information

1.6.1. ISO 27001


• Structure de la norme:
Clause 5: Clause 8:
Responsabilité du
management Clause 4.2.1 Amélioration du SMSI

Mise en place du SMSI

Clause 4.2.2
Clause 4.2.4
Implémentation et
Amélioration du SMSI
exploitation du SMSI

Clause 4.2.3

Contrôle et revue du
Clause 6:
SMSI Clause 7:
Audits internes du
Revue du SMSI
SMSI
La sécurité de
l’information

1.6.1. ISO 27001


D • Structure de la norme: A
Clause 5: P Clause 8:
Responsabilité du
management Clause 4.2.1 Amélioration du SMSI

Mise en place du SMSI


D A
Clause 4.2.2
Clause 4.2.4
Implémentation et
Amélioration du SMSI
exploitation du SMSI
C
Clause 4.2.3
C C
Contrôle et revue du
Clause 6:
SMSI Clause 7:
Audits internes du
Revue du SMSI
SMSI
La sécurité de
l’information

1.6.2. ISO 27002


• ISO/IEC 27002:2007 « technologies de
l'information – code de pratiques pour la gestion
de la sécurité de l'information JTC1/SC27/WG1 »
– Basée sur BS 7799-1:2002
– A utiliser comme document de référence
– Fournit la gamme complète de contrôles de sécurité
– Basée sur les meilleures pratiques de sécurité de
l'information
– Composée de 11 sections comportant 133 contrôles (il
convient de les mettre en place, certains sont des
exigences)
– Certification ISO 27002 non supportée
La sécurité de
l’information

1.6.2. ISO 27002


• Domaines de ISO 27002 (Annexe 1 ISO 27001)
– Annexe => Contrôle, Sinon c’est une exigence
A5 Politique de sécurité
A6 Organisation de la sécurité de l'information
A7 Gestion des actifs (classification des informations & des biens)
A8 Sécurité des Ressources Humaines
A9 Sécurité physique et environnementale
A10 Gestion des communications et des opérations
A11 Contrôle d'accès
A12 Acquisition, développement et entretien des Systèmes d’Information
A13 Gestion des incidents de la Sécurité de l’Information (helpdesk avec
failles de sécurité. Exemple: vol, sabotage, coupure, etc.)
A14 Gestion de la continuité des affaires (continuité d’activité)
A15 Conformité (légale & réglementation interne de l’entreprise)
La sécurité de
l’information

1.6.3. ISO 27003


• Le but de la norme ISO/IEC 27003 est de
fournir de l'aide et des conseils nécessaires à
la mise en place d'un système de management
de la sécurité de l'information (SMSI)
• Cette norme fournira différentes informations
et conseils concernant l'utilisation du modèle
PDCA
• Norme très récente
• Voir clauses 1 à 11
La sécurité de
l’information

1.6.4. ISO 27004


• Norme internationale qui devra fournir des
conseils sur le développement et l'utilisation
d'indicateurs afin d'évaluer l'efficacité des
SMSI, et des contrôles utilisés pour mettre en
application et contrôler la sécurité de
l'information, comme indiqué dans ISO/IEC
27001
• Tableau de bord par rapport aux 133 contrôles
(vérifier leur efficacité et leur performance)
La sécurité de
l’information

1.6.4. ISO 27004


• Conseils incluant:
– Mesures de contrôle
– Mise en place d’un programme de mesure de
sécurité de l’information
– Rassembler, analyser, et communiquer ces
mesures aux dépositaires
– Utiliser les mesures collectées en tant que
facteurs de décision pour les activités du SMSI
– Faciliter l’amélioration du ps d’évaluation du SMSI
• Voir clauses 6 à 10
La sécurité de
l’information

1.6.5. ISO 27005


• Fournit les techniques pour la gestion des
risques de sécurité de l'information
• Inspirée de:
– ISO Guide 63 (gestion du risque, vocabulaire, lignes directrices
pour l’utilisation de la norme)
– BS7799-3:2006:SMSI
– ISO 13335: GMIT (lignes directrices pour la gestion de la
sécurité de l’information)
– NIST 800-30 (Guide de la gestion du risque liées aux systèmes
d’information)
– CRAMM (Risk Analysis and Management Method)

• Voir clauses 7 à 12
La sécurité de
l’information

1.6.6. ISO 27006


• « Information technology — Security
techniques — Requirements for bodies
providing audit and certification of
information security management systems »
– Définit les conditions générales de gestion d'un
organisme de certification pouvant délivrer des
certificats de conformité ISO 27001
• Voir clauses 4 à 10
La sécurité de
l’information

1.6.7. ISO 27007


• Titre: « Technologies de l'information --
Techniques de sécurité -- Lignes directrices
pour l'audit des systèmes de management de
la sécurité de l'information »
– Standard pour les directives de l'audit des SMSI
– Fournira des conseils pour les auditeurs
conduisant des audits des systèmes de
management de sécurité de l'information contre
ISO/IEC 27001
• Date prévue pour la publication: 15-10-2011
La sécurité de
l’information

1.6.7. ISO 27008+


• ISO 27008 et les suivants :
– réservés pour la création de normes spécifiques à des
industries (télécommunication, santé, automobile, etc.) ou à
des domaines spécifiques de la sécurité de l'information
(sécurité applicative, cyber sécurité, etc.)

• Exemples:
– ISO 27012: Directives pour le domaine financier
– ISO 27013: Directives pour le domaine manufacturier
– ISO 27015: Directives de certification
– ISO 27016: Audits et revues
– ISO 27031: Continuité des affaires pour les TI
– ISO 27032: Directives pour la cybersécurité
– ISO 27033: Révision des ISO 18028 (sécurité des réseaux)
– ISO 27034: Directives pour la sécurité des applications
La sécurité de
l’information

Activité
• Exercice 1:
– En vous basant sur l’histoire, l’organisation, et les
processus métier de votre organisation actuelle,
déterminez et expliquez les 5 plus grands
avantages de l’implémentation de la norme ISO
27001 pour votre organisation, et comment votre
organisation peut mesurer ces avantages grâce
aux mesures de la performance (indicateurs).
La sécurité de
l’information

1.7. ISO 27001 et les principes de l’OCDE


• L'OCDE a défini des lignes directrices:
– Promouvoir parmi l’ensemble des parties prenantes
une culture de sécurité en tant que moyen de
protection des systèmes et réseaux d’information
– Renforcer la sensibilisation aux risques pour les
systèmes et réseaux d’information aux politiques,
pratiques, mesures et procédures disponibles pour
faire face à ces risques, ainsi qu’à la nécessité de les
adopter et de les mettre en œuvre
– Promouvoir parmi l’ensemble des parties prenantes
une plus grande confiance dans les systèmes et
réseaux d’information et dans la manière dont ceux-ci
sont mis à disposition et utilisés
La sécurité de
l’information

1.7. ISO 27001 et les principes de l’OCDE


• L'OCDE a défini des lignes directrices:
– Créer un cadre général de référence aidant les parties
prenantes à comprendre la nature des problèmes liés
à la sécurité, et à respecter les valeurs éthiques dans
l’élaboration et la mise en œuvre de politiques,
pratiques, mesures et procédures cohérentes pour la
sécurité des systèmes et réseaux d’information
– Promouvoir parmi toutes les parties prenantes, la
coopération et le partage d’informations appropriées
pour l’élaboration et la mise en œuvre des politiques,
pratiques, mesures et procédures pour la sécurité
– Promouvoir la prise en considération de la sécurité en
tant qu’objectif important parmi toutes les parties
prenantes associées à l’élaboration et à la mise en
œuvre de normes
La sécurité de
l’information

1.7. ISO 27001 et les principes de l’OCDE


• L'OCDE a développé 9 principes de sécurité des
systèmes d'information et des réseaux:
– Sensibilisation
– Responsabilité
– Réponse
– Éthique (non repris dans ISO 27001)
– Démocratie (non repris dans ISO 27001)
– Évaluation du risque
– Conception de la sécurité et mise en œuvre
– Gestion de la sécurité
– Réévaluation
La sécurité de
l’information

1.7. ISO 27001 et les principes de l’OCDE


• Comparaison avec ISO 27001 - annexe B:
– Sensibilisation
• 1ère ligne de défense pour assurer sécurité sys & réseau
• Risques internes et externes
• Parties prenantes:
– Doivent comprendre que les défaillances de sécurité peuvent
gravement porter atteinte aux systèmes & réseaux sous leur
contrôle mais également à autrui
– Doivent réfléchir à la configuration de leur système, aux mises
à jour disponibles, à la place qu’il occupe dans les réseaux, et
aux bonnes pratiques à mettre en place
La sécurité de
l’information

1.7. ISO 27001 et les principes de l’OCDE


• Comparaison avec ISO 27001 - annexe B:
– Sensibilisation
• Parties prenantes doivent être sensibilisées au besoin
d'assurer la sécurité des systèmes et réseaux
d'information et aux actions qu'elles peuvent
entreprendre pour renforcer la sécurité
Phase PDCA Processus SMSI
correspondante: correspondant :

D 4.2.2 & 5.2.2


La sécurité de
l’information

1.7. ISO 27001 et les principes de l’OCDE


• Comparaison avec ISO 27001 - annexe B:
– Responsabilité des parties prenantes:
• Tributaires des systèmes & réseaux d’information
• Doivent comprendre leur resp. ds la sécurité des sys. & rés.
• En être comptable (en fonction du rôle)
• Doivent régulièrement examiner et évaluer politiques,
pratiques, mesures & procédures pour s’assurer de leur
adaptation à l’environnement
• Cas des développeurs, concepteurs de Puits & Sces:
– doivent prendre en considération la sécurité Sys & Rés,
– diffuser les infos appropriées (màj opportunes pour meilleure
compréhension par les utilisateurs des fonctions de sécurité et
leur responsabilité)
La sécurité de
l’information

1.7. ISO 27001 et les principes de l’OCDE


• Comparaison avec ISO 27001 - annexe B:
– Responsabilité
• Les parties prenantes sont responsables de la sécurité
des systèmes et réseaux d'information

Phase PDCA Processus SMSI


correspondante: correspondant :

D 4.2.2 & 5.1


La sécurité de
l’information

1.7. ISO 27001 et les principes de l’OCDE


• Comparaison avec ISO 27001 - annexe B:
– Réaction
• Réaction aux incidents de sécurité prompte des parties
prenantes dans un esprit de coopération
• Cause:
– Inter connectivité des systèmes & réseaux d’information
– Propension rapide et massive des dommages à se répandre
• Exigences:
– Échange approprié d’informations sur menaces et vulnérabilités
– Mise en place de procédures => coopération rapide et efficace
– Possibilité d’échanges transfrontaliers si autorisé
• Objectifs:
– Prévenir, détecter & répondre aux incidents de sécurité
La sécurité de
l’information

1.7. ISO 27001 et les principes de l’OCDE


• Comparaison avec ISO 27001 - annexe B:
– Réaction
• Les parties prenantes doivent agir avec promptitude et
dans un esprit de coopération pour prévenir, détecter
et répondre aux incidents de la sécurité

Phase PDCA Processus SMSI


correspondante: correspondant :

C 4.2.3 et 6 à 7.3
A 4.2.4 et 8.1 à 8.3
La sécurité de
l’information

1.7. ISO 27001 et les principes de l’OCDE


• Comparaison avec ISO 27001 - annexe B:
– Analyse et traitement du risque:
• Évaluation des risques:
– Permet de déceler les menaces & vulnérabilités
– Doit être suffisamment large pour couvrir l’ensemble des
» facteurs internes et externes (technologie, etc.)
» facteurs physiques & humains
» Politiques et services de tierces parties
ayant des implications sur la sécurité
– Permet de déterminer le niveau acceptable de risques
La sécurité de
l’information

1.7. ISO 27001 et les principes de l’OCDE


• Comparaison avec ISO 27001 - annexe B:
– Analyse et traitement du risque:
• Évaluation des risques:
– Facilitera la sélection de mesures de contrôles appropriées
pour gérer le risque de préjudices possibles pour les systèmes
et réseaux d’information, compte tenu de la nature et de
l’importance de l’information à protéger
– Doit tenir compte des préjudices aux intérêts d’autrui ou
causés par autrui rendus possibles par l’interconnexion
croissante des systèmes d’information
La sécurité de
l’information

1.7. ISO 27001 et les principes de l’OCDE


• Comparaison avec ISO 27001 - annexe B:
– Analyse et traitement du risque
• Les parties prenantes doivent procéder à des
évaluations des risques

Activité Phase PDCA Processus SMSI


correspondante: correspondant :
Analyse et traitement du risque P 4.2.1
Réévaluation du risque C 4.2.3 et 6 à 7.3
La sécurité de
l’information

1.7. ISO 27001 et les principes de l’OCDE


• Comparaison avec ISO 27001 - annexe B:
– Conception de sécurité et mise en œuvre:
• Systèmes, réseaux & politiques nécessitent une
coordination appropriée => optimiser la sécurité
• Axe majeur: mesures de protection et solutions adaptées
– Conçues et adoptées => prévenir ou militer les préjudices
possibles liés aux vulnérabilités et menaces identifiées
– À la fois techniques et non techniques
– Proportionnées à la valeur de l’information dans les S&R d’Org
• Sécurité:
– Élément fondamental de l’ensemble des Puits, Sces, Sys. & Rés.
– Partie intégrante de la conception et architecture des systèmes
• Utilisateur final: sélectionne et configure les Puits & Sces pour ses systèmes
La sécurité de
l’information

1.7. ISO 27001 et les principes de l’OCDE


• Comparaison avec ISO 27001 - annexe B:
– Conception de sécurité et mise en œuvre:
• Les parties prenantes doivent intégrer la sécurité en
tant qu'élément essentiel des systèmes et réseaux
d'information

Phase PDCA Processus SMSI


correspondante: correspondant :

P 4.2.1
D 4.2.2 et 5.2
La sécurité de
l’information

1.7. ISO 27001 et les principes de l’OCDE


• Comparaison avec ISO 27001 - annexe B:
– Gestion de la sécurité
• Objectif 1: Couvrir tous les niveaux d’activités des parties
prenantes et tous les aspects de leurs opérations
• Exigences:
– Fondée sur l’évaluation des risques, Dynamique et Globale
– Inclure, par anticipation, des réponses aux menaces émergeantes
– Doit couvrir la prévention, détection et résolution des incidents,
reprise des systèmes, maintenance permanente, contrôle et audit
• Objectif 2: Créer un système cohérent de sécurité
• Exigences:
– Coordination et intégration des politiques de sécurité, pratiques,
mesures et procédures
La sécurité de
l’information

1.7. ISO 27001 et les principes de l’OCDE


• Comparaison avec ISO 27001 - annexe B:
– Gestion de la sécurité
• Exigences de la gestion de la sécurité sont fonction de :
– niveau de participation, et du rôle de la partie prenante,
– des risques en jeu
– des caractéristiques du système
• Conclusion
– Les parties prenantes doivent adopter une approche globale
de la sécurité
– ISO 27001 : PDCA, prévention, détection, réponse aux
incidents, maintenance, révision et audit
La sécurité de
l’information

1.7. ISO 27001 et les principes de l’OCDE


• Comparaison avec ISO 27001 - annexe B:
– Réévaluation
• Découverte constante de vulnérabilités et menaces
nouvelles ou évolutives
• Parties prenantes:
– Révision, réévaluation et modification de tous les aspects de
la sécurité
– Faire face à ces risques évolutifs
La sécurité de
l’information

1.7. ISO 27001 et les principes de l’OCDE


• Comparaison avec ISO 27001 - annexe B:
– Réévaluation
• Les parties prenantes doivent examiner et réévaluer la
sécurité des systèmes et réseaux d'information et
introduire les modifications appropriées dans leurs
politiques, pratiques, mesures et procédures de
sécurité
Activité Phase PDCA Processus SMSI
correspondante: correspondant :
Examens réguliers C 4.2.3 et 6 à 7.3
Amélioration A 4.2.4 et 8.1 à 8.3
La sécurité de
l’information

La sécurité de l’information
1. Cadre normatif et réglementaire
2. Principes fondamentaux
3. Systèmes de management de la sécurité de
l’information
4. Analyse préliminaire du projet
5. Planification du projet
La sécurité de
l’information

2. Définitions
• Actif:
– Tout élément représentant de la valeur pour
l’organisme (clause 3.1) (en tant que support de l’information)
– Exemples d’actifs (cf ISO 13335):
• Informations/données, matériel, logiciel, matériel de
télécommunication, média (support à l’information),
documents, actifs financiers, matériel de production,
services, confiance dans les services (paiements),
environnement de travail, personnel, image de
l’organisation
– 3 Objectifs des contrôles de sécurité:
• clause du domaine A7 (A7.1.1, A7.1.2 & A7.1.3)
La sécurité de
l’information

2. Définitions
• Information:
– Résultat du traitement, de la manipulation, et de
l’organisation des données de manière à s’ajouter à la
connaissance du récepteur (contexte dans lequel les
données sont acquises)
• Données+information=> connaissance
• Exemple:fichier plat+logiciel de traitement=>tableau de bord
– Enregistrement ou « record »: information créée, recu
et maintenue en tant que preuve et source
d’information par organisation ou personne dans le
but de prouver une transaction ou de servir de
preuves dans un cadre légal (source: ISO 15489-1
clause 3.15)
La sécurité de
l’information

2. Définitions
• Catégories d’information :
– imprimée ou écrite sur papier, stockée électroniquement,
transmise par courrier ou par méthode électronique,
exposée sur des vidéos corporatives, mentionnée lors de
la conversation, etc.
– Méthode:
• Identifier les supports de transmission de l’information
• Objectifs:
– sécuriser le processus/information métier le plus critique (actif
primaire)
– sécuriser l’homme/logiciel qui traite (actif support)
– 2 Objectifs des contrôles de sécurité:
• clauses du domaine A7.2 (A7.2.1 & A7.2.2)
La sécurité de
l’information

2. Définitions
• Sécurité de l’Information:
– Définition 1: Vise à protéger l’information contre une
large gamme de menaces, de manière à garantir la
continuité des transactions, à réduire le plus possible
le risque et à optimiser le retour sur investissement
ainsi que les opportunités en termes d’activité pour
l’organisme (ISO/IEC 17799:2005)
• Voir clauses 0.3 & 0.4 ISO 27002 (exigences et risques)
La sécurité de
l’information

2. Définitions
• Sécurité de l’Information:
– Définition 2: Protection de la confidentialité, de
l’intégrité et de la disponibilité de l’information;
d’autres propriétés telles que l’authenticité,
l’imputabilité, la non répudiation et la fiabilité,
peuvent également être concernées (ISO/IEC
17799:2005)
• Voir clause 0.1 ISO 17799
– Mise en œuvre de mesures adaptées regroupant les règles,
processus, procédures, structures organisationnelles et
fonctions matérielles et logicielles
– Mesures doivent être spécifiées, mises en œuvre, suivies,
réexaminées, et améliorées aussi souvent que nécessaire, de
manière à atteindre les objectifs spécifiques en matière de
sécurité et d’activité d’un organisme
– Agir de manière concertée avec les autres processus de
l’organisme
• Voir clause 0.6 ISO 27002 (bases de la sécurité de
l’information)
La sécurité de
l’information

2. Définitions
• Vulnérabilité:
– Faiblesse d’un actif ou d’un groupe d’actifs
susceptibles d’être l’objet d’une menace (ISO/IEC
13335-1:2004)
– Elle permet d’attaquer la confidentialité, l’intégrité
et/ou la disponibilité de l’information
– Localisation: logiciel, matériel, procédure
• Exemples: Brèche dans OS, absence de contrôle d’accès
sur serveur, procédure de màj d’antivirus non efficace,
port ouvert sur pare-feu, accès modem non restreint
La sécurité de
l’information

2. Définitions
• Vulnérabilité:
– Classification:
• Ressources Humaines:
– formation insuffisante (sécurité), manque de connaissance,
manque de système de surveillance, manque de règlement
pour utilisation média, eMail, télécom, personnel non motivé
ou contrarié, non remplacement des droits d’accès après fin
d’une mission de travail…
• Environnement physique de l’entreprise:
– manque de protection physique pour le contrôle d’accès des
personnes dans l’enceinte de l’entreprise, Position de
l’entreprise dans une zone inondable, sismique, sensible aux
désastres naturels, zone de stockage non protégée, sensibilité
du matériel à l’humidité, aux variations de température, à la
poussière, etc.
La sécurité de
l’information

2. Définitions
• Vulnérabilité:
– Classification:
• Communication et Opérations de gestion:
– Interface utilisateur compliquée, contrôle des changements
inadéquats, gestion du réseau inadéquate, manque de procédures
de back-up, aucune séparation des fonctions&contrôle du copiage
• Contrôle d’accès:
– Séparation inadaptée du réseau informatique, manque de
mécanismes d’identification et d’authentification, aucune ou
mauvaise politique de contrôle d’accès, aucune révision des droits
d’accès utilisateurs, etc.
• Maintenance, développement et acquisition des SI:
– Manque de contrôle des données E/S, aucun contrôle du téléch. &
installation de logiciels, protection inadéquate des clefs
cryptographiques, manque de validation des données traitées, etc.
La sécurité de
l’information

2. Définitions
• Menace :
– Cause potentielle d’un incident indésirable
pouvant affecter une organisation (ISO/IEC 13335-
1:2004)
– Danger potentiel pour l’information ou pour le
système d’information. Elle peut se traduire par
un voleur/attaquant qui exploite une vulnérabilité
La sécurité de
l’information

2. Définitions
• Menace :
– Plusieurs formes:
• Intrus ayant accès au réseau par un port du pare-feu,
accès aux données non conforme à la politique de
sécurité, tornade anéantissant une infrastructure,
employé faisant une erreur involontaire pouvant porter
atteinte à la confidentialité et à l’intégrité de
l’information, Pirate informatique
• Incendie, attaque terroriste, séisme, inondation, foudre,
tempête, ouragan, désastres naturels, interruption
momentanée des activités, détérioration ou panne des
médias, vandalisme, vol, etc.
La sécurité de
l’information

2. Définitions
• Menace :
– Plusieurs formes:
• Mise en péril des actifs, espionnage industriel, perte de
l’information, faille de sécurité, accès au réseau d’une
personne non autorisée, dommages causés par des
tests de pénétration, dommages causés par les sous-
traitants, fournisseurs, collaborateurs, erreur humaine
• Disfonctionnement de la climatisation,
disfonctionnement des équipements de confort
(climatisation, chauffage, électricité, …), interruption
des activités, erreur d’utilisation, erreur de
maintenance, panne du matériel, indisponibilité du
matériel
La sécurité de
l’information

2. Définitions
• Menace :
– Plusieurs formes:
• Infraction de la législation, rupture des obligations
contractuelles, destruction des enregistrements,
destruction du plan de continuité de l’entreprise, manque
de communication des différents services de l’entreprise,
falsification des données, fraude, utilisation illégale de
logiciel, interférence, utilisation à mauvais escient des
ressources et actifs de l’entreprise, contrefacon
La sécurité de
l’information

2. Définitions
• Relation entre Vulnérabilité et Menace :
• identifier objet, puis vulnérabilités, puis menaces
Vulnérabilité Menace
Entrepôt non protégé et non surveillé Vol

Interface de saisie compliquée Erreur de saisie par le personnel

Pas de séparation de tâches Fraude, Utilisation non autorisée d’un système

Données non encryptées Vol d’information

Utilisation de logiciels piratés Poursuite judiciaire, Virus

Pas de revue des droits d’accès Accès non autorisé par des personnes qui ont
quitté l’organisation

Pas de procédure de copies de sauvegarde Perte d’informations


La sécurité de
l’information

2. Définitions
• Risque :
– Combinaison de la probabilité de survenance d’un
évènement et de ses conséquence (ISO/IEC Guide
73:2002) Probabilité
Risque
Conséquence
La sécurité de
l’information

2. Définitions
• Risque :
– Combinaison de la probabilité de survenance d’un
évènement et de ses conséquence
– Voir clauses 3.9 à 3.15 (ISO 27001:2005 – Guide 73)
• 3.9 risque résiduel: risque subsistant après le traitement du risque
• 3.10 acceptation du risque: décision d'accepter un risque
• 3.11 analyse du risque: utilisation systématique d'informations pour identifier les
sources et pour estimer le risque
• 3.12 appréciation du risque: ensemble du processus d'analyse du risque et d'évaluation du
risque
• 3.13 évaluation du risque: processus de comparaison du risque estimé avec des critères
de risque donnés pour en déterminer l’importance
• 3.14 management du risque: activités coordonnées visant à diriger et piloter un organisme
vis-à-vis du risque
• 3.15 traitement du risque: processus de sélection et de mise en œuvre des mesures visant
à diminuer le risque
La sécurité de
l’information

2. Définitions
• Risque :
– Combinaison de la probabilité de survenance d’un
évènement et de ses conséquence
– Voir clauses 3.9 à 3.15 (ISO 27001:2005 – Guide 73)
– Risque = produit de:
• Vulnérabilité
• Menace
• Impact
La sécurité de
l’information

2. Définitions
• Confidentialité:
– Propriété que l’information ne soit accessible qu’aux
[individus, entités ou processus autorisés] [actifs]
(ISO/IEC Guide 13335-1:2004)
– Exemple:
• Problème: les données personnelles des salariés ne doivent
être accessibles qu’au personnel du département des RH
autorisé (personnel qui en a besoin)
• Solution: contrôle d’accès / Contrôle: chiffrement
• Mesures à différents niveaux:
– Physique: serrures sur les portes, armoires d’archivage, coffre-fort
– Logique: contrôle d’accès à une information, groupe d’info, fichier
La sécurité de
l’information

2. Définitions
• Confidentialité:
– Méthodologie pour prévention du risque:
• Identification des menaces et vulnérabilités
• Évaluation des risques associés
• Sélection d’un système de contrôles
• Mise en place et application
– Remarque:
• L’actif tangible prend la valeur de l’information qu’il
contient
La sécurité de
l’information

2. Définitions
• Intégrité:
– Propriété de sauvegarder l’exactitude et la qualité
des actifs (ISO/IEC Guide 13335-1:2004)
– Exemple:
• les données comptables doivent se conformer à la
réalité (complet et exact). L’exactitude se traduit par
l’absence d’altération de l’information
La sécurité de
l’information

2. Définitions
• Intégrité:
– Moyen:
• Dispositifs de vérification automatique d’intégrité de
l’information (dans les lecteurs, médias, systèmes
télécom)
• Contrôles d’intégrité essentiels aux SE, logiciels et
applications
– Évitent la corruption intentionnelle ou involontaire des
programmes et données
– Inclus dans les procédures, réduisent les risques d’erreurs, vol
ou fraude
– Exemples: Contrôles pour la validation des données, Formation
des utilisateurs, Contrôles au niveau opérationnel
La sécurité de
l’information

2. Définitions
• Disponibilité:
– Propriété qu’une information soit accessible et
utilisable au moment voulu par une entité
autorisée (ISO/IEC Guide 13335-1:2004)
– Exemple: données relatives à la clientèle
accessibles au département marketing
– Exigences:
• Système de contrôle (ex. sauvegarde des données)
• Planification de la capacité
• Procédures
• Critères pour l’approbation des systèmes, procédures
La sécurité de
l’information

2. Définitions
• Disponibilité:
– Exemples de procédures:
• Procédures de gestion des incidents, la gestion des
supports informatiques amovibles,
• Procédures de traitement de l’information, le maintien
et le test d’équipements,
• Procédures de continuité d’affaires, procédures pour
contrôler l’utilisation des systèmes
La sécurité de
l’information

2. Définitions
• Activité 2: évaluation du risque
– Déterminez les menaces et vulnérabilités associées aux situations suivantes.
Indiquez ensuite les impacts potentiels, et si les risques affecteraient la
confidentialité, l’intégrité, et/ou la disponibilité de l’information. Complétez
la matrice de risque et préparez-vous à discuter vos réponses après
l’exercice:
1. L’ancien VP de la comptabilité est embauché par un concurrent
2. Un disque amovible contenant les sauvegardes du code source des applications
développées par une entreprise est introuvable à son bureau de Montréal
3. Le webmaster ayant développé le site web corporatif d’une entreprise s’occupe
des mises à jour et de la mise en production du site
4. Tous les équipements de télécommunication ont le même mot de passe. Le mot
de passe est connu seulement des programmeurs et des techniciens
5. Votre entreprise externalise le développement de ses produits
6. Votre entreprise a acheté une liste de 500.000 courriels de clients potentiels
d’une compagnie située aux Bahamas afin de commencer une campagne de
publicité sur Internet
La sécurité de
l’information

La sécurité de l’information
1. Cadre normatif et réglementaire
2. Principes fondamentaux
3. Systèmes de management de la
sécurité de l’information
4. Analyse préliminaire du projet
5. Planification du projet
La sécurité de
l’information
3. Systèmes de management de la
sécurité de l’information (SMSI)
• SMSI:
– Partie du système de gestion global, basée sur une
approche du risque lié à l’activité, visant à établir,
mettre en œuvre, exploiter, surveiller, réexaminer,
tenir à jour et améliorer la sécurité de
l’information (clause 3.7)
La sécurité de
l’information
3. Systèmes de management de la
sécurité de l’information (SMSI)
• SMSI:
– Exemple:
• Organisations utilisent des systèmes de gestion pour
développer leurs politiques et les mettre en pratiques via
des objectifs utilisant:
– Une structure organisationnelle
– Des processus systématiques et des ressources associées
– Une méthodologie d’évaluation
– Un processus de révision pour s’assurer que les problèmes sont
corrigés adéquatement et que les opportunités d’amélioration
sont reconnues et mises en œuvre lorsqu’elles sont justifiées
• Remarque: ce qui est contrôlé doit être mesuré, ce qui est
mesuré doit être géré
La sécurité de
l’information
3. Systèmes de management de la
sécurité de l’information (SMSI)
• L’approche par processus:
– ISO 27001 encourage l’adoption d’une approche
par processus pour l’établissement, la mise en
œuvre, le fonctionnement, le la surveillance et le
réexamen, la mise à jour et l’amélioration du SMSI
d’un organisme.
– Contraire à l’approche par unité organisationnelle
– Voir (v) clause 0.2 (ISO/IEC 27001:2005) :
• approche processus (a, b, c & d)
La sécurité de
l’information
3. Systèmes de management de la
sécurité de l’information (SMSI)
Planifier
Parties Parties
intéressées Etablir le SMSI intéressées

Maintenir et Mettre en place


Agir Déployer
améliorer le SMSI le SMSI

Exigences et
Réviser le SMSI
Sécurité de attentes en
l’information gérée sécurité de
Contrôler l’information

– Voir (v-vi) clause 0.2 ISO/IEC 27001:2005


» approche processus (figure & tableau 1)
La sécurité de
l’information

3. ISO27001 : Annexe C
ISO 27001:2005 ISO 9001:2000 ISO 14001:2004
4. SMSI 4. Système de management 4. Système de gestion
de la qualité environnement
5. Responsabilité des 5. Responsabilité des 5. Responsabilité des
gestionnaires gestionnaires gestionnaires

6. Audit interne 6. Audit interne 6. Audit interne

7. Analyse par les 7. Analyse par les 7. Analyse par les


gestionnaires gestionnaires gestionnaires
8. Amélioration continue 8. Amélioration continue 8. Amélioration continue

– Voir clause 0.3 (ISO/IEC 27001:2005): compatibilité avec d’autres systèmes


– PAS 99 (Publicly Available Spécification): cadre de référence aidant les
organisations voulant implémenter un système de management en
adéquation avec plus d’une des normes ISO 9001, 14001, 27001, 22000,
20000, ou OHSS 18001 (éviter les conflits, réduire les doublons)
La sécurité de
l’information

3. Planifier
Planifier

Agir PDCA Déployer

Contrôler

1. Analyse 2. Planification 4. Analyse 5. Déclaration


3. Gouvernance
préliminaire du projet de risque d’applicabilité
La sécurité de
l’information

3. Planifier
Planifier

Agir PDCA Déployer

Contrôler

1. Analyse 2. Planification 4. Analyse 5. Déclaration


3. Gouvernance
préliminaire du projet de risque d’applicabilité

1.1. Etat des lieux


1.2. Analyse des écarts
1.3. Business case
La sécurité de
l’information

3. Planifier
Planifier

Agir PDCA Déployer

Contrôler

1. Analyse 2. Planification 4. Analyse 5. Déclaration


3. Gouvernance
préliminaire du projet de risque d’applicabilité
La sécurité de
l’information

3. Planifier
Planifier

Agir PDCA Déployer

Contrôler

1. Analyse 2. Planification 4. Analyse 5. Déclaration


3. Gouvernance
préliminaire du projet de risque d’applicabilité

3.1. Rôles et responsabilités


3.2. Domaine d’application et limites
3.3. Politique
La sécurité de
l’information

3. Planifier
Planifier

Agir PDCA Déployer

Contrôler

1. Analyse 2. Planification 4. Analyse 5. Déclaration


3. Gouvernance
préliminaire du projet de risque d’applicabilité

4.1. L’approche d’appréciation du risque


4.2. Identifier, Analyser, et Évaluer
les risques
4.3. Le Traitement des Risques
La sécurité de
l’information

3. Planifier
Planifier

Agir PDCA Déployer

Contrôler

1. Analyse 2. Planification 4. Analyse 5. Déclaration


3. Gouvernance
préliminaire du projet de risque d’applicabilité
La sécurité de
l’information

3. Déployer
Planifier

Agir PDCA Déployer

Contrôler

4. Formation
1. Gestion 5. Les 6. Les
2. Design 3. Mise en œuvre sensibilisation
documentaire incidents opérations
communication
La sécurité de
l’information

3. Déployer
Planifier

Agir PDCA Déployer

Contrôler

4. Formation
1. Gestion 5. Les 6. Les
2. Design 3. Mise en œuvre sensibilisation
documentaire incidents opérations
communication
1.1. Politique
1.2. Cycle de vie
1.3. Création des gabarits
1.4. Système de gestion
La sécurité de
l’information

3. Contrôler
Planifier

Agir PDCA Déployer

Contrôler

1. Surveillance 2. Mesure des 4. Revue de


3. Audit interne
des contrôles contrôles direction

– Améliorer le SMSI
La sécurité de
l’information

3. Contrôler
Planifier

Agir PDCA Déployer

Contrôler

1. Surveillance 2. Mesure des 4. Revue de


3. Audit interne
des contrôles contrôles direction

2. Indicateurs/Tableaux de bord
La sécurité de
l’information

3. Agir
Planifier

Agir PDCA Déployer

Contrôler

1. Amélioration continue

1.1. Identifier les non conformités


1.2. Traiter les non conformités
La sécurité de
l’information

3. Agir
Planifier

Audit de
Agir PDCA Déployer certification
(3 mois plus tard)

Contrôler

1. Choix d’un 2. Préparation 3. Audit 4. Audit sur 5. Surveillance et


organisme de certif à l’audit documentaire place re-certification

3. Format,
Cycle de vie (validation, etc.),
Contenu (quoi, comment, qui, quand, etc.)
Enregistrement (fruit d’une procédure, via tableau d’émargement)
La sécurité de
l’information

3. Agir
Planifier

Agir PDCA Déployer


(3 mois plus tard)

Contrôler

1. Choix d’un 2. Préparation 3. Audit 4. Audit sur 5. Surveillance et


organisme à l’audit documentaire place re-certification

5.1. Surveillance (annuelle)


5.2. Re-certification (tous les 3 ans)
La sécurité de
l’information

La sécurité de l’information
1. Cadre normatif et réglementaire
2. Principes fondamentaux
3. Systèmes de management de la sécurité de
l’information
4. Analyse préliminaire du projet
5. Planification du projet
La sécurité de
l’information

4. Analyse préliminaire
Planifier

Agir PDCA Déployer

Contrôler

1. Analyse 2. Planification 4. Analyse 5. Déclaration


3. Gouvernance
préliminaire du projet de risque d’applicabilité

1.1. État des lieux 1.2. Analyse des écarts 1.3. Business case
Niveau de maturité de l’entreprise Estimation du coût du projet avant le démarrage
La sécurité de
l’information

4. Analyse préliminaire
Récolter l’information nécessaire à la planification Vérifier les exigences
Objectifs ISO 27001
du projet de SMSI et à son alignement stratégique (terrain vierge, etc.)

ISO 27001:2005 Clause 4.1


Pré requis
Exigences générales

Chief Information
Personnes CISO, CIO, haute direction, gestionnaires TI, Security Officer

impliquées propriétaires des principaux processus opérationnels Recherche des


processus conformes

Analyse des besoins de l’organisation,


Mise en Définir les plans
État des Lieux, d’action restants pour
œuvre atteindre l’objectif
Analyse des écarts entre l’existant et le but à atteindre
Analyse des écarts,
Livrables Étude de faisabilité,
Business Case
Chercher les processus
– Voir clause 4.1 (ISO 27001:2005) que l’on veut prioriser
– Voir clause 5.1.b (ISO 27001:2005)
La sécurité de
l’information

4. Analyse préliminaire
Info. Nécessaire à la planification du projet de SMSI

1. Analyse des besoins 2. État des lieux

Orientation Environnement d’affaire


Environnement
légal et contractuel
Objectifs
Gestion des risques
(ps métier très critiques)
Environnement
organisationnel
Stratégies Processus d‘affaire et
(ps métier très critiques) d’échange d’information
Environnement IT

Domaine d’application
Contrôle interne
(périmètre)
1. Répondre aux exigences générales de la sécurité de la norme ISO 27001:2005
2. Déterminer la situation actuelle de l’organisation en terme de sécurité: Évaluation de
l’environnement de l’entreprise
 Finalité: Mise en évidence de l’écart existant entre le réel et le souhaité
La sécurité de
l’information

4. Comprendre l’organisation

Identifier les rôles et


VISION
responsabilités de chacun

MISSION

STRATEGIE
Plans Tableau de
Objectifs bord

Processus de mesure Processus de mesure


et de suivi des gestion du
ACTIVITES PORTEFEUILLE DE
COURANTES PROJETS

Gestion des opérations Gestion de PROJET


(par SECTEUR)

Activités opérationnelles au jour le jour Projet


La sécurité de
l’information

4.1. Analyse des besoins


Meilleure identification des besoins
Meilleure mise en œuvre de la politique SMSI dans le domaine d’application

Orientations
Alignement
Domaine
Stratégique d’application
du SMSI
Objectifs Stratégies

L’alignement du SMSI avec l’alignement


stratégique de l’organisation : exigence de
la clause 4.1 de ISO 27001
Politique de l’entreprise
La sécurité de
l’information

4.2. Etat des lieux ISO 27001


• Objectif de la prestation
– Faire le point sur les pratiques de sécurité dans votre société
en vue d'évaluer le travail à faire pour implémenter la norme
ISO 27001.
• Motivations pour l’étude
– Vous souhaitez mettre en place la norme ISO 27001 mais
avant, vous voulez savoir précisément :
• Quels sont les processus de sécurité qui, chez vous, sont déjà
conformes à la norme
• Quels sont ceux qui nécessitent un travail de mise en conformité
• Quels sont ceux qu'il faut mettre en place, ex-nihilo
La sécurité de
l’information

4.2. Etat des lieux ISO 27001


• Résultat de l’étude
– Un rapport décrivant précisément :
• Les processus nécessitant une adaptation (avec la liste des tâches à
réaliser pour les mettre en conformité).
• Les processus qui manquent et pourtant indispensables à ISO 27001.
• Par ailleurs, le rapport présente une stratégie d'implémentation ISO
27001 tenant compte de votre contexte et de vos contraintes.
• Description détaillée
– 5 phases complémentaires (en général):
• Phase 1 : Réunion de lancement
• Phase 2 : Entretiens
• Phase 3 : Prise de connaissance de la documentation
• Phase 4 : Rédaction du rapport
• Phase 5 : Présentation des résultats
La sécurité de
l’information

4.2. Etat des lieux ISO 27001


• Description détaillée
– Phase 1 : Réunion de lancement
• Cette réunion sert à cadrer la prestation et à présenter la
démarche des consultants.
• Les points suivants sont mis à l'ordre du jour :
– Confirmation de l'objectif de la prestation
– Présentation par les consultants des points clés de la mise en place
d'un SMSI conforme à l'ISO 27001
– Présentation de la démarche du prestataire
– Présentation du contexte par le client (activités, objectifs de
l'entreprise, ressources, contraintes, etc.)
– Identification des personnes à rencontrer
– Planification des entretiens
La sécurité de
l’information

4.2. Etat des lieux ISO 27001


• Description détaillée
– Phase 2 : Entretiens
• Les consultants du prestataire rencontrent les différents
responsables des services clé de l'entreprise. Le but de ces
entretiens n'est pas d'auditer les processus, mais de faire le
point sur leur niveau de conformité avec la norme ISO
270001.
• Les points suivants sont souvent mis à l'ordre du jour :
– Inventaire des processus clé
– Sécurité de ces processus
– Existence et qualité de la documentation
– Existence et qualité du suivi des actions correctives
– Etc.
La sécurité de
l’information

4.2. Etat des lieux ISO 27001


• Description détaillée
– Phase 3 : Prise de connaissance de la documentation
• Les consultants du prestataire prennent connaissance de la
documentation:
– Documents de politique générale (politique de sécurité, charte
utilisateurs, etc)
– Documents de politique spécifiques (mots de passe, accès distant
etc)
– Procédures
– Etc.
La sécurité de
l’information

4.2. Etat des lieux ISO 27001


• Description détaillée
– Phase 4 : Rédaction du rapport
• Les consultants rédigent un rapport tenant compte de tous
les éléments obtenus lors des phases précédentes.
– Phase 5 : Présentation des résultats
• Cette présentation prend la forme d'une réunion au cours
de laquelle les points suivants sont traités avec le
commanditaire :
– Rappel synthétique des points clés du rapport
– Présentation du plan de mise en conformité ISO 27001
– Discussion ouverte sur des questions relatives à l'ISO 27001
La sécurité de
l’information

4. Analyse des écarts


Planifier

Agir PDCA Déployer

Contrôler

1. Analyse 2. Planification 4. Analyse 5. Déclaration


3. Gouvernance
préliminaire du projet de risque d’applicabilité

1.1. État des lieux 1.2. Analyse des écarts 1.3. Business case
Niveau de maturité de l’entreprise Estimation du coût du projet avant le démarrage
La sécurité de
l’information

4. Analyse des écarts


Déterminer les écarts entre
Objectifs
l’existant et le but à atteindre

ISO 27001:2005 Clause 4.1


Pré requis
Exigences générales

Personnes CISO, gestionnaires des opérations


impliquées Et propriétaires des principaux processus

Mise en Comparer la situation actuelle de l’entreprise avec


œuvre ses besoins et les exigences de la norme ISO 27001

Livrables Rapport d’analyse des écarts

Critère ISO 27002 Etat actuel Explication Qui # jours Livrable


La sécurité de
l’information

4. Analyse des écarts


• Outil de comparaison entre performances
actuelles et souhaitées (exigences ISO 27001)
Critère ISO 27002 Etat actuel Explication Qui # jours Livrable
• But: Délais
– Mesurer le fossé entre les mesures de contrôle actuellement en
place et les exigences
– Mettre en avant les besoins d’amélioration par zone

• Contraintes:
– Documenter suffisamment pour assurer une analyse efficace
– Souvent basée sur le benchmarking

• Base pour la mesure des investissements


nécessaires en vue de la réalisation du SMSI:
– Temps, argent, ressources humaines, ressources matérielles
La sécurité de
l’information

4. Échelle de maturité
• La maturité des mesures de contrôle sera classée
selon la légende suivante:
– 0 (Inexistant):les processus de management totalement inappliqués
– 1 (Initialisé): les processus mis en œuvre au cas par cas sans méthode
– 2 (Reproductible): les processus suivent un même modèle
– 3 (Défini): les processus sont documentés et communiqués
– 4 (Géré): les processus sont surveillés et mesurés (mise en place des
processus associés): niveau exigé par ISO 27001
– 5 (Optimisé):les meilleures pratiques sont suivies, suite à une
amélioration constante, et à la comparaison avec d’autres entreprises
(Modèle de Maturité). L’informatique permet d’automatiser les flux de
travaux (meilleure qualité, efficacité, et adaptation.
La sécurité de
l’information

4. Questionnaire – Analyse des écarts


Numéro et Questions
objectif du
contrôle
A.5.1.1 Votre document de politique de sécurité démontre-t-il:
Un document •L’engagement de la direction?
de politique •Définit-il l’approche de l’organisme pour gérer la sécurité de l’information?
de sécurité Ce document de politique contient-il les éléments suivants:
de
l’information •Une définition de la sécurité de l’information, les objectifs généraux recherchés et le domaine d’application
doit être retenue, ainsi que l’importance de la sécurité en tant que mécanisme nécessaire au partage de
approuvé par l’information?
la direction, •Une déclaration des intentions de la direction soutenant les objectifs et principes de la sécurité de
puis publié et l’information, en conformité avec la stratégie et les objectifs de l’organisme?
diffusé •Une démarche de définition des objectifs de sécurité et des mesures, intégrant l’appréciation et le
auprès de management du risque?
l’ensemble •Une brève explication des politiques, principes, normes et exigences en matière de conformité qui
des salariés présentent une importance particulière pour l’organisme (la conformité avec les exigences légales,
et des tiers règlementaires et contractuelles, les exigences en terme de formation et de sensibilisation en matière de
concernées sécurité, la gestion de la continuité de l’activité, les conséquences des violations de la sécurité de
l’information?
•Une définition des responsabilités générales et spécifiques dans le domaine de la gestion de la sécurité de
l’information, traitant en particulier de la remontée d’incidents de sécurité?
•Des références à la documentation susceptible d’appuyer la politique et devant être respectée?
Cette politique de sécurité de l’information a-t-elle été communiquée à l’ensemble des utilisateurs sous une
forme adéquate, accessible et compréhensible?
La sécurité de
l’information

4. Questionnaire – Analyse des écarts


• Questionnaire:
– Agit aux niveaux stratégique et opérationnel
– Analyse les discordances entre les objectifs de contrôle prévus par ISO
27001 et la situation actuelle de l’entreprise
– Présente les questions auxquelles doit répondre la mise en place du
contrôle
– Couplé avec le gabarit de reporting, il permet de mettre en relief les
actions correctives ou préventives à prendre en priorité
– Favorise la définition de l’orientation stratégique de l’entreprise
– Composé de
• 1300 questions
• ou 133 questions
La sécurité de
l’information

4. Questionnaire – Analyse des écarts


• Activité 3:
– Pour chaque risque identifié dans l’exercice précédent,
fournissez les contrôles appropriés permettant d’atténuer, de
transférer ou d’éviter ces risques. Complétez la matrice
précédente et soyez prêts à discuter vos réponses pendant le
cours.
La sécurité de
l’information

4. Gabarit de reporting
M
Nom du Description du contrôle Description A Description Degré de RESPONSABLE
actuelle T des écarts complexité
contrôle U
R
I
T
É

A.5.1.1 un document de sécurité de


Document de l’information doit être approuvé par la
politique de direction, puis publié et diffusé auprès
sécurité de de l’ensemble des salariés et des tiers
l’information concernés
A.5.1.2 Pour garantir la pertinence,
Réexamen de l’adéquation et l’efficacité de la
la politique politique de sécurité de l’information,
de sécurité la politique doit être réexaminée à
de intervalles fixés préalablement en cas
l’information de changements majeurs
A.6.1.1 La direction doit soutenir activement la
Implication politique de sécurité au sein de
de la l’organisme au moyen de directives
direction vis- claires, d’un engagement démontré,
à-vis de la d’attributions de fonctions explicites et
sécurité de d’une reconnaissance des
l’information responsabilités liée à la sécurité de
l’information
La sécurité de
l’information

4. Gabarit de reporting
• But:
– Bien définir le périmètre
– Court terme:
• Favoriser l’implémentation de mesures correctives ou préventives pour
les actifs avec un risque potentiel élevé
– Moyen et long terme:
• Permet de garder une trace des mesures envisagées et des analyses
des écarts effectuées
• Souligner l’amélioration continue mise en place dans l’organisation
La sécurité de
l’information

4. Business case
Planifier

Agir PDCA Déployer

Contrôler

1. Analyse 2. Planification 4. Analyse 5. Déclaration


3. Gouvernance
préliminaire du projet de risque d’applicabilité

1.1. État des lieux 1.2. Analyse des écarts 1.3. Business case
Niveau de maturité de l’entreprise Estimation du coût du projet avant le démarrage
La sécurité de
l’information

4. Business case
Déterminer la faisabilité du projet et
Objectifs
en justifier sa pertinence dans un contexte d’affaires

ISO 27001:2005 Clause 4.1


Pré requis
Exigences générales

Personnes CISO, CIO, Analyste financier,


impliquées Spécialistes et consultants externes

-Conflit d’intérêt
Mise en Déterminer les risques projets, les ressources -Résistance au
œuvre nécessaires, les contraintes, faire une pré-planification changement
-SI externalisé =>
engager
l’hébergeur de
serveurs
Livrables Business case
La sécurité de
l’information

4. Développer le Business case


• Le business case inclut:
– Une description détaillée du problème ou de
l’opportunité (opportunité d’affaire, image de marque, clientèle, attraction d’autres marchés, etc.)
• Préparer le projet afin d’obtenir l’engagement de la direction et
l’approbation de l’investissement
• S’appuie sur une étude de faisabilité
• Fournit une structure pour planifier et gérer le projet, les indicateurs et
résultats attendus à partir desquels sera vérifié le succès du projet

– Une liste de solutions alternatives disponibles


(jouer sur les contrôles en cas de manque de moyens)

• Une analyse des bénéfices, coûts, risques et résultats pour les affaires
• Une description de la solution préférentielle (timing)
• Un plan résumé pour la mise en œuvre
• Le budget
La sécurité de
l’information

4. Développer le Business case


• Le business case répond aux questions suivantes:
– Quel est le but du projet? A quel besoin de l’utilisateur va-t-il répondre?
– Quelles sont les solutions qui ont été étudiées?
– Pourquoi la solution retenue a-t-elle été choisie? Quels sont les risques, les
contraintes?
– Combien cela coûte-t-il? Comment savoir si le projet sera un succès? Comment
l’expliquer aux employés, clients, partenaires…? Qui est chargé de ce projet? Est-ce
que mon travail sera affecté par ce projet dans le futur?

• Un Business case doit comporter au minimum 5


parties
– Buts ou objectifs du projet et leur incorporation dans la stratégie de l’org.
– Les différentes options envisagées
– La solution choisie
– La manière dont le projet sera mis en œuvre
– Les besoins en ressources du projet
La sécurité de
l’information

4. Développer le Business case


• Décrire l’approche de mise en œuvre
– L’activité finale implique dans la création du Business Case est de
fournir aux sponsors du projet SMSI la confiance dans le fait que la
mise en œuvre de la solution a été bien réfléchie
– Pour ce faire, décrivez en détails comment le projet sera initié,
planifié, exécuté et clôturé
• Planification: lister phases définition projet/recruter équipe projet/établir bureau projet/décrire processus
global de planification pour prouver la bonne coordination du projet/plan de mise en œuvre du SMSI
• Mise en œuvre: lister activités nécessaires pour produire livrables qui créent solution client
• Clôture du projet: lister activités impliquées dans la remise de la solution finale au client/libération du
personnel/fermeture bureau du projet/révision après mise en œuvre du projet
• Amélioration du projet: lister activités nécessaires pour accomplir mise en œuvre du projet (programme
d’audit interne)
• Gestion du projet: décrire brièvement la gestion du temps/coûts/qualité/changements/ risque/problèmes
potentiels/communications/autorisation&approbations

– Prouver que le projet est faisable


La sécurité de
l’information

La sécurité de l’information
1. Cadre normatif et réglementaire
2. Principes fondamentaux
3. Systèmes de management de la sécurité de
l’information
4. Analyse préliminaire du projet
5. Planification du projet
La sécurité de
l’information

5. Planification du projet SMSI


Planifier

Agir PDCA Déployer

Contrôler

1. Analyse 2. Planification 4. Analyse 5. Déclaration


3. Gouvernance
préliminaire du projet de risque d’applicabilité

Estimation du coût du projet avant le démarrage


La sécurité de
l’information

5. Planification du projet SMSI


Objectifs Planifier la mise en œuvre du SMSI Risques:
-Non implication
des responsables
métier

ISO 27001:2005 Clause 4.2.2 -Résistance au


Pré requis changement
Mise en œuvre et fonctionnement du SMSI -Sensibilisation
insuffisante
-Livrables non
valides
Personnes
Haute Direction, CISO, CIO, chargé de projet
impliquées
Perspectives et
Facteurs Clé de
Succès:
Mise en Déterminer le plan de traitement des risques, -Implication du
œuvre planifier et budgétiser le projet SMSI management
-Transposer une
vision purement
sécurité
Plan de traitement des risques
Livrables -Organisation du
et plan de risque du projet projet &
communication
finalisée
-Planification
intégratrice
La sécurité de
l’information

5. Pré-requis de ISO 27001


4.2.2 Mise en œuvre et fonctionnement du SMSI
– L'organisme doit effectuer les tâches suivantes:
a) élaborer un plan de traitement du risque qui
identifie les actions à engager, les ressources, les
responsabilités et les priorités appropriées pour le
management des risques liés à la sécurité de
l'information (voir l'Article 5);
Remarque:
• ISO 27001 ne fournit pas de méthodologie de gestion de projets, ni fait la
promotion d’u ne méthodologie particulière
• ISO 27003 fournira des conseils et de l’aide à l’implantation d’un SMSI (cadre
de référence plutôt que méthodologie concrète de gestion de projets)
La sécurité de
l’information

5. Pratiques de gestion de projet


Contenu Approvisionnements

Délais Qualité
c

Intégration du projet

Coûts Risques

Ressources humaines Communications

• Guide du corpus des connaissances en management de projet, 3ème édition, Guide PMBOK, 2004, PMI
• Norme ISO 10006:2003, Système de management de la qualité, lignes directrices pour le management
de la qualité dans les projets
• Implication du management en cas de résistance au changement
La sécurité de

5. Le management de l’information

l’intégration de projet
Processus requis pour assurer le bon déroulement du projet

Elaborer l’énoncé Diriger et piloter


Elaborer la charte
préliminaire l’exécution

Surveiller et maîtriser Maîtrise intégrée des


Clôture
le travail modifications
La sécurité de

5. Le management de l’information

l’intégration de projet
Processus requis pour assurer le bon déroulement du projet

ISO 10006:2003
Elaborer l’énoncé Diriger et piloter
Elaborer la charte
préliminaire l’exécution
7.2.2
c

ISO 10006:2003
Surveiller et maîtriser Maîtrise intégrée des
Clôture
le travail modifications
7.2.5
La sécurité de

5. Le management de l’information

l’intégration de projet
Processus requis pour assurer le bon déroulement du projet

ISO 10006:2003
Elaborer l’énoncé Diriger et piloter
Elaborer la charte
préliminaire l’exécution
7.2.2
c

Surveiller et maîtriser Maîtrise intégrée des


Clôture
le travail modifications
La sécurité de

5. Le management de l’information

l’intégration de projet
• ISO 10006:2003:
– 7.2.2 Lancement du projet&élaboration du plan de management du projet
• Élaboration et mise à jour du plan de management du projet
• Comprend ou fait référence au plan de management du projet
• Niveau de délai dépend de facteurs tels que la taille ou la complexité du projet
• Identification parmi les projets déjà réalisés ceux qui se rapprochent le plus du projet à
lancer, pour exploiter au mieux l’expérience acquise grâce aux projets précédents
• Cas des projets relatifs aux réponses aux exigences d’un contrat: procéder à des revues
de contrat au cours de l’élaboration du plan de management du projet (s’assurer de la
satisfaction des exigences contractuelles ISO 9004:2000, 7.2)
• Cas des projets ne résultant pas d’un contrat: mener une revue initiale afin d’établir les
exigences et confirmer qu’elles sont appropriées et réalisables
La sécurité de

5. Le management de l’information

l’intégration de projet
Processus requis pour assurer le bon déroulement du projet

Elaborer l’énoncé Diriger et piloter


Elaborer la charte
préliminaire l’exécution

Surveiller et maîtriser Maîtrise intégrée des


Clôture
le travail modifications
La sécurité de

5. Le management de l’information

l’intégration de projet
• ISO 10006:2003:
– 7.2.3 Management des interactions
• Gestion des interactions (non planifiées) au sein du projet, afin de faciliter la coordination
planifiée entre processus, dont:
– Mise en place de procédures visant à à établir le management des interfaces
– Tenue de réunions de projet impliquant plusieurs fonctions
– Apport de solutions à des problèmes tels que des conflits de responsabilité ou des modifications
apportées à l’exposition à des risques
– Mesures de performances du projet utilisant des techniques telles que l’analyse de la valeur
acquise du réalisé (technique de suivi des performances globales du projet par rapport à un
référentiel budgétaire)
– Réalisation de la mesure de l’avancement afin d’évaluer la situation du projet et de planifier le
travail restant à faire
– => faire appel aux évaluations de l’avancement afin d’identifier les problèmes potentiels
d’interface
– => à noter que les risques sont généralement importants au niveau des interfaces
La sécurité de

5. Le management de l’information

l’intégration de projet
Processus requis pour assurer le bon déroulement du projet

Elaborer l’énoncé Diriger et piloter


Elaborer la charte
préliminaire l’exécution

ISO 10006:2003
Surveiller et maîtriser Maîtrise intégrée des
Clôture
le travail modifications
7.2.5
La sécurité de

5. Le management de l’information

l’intégration de projet
• ISO 10006:2003:
– 7.2.5 Clôture des processus et des projets
• Le projet est un ps en lui-même, et il convient d’accorder une attention à sa clôture:
– Définition du processus de clôture des processus et du projet dès la phase de lancement du
projet, et l’inclure dans le plan de management du projet (s’appuyer sur l’expérience issue de
processus et de projets déjà clos)
• À tout moment pendant la durée de vie du projet, il convient de :
– Clore les processus de projets achevés dans les conditions prévues: s’assurer après clôture que
tous les enregistrements sont effectués, diffusés au sein du projet et de l’organisme à l’origine du
projet, et conservés pendant une durée spécifiée
– Clore plus tôt ou plus tard également en raison d’évènements imprévus
• Quelle que soit la raison de clôture, entreprendre une revue complète de ses résultats :
– prendre en compte les enregistrements pertinents, y compris ceux qui proviennent de
l’évaluation de l’avancement et des éléments d’entrée des parties intéressées
– Attention particulière au retour d’information du client et des autres parties intéressées
concernées, et de le mesurer chaque fois que possible
– Remise d’enregistrements appropriés à partir de cette revue, faisant ressortir les expériences
susceptibles d’être utilisées dans d’autres projets et pour l’amélioration continue
• Remise formelle du produit du projet au client, qui exprime l’acceptation formelle.
– La clôture sera portée à la connaissance de toutes les parties intéressées
La sécurité de

5. Le management de l’information

l’intégration de projet
Processus requis pour assurer le bon déroulement du projet

ISO 10006:2003
Elaborer l’énoncé Diriger et piloter
Elaborer la charte
préliminaire l’exécution
7.2.1
c

ISO 10006:2003
Surveiller et maîtriser Maîtrise intégrée des
Clôture
le travail modifications
7.2.5
La sécurité de

5. Le management du l’information

contenu de projet
Processus requis pour assurer l’achèvement des livrables du projet

Planification SDP* Maîtrise


(Structure de
Découpage du Projet)

Définition Vérification
La sécurité de

5. Le management du l’information

contenu de projet
Processus requis pour assurer l’achèvement des livrables du projet

ISO 10006:2003 ISO 10006:2003


Planification SDP* Maîtrise
7.3.2 7.3.5

ISO 10006:2003
Définition Vérification
7.3.3
La sécurité de

5. Le management du l’information

contenu de projet
Processus requis pour assurer l’achèvement des livrables du projet

ISO 10006:2003
Planification SDP* Maîtrise
7.3.2
ISO 10006:2003:
7.3.2 Elaboration des concepts
•Traduire les besoins et attentes déclarés et généralement
implicites du client en matière de processus et de produit en
exigences écrites, y compris les aspects statutaires et
réglementaires, qui, lorsque le client l’exige, sont
manuellement convenues
•Identifier les autres parties intéressées et déterminer leurs
besoins Définition Vérification
•Traduire ceux-ci en exigences écrites
•Les faire accepter par le client (si c’est approprié)
La sécurité de

5. Le management du l’information

contenu de projet
ISO 10006:2003:
7.3.3 Elaboration et maitrise du contenu du projet:
•Identifier et documenter aussi précisément que possible les caractéristiques du
produit du projet dans des termes mesurables
•Utilisation comme base de conception et de développement
•Spécifier les conditions de mesure de ces caractéristiques ou la manière d’évaluer la
conformité aux exigences du client et de toute autre partie intéressée
•Traçabilité des caractéristiques des produits ou processus par rapport aux exigences
écrites du client et des autres parties intéressées
•Si approches et solutions alternatives prises en compte dans l’élaboration du contenu
du projet, il convient de documenter les justifications qui viennent à l’appui de ces
approches et solutions (y compris les résultats des analyses), et d’y inclure la
référence dans le contenu du projet

ISO 10006:2003
Définition Vérification
7.3.3
La sécurité de

5. Le management du l’information

contenu de projet
• ISO 10006:2003:
– 7.3.4 Définition des activités:
• Structuration systématique du projet en activités gérables (respect
SDP*
exigences client pour le produit et le processus)
• Participation du personnel affecté au projet dans la définition de ces
activités (profiter de l’expérience de l’organisme en charge, obtenir
accord et adhésion)
• Définir les activités de telle sorte que les résultats soient mesurables
• Vérifier que la liste des activités est exhaustive
• Inclure les pratiques de management de la qualité dans les activités,
ainsi que les évaluations d’ ’avancement,; et la préparation et
Vérification
l’entretien d’un plan de management
• Identifier et documenter les interactions entre les activités du projet
qui peuvent poser problème entre l’organisme en charge du projet et
les parties intéressées
La sécurité de

5. Le management du l’information

contenu de projet
Processus requis pour assurer l’achèvement des livrables du projet

ISO 10006:2003
Planification SDP* Maîtrise
7.3.5
ISO 10006:2003:
7.3.5 Maîtrise des activités
•Mener et maîtriser les activités réalisées au sein du projet conformément au
plan de management du projet
•Comprend la maîtrise des interactions entre les différentes activités afin de
réduire les conflits & malentendus au maximum (attention particulière aux
produits aux processus impliquant les NTI)
•Mener des revues et évaluer les activités pour identifier les défaillances
potentielles et les possibilités d’amélioration (planification des revues adaptée à
la complexité du projet)
•Utiliser les résultats des revues dans les évaluations de l’avancement pour
évaluer les éléments de sortie des ps et planifier le travail restant
•Consigner par écrit le plan pour le travail restant après révision
La sécurité de

5. Le management du l’information

contenu de projet
Processus requis pour assurer l’achèvement des livrables du projet

ISO 10006:2003 ISO 10006:2003


Planification SDP* Maîtrise
7.3.2 7.3.5

ISO 10006:2003
Définition Vérification
7.3.3
La sécurité de

5. Le management des l’information

délais du projet
Processus requis pour assurer l’achèvement du projet à temps

Identification des activités

Séquencement des activités

Estimation des ressources nécessaires aux activités

Estimation de la durée de l’activité

Élaboration de l’échéancier

PMI 2004,PMBOK,
Maîtrise de l’échéancier 3ème édition
La sécurité de

5. Le management des l’information

délais du projet
Processus requis pour assurer l’achèvement du projet à temps

Identification des activités


ISO 10006:2003
Séquencement des activités
7.4.2

Estimation des ressources nécessaires aux activités

ISO 10006:2003
Estimation de la durée de l’activité
7.4.3

ISO 10006:2003 Élaboration de l’échéancier

7.4.4 Maîtrise de l’échéancier


PMI 2004,PMBOK,
3ème édition
La sécurité de

5. Le management des l’information

délais du projet
Processus requis pour assurer l’achèvement du projet à temps

Identification des activités


ISO 10006:2003
Séquencement des activités
7.4.2

Estimation des ressources nécessaires aux activités

ISO 10006:2003:
7.4.2 Planification
Estimation de des liaisons
la durée entre activités
de l’activité
•Identifier les interdépendances parmi les activités d’un projet
•Passer en revue leur cohérence
•Justifier et documenter
Élaboration tout besoin de modification des
de l’échéancier
données issues du processus d’identification des activités
•Utiliser des diagrammes de réseaux de projet, standards ou
éprouvés,Maîtrise
pour tirer
deprofit d’expériences antérieures
l’échéancier
PMI 2004,PMBOK,
3ème édition
•Vérifier l’adéquation de ces réseaux au projet
La sécurité de

5. Le management des l’information

délais du projet
ISOProcessus
10006:2003:
requis pour assurer l’achèvement du projet à temps
7.4.3 Estimation des durées
•Faire estimer la durée de chaque activité par le personnel responsable
•Vérifier l’exactitude des estimations
Identification de durées (expériences antérieures,
des activités
possibilité d’application aux conditions du projet en cours)
•Documenter et tracabilité des éléments d’entrée, depuis leur origine
•Estimation des ressources associées
Séquencement doit accompagner celle des entrées
des activités
•Si l’estimation des durées est incertaine, alors évaluation des risques
nécessaire (marges pour les risques incorporée dans les estimations pour
les risques restants)
Estimation des ressources nécessaires aux activités
•Implication des clients et autres parties intéressées
ISO 10006:2003
Estimation de la durée de l’activité
7.4.3
Élaboration de l’échéancier

PMI 2004,PMBOK,
Maîtrise de l’échéancier 3ème édition
La sécurité de

5. Le management des l’information

délais du projet
ISOProcessus
10006:2003:
requis pour assurer l’achèvement du projet à temps
7.4.4 Elaboration du planning
•Identifier les Identification
éléments d’entrée utiles à l’élaboration du planning
des activités
•Vérifier s’il correspondent aux conditions spécifiques du projet
•Tenir compte des activités à longs délais d’exécution ou de longue durée,
surtout celles relatives au chemin critique
Séquencement des activités
•Mettre en œuvre les formats de plannings standardisés
•Vérifier la cohérence du rapport entre les estimations des durées et les
liaisons des activités
Estimationàdes
•Remédier ressources
toute incohérencenécessaires
avant deaux activités
finaliser et publier le planning, qui
identifieront les activités critiques ou quasi critiques
•Tenir informé le client et les parties intéressées lors de l’élaboration du
planning,Estimation
et analyserdeleslaéléments
durée ded’entrée
l’activitéextérieurs
•Fournir les planning pour information, et si nécessaire pour approbation

ISO 10006:2003 Élaboration de l’échéancier

7.4.4 Maîtrise de l’échéancier


PMI 2004,PMBOK,
3ème édition
La sécurité de

5. Le management des l’information

coûts du projet
Processus requis pour assurer l’achèvement du projet en respectant le budget alloué

ISO 10006:2003 Coût du projet


7.5.2 Estimation
des coûts Estimation

Budgétisation Maîtrise

ISO 10006:2003
7.5.3 Budgétisation
La sécurité de

5. Le management de la qualité l’information

du projet
Processus requis pour assurer l’achèvement du projet selon les critères de qualité définis

ISO 10006:2003
ISO 10006:2003
4.2.3 Plan
4.2.1 Principes Planification Qualité du projet
de Management
de la Qualité

Contrôle
ISO 10006:2003
4.2.2 Système de Assurance
qualité
Management de qualité (revue)
la Qualité du
Projet
La sécurité de

5. Le management des ressources l’information

humaines du projet
Processus requis pour assurer l’achèvement du projet selon les critères de qualité définis

Planification des ressources humaines

Former l’équipe de projet

Développer l’équipe de projet

Diriger l’équipe de projet

ISO 10006:2003
ISO 10006:2003
6.2.2 Etablissement de la
6.2.3 Affectation du
structure organisationnelle
personnel
du projet
La sécurité de

5. Le management des l’information

communications du projet
Processus requis pour assurer de la génération, collection, dissémination, stockage et
disposition ultime des informations du projet dans le temps et de manière appropriée

ISO 10006:2003
7.6.2 Planification
Planification
Diffusion de
de la
des
l’information Communications communication

Etablissement Manager
du rapport les parties
d’avancement prenantes

PMI 2004,PMBOK,
3ème édition
La sécurité de
l’information

5. Management des risques

Déterminer les risques


Enjeux, Objectifs, Macro-processus, Portée, Atelier d’auto-évaluation

1- Identifier les risques 2- Analyser et évaluer 3- Gérer les risques

Probabilité Stratégie:
Risques potentiels
Impact Élimination
Libellé
Délai Transfert
Contexte
Gravité Réduction
Causes
Contrôle Acceptation
Conséquences
Maîtrise Plan de contingence

Temps

Suivi et Communication des risques


La sécurité de
l’information

5. Management des risques


Exercice 4: Risques de projet SMSI
• Listez les principaux risques reliés à un projet de mise en œuvre
d’un SMSI en vous appuyant sur vos connaissance en gestion
de projet et sur les facteurs propres au SMSI
• Déterminez les 3 risques qui sont selon vous les plus
importants et proposez une solution de gestion de chacun de
ces risques
La sécurité de

5. Management des l’information

approvisionnements du projet
Procédure nécessaire pour le domaine d’application du projet
•Planifier les approvisionnements
ISO 10006:2003
•Planifier les contrats 7.8.2 Planification et
maîtrise des achats

•Solliciter des offres ou des propositions des fournisseurs


ISO 10006:2003
•Choisir les fournisseurs 7.8.3 Documentation des
exigences d’achat
•Administration du contrat

•Clôture du contrat
PMI 2004,PMBOK,
3ème édition
La planification
du SMSI

La planification du SMSI
1. Gouvernance
2. Analyse du risque
3. Déclaration d’applicabilité
La planification
du SMSI

1. Gouvernance du SMSI
Planifier

Agir PDCA Déployer

Contrôler

1. Analyse 2. Planification 4. Analyse 5. Déclaration


3. Gouvernance
préliminaire du projet de risque d’applicabilité

3.1. Rôles et responsabilités


(nommer RSSI, Auditeurs, Opérationnels d’analyse de risque)
3.2. Domaine d’application et limites
3.3. Politique
La planification
du SMSI

1. Gouvernance du SMSI
Gérer efficacement la SI
en réponse aux besoins
de l’industrie, demandes
Objectifs Mettre en œuvre le cadre de gouvernance du SMSI du public, et au dév. des
exigences contractuelles,
réglementaires & légales

ISO 27001:2005 Clause 5


Pré requis
Responsabilité de la Direction
La haute direction doit
comprendre ces facteurs
Personnes et être impliquée dans la
CISO, CIO, haute direction mise en œuvre du SMSI.
impliquées Projet ne doit pas être en
charge du seul dép TI

Implication de la haute
Mise en Comités de gouvernance, de pilotage et d’audit du SMSI, domaine direction passe par la
mise en place d’une
œuvre d’application et politique du SMSI, rôles&responsabilités de la direction gouvernance de la SI:
éviter de mettre en
place un SMSI coûteux
ne correspondant pas
aux besoins de
Politique de gouvernance du SMSI et autres documents
Livrables associés (chartes des comités, comptes rendus de réunions…)
l’organisation, au risque
d’être traité comme un
problème purement
technique

Définir l’équipe projet, rôle de chaque membre, Définir le périmètre, objet de l’audit,
y compris le top management qui signe… processus, interfaces, parties prenantes, etc.
La planification
du SMSI

1. Pré requis ISO 27001


• L’assurance que des objectifs et des plans pour le SMSI sont établis (5.1.b)
• Définir une politique pour le SMSI approuvée par la direction (4.2.1.b, 5)
• La direction doit fournir la preuve de son implication dans l’établissement,
la mise en œuvre, le fonctionnement, la surveillance et le réexamen, la
mise à jour et l’amélioration du SMSI (5.1)
• L’organisme doit déterminer et fournir les ressources nécessaires pour
assurer que les procédures de sécurité de l’information soutiennent les
exigences métier (5.2.1.b)
• Obtenir l’autorisation de la direction pour mettre en œuvre et exploiter le
SMSI (4.2.1.i)
• La détermination des critères d’acceptation des risques et des niveaux de
risque acceptables (5.1.f)
• Obtenir l’approbation par la direction des risques résiduels présentés
(4.2.1.h)
La planification
du SMSI

1. Pré requis ISO 27001


Autres pré-requis:
• La direction doit fournir la preuve de son implication dans l’établissement,
la mise en œuvre, le fonctionnement, la surveillance et le réexamen, la
mise à jour et l’amélioration du SMSI, par:
– la sensibilisation de l'organisme à l'importance de satisfaire aux exigences relatives à la
sécurité de l'information (5.1.d)
– la fourniture de ressources suffisantes pour l'établissement, la mise en oeuvre, le
fonctionnement, la surveillance et le réexamen, la mise à jour et l'amélioration du SMSI
(5.1.e)
– la réalisation de revues de direction du SMSI (5.1.h)
• L'organisme doit s'assurer que le personnel à qui a été affecté les
responsabilités définies dans le SMSI, a les compétences nécessaires pour
exécuter les tâches requises (5.2.2). L’organisme doit:
– effectuer une revue de direction du SMSI de manière régulière afin de s'assurer du
caractère toujours adéquat du domaine d'application du système et de l'identification
des améliorations apportées au processus d'application du SMSI (4.2.3.f; 7.1)
– assurer que des actions sont entreprises sans délai indu pour éliminer les non-
conformités détectées et leurs causes. Les activités de suivi doivent inclure la vérification
des actions entreprises et le compte-rendu des résultats de cette vérification (6)
La planification
du SMSI

1. Définition de la gouvernance
• Le dispositif comprenant les processus et les
structures mis en place par le conseil
d’administration afin d’informer, de diriger, de
gérer et de piloter les activités de
l’organisation en vue de réaliser ses objectifs
(RSSI+équipe => SMSI)
Référence: Institut des vérificateurs internes (IIA)
La planification
du SMSI
1. Définition : Gouvernance de la
sécurité de l’information
• La responsabilité de la sécurité de l’information est la
responsabilité de la haute direction. Elle fait partie
intégrante de la gouvernance d’entreprise. Elle
consiste dans le leadership et l’organisation des
structures et processus qui assurent que la sécurité
de l’information soutient et prolonge la stratégie et
les objectifs de l’organisation
(extrait de IT Governance Institute, définition IT governance, 2001)
– Conséquence:
• Établissement et mise en œuvre d’un processus de gestion intégrée et
d’amélioration continue de la sécurité de l’information
• Attribution claire à des personnes identifiées des rôles et responsabilités en
matière de sécurité de l’information à tous niveaux de l’organisation
• « everyone from the boardroom to the mailroom has a role in the governance of
information assets » Gartner, 2006
La planification
du SMSI

1. Activités de gouvernance SMSI


1. Domaine Nommer les
d’application personnes

9. Veille 2. Orientation en terme de


stratégique et stratégie sécurité

8. Allocation 3. Rôles et
des ressources responsabilités

7. Revue de 4. Acceptation
direction des risques
Annuelle:
- Non-conformité Niveau d’acceptation
récurrente, des risques
- ressources, etc.
6. Contrôle de 5. Politique
gestion SMSI
La planification
du SMSI

1. Intégrer le modèle COBIT


Objectifs de la
l’entreprise
Objectifs de la
gouvernance

• COBIT: information
• Cobit fournit un cadreEfficacitéde contrôle basé sur les
Efficience
bonnes pratiques en Confidentialité
matière de gouvernance des
Intégrité
TI. Disponibilité Planifier et
Conforme organiser
• Cobit aide les dirigeants à évaluer les risques et à
Fiabilité
Surveiller et Ressources
contrôler
évaluer les investissements,
informatiques
afin de s’assurer
que la gouvernance des TI est cohérente avec la
Données
Applications
stratégie de l’entreprise (alignement stratégique)
Technologies
Installations
• Cobit couvre la majeure
Délivrer et partie des prérequis
Personnel
Acquérirdeet
ISO 27001. supporter implémenter
La planification
du SMSI

1. Intégrer le modèle COBIT


• La gouvernance des TI se focalise sur 5 sujets:
– Alignement stratégique
– Apport de valeur
– Gestion des ressources
– Gestion des risques
– Mesure de la performance
La planification
du SMSI

1. Intégrer le modèle COBIT


• La gouvernance des TI se focalise sur 5 sujets:
– Alignement stratégique:
• S’assurer que les plans informatiques restent alignés sur les plans
des métiers
• Définir, tenir à jour, et valider les propositions de valeur ajoutée de
l’informatique
• Aligner le fonctionnement de l’informatique sur celui de
l’entreprise
La planification
du SMSI

1. Intégrer le modèle COBIT


• La gouvernance des TI se focalise sur 5 sujets:
– Alignement stratégique
– Apport de valeur:
• Mettre en œuvre la proposition de valeur ajoutée tout au long du
cycle de fourniture du service
• S’assurer que l’informatique apporte bien les bénéfices attendus
sur le plan stratégique
• S’attacher à optimiser les coûts et à prouver la valeur intrinsèque
des SI
La planification
du SMSI

1. Intégrer le modèle COBIT


• La gouvernance des TI se focalise sur 5 sujets:
– Alignement stratégique
– Apport de valeur
– Gestion des ressources:
• Optimiser l’investissement dans les ressources informatiques
vitales et à bien les gérer: applications, informations,
infrastructures et personnes
• Questions clé concernent l’optimisation des connaissances et de
l’infrastructure
La planification
du SMSI

1. Intégrer le modèle COBIT


• La gouvernance des TI se focalise sur 5 sujets:
– Alignement stratégique
– Apport de valeur
– Gestion des ressources
– Gestion des risques: exige
• Une conscience des risques de la part des cadres supérieurs
• Une vision claire de l’appétence de l’entreprise pour le risque
• Une bonne connaissance des exigences de la conformité, de la
transparence à propos des risques significatifs encourus par
l’entreprise
• L’attribution des responsabilités dans la gestion des risques au
sein de l’entreprise
La planification
du SMSI

1. Intégrer le modèle COBIT


• La gouvernance des TI se focalise sur 5 sujets:
– Alignement stratégique
– Apport de valeur
– Gestion des ressources
– Gestion des risques
– Mesure de la performance:
• Consiste en le suivi et surveillance de la mise en œuvre de la
stratégie, l’aboutissement des projets, l’utilisation des ressources,
la performance des processus et la fourniture des services
• Utilise par exemple les tableaux de bord équilibrés qui traduisent
la stratégie en actions orientées vers le succès d’objectifs
mesurables autrement que par la comptabilité conventionnelle
La planification
du SMSI
1. Modèle de gouvernance Parties
prenantes
Stratégique Tactique Opérationnel
Vérifie l’alignement stratégique du SMSI
S’assure avec des objectifsassure
du respect du SMSIle bon
fixésfonctionnement
par le du SMSI et soutien
Environnement
Concurrentiel

En charge des Comité d’audit


l’ensemble activités
des acteursdedecontrôle du SMSI
l’organisation dans leur mise en
les objectifs et la stratégie de l’organisation
comité stratégique et de la coordination de la sécurité de
Détermine son efficacité et sa conformité à œuvre
l’ensemble des
du SMSI exigences

Clients
l’information à l’échelle de l’organisation
Comité de direction Comité de pilotage Comité opérationnel
Règlements
et Contrats

Acteurs de l’organisation
Lois,

Liens de confiance réciproques

Actionnaires
Environnement

Veille Informationnelle
Technologique

Processus
d’Affaire
Normes et
Standards

Fournisseurs
Ressources techniques Ressources humaines
Environnement
Légal

Lignes Directrices
Procédures et
Politiques,

Partenaires
d’afffaire
Actifs informationnels

Organisation
La planification
du SMSI

1.1. Rôles et Responsabilités


Planifier

Agir PDCA Déployer

Contrôler

1. Analyse 2. Planification 4. Analyse 5. Déclaration


3. Gouvernance
préliminaire du projet de risque d’applicabilité

3.1. Rôles & Responsabilités 3.2. Domaine d’application & limites 3.3. Politique
La planification
du SMSI

1.1. Rôles et responsabilités Partie intégrante


de la gouv., car
Objectifs S’assurer de l’implication de la direction générale s’appuie sur les
mêmes principes
que la gouv.
ISO 27001:2005 Clause 5 d’entreprise (TIC
Pré requis
Implication de la Direction
CISO ne doit pas
Personnes assumer tous les
CISO, CIO, haute direction rôles dans
impliquées
l’ensemble des
comités
Mise en Comités de gouvernance, de pilotage et d’audit du SMSI,
œuvre Rôles & responsabilités de la direction

Politique de gouvernance du SMSI et autres documents


Livrables associés (chartes des comités, comptes rendus de réunions…)

Questions:
- Qui décide de la stratégie en matière de sécurité de l’information?
- Est-elle alignée avec les objectifs et la stratégie générale de l’organisation?
- Qui est responsable du suivi du projet de mise en œuvre du SMSI?
- Qui décide de l’apport d’un changement ou non?
- Qui évalue le projet?
- Qui est le responsable final des résultats du projet?
La planification
du SMSI

1.1. Mise en œuvre


• 4 comités
• Réutilisation courante de comités
déjà existants, en élargissant leurs
compétences (notamment comité
de direction et d’audit) Niveau

Comité de
Stratégique
Direction
Comité
d’audit
Niveau
(Transverse dans Tactique
les situations Comité de
normales) Pilotage

(RH, Direction Logistique,


RSSI, Chef de Projet)

Comité Niveau
Opérationnel Opérationnel
La planification
du SMSI
1.1. Mise en œuvre : comité de
direction
Objectif Aligner le SMSI avec les objectifs et la stratégie e l’entreprise

Niveau Niveau stratégique


d’intervention
Missions 1. Fixer les objectifs et la stratégie du SMSI
2. Valider la politique du SMSI
3. Approuver les critères d’acceptation du risque et les risques
résiduels (SOX)
Lettre
4. Autoriser la mise en œuvre et l’exploitation du SMSI
autorisation de
5. Valider les rôles et responsabilités mise en œuvre
(après la
6. Fournir les ressources suffisantes au bon fonctionnement du déclaration
SMSI d’applicabilité)
7. Contrôle de gestion: contribution du SMSI aux processus
d’affaire, Optimisation des coûts
Membres Haute Direction (CEO, CIO, CFO, etc.)
Fréquence des Une à deux fois par an
réunions
La planification
du SMSI
1.1. Mise en œuvre : comité de
pilotage
Objectif Assurer la planification et le suivi du SMSI (Gestion de projet)
Niveau Niveau tactique
d’intervention
Missions 1. Planifier la
Si approche parmise en œuvre
processus, duon
alors SMSI
peut nommer un responsable de
sécurité/processus
2. (RSPduneSMSI
Définir la politique peutenmettre en œuvre
adéquation avecleles
métier)
objectifs définis avec le
comité de direction
RSPDéfinir
3. Adjointles
par macro
rôles activité (si processus transversal) : responsable mise en
et responsabilités
œuvre
4. Définir la méthode d’analyse du risque et les critères d’acceptation du
risque
Sinon, réunion d’urgence, résoudre problème par CRO
5. Gérer les ressources
6. Effectuer
RSSI: ne doit les
pasrevues de direction
faire partie du SMSI
Membres CISO (RSSI), responsable SMSI, responsable de services clés :IT (ps support),
audit (management), juridique (support), finance, RH (support), sécurité
physique
Fréquence des Mensuel
réunions
La planification
du SMSI

1.1. Mise en œuvre : comité opérationnel


Objectif Mettre en œuvre le SMSI

Niveau Niveau opérationnel


d’intervention

Missions 1. Mettre en place les mesures de contrôle (de la 27002)


2. Gérer la documentation du SMSI
3. Améliorer le SMSI, traitement des non conformités

Membres Responsable SMSI, équipe projet SMSI (représentants des Responsable


SMSI :
services: TI, RH, Financier, Sécurité Physique, Sécurité de pas le RSSI,
l’Information, etc.) sauf si c’est
le même
Fréquence des Hebdomadaire
réunions
La planification
du SMSI

1.1. Mise en œuvre : comité d’audit


Objectif Contrôler le SMSI

Il est déconseillé de faire élaborer cette partie par


Niveau L’ensemble des niveaux
d’intervention

les responsables qualité


Missions 1. Planifier et gérer le programme d’audit
2. Mener les audits internes du SMSI
3. Assurer le suivi des actions correctives et préventives
4. Alerter le comité de direction en cas de non-conformité
récurrente non traitée
Membres Equipe d’audit interne

Fréquence des Trimestriel


réunions
La planification
du SMSI

1.1. Autres comités potentiels


1. Gestion de la sensibilisation:
– Formateurs (par exemple qualité ISO 9001)
2. Gestion des risques
– Comité des risk managers
3. Gestion des incidents
– Comité gestion incidents (de type sécurité)
• Physique
• Logique
• Logistique (coupure courant électrique, etc.)
La planification

1.1. Rôles et responsabilités des du SMSI

principaux responsables
• Principaux intervenants:
– Membres du CA:
• Orientent la stratégie
– CEO (i.e. DG):
• Matérialise/Implémente la stratégie
– CIO (i.e. Responsable Informatique):
• Implante le volet informationnel de la stratégie
– CISO:
• Veille à la protection de l’information
• Autres intervenants:
– CFO, Responsable RH, Responsable audit interne,
Conseiller juridique, Responsable gestion du risque
La planification
du SMSI

1.2. Domaine d’application


Planifier

Agir PDCA Déployer

Contrôler

1. Analyse 2. Planification 4. Analyse 5. Déclaration


3. Gouvernance
préliminaire du projet de risque d’applicabilité

3.1. Rôles & Responsabilités 3.2. Domaine d’application & limites 3.3. Politique

Il est nécessaire de rédiger un document d’organisation sécurité signé par le DG


La planification
du SMSI
1.2. Domaine d’application et limites
du SMSI
Définir le domaine d’application et les limites du SMSI
Objectifs
(territoire)
Désigner les
ISO 27001:2005 Clause 4.2.1.a) directeurs
Pré requis
Définir le domaine d’application et les limites du SMSI impliqués, les
interfaces,etc.)

Personnes
CISO, CIO, haute direction
impliquées

Déterminer le domaine d’application et les limites du SMSI


Mise en
permettant un alignement stratégique
œuvre et une maximisation des bénéfices

Livrables Le domaine d’application et les limites du SMSI


La planification
du SMSI

1.2. Pré requis de ISO 27001


4.2.1 Etablissement du SMSI:
L'organisme doit effectuer les tâches suivantes:
a) définir le domaine d'application et les limites du
SMSI en termes de caractéristiques de l'activité,
de l'organisme, de son emplacement, de ses
actifs, de sa technologie, ainsi que des détails et
de la justification de toutes exclusions du
domaine d'application (voir 1.2);
=> y compris les ressources (matérielles, personnes, etc.)
=> Toute partie exclue du périmètre doit être justifiée
La planification
du SMSI

1.2. Définition
• Le domaine d’application du SMSI décrit
l’étendue et les limites du SMSI; par exemple
les lieux, les unités organisationnelles, les
activités et les processus intégrés dans le
SMSI.
– En partant des processus critiques, il s’agit de répondre aux
questions suivantes:
• Quels sont les processus critiques de l’organisation que nous voulons protéger?
• Quelle information utilisent-ils?
• Quels actifs informationnels sont utilisés pour créer, gérer, stocker l’information?
• Quelles exigences légales, règlementaires ou contractuelles s’appliquent à cette
information (prise en compte des différentes juridictions)?
La planification

1.2. Environnement interne et du SMSI

externe
• Pour définir le domaine d’application et les
frontières, il faut prendre en compte:
– Les parties prenantes internes et externes
– L’environnement interne et externe

• Le SMSI doit tenir compte de toutes les parties prenantes


inclues dans le domaine d’application et doit donc être adapté
dans la mesure du possible à leurs besoins/attentes afin
d’améliorer leur confiance dans la sécurité de l’information de
l’organisation
La planification

1.2. Les domaines d’applications du SMSI

possibles
• Remarques: Un processus clé

– But: Un département
• Définir domaine d’application
L’organisation dans
• Limites du SMSI (ce qui est interne au domaine d’application/externe)
son ensemble
– Hypothèses:
• Organisations inter-dépendantes, frontière difficile à établir L’organisation et ses
parties prenantes
• Existence de points de contact/interfaces (devront être traités comme risques
potentiels, et faire l’objet de traitement adapté accompagné de mesures de
contrôle)
– Cas des petites organisations:
• Moyen simple et économique: Intégrer l’ensemble des activités dans le
domaine d’application,
• Car :
– Difficile de séparer un ps des autres dans l’organisation
– Difficile de définir un domaine d’application ne couvrant qu’un ps ou excluant un ps
La planification

1.2. Définir le domaine du SMSI

d’application et les limites du SMSI


1. Désigner un responsable
Mandatée par la direction pour définir et réexaminer le
domaine d’application et les limites du SMSI:
2.responsable
Le Définir lesde
composants
la sécurité dedu domaine(RSI) est le
l’information
d’application
responsable du domaine d’application du SMSI
L’équipe en charge de la définition du domaine
3. Définir les
d’application et limites
limites dudu SMSI
SMSI dresse une liste des
informations/processus que l’organisation veut inclure
Consulter ledans le SMSI
comité stratégique et le comité de pilotage afin de
L’équipe en charge de la définition du domaine d’application et
récolter leurs commentaires
4. Validation
limites
Le comité stratégique dudoit
SMSI du contenu
s’assure
valider
etd’application
de
de définir
le domaine
la forme
clairementetles limites du
SMSI. Langage simple, prendre en compte interfaces et points
les limites du SMSI
de contacts entre ps et Sys. D’Inf.
Responsable
5. Validationdupar domaine d’application
parties prenantes et limites du SMSI doit
valider le contenu afin de s’assurer que le domaine
d’application et limites du SMSI politique sont conformes aux
La planification
du SMSI

1.2. Mise en œuvre


Domaine d’application et limites du SMSI

Organisation: Société X

Nom du SMSI: SMSI X International

But: Etablir un système de mgt de la sécurité de l’information certifié ISO 27001 afin de diminuer les risques d’incidents

Domaine d’application: le SMSI couvre l’ensemble des activités du siège social de la société X situé à Y.

Et couvre les activités suivantes:


• Conception et distribution de formations
• Service de consulting et formation

Limites: le SMSI n’intègre pas:


• Les clients de la Société X
• Les fournisseurs de la société X
Le SMSI de la Société X est limité physiquement par les locaux de la société. À l’exception des ordinateurs portables propriété de
la société X et autres média portables (clé USB, CDROM), utilisés par les formateurs et consultants à l’extérieur des locaux tout ce
qui est à l’extérieur des locaux de la société est à l’extérieur du SMSI

Interfaces (points de contact):


• Société X est rattaché aux réseaux de l’opérateur Y pour l’accès à Internet
• Société X utilise les services de l’opérateur Z et Skype pour ses communications
• Notre certification auprès de RABQSA nous amène à partager des informations concernant les formateurs et les élèves de
nos formations
La planification

1.2. Changement au domaine du SMSI

d’application
• Mise en garde:

Tout changement au domaine


d’application doit faire l’objet d’une
évaluation, être approuvé et documenté
• En général, la demande de changement a pour cause:
– L’élargissement du domaine d’application à d’autres unités dans
l’organisation
– Des évènements extérieurs (légal, concurrentiel, technologique…)
– La réponse à de nouveaux risques identifiés
• La demande de changement doit être effectuée via un ps
défini qui passera en général par le dépôt d’une demande
de changement
La planification

1.2. Mise en œuvre: gestion des du SMSI

changements
1. Changement dans l’environnement
interne ou externe
Sources de changement du domaine d’application et ses limites à la
2. Demande
demande deprenantes:
des parties changement
- Internes: membres des comités, gestionnaires opérationnels, utilisateurs
- Externes: fournisseurs, clients, partenaires d’affaires
Toute demande de changement devra être motivée et
3. Etudeapprouvé,
acceptée
Une fois définitivement d’impact
par le comité de pilotage dude
la documentation SMSI lors d’une
la définition du
revue deetdirection.
domaine d’application des limites du SMSI doit être mise à jour. Cette
mise à jour entraînera la révision du SMSI et de sa documentation afin
En cas de changement important, une analyse de l’impact de
de s’assurer qu’il couvre efficacement
4.modification
Validation parle le
le nouveau
comité domaine d’application
stratégique
la sur SMSI devrait être conduite avant son
et que la documentation reflète les changements. Le changement doit
acceptation finale. (besoin éventuiel d’une nouvelle analyse de
être communiqué à l’ensemble des parties prenantes.
risque et mise en place de nombreuses mesures de contrôle
nonLeprévues
plan deau départ. S’assurer
changement de bénéficier
sera alors présenté audescomité
ressources
5. Définition
nécessaires à la
du nouveau domaine
stratégique quimise en œuvre
le validera des changements
et mettra à dispositionendu
d’application
établissant et
un planning
responsable
limites
du SMSIdeles
du
pré-projetSMSI
ressources nécessaires à sa mise en
La planification
du SMSI

1.3. Domaine d’application


Planifier

Agir PDCA Déployer

Contrôler

1. Analyse 2. Planification 4. Analyse 5. Déclaration


3. Gouvernance
préliminaire du projet de risque d’applicabilité

3.1. Rôles & Responsabilités 3.2. Domaine d’application & limites 3.3. Politique
La planification
du SMSI

1.3. Politique SMSI

Objectifs Créer et mettre en œuvre la politique du SMSI

Pré requis ISO 27001:2005 Clause 4.2.1.b) Documenté

Personnes CISO, CIO, haute direction,


impliquées direction des principales lignes d’affaires

Mise en Elaboration, approbation, mise en œuvre, sensibilisation


œuvre et communication, contrôle, évaluation et révision

Livrables Politique SMSI


La planification
du SMSI

1.3. Pré requis de ISO 27001


Il s’agit de prendre chaque
4.2.1 Etablissement du SMSI: exigence et de l’interpréter
L'organisme doit effectuer les tâches suivantes:
b) définir une politique pour le SMSI en termes de caractéristiques
de l'activité, de l'organisme, de son emplacement, de ses actifs, et
de sa technologie, qui:
1) inclut un cadre pour fixer les objectifs et indiquer une orientation générale et des
principes d'action concernant la sécurité de l'information;
2) tient compte des exigences liées à l'activité et des exigences légales ou
réglementaires, ainsi que des obligations de sécurité contractuelles;
3) s'aligne sur le contexte de management du risque stratégique auquel est exposé
l'organisme, dans lequel se dérouleront l'établissement et la mise à jour du SMSI;
4) établit les critères d'évaluation future du risque [voir 4.2.1c)];
5) a été approuvée par la direction.
4.3.1. a) les déclarations documentées de la politique et des
objectifs du SMSI [voir 4.2.1b)];
La planification

1.3. Objectifs de la politique de du SMSI

sécurité
• Objectif principal: Clause A.5.1. Politique de sécurité de
l'information
– Apporter à la sécurité de l’information une orientation et un soutien
de la part de la direction, conformément aux exigences métier et aux
lois et règlements en vigueur.
• Objectifs secondaires:
– Communiquer l’engagement de la haute direction (1 lettre)
– Identifier les intervenants concernés et leurs rôles et responsabilités
dans la gestion de la sécurité (RSI, audit, org. de sécurité)
– Sensibiliser les utilisateurs aux risques (tout le monde)
– Énoncer les paramètres qui encadrent les mesures de contrôle
• La politique SMSI peut être l’objet d’un document indépendant ou être
intégrée dans la politique de sécurité de l’information de l’organisation
La planification
du SMSI

1.3. Etapes de mise en œuvre


1. Préalable

6. Contrôle,
Fréquence: évaluation et 2. Elaboration
• 1 fois par an, révision
• Ou, en cas de
changement majeur

5. Sensibilisation et
3. Approbation
communication

4. Mise en œuvre • Mobiliser l’ensemble


• Éliminer toute résistance
au changement
La planification
du SMSI

1.3.1. Activités préalables


• En collaboration avec un cabinet spécialisé, et avant d’élaborer
la politique de sécurité, l’organisation doit réaliser au minimum:

1. Mission, vision de
l’organisation 2. Définition des rôles
et responsabilités
(entretien)

Préalables

4. Identification des 3. Détermination des


exigences légales et critères d’évaluation
contractuelles des risques
La planification
du SMSI

1.3.2. Elaboration de la politique


1. Désigner un responsable
1 personne sera désignée comme responsable de la
politique de sécurité de l’information, mandatée par la
2. Définir
direction pourles composants
développer, de la etpolitique
réexaminer évaluer cette
politique (ISO 27002:5.1.2).
Habituellement, c’est lede
L’équipe chargée responsable
la politique de
SMSIla sécurité de liste de
dresse une
l’information
tous
3. les(RSI)
sujetsqui
Rédaction quiest
des le responsable
doivent être traitésdudans
articles management
la politique
et duSMSI.
suivi de la politique.
Au minimum, la politique doit couvrir les sujets
demandés
Afin de s’assurer à la clause
de l’adhésion et 4.2.1
de la de ISO 27001 de la
compréhension
L’équipe
politique SMSI, en charge
il est courant de la politique
de consulter SMSI rédige
les employés et lesles différents
4. Validation
managers surarticles de laSMSI
la politique
duafin
contenu
politique. Il faut
de
et de
s’assurer
récolter
la forme
leurs que les énoncés sont
commentaires.écrits dansen
La prise uncompte
langage desimple mais précis
ces éléments a uneafin que la politique
soit sur
incidence directe comprise par de
les délais tous les employés.
publication de la politique.
Responsable
5. Validationdepar la politique
partiesSMSI doit valider le contenu afin
prenantes
de s’assurer que la politique est conforme aux exigences de
ISO 27001 quant au contenu (clause 4.2.1) et qu’elle respecte
La planification
du SMSI

1.3.2. Elaboration de la politique


Titre: politique SMSI No: MTR-POL-XX-YYY

• Contenu
Société X de la politique:
Type: POLITIQUE Date d’émission: ../../….
– Au minimum,
Émise par: Mme. Y
la politique SMSI doit:
Version: 1.1 (dernière révision le ../../….) Page: 1 sur 4

Responsable SMSI Inclure un cadre pour fixer les objectifs et indiquer une orientation
Approuvé par: Mr. Y
générale Division: TI groupe d’action
et des principes de sécuritéconcernant la sécurité de
1. Objet l’information
L’information et les processus, systèmes et réseaux qui en permettent le traitement constituent des biens
• Tenir compte des exigences liées à l’activité et des exigences légales ou
importants pour la Société X dans la réalisation de sa mission d’affaires.
réglementaires,
La politique de management ainsi
de la sécurité que des obligations
de l’information ded’assurer
a pour objectif sécuritéuncontractuelles
niveau adéquat de
sécurité, en•termesS’aligner
de confidentialité, disponibilitéde
sur le contexte et management
d’intégrité des actifs
duinformationnels de la Société
risque stratégique auquel X
contre toutes les menaces dont elle pourrait être objet.
est exposé l’organisme, dans lequel se dérouleront l’établissement et la
2. Public cible etmiseportéeà jour du SMSI
Public cible:•tous les
Établir lesdecritères
employés la sociétéd’évaluation
X. futurs du risque

3. Enoncé
La politique SMSI peut être très courte et contenir des énoncés
généraux
3.1. Rôles qui réfèrent à la norme ISO 27001 et à la documentation
et responsabilités
associée
3.1.1. au sein de l’organisation
Direction
La Direction est le responsable ultime dans l’établissement, la mise en œuvre, le fonctionnement,
– laD’autres
surveillancepolitiques etlaprocédures
et le réexamen, viendrontdupréciser
mise à jour et l’amélioration SMSI et estcomment
responsable de:
mettre en œuvre etd’une
1. L’établissement appliquer la politique
politique relative au SMSI SMSI
La planification
du SMSI

1.3.3. Approbation de la direction


• Il convient que la politique SMSI:
– Démontre l’engagement de la direction
(À appliquer et maintenir une politique de sécurité pour tout l’organisme (ISO 27002: 5.2))

– Doit être approuvée par la direction


(À travers un document de politique de sécurité de l’information, puis publié et diffusé
auprès de l’ensemble des salariés et tiers concernés (ISO 27002: 5.1.1))

• La politique doit être signée par une personne


physique (souvent le CEO) mais le processus
d’approbation peut relever d’un comité:
– Conseil d’administration
– Conseil de gestion
– Comité de gouvernance de la sécurité
La planification
du SMSI

1.3.4. Mise en œuvre de la politique

Conservation
Publication de Signature des
dans le dossier
la politique employés
employé

Signature:
Bonne pratique mais non
obligatoire Formulaire original de signature:
Conservé dans le dossier de chaque
En cas de non signature:
employé aux RH
Être en mesure de démontrer que
les membres de l’organisation ont
compris et appliquent la politique.
Par exemple, participation à une
session de formation.
La planification
du SMSI

1.3.5. Communication & Sensibilisation

Communication
(ISO 27002:5.1.1) • Lettre officielle
Plan de communication • Diffusion générale
nécessaire préalable à la
publication de la politique

Sensibilisation • Activités initiales


(section communication, • Sensibilisation continue
sensibilisation et formation)
La planification
du SMSI

1.3.6. Contrôle, évaluation & révision


Prévoir processus disciplinaire formel
pour le personnel ayant enfreint les
règles de sécurité (traitement correct
Périodiquement (au moins 1 fois/an) et juste, réponse graduée)
ou
en cas de changements majeurs
Contrôle
Révision
Assurer la
Tenir à jour conformité au
ISO quotidien
27002:5.1.2 ISO
27002:8.2.3

Evaluation
Mesurer le degré de
conformité

Section surveillance et mesures


La planification
du SMSI

1.3. Facteurs clé

Concordance
avec mission,
vision de
l’organisation Appuie les
Communication
processus de
& Sensibilisation
sécurité

Contrôle,
Implication de
évaluation et
la direction
révision
La planification
du SMSI

La planification du SMSI
1. Gouvernance
2. Analyse du risque
3. Déclaration d’applicabilité
La planification
du SMSI

2. Gestion du risque
Planifier

Agir PDCA Déployer

Contrôler

1. Analyse 2. Planification 4. Analyse 5. Déclaration


3. Gouvernance
préliminaire du projet de risque d’applicabilité
La planification
du SMSI

2. Gestion du risque

Objectifs Gérer les risques du SMSI

ISO 27001:2005 Clause 4.2.1.


Pré requis
Etablissement du SMSI

Personnes haute direction, CISO, CIO, Gestionnaires des


impliquées opérations, propriétaires des principaux processus

Détermination d’une méthode d’analyse de risque,


Mise en
ateliers d’identification et d’analyse des risques,
œuvre définir les options des traitements des risques

Une description de la méthodologie d’appréciation du risque, Exemple:


Livrables le rapport d’appréciation du risque, EBIOS, Octave,
le plan du traitement du risque etc.
La planification
du SMSI

2. Pré requis
4.1 Exigences générales
L'organisme doit établir, mettre en œuvre, exploiter,
surveiller, réexaminer, tenir à jour et améliorer un
SMSI documenté dans le contexte des activités
commerciales d'ensemble de l'organisme et des
risques auxquels elles sont confrontées.
La planification
du SMSI

2. Historique du mot risque


• Risque provient du terme italien (Moyen âge) risico
signifiant roche escarpé, écueil, utilisé pour
désigneer le péril couru en mer par les premières
compagnies d’assurance
• Définition de Bernoulli:
– espérance mathématique d’une fonction de probabilité
d’évènements affectés de leur probabilité
– Évènement « ei », probabilité d’occurrence « pi »,
conséquence probable « Ci »:

Risque=p1.C1+p2.C2+…+pn.Cn
La planification
du SMSI

2. Analyse du risque
• Exercice 5: Mythe et réalité – gestion des risques
Pour chacune des affirmations suivantes déterminez si, selon
vous, elles sont vraies ou fausses, et justifiez votre réponse:
1. Les organisations sont exposées à plus de risques aujourd’hui qu’il y a 25 ans.
2. Un risque ne peut pas exister sans menace
3. On peut prévoir la plupart des risques
4. Les risques, c’est avant tout une question de perception
5. Il est possible de complètement éliminer un risque
6. Un bon manager sait prendre des risques
7. Une analyse de risque est toujours subjective
8. Une analyse quantitative des risques fournit des résultats plus pertinents qu’une
analyse qualitative
9. La culture du risque admet le droit à l’erreur
10. Le risque peut être positif (opportunité) et négatif (menace) pour une
organisation
La planification
du SMSI

2. Les facettes du risque

DANGER

LE
RISQUE
OPPORTUNITE INCERTITUDE
La planification
du SMSI

2. Risque en tant qu’opportunité


• Risques, opportunités et performances étroitement liés
– Logiquement: avec une même espérance mathématique, la
plupart des dirigeant préfèrent un gain relativement sûr à un
gain bien plus important mais aléatoire (permet un croissance
stable et soutenue)
– Opportunité importante de gains pour les organisations:
• principe de la prime de risque :gain supplémentaire espéré en
participant à une activité risquée.
• Exemple: utilisation d’un logiciel béta avec bogues mais moins de coûts
• Le statut quo et les investissements présentent des
risques
• Une gestion appropriée des risques permet de profiter
La planification
du SMSI
2. Les catégories de risques
Structure du Planning
Produit marché Organisation/Structure Risque humain
Relations R&D Monitoring Reporting
d’affaire
Prix de Economie Mondialisation Sécurité
la marchandise des données
Risque Management Fraude
Change Stratégique du risque Process
Risque
Taux d’intérêt Risques du d’affaires Opérations de Technologie
Marché risque Contrats
Règlement
Responsabilités
Risques Risque
Risque Risque Risque légal
liés au crédit Financier d’entreprise opérationnel Assurance
Contrepartie
Risque
Risques Risque Systèmes de judiciaire
Management
de liquidité événementiel risque
Liquide/réserve
Fiabilité
Intégrité
Financement
Risques politiques Risques exogènes Capacité
Interface et
Marché lié aux
Règlementation Catastrophe coordination
liquidités
naturelle
Pays/zone à
Guerre risque Tendance
culturelle et
Politique sociale
fiscale
2. Les catégories de risques
Processus d’opération

Comportements
Désastres naturels
déviants

Sources combinées

Faiblesses Technologies
humaines

Faiblesses
Analyse des risques
organisationnelles à travers des benchmarks
2. Une question de perception
Perception du risque
(subjectif, irrationnel, diffère Risque réel
d’employé à dirigeant, )

Moyen de transport Passagers tués


(par 100 millions de passagers-
kilomètres (2001-2002)
Motocyclette/Cyclomoteur 13,8

Déplacement pédestre 6,4

Bicyclette 5,4

Voiture 0,7

Autobus et autocar 0,07

Air (aviation civile) 0,035


2. Négation du risque

« Je n’imagine aucune circonstance qui ouisse


provoquer le naufrage de ce navire. Je ne veux
pas imaginer une catastrophe vitale qui puisse
affecter ce navire »
Capitaine du Titanic, 1912
2. Processus de gestion des risques
Déterminer les risques
Enjeux, objectifs, macro-processus,
Portée, Atelier d’auto-évaluation

2-
1- Identifier 3- Gérer les
Analyser
les risques risques
et évaluer

Stratégie:
Risques Probabilité,
potentiels Impact, Elimination,
Libellés Délai, Transfert,
Contexte Gravité, Réduction,
Causes Contrôle,
Conséquences Acceptation,
Maîtrise
Plan de
contingence

temps

Suivi et communication des risques


2. BS7799-3:2006
Système de Gestion de la Sécurité de l’Information – Lignes directrices
• Clause 5 (P): • Clause 8 (A):
• Évaluation des • Amélioration
risques continue

4- Maintenir
1- Évaluer et améliorer
les risques le contrôle
des risques

2-
3- Surveiller
Sélectionner,
et réviser la
mettre en
performance
œuvre&faire
et l’efficacité
fonctionner
•Clause 6 (D): du SMSI •Clause 7 (C):
les contrôles
•Traitement de •Activités de
risque et prise de gestion des risques
décisions de gestion en cours
2. Autres cadres de référence
• Contenu de l’ISO 27005:
1. Domaine d’application
2. Références normatives
3. Termes et définitions
4. Structure de la présente Norme internationale
5. Background
6. Processus de gestion des risques
7. Etablissement du contexte
8. Appréciation du risque
9. Traitement du risque
10. Acceptation du risque
11. Communication du risque
12. Surveillance et réexamen du risque
2. Autres cadres de référence
• Contenu de l’ISO 27005:
– Annexe A:
• Définition du périmètre du Processus de gestion des risques
– Annexe B:
• Identification et évaluation des actifs et appréciation des impacts
– Annexe C:
• Exemples de types de menaces
– Annexe D:
• Vulnérabilités et méthodes d’appréciation des vulnérabilités
2. Autres cadres de référence
• ISO 27005: 1- Domaine d’application
– Cette norme internationale fournit des lignes
directrices pour la gestion des risques de sécurité
de l'information.
– Une connaissance des concepts, des modèles, des
processus et de la terminologie de l'ISO / CEI
27001 et de l’ISO / IEC 27002 est importante pour
une compréhension complète de la norme
internationale ISO/IEC 27005:2008 .
2. Autres cadres de référence
• ISO 27005: 1- Domaine d’application
• Historique: ISO 13335-2

Techniques for the management


Managing and Planning IT security Selection of safeguards Information Security risk
IT security management
ISO TR 13335-3
ISO TR 13335-2 ISO 27005
ISO TR 13335-4
1992.. 1997 2008
1998 et 2000
CCTA Risk Assessment Guide to BS7799
Risk Assessment Guidelines for information
and Management Method
security Risk Assessment
PD 3002
CRAMM BS7799-3
PD 3005
1985.. 1988.. 1991 .. 1996 2006
1998 puis 2002
Expression des Besoins et
Identification des Objectifs de Sécurité
EBIOS
1997 puis 2004

Et d'autres influences diverses


2. Autres cadres de référence
• ISO 27005: 2- Références normatives
• Cette norme et cette démarche font appel à d’autres normes
de la série ISO 27000, à savoir :
– ISO/IEC 27001:2005 Exigences (ISO 27001 4.2.1 c) à 4.2.1 f) 4), plus
4.2.3.d)
– ISO/IEC 27002:2005 Code de bonne pratique pour la gestion de la
sécurité de l'information.
• Nota: D’autres normes références pour cette série :
– ISO/CEI 13335-1:2004 Partie 1: Concepts et modèles pour la gestion de
la sécurité des technologies de l'information et des communications,
– ISO/CEI TR 18044:2004 Gestion d'incidents de sécurité de l'information,
– ISO/CEI Guide 73:2002 Management du risque – Vocabulaire –
Principes directeurs pour l'utilisation dans les normes.
2. Autres cadres de référence
• ISO 27005: 3- Définitions
• 3.1 impact
• 3.2 information security risk
• 3.3 risk avoidance [ISO/IEC Guide 73:2002]
• 3.4 risk communication [ISO/IEC Guide 73:2002]
• 3.5 risk estimation [ISO/IEC Guide 73:2002]
• 3.6 risk identification [ISO/IEC Guide 73:2002]
• 3.7 risk reduction [ISO/IEC Guide 73:2002]
• 3.8 risk retention [ISO/IEC Guide 73:2002]
• 3.9 risk transfer [ISO/IEC Guide 73:2002]
2. Autres cadres de référence
• ISO 27005: 3- Vocabulaire
• Choix de traduction
– Risk Analysis => Analyse du risque
– Risk Evaluation => Evaluation du risque
– Risk Estimation => Estimation du risque
– Risk Assessment => Appréciation du risque
• Langage courant
– Analyse de risque => Risk Assessment
– Usage impossible à garder sans confusions
» Pas d'autre traduction possible que Risk Analysis => Analyse
du risque
» Confusion avec Risk Assessment
2. Autres cadres de référence
• ISO 27005: 4- Structure de la norme internationale
• Clause 7 : Etablissement du contexte (Context establishment)
• Clause 8 : Appréciation du risque (Risk assessment)
• Clause 9 : Traitement du risque (Risk treatment)
• Clause 10 : Acceptation du risque (Risk acceptance)
• Clause 11 : Communication du risque (Risk communication)
• Clause 12 : Surveillance et réexamen du risque (Risk
monitoring and review )
– Éléments d’entrée
– Actions
– Éléments de sortie
2. Autres cadres de référence
• ISO 27005: 5- Background:
• Gestion des risques devrait contribuer à:
– L’identification des risques
– L’appréciation des risques en termes de conséquences sur l’activité
métier et leur probabilité de survenance
– Pbté et conséquences que ces risques soient communiqués&compris
– L’ordre de priorité: traitement des risques en cours de mise en œuvre
– La priorité pour des actions visant à réduire les risques survenus
– L’implication des intervenants quand les décisions de gestion des
risques sont prises en connaissance de l’état de la situation
– L’efficacité de la surveillance du traitement des risques
– Surveillance/revue régulière des risques et ps de gestion des risques
– La capture d’informations : améliorer l'approche de gestion du risque
– La formation des gestionnaires et du personnel sur les risques et les
mesures prises pour atténuer ces risques.
2. Autres cadres de référence
• ISO 27005: 6- Processus de gestion des risques:
Processus • Modèle PDCA: Identique ISO27001
Processus de gestion des risques
SMSI
Plan • –Etablissement
Définition d'un processus: Continu et qui s'améliore, donc PDCA
du contexte
• –Appréciation
Processus du risque
de gestion de risque de la sécurité de l'information
• Analyse de risque:
(information security
• Identification risk management process)
du risque
• Estimation du risque
• Processus applicable:
• Evaluation du risque


–Plan
A de traitement du risque
toute l'organisation
Acceptation du risque
Do • – A en
Mise unœuvre
sousduensemble : Service,
plan de traitement site géographique, etc
du risque
(réduction du risque en sélections des mesures du guide de bonnes pratiques ISO/IEC 17799 et des
– A tout système d'information
mesures spécifiques additionnelles si nécessaire)
– •A une mesure
Implémenter de sécurité
les actions oulesunrisques
pour réduire traitement existant ou planifié
• Eduquer la direction et le personnel sur les risques et les actions prises pour les atténuer
Check
» Exemple : continuité d'activité
• Surveillance et réexamen du risque continu
(contexte, actifs, menaces et vulnérabilités changeant régulièrement doivent être surveillées)
Act • Maintien et amélioration du processus de gestion des risques liés à la sécurité de l’information
• Rectifier le traitement du risque à la lumière des évènements et des changements de
circonstances
2. Autres cadres de référence
• ISO 27005: 6- Processus de gestion des risques:
– Décomposé en deux activités séquentielles et itératives
– Approche itérative
• Améliore la finesse de l'analyse à
Appréciation du risque
chaque itération (risk assessment)

• Garanti une appréciation des Appréciation non


satisfaisante?
risques élevés oui
• Minimise le temps et l'effort Traitement du risque
(risk treatment)
consenti dans l'identification des
mesures de sécurité
– Appréciation des risques satisfaisante ?
• Passer au traitement du risque
2. Autres cadres de référence
• ISO 27005: 6- Processus de gestion des risques:
• Appréciation du risque
– Analyse des risques
» Mise en évidence des composantes des risques
» Estimation de leur importance
– Evaluation des risques
» Analyse d'ensemble et prise de décision sur les risques

• Traitement du risque
– Sélection des objectifs et mesures de sécurité pour réduire le risque
– Refus, transfert ou conservation du risque
• Acceptation du risque
– Approbation par la direction des choix effectués lors du traitement
du risque
• Communication du risque
2. Autres cadres de référence
• ISO 27005: 6- Processus de gestion des risques:

Assez d'éléments pour


déterminer les actions
nécessaires à la
réduction des risques
Risque acceptable
à un niveau ?
acceptable
-? Communication à la
hiérarchie et aux
équipes
opérationnelles à
chaque étape
- Risque identifié utile
immédiatement à la
gestion des incidents
2. Autres cadres de référence
• ISO 27005: 7- Etablissement du contexte:
– Cette première phase du processus de gestion des risques est
structurée au sein de l’ISO/IEC 27005:2008 de la manière
suivante:
• 7.1: Considérations générales
• 7.2: Critères de base (Définir)
• 7.3: Champ et limites (Décrire)
• 7.4: Gestion des risques (Organiser)

Action:
Entrée: Sortie:
Définir
Toute information Critères de base
Décrire
pertinente pour (ISO27001 4.2.1.c) Champ et limites
Organiser
la sécurité Organisation en place
2. Autres cadres de référence
• ISO 27005: 7- Etablissement du contexte:
– 7.1: Considérations générales
• Déterminer la finalité des activités de gestion des risques de sécurité de
l’information qui affectent l’ensemble du processus.
• Le but peut être:
– La conformité juridique et la preuve
– La préparation d'un plan de continuité d'activité
– La préparation d'un plan de réponse aux incidents
– Le soutien d'un SMSI.
2. Autres cadres de référence
• ISO 27005: 7- Etablissement du contexte:
– 7.2: Critères de base
• Critères d’évaluation des risques
• Critères d'impact
• Critères d'acceptation des risques
– Valeur stratégique du processus métier
• – Niveau
Disponibilité des ressources – Criticitédudes
de classification actifs impliqués
patrimoine informationnel impacté
Annexe (B.3) :
– Impact de laCritères– Conséquences
violation des critères
d'acceptation financières
de
dessécurité
risques en(breaches
:association of avec
- Différence entre –la Critères
valeur d'unmétiersactif et l'impact ?
security criteria): :Confidentialité,
-deDécrit lesAspects
circonstances
– Réaliser intégrité,
l'appréciation dans disponibilité,
des risques etetétablir le
lesquelles
– Critères peuvent- Incident –
sécurité
changerl'organisation
d'une peut
appréciation légaux
affecter et
àlégales
l'autre,règlementaires
d'une itération à4.2)
éventuellement d'autres
plan– de
Obligations
critères comme
acceptera
traitement les la
des et règlementaires
preuve.
risques
Risques (BS7799-3
l'autre - Un actif – Exploitations
– Détérioration- Correspond (legalau
de –l'exploitation
Définir and
et regulatory
(impaired
critères
implémenter requirements)
operations)
de risque (Interne
(risk criteria)
les politiques et (ISOou
- Plusieurs actifs – Technologiques
tierce partie) Guide – Engagements
73) dans d'autres
procédures, incluant contractuels
documents
l’implémentation (contractual
des
- Une partie d'un – Financiers
actif
– Perte d’activité obligations)
etmesures
perte financière
- Conservation dedes risques
sécurité dépendra
sélectionnées des critères
- Impact mesure le– degré
Sociaux de etdommage
humanitairesd'un incident
– Perturbationd'acceptation – Perception
des–projets,
Surveillernon-respect
des du client
lesrisques
contrôles et conséquences
des dates limites
- Au départ l'estimationIl faut définir
d'un son niveau
impact sera très d'acceptation
proche de des
(disruption of plans–and négatives lepour
deadlines) la clientèle
l'estimation de laSurveiller
risquesdes
valeur (levelprocessus
of risk
actifs de gestion decision)
acceptance
impactés des risques
– Attentes
– Dégradation de laSeréputation
reporter des clients
à(damage
l’annexe ofde
A reputation)
l’ ISO/IEC FDC 27005
2. Autres cadres de référence
• ISO 27005: 7- Etablissement du contexte:
– 7.3: Champ et limites
• Composition:
– Définir le périmètre du processus de gestion du risque
– Décrire l'environnement du processus de gestion du risque
– Décrire l'objet du processus de gestion du risque
– Présentation de l'organisation
• Processus
– Objectifs demétiers,
stratégiques gestionlesdu –risque
stratégies etapplicable
politiques
La présentation à tout type d'objet :
du champ
– Politique –deApplication
sécurité – Les constituants
– Contraintes affectant l'organisation – Les objectifs
– Infrastructure
– Liste des obligations légales,IT – La description
règlementaires fonctionnelles'appliquant à toute l'organisation
et contractuelles
– Processus
– Aire d'application – Les mesures
métier des risques
de la gestion de sécurité
de sécurité existantes ou (système
de l’information planifiées ou limites
– Les frontières et barrières
géographiques)
– Organisation – Les interfaces (informations échangées avec l'environnement)
– Architecture du système d'information – L’organisation et les responsabilités
– Justification des exclusions du champ–du processus
La liste de gestion
des postulats des risques
(assumptions)
– Environnement socioculturel – La liste des contraintes spécifiques à l’objet
Se reporter à l’annexe A de l’ ISO/IEC FDC– La27005
liste des références règlementaires spécifiques
Se reporter à l’annexe A de l’ ISO/IEC FDC 27005
2. Autres cadres de référence
• ISO 27005: 7- Etablissement du contexte:
– 7.4: Organisation pour la gestion des risques
• Une organisation et gouvernance appropriée pour le processus de gestion
des risques de l’information doit être établie et approuvée par la
direction (Cf 5.1.f de l’ISO/IEC 27001:2005)
• Elle doit inclure:
– Une identification et analyses des parties impliquées
– Une définition des rôles et responsabilités de toutes les parties de
l’organisation participant au processus de gestion des risques de sécurité de
l’information
– L’établissement des liens nécessaires entre les parties impliquées de
l’organisation , en particulier ceux avec les fonctions de gestion du risque de
haut niveau (gestion des risques opérationnels).
2. Autres cadres de référence
• ISO 27005: 7- Etablissement du contexte:
– 7.4: Organisation pour la gestion des risques
• Une organisation et gouvernance appropriée pour le processus de gestion
des risques de l’information doit être établie et approuvée par la
direction (Cf 5.1.f de l’ISO/IEC 27001:2005)
• Elle doit inclure…
• Une structure détaillée pour l’exercice de ce processus comprend aussi:
– La définition et répartition des activités et tâches de ce processus, y comprit
la documentation
– La gestion de ressources
– La définition des chemins d'escalade de décision
– La définition des enregistrements devant être conservés
2. Autres cadres de référence
• ISO 27005: 8- Appréciation du risque:
– ISO/IEC FDC 27005
• 8: Appréciation du risque (Risk Assesment)
– 8.1: Processus d’appréciation du risque
– 8.2: Analyse du risque (Risk Analysis)
– 8.2.1: Identification du risque
– 8.2.2: Estimation du risque
– 8.3: Evaluation du risque
– ISO/IEC 27001:2005
• 4.2.1c: Approche d’appréciation du risque
• 4.2.1d: Identifier les risques
• 4.2.1e: Analyser et évaluer les risques
2. Autres cadres de référence
• ISO 27005: 8- Appréciation du risque:
– Annexe E.1 Appréciation du risque de haut niveau en sécurité de l'information
• L’appréciation de haut niveau permet de définir les priorités et la chronologie des actions. Pour différentes
raisons, par exemple de budget, il peut s'avérer impossible de mettre en œuvre toutes les mesures de
sécurité en même temps; seuls les risques les plus critiques peuvent alors être abordés par le processus
de traitement de risque. Il peut également être précoce de commencer une gestion détaillée de risque si
la mise en œuvre n’est envisagée qu'après une ou deux années. Afin d’atteindre cet objectif, l’appréciation
de haut niveau peut commencer par une évaluation de haut niveau des conséquences plutôt que par une
analyse systématique des menaces, des vulnérabilités, des actifs et des conséquences.
• Une autre raison de commencer par l’appréciation de haut niveau est de la synchroniser avec d’autres
plans relatifs à la gestion des modifications (ou la continuité de l'activité). Par exemple, il n'est pas
conseillé de sécuriser entièrement un système ou une application s'il est prévu de les sous-traiter dans un
futur proche, même s’il peut être encore utile de procéder à l’appréciation du risque pour définir le
contrat de sous-traitance.
– Annexe E.2 Appréciation détaillée du risque en sécurité de l’information
• Le processus d’appréciation détaillée du risque en sécurité de l’information implique l’identification et
l’évaluation approfondie des actifs, l’appréciation des menaces par rapport à ces actifs et l’appréciation
des vulnérabilités. Les résultats obtenus grâce à ces activités sont alors utilisés pour apprécier les risques,
puis pour identifier le traitement du risque.
• Cette étape détaillée exige en général du temps, des efforts et une expertise considérables et peut, par
conséquent, être la plus adaptée aux systèmes d'information présentant un risque élevé.
2. Autres cadres de référence
• ISO 27005: 8- Appréciation du risque:
– Appréciation du risque (8.1)
• Déterminer la valeur des actifs
• Identifier les menaces et les vulnérabilités
• Identifier les mesures de sécurité existantes
et leurs effets sur le risque identifié
• Quantifier les conséquences potentielles
• Prioriser et ordonnancer les risques
– Itérations de l'appréciation (8.1)
• Haut-niveau
• De plus en plus en profondeur
2. Autres cadres de référence
• ISO 27005: 8- Appréciation du risque:
– Processus d’appréciation du risque (8.1)

Organisation de la gestion de risques


Critères de base

Action:
- Identification des risques
Entrée: - Description quantitative Sortie:
Critères d'acceptation ou qualitative des risques Liste des risques
du risque - Prioritisation des risques évalués (appréciés)
2. Autres cadres de référence
• ISO 27005: 8- Appréciation du risque:
– Analyse de risque (8.2):

Menace
cible

exploite Actif

possède

Vulnérabilité

Conséquence
2. Autres cadres de référence
• ISO 27005: 8- Appréciation du risque:
– Analyse de risque (8.2): Identification du risque (8.2.1)

8.2.1.2
8.2.1.3
8.2.1.4
8.2.1.5
8.2.1.6
2. Autres cadres de référence
• ISO 27005: 8- Appréciation du risque
– Analyse de risque (8.2): Identification du risque (8.2.1)
• Identification et évaluation des actifs (8.2.1.2) :
– Actifs non-identifiés à l'issue de cette activité ne seront
- Élément pas classés
de sortie:
=> même compromis. Une liste de scénarios
- Éléments d’entrée: - Action: Cela n'affecte pas l'objet du processus de
d'incidents avec leurs
Liste des actifs,gestion
liste desde risqueIdentifier
(B.1.1)les conséquences conséquences liées aux
processus métiers et que les pertes de
– Propriétaire
liste des menaces et des de l'actif => responsable
confidentialité, d'intégrité et
et redevable pour cet actif (8.2.1.1)
actifs et des processus
métiers.
vulnérabilités liés»aux
Production, développement, maintenance, usage, sécurité, ...
de disponibilité peuvent
actifs et leur pertinence avoirde
» Pas au sens droit pour le patrimoine.
propriété

Entrée: Action: Sortie:


Liste d'actifs avec propriétaire, Identifier et Liste d'actifs avec leur
(ISO27001 4.2.1.d.1) évaluer les actifs valeur (risk-managed)
emplacement, dans le périmètre Liste de processus métier
fonction, .... relatifs à ces actifs
2. Autres cadres de référence
• ISO 27005: 8- Appréciation du risque
– Analyse de risque (8.2): Identification du risque (8.2.1)
• Identification et évaluation des actifs (8.2.1.2) :
2. Autres cadres de référence
• ISO 27005: 8- Appréciation du risque
– Analyse de risque (8.2): Identification du risque (8.2.1)
• Identification et évaluation des actifs (8.2.1.2) :
2. Autres cadres de référence
• ISO 27005: 8- Appréciation du risque
– Analyse de risque (8.2): Identification du risque (8.2.1)
• Identification et évaluation des actifs (8.2.1.2) :
– Annexe (B.2) : Evaluation des actifs

Caractéristique Description
1- Critères Doit être écrit en des termes non ambiguës : coût monétaire, rang,
d’évaluation des actifs etc..
Exemples:
1- cout, cout de re-création ou remplacement, réputation de
l’organisme, etc.
2- cout dû à la perte de CID suite à un incident
3- selon le contexte, dépend de l’organisme
Exemples de critères:
• Rupture de contrat (incapacité à remplir des obligations contractuelles)
• Violation de législation et/ou règlementation
2. Autres cadres de référence
• Exemples
Personnelde
utilisateurs
encritères:
• Interruption
danger/ sécurité de l’utilisateur (danger pour les personnel et les
de service
rattachés
• Dépréciation des performances de l’entreprise
(incapacité à• fournir
à l’organisation), Atteinteleàservice)
la vie privée des utilisateurs
• Perte de notoriété, effet négatif sur la réputation
• •Pertes
Pertefinancières,
de la confiance des financiers
• Coûts clients : pour les cas d'urgence ou de réparation (1- en
• Violation associée aux informations personnelles
• ISO (1- 27005:
termesPerte 8- Appréciation
de la crédibilité
de personnel, 2-en dans
termes le système du
d'équipement,
• Mise en danger derisque
d’information interne,
3-en termes 2-Dommage
d'études,
la sureté personnelle
à la
de rapports
réputation)
d'experts)
– Analyse
• •Perte
Interruption dedu
de biens / risque
•(8.2):
fonctionnement
fonds
Effets Identification
/ avoirs,
négatifs sur le renforcement
interne
• Perte :
de clientèle, du
perterisque de (8.2.1)
la loi
de fournisseurs
• Violation de la confidentialité
• (1-Perturbation
Les•poursuites de l’organisation
Identification et•etViolation
judiciaires elle-même, 2- coût supplémentaire interne)
des sanctions
évaluation des public
actifs (8.2.1.2) :
de l’ordre
• •Perte
Interruption du fonctionnement
d'un avantage concurrentiel,d'un tiersde: I’avance technologique / technique
• Perte
– Annexe (B.2) •Evaluation
Perte financière
• (1- perturbation
Perte d'efficacitédans des:transactions
/ confiance, • Perte de des
de actifs
tiers avec l'organisation,
réputation technique Différents types
• Perturbation des activités métier
• de types dommages)
Affaiblissement des capacités de négociation
Caractéristique Description• Mise en danger de la sécurité environnementale
• •Crise
Violation des lois(grèves),
industrielle et des règlementations
• Crise Gouvemmentale,(incapacité à remplir ses •obligations
• Licenciement, Dommages
2- Réduction à une Homogénéiser et réduire l'ensemble des évaluations relatives à tous les
légales)
matériels
base commune actifs selon une base commune:
1) Peut être réalisé en s’aidant des critères liés à une perte de
confidentialité, intégrité, disponibilité, non-répudiation,
comptabilité, authenticité ou fiabilité
2) Autre approche: Se base sur d’autres critères
Dépend du métier de l’entreprise et de ses besoins de sécurité
Cette liste n’est pas exhaustive.
2. Autres cadres de référence
• ISO 27005: 8- Appréciation du risque
– Analyse de risque (8.2): Identification du risque (8.2.1)
• Identification et évaluation des actifs (8.2.1.2) :
– Annexe (B.2) : Evaluation des actifs
Caractéristique Description
3- Échelle Homogénéiser le nombre de niveaux (dépend de l’organisation):
Convenir d’une échelle commune à tous les niveaux.
Se prononcer sur le nombre de niveaux à utiliser.
- Pas de règles : +de niveaux => + grand niveau de granularité, -mais
parfois une différenciation trop fine rend l’assignation cohérente
dans toute l'organisation difficile.
- En pratique, entre 3 et 10 (« Petit, Moyen, Elevé, » ou « Négligeable,
petit, moyen, élevé, critique) », etc.
- En relation avec les critères sélectionnés
- Sous la responsabilité de l’organisation: Une conséquence qui
pourrait être désastreux pour un petite organisation pourrait être
faible, voire négligeable pour une très grande organisation.
2. Autres cadres de référence
• ISO 27005: 8- Appréciation du risque
– Analyse de risque (8.2): Identification du risque (8.2.1)
• Identification et évaluation des actifs (8.2.1.2) :
– Annexe (B.2) : Evaluation des actifs
Caractéristique Description
4- Dépendances Vis-à-vis des processus métier supportés par les actifs
- Assigner une valeur finale à chaque actif
- Modification de la valeur de l’actif: nécessaire si la valeur de l’actif
dont il dépend est supérieure. Majoration dépend du degré de
dépendance et des valeurs des autres actifs
- Indiquer à chaque évaluation le critère utilisé et l'auteur de
l'évaluation
2. Autres cadres de référence
• ISO 27005: 8- Appréciation du risque
– Analyse de risque (8.2): Identification du risque (8.2.1)
• Identification et évaluation des actifs (8.2.1.2) :
– Annexe (B.2) : Evaluation des actifs
Caractéristique Description
5- Sortie - Liste des actifs et de leur valeur:
- Divulgation (préservation confidentialité),
- Modification (préservation intégrité, authenticité, non
répudiation, comptabilité),
- Non disponibilité et destruction (disponibilité et fiabilité),
- cout de remplacement
2. Autres cadres de référence
• ISO 27005: 8- Appréciation du risque
– Analyse de risque (8.2): Identification du risque (8.2.1)
• Identification des menaces (8.2.1.3) :
– En priorité les menaces d'origine
Paraccidentelles
interviews et délibérées
• Propriétaires d'actifs, utilisateurs,
– De manière générique et par type
ressources humaines, services
» Compromission de l'information, pannes techniques, actions
opérationnels, non-autorisées
spécialistes en sécurité,
– Source sécurité physique, juridique...
» Qui et quoi cause la menace • Autorités gouvernementales,
– Cible météorologie, compagnies
(related potential exploring agents)
d'assurance...
» Quels éléments du système peuvent être affectés par la menace
• ISO 27001 4.2.1d)2
Entrée:
• Réexamen des incidents
Sortie:
Action: Liste de menaces avec
• Propriétaires d'actifs,
Identifier les leur type, source et les
utilisateurs (ISO27001 4.2.1.d.2)
• Gestion des incidents menaces et leurs personnes pouvant les
• Catalogues de menaces sources explorer
2. Autres cadres de référence
• ISO 27005: 8- Appréciation du risque
– Analyse de risque (8.2): Identification du risque (8.2.1)
• Identification des menaces (8.2.1.3) :
– Annexe (C) : Exemples de menaces typiques
» Le tableau suivant donne des exemples de menaces typiques.
» La liste peut être utilisée au cours du processus d'évaluation des
menaces.
» Les menaces peuvent être :
- délibérées (D) : toutes les actions délibérées visant les
actifs informationnels
- accidentelle (A) : toutes les actions humaines pouvant
endommager accidentellement actifs
informationnels
- ou environnementales (naturelles) (E) : incidents non
basés sur des actions humaines et pouvant
entraîner, par exemple, des dommages ou la
perte de services essentiels
2. Autres cadres de référence
• ISO 27005: 8- Appréciation du risque
– Analyse de risque (8.2): Identification du risque (8.2.1)
• Identification des menaces (8.2.1.3) :
– Annexe (C) : Attention particulières aux sources de menaces
humaines (voir tableau ci-dessous)

Origine de la menace Motivation Conséquences possibles

Hacker, Pirate • Défi • Piratage


• Ego • Ingénierie sociale
• Rébellion • Système d'intrusion, effraction
• Statut • Accès non autorisé au système
• Argent
Cyber Crime • Destruction des renseignements • Criminalité informatique (ex. harcèlement électronique)
• Divulgation illégale d’informations • Acte frauduleux (relecture par exemple, usurpation d'identité,
• Gain monétaire interception)
• Altération non autorisée de données • Corruption d’information
• Usurpation (spoofing)
• Intrusion système
Terrorist • Chantage • Bombe / Terrorisme
• Destruction • Guerre informatique
• Exploitation • Attaque système (par exemple le déni de service distribué)
2. Autres cadres de référence
• ISO 27005: 8- Appréciation du risque
– Analyse de risque (8.2): Identification du risque (8.2.1)
Origine de la menace Motivation Conséquences possibles
• Identification
Espionnage industriel •
des menaces• (8.2.1.3)
Avantage concurrentiel
:
Avantage défensif
(Intelligence, –• Annexe
Espionnage (C) : Attention particulières
économique • aux sources de menaces
Avantage politique
entreprises, • Exploitation économique
gouvernements humaines (voir tableau ci-dessous)
• Vol d'information
étrangers, intérêts • Intrusion dans la vie privée
gouvernementaux) • Ingénierie sociale
• Système de pénétration
• Accès non autorisé au système (accès à des propriétaires classés
et/ou de l'information liée à la technologie)
Internes • Curiosité • Assaut sur un employé
(mauvaise formation, • Ego • Chantage
mécontentement, • Intelligence • Consultation des informations confidentielles
malicieux. négligence, • Gain monétaire • Computer abuse
mauvaise foi, ou • Vengeance • Fraude et vol
anciens employés) • Erreurs et omissions non • Corruption d’information
intentionnelles • Saisie des données corrompues falsifiés,
(exemple: erreur de saisie de données, • Interception
erreur de programmation) • Code malveillant (virus, bombe logique, cheval de Troie,)
• Vente de renseignements personnels
• Bugs du système
• Intrusion système
• Sabotage du système
• Accès non autorisé au système
2. Autres cadres de référence
• ISO 27005: 8- Appréciation du risque
– Analyse de risque (8.2): Identification du risque (8.2.1)
• Evaluation des mesures de sécurité existantes (8.2.1.4) :
– Evite les redondances
– Revue du plan de traitement du risque mis en oeuvre, pas du plan
élaboré mais pas déjà implémenté
– Vérification des indicateurs d'efficacité des mesures de sécurité
» Si une mesure de sécurité ne fonctionne pas comme prévu il
peut y avoir des vulnérabilités
– Interview du RSSI, ...
– Revue sur site des mesures de sécurité physique
Entrée: Sortie:
• Documentation des Action: Liste des mesures de
mesures de sécurité Identifier les sécurité existantes et
(procédures) mesures prévues avec le degré
• Plan de traitement du de sécurité d'usage et d'implémentation
risque
2. Autres cadres de référence
• ISO 27005: 8- Appréciation du risque
– Analyse de risque (8.2): Identification du risque (8.2.1)
• Identification des vulnérabilités (8.2.1.5) :
– Vulnérabilités généralement reliées aux propriétés ou attributs des
actifs
– Vulnérabilités sans aucune menace doivent être quand même
reconnues et suivies en cas de changement plus tard

Entrée: Identifier les


Liste de menaces vulnérabilités Sortie:
pouvant être Liste de vulnérabilités reliées
Faiblesses des processus métier aux actifs, menaces et
(ISO27001 4.2.1.d.3) exploitées
mesures de sécurité
Facilité d'exploitation... par les menaces
2. Autres cadres de référence
• ISO 27005: 8- Appréciation du risque
– Analyse de risque (8.2): Identification du risque (8.2.1)
• Identification des vulnérabilités (8.2.1.5) :
– Annexe (D) : D.1 Exemples de vulnérabilités
» Le tableau suivant donne des exemples de vulnérabilités
dans différents domaines de sécurité (y compris exemples
de menaces pouvant exploiter ces vulnérabilités).
» Ces listes peuvent fournir une aide lors de l'évaluation des
menaces et des vulnérabilités, afin de déterminer des
scenarii d’incidents pertinents.
» Dans certains cas, d'autres menaces peuvent tout autant
exploiter ces vulnérabilités
» (voir tableau ci-dessous)
Définition: Technique pouvant être utilisée pour identifier les
Définition:
Remarque:
2. Autres cadres de référence
vulnérabilités système TIC au cours du processus d'évaluation
Lorsqu'elle
-desLes
risques,de peut
est utilisée
outils
risques.
être
et les dans le processus
techniques
utilisé àpour évaluer
d'évaluation
de pénétration des donner
peuvent
faux
Consistance: résultats
élaboration moins que lalavulnérabilité
et exécution
capacité d'unsoit
d'un plan de test
système
exploitée
(script
informatique
avec à résister aux tentatives délibérées de contourner
succès.
de test,
Utilisé pourparscanner
exemple, un les procédures
groupe d'hôtes de
ou test
un et les résultats
réseau pour des
la sécurité du système.
• -tests
ISO 27005:Consistance:
des
Pour exploiter une vulnérabilités, il faut connaître
8- Appréciation du risque
prévus).
services
exactement connus le pour leur
système / vulnérabilité
application / (exemple: FTPdes
configuration
Objectif: relais sendmail).
anonyme,
– Analyse de risque
- Compléter
- correctifs
tester
l'examen
(8.2): des contrôles
surIdentification
le système
l'efficacité testé.de
des contrôles du sécurité
risqued'un
de sécurité (8.2.1)
système
- Veiller
- Si à ce que les
ces donnéescomme différentes
ne sontelles facettes
pas ont
connues du système
au moment de l'essai, il
informatique été appliquées dans un
• Identification
Toutefois,
informatique
ne des
serait
environnement
vulnérabilités
certaines vulnérabilités
sontpossible
pas garanties. (8.2.1.5)
d’exploiter
opérationnel.
: succès
potentielles
avec identifiées
la vulnérabilité
par
Objectifs:
– Annexe (D)l'outil
: D.2 de
particulière balayage
Méthodes (par automatisé
exemple,
d'évaluation peutvulnérabilités
Remote
des ne pas représenter
Reverse Shell).techniques
de - vulnérabilités
s'assurer queréelles les contrôles
dans le appliqués
contexte répondent
de aux
- Tester
- les systèmes
Toutefois, il resteTICpossible
du pointdedeplanter
vue d'uneou source de un
redémarrer
» Les méthodes
l'environnement proactives
spécifications du tellesetque
desystème
sécurité les
sestest
approuvées
de effectués
du logiciel
exigences, sur
malgré etle
du
menace processus ou d'un système testé. Dans ce cas, l'objet testé
système d'information
matériel
l’existence du risque peuvent
potentiel être
(Cette utilisées
méthode pour identifier
peut les
- Identifier
doit les
êtreendéfaillances
considérée potentielles
comme dans
vulnérable. les schémas de
vulnérabilités
-
produiremettre des en fonction
œuvre
fausses la de la criticité
politique
alertes). des systèmes
de sécurité TIC et des
de l'organisation
protection
- Les des
méthodes systèmes
sugérées TIC. peuvent inclure les activités
ressourcesou de disponibles
se conformer (parauxexemple,
normesles defonds alloués,
l'industrie. les
suivantes:
technologies disponibles, les personnes ayant l'expertise
• Interviewer La plus les complète
personnes (mais aussi plus cher)
nécessaire pour effectuer le test). et les utilisateurs
façon d'évaluer les vulnérabilités.
• Questionnaires
» Les méthodes de test comprennent:
• Inspection physique
• Outils automatisés de scan de vulnérabilités
• Analyse documentaire
• Tests et évaluation de sécurité
• Tests de pénétration
• Revue de code
2. Autres cadres de référence
• ISO 27005: 8- Appréciation du risque
– Analyse de risque (8.2): Identification du risque (8.2.1)
• Identification des conséquences ou des effets induits (8.2.1.6) :
– Identification
Il convient des dommages
que les organismes identifient lesou des impacts sur l'organisme
conséquences
opérationnelles
» Causédes par
scénarii
uned'incident
menaceenexploitant
termes de (sans
unes'yvulnérabilité
limiter):
•temps d’investigation et de réparation,
•temps (de» travail)
Lors d'un incident de sécurité (cf ISO27002 13)
perdu,
•perte d’opportunités,
– Impact mesuré selon les critères d'impact
•santé et sûreté,
•coût– financier
Peut affecter un ou plusieurs
des compétences actifs
spécifiques nécessaires pour réparer
les dommages,
– Identification des conséquences opérationnelles
•image et valorisation financière de l’entreprise.

Action:
Entrée: Identifier les Sortie:
Liste des actifs
(ISO27001 4.2.1.d.4) conséquences qu'une Liste des conséquences
perte de CID pourrait relatives aux actifs
Liste des processus métier et aux processus métier
reliés aux actifs avoir sur les actifs
2. Autres cadres de référence
• ISO 27005: 8- Appréciation du risque
– Analyse de risque (8.2): Identification du risque (8.2.1)
• Identification desd'opportunité
a) Coût conséquences ouendes
(besoins effets induits (8.2.1.6) :
ressources
financières nécessaires pour remplacer ou réparer
– Annexe
a) La valeur financière(B.3)de:remplacement
Evaluation des deimpacts
la
un actif, qui auraient été utilisées ailleurs)
perte de l'actif
» Un(ou d’une partie)
incident
b) Le coûtdedessécurité peutinterrompues
opérations avoir un impact sur un actif ou une
b) ère
Le coût de l'acquisition, la configuration et
évaluation:partie
1 l'installation seulementabusive
c) l'utilisation d'un actif.
du nouvel actif ou de son back-up
potentielle de l'information
obtenue grâce àtrès
une faille dedesécurité
c)Elle coût de»suspension
Lepermettra d'estimer
L'impact un impact
est
des liée au
opérations proche
degré
en de succès de l'incident.
la raison
valeur de
de l'incident d) La
l’actif combinée.violation des obligations statutaires ou
» En conséquence,
Evaluations
jusqu'à ce suivantes:
que le service
réglementairesil y a une différence importante entre la valeur
fourni soit rétabli pouret
des actifs cette (ces) actif
l'impact (s), l'impact
résultant sera différent
de l'incident.
e) Violation des codes de déontologie
d) Résultats d’impact (normalement
de la violation de beaucoup plus faible) en raison de la
la sécurité
» L'impact est considéré comme ayant soit un effet immédiat
de l’information présence et de l'efficacité des contrôles mis en
(opérationnel)
œuvre. ou un effet futur (business) qui inclut les
conséquences financières et mercatiques.
» L’impact immédiat (opérationnel) peut être Direct ou Indirect
» Evaluation itérative:
- Première évaluation (sans contrôle d'aucune sorte)
- Pour toute itération suivante
2. Autres cadres de référence
• ISO 27005: 8- Appréciation du risque:
– Analyse de risque (8.2): Estimation du risque (8.2.2)

Menace
cible

exploite Actif
8.2.2.1

8.2.2.2
possède
8.2.2.3
Vulnérabilité 8.2.2.4

Conséquence
2. Autres cadres de référence
• ISO 27005: 8- Appréciation du risque:
– Analyse de risque (8.2): Estimation du risque (8.2.2)
• Méthodes d'estimation des risques (8.2.2.1) :
– Généralités:
» L’analyse de risque peut être effectuée à différents niveaux de détail
selon la criticité des actifs, la portée des vulnérabilités connues et des
incidents antérieurs expérimentés au sein de l'organisme.
» Selon les circonstances, une méthodologie d’estimation peut être
qualitative, quantitative ou une combinaison des deux.
» En pratique, l’estimation qualitative est souvent utilisée en premier lieu
pour obtenir une indication générale du niveau de risque et pour mettre
en exergue les principaux risques. Il peut ensuite être nécessaire
d’entreprendre une analyse plus spécifique ou quantitative des risques
majeurs, étant donné qu'il est souvent moins complexe et moins
onéreux d'effectuer une analyse qualitative qu’une analyse quantitative.
» Il convient que le type d'analyse menée soit cohérent avec les critères
d'évaluation du risque définis lors de l'établissement du contexte
2. Autres cadres de référence
• ISO 27005: 8- Appréciation du risque:
– Analyse de risque (8.2): Estimation du risque (8.2.2)
• Méthodes d'estimation des risques (8.2.2.1) :
– Qualitative
» Magnitude des conséquences exprimée par exemple par faible,
moyenne, élevée
» Utile en l'absence de données permettant une estimation quantitative
» + Facilité de compréhension
» - Subjectivité du choix
2. Autres cadres de référence
• ISO 27005: 8- Appréciation du risque:
– Analyse de risque (8.2): Estimation du risque (8.2.2)
• Méthodes d'estimation des risques (8.2.2.1) :
– Qualitative
– Quantitative
» Echelle avec des valeurs numériques (appliquée à la vraisemblance,
conséquence)
» Qualité de l’analyse dépend de adéquation des valeurs numériques et
de la validité du modèle
» A construire sur la base de l'historique des incidents
» + Directement relié aux objectifs de sécurité, concerne l’organisation
» - Manque de données relatives aux nouveaux risques, carence
information sur les risques de sécurité
» - combinaison vraisemblance & conséquences : fournit niveau de risque
variable
2. Autres cadres de référence
• ISO 27005: 8- Appréciation du risque:
– Analyse de risque (8.2): Estimation du risque (8.2.2)
• Evaluation (assessment) des conséquences (8.2.2.2) :
– Expression sous forme monétaire compréhensible par le plus grand
nombre Evaluer les impacts sur
l’activité en terme de
– Qualitativement
conséquence ou d’une
quantitativement
perte de
DICP,du
– Valorisation suivant
coûtl’identification
de l'impact
faite précédemment
» Remplacement de l'actif Critères d’impact

» Reconstitution
» Remplacement de l'information
– Critères techniques, humains,...
Action:
Entrée: Evaluer les impacts Sortie:
Liste des conséquences des incidents de Liste des conséquences
(ISO27001 4.2.1.e.1) sécurité possibles en
relatives aux actifs analysées (appréciées) par
et aux processus métiers fonction des rapport aux actifs
conséquences CID
2. Autres cadres de référence
• ISO 27005: 8- Appréciation du risque:
– Analyse de risque (8.2): Estimation du risque (8.2.2)
• Evaluation (assessment) des probabilités d'occurrence des
menaces (8.2.2.3) : (« vraisemblance des incidents »)
– En prenant en compte :
» Probabilité d'occurrence de la menace (threat likelihood):
Fréquence de la menace & niveau impact conséquences liées au processus
» Motivation, aptitude et ressources des attaquants potentiels et
leur perception de l'attractivité et de la vulnérabilité de l'actif
» Pour les menaces accidentelles les facteurs d'erreurs humaines
et de disfonctionnement, géographiques et météorologiques
– Probabilité d'occurrence faible, moyenne, élevée
Sortie:
Action:
Entrée: Vraisemblance des incidents
Liste de menaces avec leur Evaluer la probabilité (quantitatif, qualitatif),
type, source et les personnes (ISO27001 4.2.1.e.2) d'occurrence des Liste de menaces identifiées,
pouvant les explorer menaces d'actifs affectés,
et probabilité d'occurrence
2. Autres cadres de référence
• ISO 27005: 8- Appréciation du risque:
– Analyse de risque (8.2): Estimation du risque (8.2.2)
• Estimation des niveaux de risques (8.2.2.4) :
– Analyse (assessment) des Vulnérabilités :
» En envisageant toutes les menaces pouvant les exploiter dans
une situation donnée
» En prenant en compte :
- Facilité d'exploitation: Qualitative ou quantitative
- Mesures de sécurité existantes
» Niveau d’impact actifs (DICP) + niveau de probabilité du
scenario d’incident => évaluation du niveau de risque SSI
Entrée: Action:
Analyser les vulnérabilités Sortie:
Liste de vulnérabilités Liste des vulnérabilités et
reliées en envisageant toutes les
ISO 27001, 4.2.1 e4 l'analyse de leur
aux actifs, menaces et menaces
pouvant les exploiter facilité d'exploitation
mesures de sécurité
2. Autres cadres de référence
• ISO 27005: 8- Appréciation du risque:
– Analyse de risque (8.2): Estimation du risque (8.2.2)
• Estimation des niveaux de risques (8.2.2.4) :

Liste de menaces identifiées,


d'actifs affectés, et probabilité
d'occurrence
Liste des conséquences Liste des vulnérabilités et
analysées par rapport aux l'analyse de leur facilité
actifs d'exploitation

Estimer les
niveaux de
risques

Liste des risques avec


leur indication de niveau
2. Autres cadres de référence
• ISO 27005: 8- Appréciation du risque:
– Analyse de risque (8.2): Estimation du risque (8.2.2)
• Estimation des niveaux de risques (8.2.2.4) :
– Rapport (report) d'appréciation des risques (IS27001 4.3.1.e)

– Tableau (table) d'appréciation des risques(IS27005 E.2)

┌─────────┬────────┬─────────┬─────────────┬────────┬────────────────┐
│ Actif │ Menace │Prob.Occ.│Vulnérabilité│ Impact │Niveau de risque│
│ │ │ │ │ DICP │ │
├─────────┼────────┼─────────┼─────────────┼────────┼────────────────┤
│ │ │ │ │ │ │
│ │ │ ├─────────────┼────────┼────────────────┤
│ │ │ │ │ │ │
│ │ │ ├─────────────┼────────┼────────────────┤
│ │ │ │ │ │ │
│ ├────────┼─────────┼─────────────┼────────┼────────────────┤
│ │ │ │ │ │ │
│ │ │ ├─────────────┼────────┼────────────────┤
│ │ │ │ │ │ │
2. Autres cadres de référence
• ISO 27005: 8- Appréciation du risque:
– Analyse de risque (8.2): Estimation du risque (8.2.2)
• Estimation des niveaux de risques (8.2.2.4) : exemple 1
– Matrice des valeur prédéfinies Actifs/Menace/Vulnérabilité (Annexe E.2.1) :
Valeur » Dans les méthodes d’appréciation
Probabilité d’occurrence du risque
de la menace dedecemenace)
(Niveau type, les actifs
de l’actif physiques
Faible réels ou proposés sont Moyenévalués en termes de Élevé coût de
remplacementFacilité
ou ded’exploitation
reconstruction
(Niveau(càd des mesures quantitatives).
de vulnérabilité)
F
Ces coûts
M
sontE ensuite convertis
F M
sur uneE
échelle qualitative
F M
identique à
EE
celle utilisée pour les informations (voir ci-dessous)
0 0 1 2 1 2 3 2 3 4
- Valeur de l'actif
1 1 2 3 2 3 4 3 4 5
- Probabilité d'occurrence de la menace (était niveau de menace (BS7799-35C.5.3 ) )

2 2 3 4 3 4 5 4 5 6
- Facilité d'exploitation (était niveau de vulnérabilité BS7799-3 C.5.3 )
( )

3 3 4 5 4 5 6 5 6 7
» Exemple
4 4 5 6 5 6 7 6 7 8
2. Autres cadres de référence
• ISO 27005: 8- Appréciation du risque:
– Analyse de risque (8.2): Estimation du risque (8.2.2)
• Estimation des niveaux de risques (8.2.2.4) : exemple 1
– Matrice de Probabilité d'un scénario incident, mis en
correspondance avec l'impact estimé d'affaires (Annexe E.2.1) :
» Risque mineur:
Vraisemblance Très faible 0-2Faible (peu Moyenne Élevée Très élevée
d’un scénario (très peu probable) (possible) (probable) (fréquente)
» Risque
d’incident
moyen:
probable)
3-5
Très»faible
Risque élevé:
0 6-8 1 2 3 4
Impact sur l’activité

Faible 1 2 3 4 5

Moyen 2 3 4 5 6

Élevé 3 4 5 6 7

Très élevé 4 5 6 7 8
2. Autres cadres de référence
• ISO 27005: 8- Appréciation du risque:
– Analyse de risque (8.2): Estimation du risque (8.2.2)
• Estimation des niveaux de risques (8.2.2.4) : exemple 2
– Exemple d'ordonnancement des menaces par mesure de risque (E.2.2) :
1- Conséquence (était impact (BS7799-3 C.5.4)) en fonction de la valeur de l'actif de 1 à 5
2- Probabilité d'occurrence de la menace de 1 (faible) à 5 (élevée)
3- Mesure du risque (d) = (b) x (c) conséquence x probabilité d'occurrence
4- Ordonnancement des menaces (était incident (BS7799-3 C.5.4)) en fonction des
niveaux de risque/
Descripteur de Conséquence Probabilité d’occurrence Mesure de risque Ordonnancement
menace (b) de menace (d) des menaces
(a) (c) (e)
Menace A 5 2 10 2
Menace B 2 4 8 3
Menace C 3 5 15 1
Menace D 1 3 3 5
Menace E 4 1 4 4
Menace F 2 4 8 3
2. Autres cadres de référence
• ISO 27005: 8- Appréciation du risque:
– Analyse de risque (8.2): Estimation du risque (8.2.2)
• Estimation des niveaux de risques (8.2.2.4) : exemple 3
– Evaluation de valeur de probabilité et conséquences de risques possibles (E.2.3)
» Conséquences des incidents de sécurité de l'information (c.-à-
scénarios d'incidents) & détermination des systèmes devraient
être prioritaires.
» Méthodologie:
1-Evaluation de 2 valeurs pour chaque élément d'actif et de risque
2-En combinaison, détermination du score pour chaque actif.
3-Addition de tous les scores des actifs du système =>
4-Détermination de la mesure de risque de ce système
2. Autres cadres de référence
• ISO 27005: 8- Appréciation du risque:
– Analyse de risque (8.2): Estimation du risque (8.2.2)
• Estimation des niveaux de risques (8.2.2.4) : exemple 3
– Evaluation de valeur de probabilité et conséquences de risques possibles (E.2.3)
1- Échelle de valeur des actifs et de risque:
- Valeur d’actif liée aux conséquences négatives potentielles qui peuvent
survenir si l'actif est menacé. Pour chaque menace applicable à l'actif, cette
valeur est assignée à l'actif.
Niveau C I D Preuve / Impact
Actif Tracabilité
3 Top Secret (Directoire) Confidentiel Vital (1j) Légal Nombre de jours,
délai de panne, à
2 Secret (Restreint) (1 semaine) Significatif
traduire en valeur
1 (Inter Agence) Faible (1 mois) Faible entière, à prendre en
0 Non classé (Public) Systématique (1 an) Inexistant consensus, réunir les
dirigeants

- Exemple: - 3211 pour un actif donné (fixée par le propriétaire de l’actif)


- 1 valeur unique d’actif retenue (par exemple: moyenne, max, etc.)
2. Autres cadres de référence
• ISO 27005: 8- Appréciation du risque:
– Analyse de risque (8.2): Estimation du risque (8.2.2)
• Estimation des niveaux de risques (8.2.2.4) : exemple 3
– Evaluation de valeur de probabilité et conséquences de risques possibles (E.2.3)
1- Échelle de valeur des actifs et de risque:
» Valeur de la probabilité: Combinaison de la probabilité de survenue de la
menace et la facilité d'exploitation de la vulnérabilité
Probabilité d’occurrence de la
Gravité du risque Faible
C I Moyen D Élevé
menace (Niveau de menace)
Dommage désastreux 3 3 3
Niveau de vulnérabilité F M E F M E F M E
Dommage moyen 2 2 2
(Facilité d’exploitation )
Dommage limité à 1 activité 1 1 1
Probabilité d’un scénario 0 1 2 1 2 3 2 3 4
Dommage
d’incident négligeable 0 0 0

» Échelle des valeurs: Gravité risque: 0 (très faible), 1 (Dommage activité), 2 (…), 3 (…)
» Calculer 1 valeur unique (moyenne, max, etc.)
2. Autres cadres de référence
• ISO 27005: 8- Appréciation du risque:
– Analyse de risque (8.2): Estimation du risque (8.2.2)
• Estimation des niveaux de risques (8.2.2.4) :
– Evaluation de valeur de probabilité et conséquences de risques possibles (E.2.3)
2- En combinaison, détermination du score pour chaque actif.
» Exemple:
Valeur de l’actif 0 1 2 3 4
Probabilité d’un scénario d’incident
0 0 1 2 3 4
1 1 2 3 4 5
2 2 3 4 5 6
3 3 4 5 6 7
4 4 5 6 7 8
2. Autres cadres de référence
• ISO 27005: 8- Appréciation du risque:
– Analyse de risque (8.2): Estimation du risque (8.2.2)
• Estimation des niveaux de risques (8.2.2.4) :
– Evaluation de valeur de probabilité et conséquences de risques possibles (E.2.3)
3- Addition de tous les scores des actifs du système
Exemple:
» 3 actifs A1, A2, et A3, ayant les valeurs respectives 3, 2 et 4 & 2 menaces T1 et T2
» Phases 1&2: - A1/T1 : - menace ‘Faible’, niveau vulnérabilité ‘Moyen’
- Score A1/T1: combinaison (3,1): 4
- A1/T2 : - menace ‘Moyen’, niveau vulnérabilité ‘Elevé’
- Score A1/T2: combinaison (3,3): 6
-Généraliser le calcul: A2/T1, A2/T2, A3/T1, A3/T2
» Phase 3: - A1T: -score total: 6+4=10
- Généraliser le calcul: A2T, A3T
- Calculer le score total du système: ST=A1T+A2T+A3T
4-Détermination de la mesure de risque de ce système
Comparaison des différents systèmes pour établir les priorités sur un système unifié
2. Autres cadres de référence
• ISO 27005: 8- Appréciation du risque:
– Analyse de risque (8.2): Estimation du risque (8.2.2)
• Estimation des niveaux de risques (8.2.2.4) :
– Estimation du Risque:
» Probabilité d'occurrence et conséquences possible des risques : (E.2.3)

Niveau de probabilité Niveau impact / 2


scénario d’incident 0 1 2 3 4
4 4 5 6 7 8
3 3 4 5 6 7
2 2 3 4 5 6
1 1 2 3 4 5
0 0 1 2 3 4
Criticité: Matrice Estimation des niveaux de risque SSI
Illustration d’une matrice d’estimation des niveaux de risque
2. Autres cadres de référence
• ISO 27005: 8- Appréciation du risque:
– Evaluation du risque (8.3):
• Prise de décisions
– Si une activité doit être engagée
– Priorités pour le traitement du risque
• Utilisation de la compréhension du risque obtenue grâce à
l'analyse de risque
• Prise en compte en plus des risques estimés, des obligations
contractuelles, légales et règlementaires
2. Autres cadres de référence
• ISO 27005: 8- Appréciation du risque:
- Valeur stratégique des ps informationnels métier
– Evaluation duinformationnels
- Criticité des actifs risque (8.3): concernés
- Exigences légales et réglementaires & obligations
• Déterminer si les risques sont acceptables ou Déterminer
contractuelles s’ils
nécessitent
- Importance un traitement
opérationnelle et métier de la CID
- Attentes et perceptions des parties prenantes & Entrée:
conséquences négatives Les
sur desniveaux de
la valorisation risques
financière et la
Liste risques estimés Liste des risques avec leur
réputation de l’organisme doivent être comparés aux
et les critères indication de niveau
critères d'évaluation des
d’évaluation
risques etdes
aux risques
critères
d'acceptation des risques
Action:
Critères d'évaluation Comparaison des
des risques niveaux
des risques
Une liste des risques par ordre de
priorité en fonction de critères
d'évaluation des risques
- ISO/IEC 27005 :2008 8.3 Sortie:
- ISO/IEC 27001:2005: 4.2.1.e.4) Liste des risques prioritisés
2. Autres cadres de référence
• ISO 27005: 9- Traitement du risque:
– 9.1: Description générale du traitement du risque
– 9.2: Réduction du risque
– 9.3: Conservation du risque (rétention)
– 9.4: Evitement du risque
– 9.5: Transfert du risque
2. Autres cadres de référence
• ISO 27005: 9- Traitement du risque:
– 9.1: Processus décisionnel de traitement des risques ISO 27005
– Intégration des coûts
» Mise en adéquation de coûts par rapport aux bénéfices attendus
» Forte réduction pour peu de dépenses ?
Le plan de traitement du Risque soumis à
» Amélioration très coûteuse ? d'acceptation de la direction.
décision
Une liste des risques par les mesures à prendre pour9.1 importants
– Prise
ordre de priorité en compte des risques
en fonction ISO/IEC
rares 27005:2008
aux impacts
réduire les risques
Plus à un niveau
d'informations peuvent être trouvées
» Qui échappent aux acceptable
de critères d'évaluation des logiques économiques
doivent
dans l'ISO/IEC être clause 0.3.
27002,
risques. choisies concernés
et mises en oeuvre.
– Prise en compte des parties
» Comment les risques sont perçus par les parties concernées
» Comment communiquer avec les parties concernées
Action:
Sélectionner et Sortie:
Entrée: implémenter les moyens de Plan de traitement
Liste des risques prioritisés réduire le risque à un
niveau acceptable
du risque
2. Autres cadres de référence
• ISO 27005: 9- Traitement du risque:
– 9.1: Processus décisionnel de traitement des risques ISO 27005
2. Autres cadres de référence
• ISO 27005: 9- Traitement du risque:
– 9.2 Réduction
• L’ISO/IEC 27002 (17799) fournit des informations détaillées sur les contrôles
TCO : Total Cost of Ownership
qui seront choisis pour réduire les risques.
Coût total associé au cycle
– Réduction impact d'un risque de manière à ce que risque acceptable
déploiement / maintenance
– Dans la sélection des mesures de sécurité, prendre en compte les
contraintes : Temps, Moyens financiers et TCO de la mesure de sécurité
– Techniques et opérationnelles
» Exemple : besoins perf., complexité admin., pblms compatibilité
– Humaines et culturelles
» Exemple : un mot de passe trop long et trop complexe sera écrit
» Exemple : personne n'appliquera une mesure de sécurité que leur
responsable juge inacceptable
– Moyens humains: personnel incompétent => mesures inefficaces
– Ethiques, légales, ...
2. Autres cadres de référence
annex F
• ISO 27005: 9- Traitement du risque:
– 9.2 Réduction
• Fonctionnalités des mesures de sécurité :
– Correction (correction)
– Elimination (elimination)
– Prévention (prevention)
– Dissuasion (deterrence)
– Détection (detection)
– Recouvrement (recovery)
– Surveillance (monitoring)
– Sensibilisation (awareness)
2. Autres cadres de référence
• ISO 27005: 9- Traitement du risque:
– 9.3 Conservation
• L'ISO/IEC 27001 4.2.1.f 3) utilise le terme « acceptation du risque» («
accepting risk ») au lieu de «conservation du risque » (« retaining risk »).
– ISO 27001:2005 : Acceptation du risque (risk acceptance)
– ISO 27005 : Devenu Conservation du risque (risk retention)
» Conservation, maintien ou rétention du risque, ou prise de risque
– Risque peut être conservé car le niveau de risque est inférieur aux critères d'acceptation
des risques
– Risque peut être conservé par rapport aux intérêts que celà procure
– Doit être basé sur l'analyse des coûts du traitement du risque face aux coûts de
reconstruction
– Vérifier que le responsable prenant une décision de conservation de risque a réeellement
le pouvoir de le faire
2. Autres cadres de référence
• ISO 27005: 9- Traitement du risque:
– 9.4 Refus ou évitement
• Risques considérés trop élevés
2. Autres cadres de référence
• ISO 27005: 9- Traitement du risque:
– 9.5 Transfert
• Partage du risque avec des tierces parties
• Peut créer de nouveaux risques ou modifier risques existants
– Nouveau traitement du risque potentiellement nécessaire
• Transfert à une assurance qui supporte les conséquences
• Transfert à un sous-traitant qui va surveiller le système
d'information pour prendre des actions appropriées en cas
d'attaque
• Attention !
– Transfert de responsabilité managériale (responsability) d'un risque est
faisable
– Transfer la responsabilité légale (liability) d'un impact normalement
Impossible
2. Autres cadres de référence
• ISO 27005: 10- Acceptation du risque:
– Généralités: Une liste des risques acceptés avec
• La Direction Générale doit validerjustification
le plan depour ceux qui sortent des
traitement des risques.
critères d'acceptation des risques.
• Elle peut accepter des risques en ISO/IEC
toute connaissance
27001:2005 de cause.
Le plan •deLes
traitement 4.2.1.c)2): Identifier les niveaux de risques
de doivent être formalisées
décisions
Risque soumis à la décision acceptables
d'acceptation de la 4.2.1f: Choix de traitement des risques
direction; liste des La décision d'accepter
4.2.1.f)2): les
l’acceptation des risques
contraintes telles qu'elles risques doit être prise et
sont appliquées à des enregistrée officiellement.
risques particuliers.

Entrée: Action:
Sortie:
Validation du plan de Enregistrement
Liste des risques acceptés
traitement des risques formel
2. Autres cadres de référence
• ISO 27005: 11- Communication du risque
– Généralité:
• Ilinformations
Toutes les convient qu’unEchange
organisme élabore
et partage des planscontinue,
Activité
d'information de communication
Permet de : du risque
obtenues àen fonctionnement
partir des normal ainsi entre
sur les risques : - Réduire
que dans les incompréhensions
les situations d’urgence.avec les
activités de gestion du décisionnaires
- Processus de gestion de risque
risque • Par conséquent,Décisionnaires
il convient (decision-makers)
de procéder deetmanière
- Obtenir continue
de nouvelles à l’activité
connaissance en de
communication du- les risque
dépositaires des enjeuxsécurité
(stakeholders) - Améliorer la sensibilisation

Entrée: Action: Sortie:


Communication du risque Echange / Partage Compréhension continue
de sécurité de informations sur les de l'organisation du
l'information risques entre processus de gestion des
(information security risk décideurs et parties risques et de ces résultats
communication) prenantes
2. Autres cadres de référence
• ISO 27005: 12- Surveillance et réexamen du risque:
– Généralités:
• Les risques ne sont pas statiques. Les menaces, les vulnérabilités, la
vraisemblance ou les conséquences peuvent changer brutalement sans
aucune indication préalable.
• Par conséquent, une surveillance constante est nécessaire pour détecter
ces changements.
• Cette surveillance peut être assurée par des services externes qui
fournissent des informations relatives à de nouvelles menaces ou
vulnérabilités
– Composantes:
• 12.1: Surveillance et réexamen des éléments du risque (suivi des risques)
• 12.2: Surveillance et réexamen du processus de gestion de risques
2. Autres cadres de référence
• ISO 27005: 12- Surveillance et réexamen du risque:
• 12.1: Risques
Surveillance et réexamen des éléments du risque (suivi
et leurs facteurs:
des risques)
- la valeur des actifs,
- les impacts,
Toutes les informations
- les menaces,
obtenues à partir des Alignement continue de la gestion des
- les vulnérabilités (nouvelles),
activités de gestion du risques avec des objectifs de l'Organisation,
- la probabilité d'occurrence (exploitation
risque et avec les critères d'acceptation des
nouvelles vulnérabilités)
 identifier tout changement (même risques ISO/IEC 27005:2008 12.1
minime) au sein de l'organisation,
 maintenir une vue d'ensemble de
l'image complète du risque .

Entrée:
Informations issues des Action:
Sortie:
activités de gestion du Surveillance et
Alignement continu
risque. réexamen
2. Autres cadres de référence
• ISO 27005: 12- Surveillance et réexamen du risque:
Mesures à prendre pour réduire les risques à un niveau
• 12.2: Surveillance et réexamen
acceptable doivent être choisies et du
misesprocessus
en œuvre: de gestion de
- Contexte légal et environnemental
risques - Concurrence
- Approche de l'appréciation du risque
Une liste des risques par
- Valeur et catégories des actifs
ordre de priorité en fonction
- Critères d'impact Le processus de gestion des risques en
de critères d'évaluation Critères d'évaluation des risques sécurité de l’information doit faire l'objet
- des
risques. - Critère d'acceptation des risquesd'un suivi continue, d’une révision et d’une
- TCO (Total Cost of Ownership) amélioration appropriées si nécessaire.
ISO/IEC 27005:2008 12.2
- Ressource potentiellement disponibles

Entrée: Sortie:
Action:
Liste des risques par Suivi continu, révision
Choix et mise en
ordre de priorité améliorations
œuvre des risques
approuvées
2. Autres cadres de référence
• ISO 27005: Annexe A (informationnel): Définition du
périmètre du Processus de gestion des risques
• A.1 Study of the organization
• A.2 List of the constraints affecting the organization
• A.3 List of the legislative and regulatory references applicable
to the organization
• A.4 List of the constraints affecting the scope
2. Autres cadres de référence
• ISO 27005: Annexe B (informationnel): Identification et
évaluation des actifs et appréciation des impacts
• B.1 Examples of asset identification
– B.1.1 The identification of primary assets
» 1 - Business processes (or sub-processes) and activities
» 2 – Information
– B.1.2 List and description of supporting assets Hardware, Software,
Network, Personnel, Site, Location, Organization
• B.2 Asset valuation
• B.3 Impact assessment
2. Autres cadres de référence
• ISO 27005: Annexe C (informative): Exemples de types de
menaces
2. Autres cadres de référence
• ISO 27005: Annexe D (informationnel): Vulnérabilités et
méthodes d’appréciation des vulnérabilités
• D.1 Examples of vulnerabilities
• D.2 Methods for assessment of technical vulnerabilities
2. Autres cadres de référence
• ISO 27005: Annexe E : Méthodes d’appréciation des risques
sécurité de l’information
• E.1 High-level information security risk assessment
• E.2 Detailed information security risk assessment
– E.2.1 Example 1 Matrix with predefined values
– E.2.2 Example 2 Ranking of Threats by Measures of Risk
– E.2.3 Example 3 Assessing a value for the likelihood and the possible
consequences of Risks
2. Autres cadres de référence
• ISO 27005:- - Annexe
Considérer
Spécificité Fles:contraintes
des Méthodes
éléments d’appréciation
suivants, enrelatives
culturelles termes de desdesrisques
à lacompétences
sélection
spécialisées chargées deorganisation
mettre en œuvre les contrôles:
sécurité de-contrôles
l’information
: pays,
Exemples: nécessité
- Disponibilité
(Constraints
secteur,
d'opérer oufor
même
24x7, effectuerrisk reduction)
département
des copies d'une
de sauvegarde
-organisation.
Peut entraîner (Tous la les
mise contrôles
en œuvre necomplexe
peuvent être appliquées
et coûteuse desdans tous
contrôles
• Time constraints,
- Salaire
- lesAspects
pays)
sauf souvent
si elles sontnégligés
intégrées dès le départ dans la conception.
-
-- - Les - Possibilité
Nécessité
aspects d’une
culturels de déplacer
cohérence
ne peuvent le personnel
ou de
être compatibilité
ignorés, entre car les
avec
de sitesles dans
nombreux des
contrôlescontrôles
• Financial ne
Peuvent
Facteurs
constraintsavoir
légaux
conditions
existants.
peuvent réussir
des
peuventrépercussions
influencer
d'exploitation
sans le soutien
importantes
la sélection
défavorables,
actif du personnel.
sur
des les contrôles,
contrôles. sachant
Exemple:
que l’éthique
protection des
Exemples est influencée
données de par
personnelles,
types de les
contrôles:normes
dispositionssociales. du Si codele personnel
Exemple: pourneledu
pénalanalyse
- - Interface homme-technologie pauvre =>des erreur humaine rendantpour le le
• Technical L'expertise
-constraints,
comprend Exemple:
courrier
traitement - pas : laun
impossible
de Les
plan
nécessité
contrôlesdans
l'information. visant
pour à le
certains
doivent
utiliser
contrôle
pays.
être mis
jetons
ou
en le biométriques
trouve
œuvre dansculturellement
un
- -contrôle
contrôle peut
inacceptable,
Les necontrôles
- inutile.
Exemples:
lepas être
d'accès
contrôle
ne doivent pas
compatibilité
prédisposée
physique
devient peut des être
à provoquer
mettre
inefficaces
plus
programmesenfil
au
coûteux
œuvre
des
du ou à mettre
du
les
conflits
temps. matériel
contrôles
avec
en
un code
- - Conformité
La protection légal des
et données
réglementaire. privée peut
Peut changer
imposer en fonction
certains types de del'éthique
• Operational
- -Contrôles œuvre
constraints
Les facteurs
envisagés
système
de la région
contrôle
délai
- sélectionnés
Peuvent
ou
(protection
ou acceptable
PIN-pad
à entretenir
facilement
doivent
environnementaux
existant
du gouvernement.
des àcontrôles.
données
pourque
être
offrir
basé
les
la
évités
peuvent gestionnaires
valeur
Exemple:
etsauf
des
:sur lesiinfluencer
contrôle
auditobligation secteurs
financier),
de
risques
pris en compte auxquels
lors dedes
la sélection
d'accès.
oude l'industrie,
empêcher
ils
la
-contrôles
- une
peut sont l'organisation.
destinées
sélection
facilité
(espace
être des
d'utilisation
trop protéger,
disponible,
coûteux optimale,
conditions
pour l'organisation. climatiques (par exemple
extrêmes, avec la
• Cultural- Coût d'un
constraints,
gouvernement
l'utilisation changement
deSavoir et œuvre
santé.
certaines de contrôle :
-
-géographie
- Autres un - Mise
législation).
niveau
aspects en
acceptable
environnante
: uncommandes,
si Efforts
contrôle
des
de nepeut
derisque pas
contrôles
rurale et
(cryptage).
être
dépasser
résiduel mis
a posteriori
urbaine). pour en œuvre
lesl'entreprise.
Exemple:budgets
à un dans
processusla ou un
alloués.
Tremblement de
- D'autres- devrait
lois etinclure
règlements des éléments
tels que àlaajouter
législation aux coûts
des globaux
relations de
de travail,
- -traitement durée
Toutefois, de vie
àilexistant
se peut de l'information
que la du
sécurité ou du système.
souhaitée et(contournés
le niveau
• - Contrôles
Ethical constraints
terre.
les pompiers, -
système
difficiles
Discrimination
la
Décision
des
santé
utiliser
des
et
des la
souvent
=>
membres
risques. impact
sécurité,
gestionnaires
entravée
et
sur leur
personnel
le desecteur
par desdiscriminer
efficacité
de contraintes
économique
l'organisation
à ou
d'acceptation
techniques. des risques nepas soitdepas atteint en en matière
raison dede
- ignorés
Un par
contrôle lespeut
l’encontre utilisateurs).
dene ceuxpas qui
être nemissont en œuvre protégés
en raison d'interférences
• règlements,
Environmental
- Contrôles - Cesetc,
constraints
d'accès
sécurité
pourraient
concernant
contraintesdifficultés
avec les contrôles actuels.
budgétaires.
complexes
influerse
l’acceptation
peuvent
=>
surdéplacer
inciter
la sélection
d'être
les exposés
les
utilisateurs
et leààun
contrôles contrôle.
risque
trouververs des
des
méthodes-Besoin particulier
Nécessite
aspects
d’accès pendant
la décision
procéduraux
alternatifs oudes une
et
non période
gestionnaires
physiques
autorisées. donnée
de desécurité.
la l'organisation.
• -
Legal constraints -de- La
d'embaucher
Illimitation
peut être de
les profils
budgetsouhaitable.
nécessaire peut
adéquats
réduire
de réviser le le
avant la fin des opération
nombre oudelasécurité
programme qualité de
sécurisation: pratique
• Ease of use des contrôles àdans
l'information mettre en œuvre
le but d'atteindre (rétention implicite
les objectifs dede risque
sécurité.
- plusCela élevé
peutque prévu). lorsque les contrôles ne fournissent pas
se produire
• Personnel constraints
- Celes budget
résultats établi ne devrait
escomptés enêtreterme utilisé que comme
de réduction desun facteur
risques sans
limitant avec la beaucoup d’attention.
• Constraints of integrating new and existing controls
diminuer productivité.
2. Autres cadres de référence
• ISO 27005: Conclusion
– Norme => consensus entre les acteurs du marché
– ISO 27005:
• Ne peut être plus complet que toutes les méthodes qui l'ont précédé
• Représente le noyau commun accepté par tous
• Peut être complété en allant rechercher ailleurs
– Méthodes d'analyse de risques existantes
• Peuvent continuer à évoluer et innover
• Peuvent contribuer à l'amélioration de la norme ISO 27005
• Peuvent compléter la norme
• A terme certaines méthodes pourront se dirent "conformes à la norme ISO
27005"
2. Autres cadres de référence
• ISO 27005: Conclusion
– ISO 27005 = Méthodologie complète
• Structure sa démarche
• Autonome
– Correspond strictement au respect de l'ISO 27001
• Nécessaire pour la mise en place d'un SMSI
• Nécessaire pour une certification
– Entrera dans la gestion de risque en général
• Normalisations ISO de tous les types de risques : financiers, industriels,
routiers, santé, ...
– Vocabulaire
• Compréhensible et plutôt proche du langage courant
2. Autres cadres de référence
• ISO 27005: Conclusion
– ISO 27005 est d'ores et déjà incontournable au niveau
international
• Du fait de l'ISO 27001
– ISO 27005 manque d'expériences pratiques
– ISO27005 permet une gestion des risques simple, pragmatique,
adapté aux réalités des affaires
• Pas un processus linéaire
– Pas une étape infaisable sans avoir fait la précédente
– Possible de démarrer au milieu et d'y aller progressivement
• Rien d'obligatoire dans le formalisme
– Seules les étapes imposées par l'ISO 27001 doivent être suivies
– Le fait qu'elles ont été suivies doit être montrable
2. Autres cadres de référence
• ISO Guide 63
– « gestion du risque – vocabulaire - lignes directrices pour l’utilisation
de la norme »
• ISO/IEC TR 13335
– « Guidelines for Management of IT Security (GMIT) »
• AS/NZS 4360:2004
– Norme australo-néo-zélandaise
• NIST 800-30
– Guide sur la gestion du risque lié au NIST
La planification
du SMSI

2.1. Définir la méthode d’analyse du risque


Planifier

Agir PDCA Déployer

Contrôler

1. Analyse 2. Planification 4. Analyse 5. Déclaration


3. Gouvernance
préliminaire du projet de risque d’applicabilité

4.1. Définir la méthode 4.2. Identifier les 4.3. Analyser et 4.4. Traitement
d’analyse de risque risques évaluer les risques des risque
La planification
du SMSI

2.1. Définir la méthode d’analyse du risque

Objectifs Définir la méthode d’analyse du risque

ISO 27001:2005 Clause 4.2.1.


Pré requis
Établissement du SMSI

Personnes haute direction, CISO, CIO, Gestionnaire des opérations


impliquées et propriétaire des principaux processus

Mise en
Détermination d’une méthode d’analyse de risque
œuvre

MEHARI,
Livrables Une description de la méthodologie d’appréciation du risque EBIOS, etc.
La planification
du SMSI

2.1. Pré requis


4.1 Exigences générales
c) définir l'approche d'appréciation du risque de l'organisme:
1) identifier une méthodologie d'appréciation du risque adaptée au
SMSI, ainsi qu'à la sécurité de l'information identifiée de l'organisme
et aux exigences légales et réglementaires;
2) développer des critères d'acceptation des risques et identifier les
niveaux de risque acceptables. [voir 5.1f)]; La méthodologie
d'appréciation du risque choisie doit assurer que les appréciations
du risque produisent des résultats comparables et reproductibles.
4.3.1.d)
La documentation du SMSI doit inclure une description de la
méthodologie d'appréciation du risque [voir 4.2.1c)];
La planification

2.1. connaitre la culture du risque du SMSI

dans l’organisation
• La culture du risque englobe l’attitude de l’organisation
(direction & personnel) par rapport au risque et son seuil de
tolérance à celui-ci dans ses activités et ses prises de décisions
quotidiennes
– Responsabilisation des employés aux risques
• dans l’exercice de leur activité quotidienne
• Dans la poursuite de leurs objectifs au travail
• Il convient de choisir une approche du risque en fonction de la
culture du risque de l’organisation
– Attitude par rapport au risque: réfractaires, neutres, approuvant, ou
encore prise de risque par occasion…
– Seuil de tolérance au risque: degré de risque maximal jugé acceptable
par l’entreprise
– Forte culture du risque: adoption de normes et standards en matière de
risque
La planification
du SMSI

2.1. Quantitatif VS Qualitatif


Quantitatif Qualitatif
Recours aux mathématiques et Utilise et compare des
à l’analyse financière scénarios de risque (1 scénario / menace)
Données objectives (chiffrées) Données subjectives

S’exprime en unité monétaire S’exprime en échelle graduée


Assigne une valeur monétaire à chaque Niveau d’importance relatif assigné aux
Repose sur
composante la capacité
de l’évaluation ainsides
Repose
menaces,sur
qu’aux les perceptions
vulnérabilités, du
impact potentiel:
experts
pertes d’estimer les risques
potentielles en risque des parties
 Détermine le niveauprenantes
de risque)
terme financiers (perception  Calcule le risque
(consensus)
 Recommande les mesures de contrôle
personnelle)
La planification
du SMSI
2.1. Critères pour choisir une méthode
d’analyse de risque (optionnel)
• Critères recommandés par ISO 27001:
– Valeur de l’actif,
– Menaces pesant sur l’actif,
– Vulnérabilités exposant l’actif aux menaces,
– Probabilité d’occurrence des menaces,
– Besoins de l’actif en termes de « CID »
– Permettre le choix de critères objectifs de détermination
d’un niveau de risque acceptable
La planification
du SMSI
2.1. Critères pour choisir une méthode
d’analyse de risque (optionnel)
• Autres critères:
1. Compatibilité avec l’ensemble des critères requis par ISO
27001 (4.2.1 c-d-e-f)
2. Langue de la méthode – il est essentiel de maîtriser le
vocabulaire employé
3. L’existence d’outils logiciels facilitant l’utilisation
4. La qualité de la documentation disponible, des formations,
du support, ainsi qu’un réservoir de main d’œuvre qualifiée
5. La facilité d’utilisation et le pragmatisme de la méthode
6. Le coût d’utilisation
7. L’existence de moyens de comparaison (indicateurs, club
d’utilisateurs, études de benchmarking, étude de cas, etc.)
La planification
du SMSI
2.1. Critères pour choisir une méthode
d’analyse de risque (optionnel)
• Méthodologie:
1. Identifie-t-elle les vulnérabilités et les menaces?
2. Évalue-t-elle la probabilité d’occurrence d’un échec de la
sécurité?
3. Quelqu’un d’autre peut-il utiliser les mêmes données et
arriver au même résultat? => Oui, démarche reproductible, exigence ISO 27001
4. Le processus peut-il être répété et donner des résultats
cohérents dans le temps? => Oui
5. Tient-elle compte de l’analyse de l’impact des
changements? => Oui, exemple: club EBIOS, PCA
La planification
du SMSI

2.1. Principales méthodologies


• EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité)
– Créée par la DCSSI (France)
– 5 phases: étude contexte, expression besoin, étude menaces,
identification objectifs, détermination exigences
• MEHARI (MEthode Harmonisée d’Analyse de RIsque)
– Développée par CLUSIF 1995 (dérivée de Melisa et Marion)
– Phases: Analyse des enjeux, Classification préalable des entités du SI en
fonction de 3 critères (CID), Audit des vulnérabilités, Analyse des risques
• OCTAVE (Operationally Critical Threat, and Vulnerability Evaluation)
– 3 phases: profil des besoins de sécurité, étude des vulnérabilités,
élaboration de la stratégie et du plan de sécurité
• CRAMM (CCTA Risk Analysis and Management Method)
– 3 phases: définition des valeurs mises en péril, analyse des risques et de
la vulnérabilité, définition et choix des mesures de sécurité
La planification
du SMSI

2.1. Principales méthodologies


• EBIOS 2010
– Gérer durablement les risques sur le patrimoine
informationnel
• L’enjeu: atteindre ses objectifs sur la base de décisions
rationnelles
• Des pratiques différentes mais des principes communs
• La spécificité de la sécurité de l’information: le patrimoine
informationnel
• La difficulté : appréhender la complexité
• Le besoin d’une méthode
La planification
du SMSI

2.1. Principales méthodologies


• EBIOS 2010
– Comment EBIOS permet-elle de gérer les risques ?
• L'établissement du contexte
• L'appréciation des risques
• Le traitement des risques
• La validation du traitement des risques
• La communication et la concertation relatives aux risques
• La surveillance et la revue des risques
La planification
du SMSI

2.1. Principales méthodologies


• EBIOS 2010
– Différents usages d’ EBIOS
• EBIOS est une boîte à outils à usage variable
• Variation de la focale selon le sujet étudié
• Variation des outils et du style selon les livrables attendus
• Variation de la profondeur selon le cycle de vie du sujet de l'étude
• Variation du cadre de référence selon le secteur
• Une réflexion préalable sur la stratégie de mise en oeuvre est
nécessaire
La planification
du SMSI

2.1. Principales méthodologies


• EBIOS 2010
– Fiabiliser et optimiser la prise de décision
• Un outil de négociation et d'arbitrage
• Un outil de sensibilisation
• Un outil compatible avec les normes internationales
• Une souplesse d'utilisation et de multiples livrables
• Une méthode rapide & Un outil réutilisable
• Une approche exhaustive
• Un référentiel complet
• Une expérience éprouvée
• De nombreux utilisateurs
– Rigueur de la méthode EBIOS
• Une méthode valide : la démarche peut être reproduite et vérifiée
• Une méthode fidèle : la démarche retranscrit la réalité
La planification
du SMSI

2.1. Principales méthodologies


• EBIOS 2010
– Une démarche itérative en 5 modules
• Module 1 – Étude du contexte
• Module 2 – Étude des événements redoutés
• Module 3 – Étude des scénarios de menaces
• Module 4 – Étude des risques
• Module 5 – Étude des mesures de sécurité
La planification
du SMSI

2.1. Principales méthodologies


• EBIOS 2010
– Description de la démarche:
• MODULE 1 – ÉTUDE DU CONTEXTE
– Activité 1.1 – Définir le cadre de la gestion des risques
» Action 1.1.1. Cadrer l'étude des risques
» Action 1.1.2. Décrire le contexte général
» Action 1.1.3. Délimiter le périmètre de l'étude
» Action 1.1.4. Identifier les paramètres à prendre en compte
» Action 1.1.5. Identifier les sources de menaces
La planification
du SMSI

2.1. Principales méthodologies


• EBIOS 2010
– Description de la démarche:
• MODULE 1 – ÉTUDE DU CONTEXTE
– Activité 1.1 – Définir le cadre de la gestion des risques
– Activité 1.2 – Préparer les métriques
» Action 1.2.1. Définir les critères de sécurité et élaborer les échelles de besoins
» Action 1.2.2. Élaborer une échelle de niveaux de gravité
» Action 1.2.3. Élaborer une échelle de niveaux de vraisemblance
» Action 1.2.4. Définir les critères de gestion des risques
La planification
du SMSI

2.1. Principales méthodologies


• EBIOS 2010
– Description de la démarche:
• MODULE 1 – ÉTUDE DU CONTEXTE
– Activité 1.1 – Définir le cadre de la gestion des risques
– Activité 1.2 – Préparer les métriques
– Activité 1.3 – Identifier les biens
» Action 1.3.1. Identifier les biens essentiels, leurs relations et leurs dépositaires
» Action 1.3.2. Identifier les biens supports, leurs relations et leurs propriétaires
» Action 1.3.3. Déterminer le lien entre les biens essentiels et les biens supports
» Action 1.3.4. Identifier les mesures de sécurité existantes
La planification
du SMSI

2.1. Principales méthodologies


• EBIOS 2010
– Description de la démarche:
• MODULE 2 – ÉTUDE DES ÉVÉNEMENTS REDOUTÉS
– Activité 2.1 – Apprécier les événements redoutés
» Action 2.1.1. Analyser tous les événements redoutés
» Action 2.1.2. Évaluer chaque événement redouté
• MODULE 3 – ÉTUDE DES SCÉNARIOS DE MENACES
– Activité 3.1 – Apprécier les scénarios de menaces
» Action 3.1.1. Analyser tous les scénarios de menaces
» Action 3.1.2. Évaluer chaque scénario de menace
La planification
du SMSI

2.1. Principales méthodologies


• EBIOS 2010
– Description de la démarche:
• MODULE 4 – ÉTUDE DES RISQUES
– Activité 4.1 – Apprécier les risques
» Action 4.1.1. Analyser les risques
» Action 4.1.2. Évaluer les risques
– Activité 4.2 – Identifier les objectifs de sécurité
» Action 4.2.1. Choisir les options de traitement des risques
» Action 4.2.2. Analyser les risques résiduels
La planification
du SMSI

2.1. Principales méthodologies


• EBIOS 2010
– Description de la démarche:
• MODULE 5 – ÉTUDE DES MESURES DE SÉCURITÉ
– Activité 5.1 – Formaliser les mesures de sécurité à mettre en œuvre
» Action 5.1.1. Déterminer les mesures de sécurité
» Action 5.1.2. Analyser les risques résiduels
» Action 5.1.3. Établir une déclaration d'applicabilité
– Activité 5.2 – Mettre en oeuvre les mesures de sécurité
» Action 5.2.1. Élaborer le plan d'action et suivre la réalisation des mesures de
sécurité
» Action 5.2.2. Analyser les risques résiduels
» Action 5.2.3. Prononcer l'homologation de sécurité
La planification
du SMSI

2.1. Principales méthodologies


• EBIOS 2010
– Description de la démarche:
• ANNEXE A – Démonstration de la couverture des normes:
– EBIOS satisfait les exigences de l’ISO 27001
» Information technology – Security Techniques – Information security
management systems – Requirements, ISO (2005)
– EBIOS décline parfaitement l’ISO 27005
» Information technology – Security Techniques – Information security risk
management, ISO (2008)
– EBIOS décline parfaitement l’ISO 31000
» Management du risque – Principes et lignes directrices de mise en oeuvre,
ISO (2008)
La planification
du SMSI

2.2. Identifier les risques


Planifier

Agir PDCA Déployer

Contrôler

1. Analyse 2. Planification 4. Analyse 5. Déclaration


3. Gouvernance
préliminaire du projet de risque d’applicabilité

4.1. Définir la méthode 4.2. Identifier les 4.3. Analyser et 4.4. Traitement
d’analyse de risque risques évaluer les risques des risque
La planification
du SMSI

2.2. Identifier les risques

Objectifs Identifier les risques du SMSI

ISO 27001:2005 Clause 4.2.1.


Pré requis
Établissement du SMSI

Personnes CISO, CIO, Gestionnaire des opérations


impliquées et propriétaire des principaux processus

Mise en
Détermination ateliers d’identifications des risques
œuvre

Livrables Rapport d’identification des risques


La planification
du SMSI

2.2. Identifier les risques


• Clause 5.2: Identification des actifs
– Un actif est quelque chose qui a de la valeur ou
une utilité pour l’organisation, ses processus
d’affaire et leur continuité
– Une classification possible (Annexe C):
• Données et informations
• Processus et services
• Logiciels
• Biens physiques
• Les ressources humaines
La planification
du SMSI

2.2. Identifier les risques

• Clause 5.3: Identification des exigences


légales et d’affaires
– Il faut déterminer:
• 5.3.1: les sources d’exigences
• 5.3.2: les exigences légales, réglementaires et
contractuelles
• 5.3.3: les principes, objectifs et exigences
d’affaire de l’organisation
La planification
du SMSI

2.2. Identifier les risques

• 5.3.1: Les sources d’exigences


– Les trois sources principales:
• L’ensemble unique de menaces et vulnérabilités
• Les exigences légales, statutaires et
contractuelles
• L’ensemble unique de principes, objectifs et
exigences internes
La planification
du SMSI

2.2. Identifier les risques


• 5.3.2: Les exigences légales, réglementaires et
contractuelles
– Les exigences de sécurité relatives à l’ensemble
des exigences statutaires, réglementaires et
contractuelles qui doivent être satisfaites par
l’organisation, ses partenaires d’affaire,
contractants et fournisseurs de services qui
doivent être documentées dans le SMSI
La planification
du SMSI

2.2. Identifier les risques


• 5.3.3: Les principes, objectifs et exigences des
processus d’affaire de l’organisation
– On doit tenir compte des exigences de sécurité
issues de l’interne de l’organisation afin de
supporter ses activités d’affaires et processus
– Ces exigences doivent aussi être documentées
dans le SMSI
La planification
du SMSI

2.2. Identifier les risques


• Clause 5.4: Evaluation des actifs
– L’identification et l’évaluation des actifs doit être
basée sur:
• Les exigences légales, réglementaires et contractuelles
• Les principes, objectifs et exigences d’affaire de
l’organisation
– La valeur doit exprimer l’impact potentiel sur les
affaires si la confidentialité, l’intégrité ou la
disponibilité ou toute autre propriété importante
d’un actif est endommagée
La planification
du SMSI

2.2. Identifier les risques


• Clause 5.1: Echelle de valeurs des actifs
– L’organisation doit identifier la valeur de ses actifs
en élaborant une échelle de valeur des actifs.
L’échelle doit correspondre aux spécificités de
l’activité de l’entreprise et s’appliquer
continuellement:
– Les échelles de valeur des actifs doivent intégrer la
confidentialité, l’intégrité et la disponibilité ou
différentes propriétés importantes de l’actif qui
pourraient être endommagées
La planification
du SMSI

2.2. Identifier les risques


• Echelle d’évaluation de la valeur des actifs
Valeur Niveau de menace
d’actif
Faible Moyen Élevé

Niveau de vulnérabilité

F M E F M E F M E

0 0 1 2 1 2 3 2 3 4

1 1 2 3 2 3 4 3 4 5

2 2 3 4 3 4 5 4 5 6

3 3 4 5 4 5 6 5 6 7

4 4 5 6 5 6 7 6 7 8
La planification
du SMSI

2.2. Identifier les risques


• 5.5.1: Contrôles déjà en place
– Les contrôles déjà en place doivent être identifiés
– Cette étape est nécessaire à l’identification
complète et l’évaluation réaliste des menaces et
vulnérabilités
– Cette étape devrait être complétée avant le début
de l’évaluation des menaces et vulnérabilités
La planification
du SMSI

2.2. Identifier les risques


• 5.5.2: Contrôles déjà en place
– Les contrôles déjà en place doivent être identifiés
– Cette étape est nécessaire à l’identification
complète et l’évaluation réaliste des menaces et
vulnérabilités
– Cette étape devrait être complétée avant le début
de l’évaluation des menaces et vulnérabilités
La planification
du SMSI

2.2. Identifier les risques


• 5.5.2: Identification des menaces et
vulnérabilités
– Les menaces peuvent être d’origine accidentelle
ou délibérée
– Les menaces peuvent être internes ou externes à
l’organisation
– Les menaces exploitent les vulnérabilités
La planification
du SMSI

2.2. Identifier les risques


• Exemples de menaces:
– Acte terroriste
– Accès non autorisé
– Mauvaise utilisation des ressources
– Virus
– Panne des services de communication
– Inondation
– Incendie
– Erreur d’utilisation
– Vandalisme
La planification
du SMSI

2.2. Identifier les risques


• 5.5.2: Identification des menaces et
vulnérabilités:
– Vulnérabilités: faiblesse de sécurité associée à un
actif de l’organisation
– La vulnérabilité en elle-même ne cause pas de
dommages, elle est une condition ou un ensemble
de conditions qui permet la réalisation de la
menace
La planification
du SMSI

2.2. Identifier les risques


• Exemples de vulnérabilités:
– Manque de sensibilisation à la sécurité de
l’information
– Localisation dans une zone inondable
– Absence de révision des droits d’accès
– Absence de séparation des tâches
– Absence de mise à jour des anti virus
– Politique de codage incomplète
– Gestion défectueuse des mots de passe
– Absence de test des logiciels
La planification
du SMSI

2.2. Identifier les risques


• Exemples de relation menaces/vulnérabilités:
– Formation insuffisante en sécurité
• Erreurs des employés de support en sécurité
– Absence de protection physique des locaux
• Vols
– Absence de procédure de validation des données
• Information corrompue
La planification
du SMSI

2.3. Analyser et évaluer les risques


Planifier

Agir PDCA Déployer

Contrôler

1. Analyse 2. Planification 4. Analyse 5. Déclaration


3. Gouvernance
préliminaire du projet de risque d’applicabilité

4.1. Définir la méthode 4.2. Identifier les 4.3. Analyser et 4.4. Traitement
d’analyse de risque risques évaluer les risques des risque
La planification
du SMSI

2.3. Analyser et évaluer les risques


Planifier

Agir PDCA Déployer

Contrôler

1. Analyse 2. Planification 4. Analyse 5. Déclaration


3. Gouvernance
préliminaire du projet de risque d’applicabilité

4.1. Définir la méthode 4.2. Identifier les 4.3. Analyser et 4.4. Traitement
d’analyse de risque risques évaluer les risques des risque
La planification
du SMSI

2.3. Analyser et évaluer les risques

Objectifs Analyser les risques du SMSI

ISO 27001:2005 Clause 4.2.1.


Pré requis
Établissement du SMSI

Personnes CISO, CIO, Gestionnaire des opérations


impliquées et propriétaire des principaux processus

Mise en
Ateliers d’analyse des risques
œuvre

Livrables Rapport d’analyse des risques


La planification
du SMSI

2.3. Identifier les risques


• Clause 5.6: Evaluation des menaces et
vulnérabilités
– Après avoir identifié les menaces et vulnérabilités,
il est nécessaire d’évaluer la probabilité qu’elles se
produisent ensemble et occasionnent un risque
– Cela inclut l’évaluation de la probabilité
d’occurrence des menaces, et de la facilité avec
laquelle les vulnérabilités peuvent être exploitées
La planification
du SMSI

2.3. Identifier les risques


• Echelle d’évaluation pour les menaces et vulnérabilités
Valeur Niveau de menace
d’actif
Faible Moyen Élevé

Niveau de vulnérabilité

F M E F M E F M E

0 0 1 2 1 2 3 2 3 4

1 1 2 3 2 3 4 3 4 5

2 2 3 4 3 4 5 4 5 6

3 3 4 5 4 5 6 5 6 7

4 4 5 6 5 6 7 6 7 8
La planification
du SMSI

2.3. Identifier les risques


• Clause 5.7: Calcul et évaluation du risque
– L’objectif de l’évaluation du risque est d’identifier
et d’évaluer les risques, en se basant sur les
résultats de l’évaluation des actifs, des
vulnérabilités et des menaces
– L’organisation doit identifier une méthode
d’analyse du risque qui convient à ses exigences
d’affaire et de sécurité
La planification
du SMSI

2.3. Identifier les risques


• Echelle d’évaluation de la valeur des actifs
Valeur Niveau de menace
d’actif
Faible Moyen Élevé

Niveau de vulnérabilité

F M E F M E F M E

0 0 1 2 1 2 3 2 3 4

1 1 2 3 2 3 4 3 4 5

2 2 3 4 3 4 5 4 5 6

3 3 4 5 4 5 6 5 6 7

4 4 5 6 5 6 7 6 7 8
La planification
du SMSI

2.3. Identifier les risques


• Approche quantitative: définitions et calculs

AV Asset value Valeur de l’actif

EF Exposure Factor Facteur d’exposition

SLE=AV x EF Single Loss Expectancy Perte unique anticipée


Pertes annuelles prévisibles à
ARO Annualized Rate of partir
Taux annuel de la fréquence de
d’occurrence
Occurrence survenance d'un incident et
coût financier de son impact
ALE=SLE x ARO Annual Loss Expenctancy Perte annuelle anticipée:
(Montant maximum à dépenser pour la
protection de l’actif)
La planification
du SMSI

2.3. Identifier les risques


• Analyse quantitative (exemple)
– Il est estimé qu’une surtension endommage 25%
d’une installation électrique (EF)
– L’installation est évaluée à 500 000$ (AV)
– La probabilité d’une surtension de ce type est
d’une fois tous les 10 ans (ARO)
– SLE= AV x EF = 500 K$ x 0,25 = 125 K$
– ALE = SLE x ARO = 100 K$ x 0,1 = 12,5 K$
– Donc, 15,5 K$ = maximum à dépenser
annuellement pour protéger l’actif de ce risque
La planification
du SMSI

2.3. Identifier les risques


• Analyse quantitative (exemples)
Actif Risque AV EF SLE ARO ALE

Données Virus 500 K$ 10% 50 K$ 20% 10 K$


sensibles
Serveur Déni de 3 M$ 25% 750 K$ 10% 75 K$
web service
Centre de Feu 5 M$ 50% 2,5 M$ 4% 100 K$
données
Numéro Vol 1 M$ 75% 750K$ 2% 15 K$
de cartes
crédit
La planification
du SMSI

2.3. Identifier les risques


• Calcul de la valeur d’une mesure de contrôle
– Valeur = (ALEavant – ALEaprès – coût annuel de
maintenance de la mesure)
– Exemple: dans le cas de la surtension électrique
citée précédemment:
• ALE avant = 12,5 K$
• Valeur de la mise en place du contrôle = 2 K$
• ALE après = 4 K$
Valeur de la mesure de contrôle = 12,5 K$ - 4 K$ - 2 K$
= 6,5 K$
La planification
du SMSI

2.3. Identifier les risques


• Exercice 6 : évaluation quantitative des risques
La planification
du SMSI

2.3. Identifier les risques


• Clause 5.8: Le responsable de l’évaluation du
risque
– La personne qui conduit l’évaluation du risque de
sécurité de l’information devrait avoir une
connaissance minimum des:
• Affaires et de l’appétit au risque des affaires
• Concepts du risque
• TI
• Contrôles de sécurité
• Méthodes d’évaluation des risques
La planification
du SMSI

2.4. Traitement des risques


Planifier

Agir PDCA Déployer

Contrôler

1. Analyse 2. Planification 4. Analyse 5. Déclaration


3. Gouvernance
préliminaire du projet de risque d’applicabilité

4.1. Définir la méthode 4.2. Identifier les 4.3. Analyser et 4.4. Traitement
d’analyse de risque risques évaluer les risques des risques
La planification
du SMSI

2.4. Traitement des risques

Objectifs Traiter les risques du SMSI

ISO 27001:2005 Clause 4.2.1.


Pré requis
Établissement du SMSI

Personnes CISO, CIO, Gestionnaire des opérations


impliquées et propriétaire des principaux processus

Mise en
Identifier et définir les options de traitement des risques
œuvre

Livrables Le plan de traitement des risques


La planification
du SMSI

2.4. Traitement des risques


4.2.1 Établissement du SMSI
f) identifier et évaluer les choix de traitement des risques;
Les actions possibles comprennent:
1) l'application de mesures appropriées;
2) l'acceptation des risques en connaissance de cause et avec
objectivité, dans la mesure où ils sont acceptables au regard des
politiques de l'organisme et des critères d'acceptation des
risques [voir 4.2.1c)2)];
3) l’évitement ou le refus des risques;
4) le transfert des risques liés à l'activité associés, à des tiers, par
exemple assureurs, fournisseurs;
g) sélectionner les objectifs de sécurité et les mesures de
sécurité proprement dites pour le traitement des risques.
La planification
du SMSI

2.4. Traitement des risques


• Clause 6: Traitement du risque et prise de décision
– 6.1: Général
• Le risque peut être géré à travers une combinaison de
contrôles préventifs et défectifs, de tactiques d’évitement et
d’acceptation, ou par le transfert à une autre organisation
– 6.2: Prise de décision
• Une décision doit être prise sur la manière de traiter le
risque
La planification
du SMSI

2.4. Traitement des risques


• Pour chaque risque, il convient d’identifier et d’évaluer
les options de traitements appropriées:

Accepter

Augmenter Transférer

Options de
traitement
Réduire Eliminer

Diversifier
La planification
du SMSI

2.4. Traitement des risques

• Clause 6.4: Accepter le risque en toute


objectivité et connaissance de cause
– En cas d’absence de contrôle viable ou de
coûts de contrôles supérieurs aux coûts du
risque, une organisation peut décider de vivre
avec un risque et d’en accepter les
conséquences en cas d’occurence
La planification
du SMSI

2.4. Traitement des risques

• Clause 6.5: Transférer le risque


– Le transfert de risque est une option quand il
est difficile pour une organisation de réduire
le risque à un niveau acceptable ou si cela
peut être plus économique de le transférer à
une tierce partie.
La planification
du SMSI

2.4. Traitement des risques

• Clause 6.6: Eviter le risque


– L’évitement du risque décrit toute action où
les activités d’affaires ou la manière de
conduire les affaires sont changées pour
éviter la réalisation d’un risque.
La planification
du SMSI

2.4. Traitement des risques

• Augmenter le risque
– C’est la diminution des niveaux de contrôles
actuels ou une plus grande exposition à des
risques.
– Deux situations logiques:
• Augmenter son exposition au risque si l’organisation peut
profiter de plus d’opportunités
• Diminuer les contrôles si les coûts dépassent les bénéfices
La planification
du SMSI

2.4. Traitement des risques

• Diversifier le risque
– Afin de diminuer les impacts des risques, on
peut diviser les risques en diversifiant leurs
sources.
– Par exemple: Afin de diminuer l’impact de la
non disponibilité de l’accès Internet, on peut
diversifier les modes de connexion: câble,
sans fil, satellite, etc.
La planification
du SMSI

2.4. Traitement des risques

• Clause 6.3: Réduire le risque


– Pour tous les risques où l’option de réduire le
risque a été choisie, des contrôles appropriés
devraient être mis en œuvre pour réduire le
risque au niveau qui a été identifié comme
acceptable (seuil d’acceptation des risques),
ou au moins autant que possible vers ce
niveau
La planification
du SMSI

2.4. Traitement des risques


• Seuil d’acceptation du risque: Analyse quantitative
4 0 4 8 12 16 Risque insupportable
Impact

3 0 3 6 9 12 Risque inadmissible

2 0 2 4 6 8 Risque toléré

Risque inexistant ou
1 0 1 2 3 4 non significatif

0 1 2 3 4

Probabilité
5 = Seuil d’acceptation
La planification
du SMSI

2.4. Traitement des risques


• Seuil d’acceptation du risque: Analyse quantitative
Coût du Coût des
risque ($) contrôles ($)

Seuil
d’acceptation
du risque
La planification
du SMSI

2.4. Traitement des risques


Hiérarchiser les actions

Évaluer les options de contrôle recommandées

Conduire une analyse coût/bénéfice

Sélectionner les contrôles

Assigner les responsabilités

Développer un plan d’implémentation

Mettre en œuvre les contrôles


La planification
du SMSI

2.4. Traitement des risques


Clause 4.2.1.g: déterminer les objectifs des
contrôles et choisir les contrôles
• Sélectionner les contrôles qui répondent aux besoins
identifiés lors de l’évaluation du risque et du processus
de traitement du risque
• Prendre en considération :
– Les critères d’acceptation du risque (4.2.1c)
– Les obligations légales, contractuelles et normalisatrices
• Les contrôles sélectionnés peuvent être tirés
directement de l’annexe A, mais non exclusivement
La planification
du SMSI

2.4. Traitement des risques


Atteindre l’équilibre dans la réduction des risques:
Maximisation des ratios coûts/risques

Élevé Élevé
Absence de
traitement

Traitement

Coût des contrôles


$  Risque
insuffisant

Risques couverts
efficacement

Procédures lourdes,
coûts élevés

Excès de procédures,
perte d’efficacité
opérationnelle
Faible Faible
La planification
du SMSI

2.4. Traitement des risques


Clause 6.8. : le plan de traitement du risque
• Doit identifier et planifier les activités de
traitement des risques
• Les activités doivent être classées par ordre de
priorité
• Les ressources nécessaires doivent être
allouées au plan de traitement
La planification
du SMSI

2.4. Traitement des risques


Exemple de plan de traitement des risques
Risque (Paire Niveau Degrés Option de Détail de Ressources Responsable Date Maintenance
Vulnérabilité- de de traitement la mesure nécessaires de nécessaire/Co
priorité début mmentaires
Menace) risque
/Date
de fin
Des utilisateurs 6 Haut Évènement Rendre 10h pour Mr X, 1-1- Faire des
inaccessible
non autorisés sharepoint de
reconfigurer administrateur 20xx revues de
peuvent se l’extérieur et tester le Sharepoint, à 3- sécurité
connecter via système Mr Y, 1- périodiques
l’extranet sur administrateur 20xx du système
Sharepoint et Par-Feu pour
rechercher des s’assurer
fichiers sensibles qu’une
de l’organisation sécurité
avec l’ID invité adéquate est
fournie pour
Sharepoint
La planification
du SMSI

2.4. Traitement des risques


• Exercice 7:
– Remplissez le plan de traitement des risques pour
les situations décrites dans la matrice fournie.
La planification
du SMSI

2.4. Traitement des risques


• Clause 6.7: Le risque résiduel
– Le risque résiduel doit être calculé
– S’il est supérieur au niveau de risque
acceptable (seuil d’acceptation des risques),
il doit être traité
– La direction doit être consciente des risques
résiduels et en accepter la responsabilité
(clause 4.2.1h de ISO 27001)
La planification
du SMSI

2.4. Traitement des risques


• Clause 7: Activités continues de gestion
des risques
– La gestion des risques doit comme toute
partie du SMSI faire l’objet d’une
amélioration continue
– Cela inclut:
• Les actions correctives et préventives
• Les audits
• Les revues de direction
• …
La planification
du SMSI

2.4. Traitement des risques


• Etude de cas:
– 1- Méthode de gestion des risques ISO 27005
– 2- EBIOS 2010
– 3- FAIR – ISO/IEC 27005
La planification
du SMSI

La planification du SMSI
1. Gouvernance
2. Analyse du risque
3. Déclaration d’applicabilité
La planification
du SMSI

3. Déclaration d’applicabilité
Planifier

Agir PDCA Déployer

Contrôler

1. Analyse 2. Planification 4. Analyse 5. Déclaration


3. Gouvernance
préliminaire du projet de risque d’applicabilité
La planification
du SMSI

Définir la méthode d’analyse du risque

Objectifs Définir les mesures de contrôle applicables

ISO 27001:2005 Clause 4.2.1.j


Pré requis
Une déclaration d’applicabilité doit être élaborée

Personnes CISO, CIO, Haute Direction, Gestionnaires de lignes


impliquées d’affaires, propriétaire des principaux processus opérationnels

Mise en Définir les mesures de contrôles applicables/non applicables,


œuvre justifier (gestion des risques), inventaire des mesures en place

Livrables Déclaration d’applicabilité


La planification
du SMSI

3. Pré-requis de ISO 27001

• ISO 27001:2005 – Clause 4.3.1.i:


– La documentation du SMSI doit inclure la déclaration d’applicabilité
• ISO 27001:2005 – Clause 4.2.1.j:
– Une DdA doit être élaborée et inclure les informations suivantes:
• 1) les objectifs de sécurité et les mesures de sécurité proprement dites,
sélectionnés en 4.2.1g) et les raisons pour lesquelles ils ont été sélectionnés;
• 2) les objectifs de sécurité et les mesures de sécurité proprement dites
actuellement mis en œuvre [voir 4.2.1e)2)];
• 3) l'exclusion des objectifs de sécurité et des mesures de sécurité propremen
dites spécifiés à l'Annexe A et la justification de leur exclusion.
• NOTE La DdA fournit un résumé des décisions concernant le traitement du
risque. La justification des exclusions prévoit une contre-vérification qui
permet d'assurer qu'aucune mesure n'a été omise par inadvertance.
La planification
du SMSI

3. Mise en œuvre

Choix des mesures


Revue des mesures
de contrôle
de contrôle
applicables ou non

Approbation de la
Documentation
direction
La planification
du SMSI

3. Mesures de contrôle obligatoires


Mesure de sécurité Clause de l’ISO 27001

A.5 Politique de sécurité


A.5.1.1 Document de politique de sécurité de l’information 4.2.1. b) définir une politique pour le SMSI
5.1 Implication de la direction
A.5.1.2 Réexamen de la politique de sécurité de 4.2.3. b) réexaminer, mettre à jour si nécessaire et
l’information approuver de nouveau les documents
7.1. Revue de direction du SMSI
A.6 Organisation de la sécurité de l’information
A.6.1.1 Implication de la direction vis-à-vis de la sécurité de 5. Responsabilité de la direction
l'information 7. Revue de direction du SMSI
A.6.1.2 Coordination de la sécurité de l'information 5.1. Implication de la direction

A.6.1.3 Attribution des responsabilités en matière de 5.1.c) La définition de rôles et de responsabilités pour la
sécurité de l’information sécurité de l’information
A.6.1.8 Réexamen indépendant de la sécurité de 4.2.3.f) et 7) Revue de direction du SMSI
l’information
A.7 Gestion des actifs
A.7.1.1 Inventaire des actifs 4.2.1.d) 1. Identifier les actifs
A.7.1.2 Propriété des actifs 4.2.1.d) 1. Identifier les propriétaires
A.7.1.3 Utilisation correcte des actifs 4.2.1.d) Identifier les risques
4.2.1.e) Analyser et évaluer les risques
La planification
du SMSI

3. Mesures de contrôle obligatoires (suite)


Mesure de sécurité Clause de l’ISO 27001

A.8 Sécurité liée aux ressources humaines


A.8.1.1 Rôles et responsabilités 5.1 c) la définition de rôles et de responsabilités pour la
sécurité de l'information;
A.8.2.1 Responsabilités de la direction 4.2.3 a)3) Surveillance activités de sécurité confiées au
personnel ou mises en œuvre par les technologies de
l'information;
A.8.2.2 Sensibilisation, qualification et formations en 5.1 d) la sensibilisation de l'organisme; 5.2.2 Formation,
matière de sécurité de l’information sensibilisation et compétence
A.10 Gestion de l’exploitation et des télécommunications
A.10.1.1 Procédures d’exploitation documentées 4.3.1 c) les procédures et les contrôles pour le SMSI;
A.10.7.4 Sécurité de la documentation système 4.3.2 h) assurer la diffusion maîtrisée des documents;
A.13 Gestion des incidents liés à la sécurité de l’information
A.13.1.1 Remontée des événements liés à la sécurité de
l’information
4.2.2 h) Détection et réponse rapides aux incidents de
A.13.1.2 Remontée des failles de sécurité
sécurité
A.13.2.1 Responsabilités et procédures 4.2.3 a) Surveillance et réexamen du SMSI
A.13.2.2 Exploitation des incidents liés à la sécurité de
l’information déjà survenus
La planification
du SMSI

3. Mesures de contrôle obligatoires (suite)


Mesure de sécurité Clause de l’ISO 27001

A.15 Conformité

A.15.1.1 Identification de la législation en vigueur

A.15.1.2 Droits de Propriété Intellectuelle (DPI)

A.15.1.3 Protection des enregistrements de l’organisme 4.2.1. b) 2) Exigences contractuelles, réglementaires ou


légales;
A.15.1.4 Protection des données et confidentialité des 4.2.3 d) 6) Réexamen suite à des changements dans ces
informations relatives à la vie privée domaines

A.15.1.6 Réglementation relative aux mesures


cryptographiques

A.15.2 Conformité avec les politiques et normes de


sécurité et conformité technique
4.2.3 e) et 6 Audits internes du SMSI
A.15.3 Prises en compte de l'audit du système
d'information
La planification
du SMSI

3. Outil/Gabarit
Déclaration d’applicabilité
Mesure de contrôle Applicable Description de la Propriétaire Document Commentaires
(Oui/Non) mesure de
contrôle
Exemple: A.5.1.1 Oui La direction Mr X, - Politique de sécurité
Document de politique de approuve la CISO de l’information
politique de - Compte rendu du
sécurité de l’information
sécurité de comité de pilotage de
l’information et la la sécurité de
publie sur l’information
l’Intranet de (22/11/20xx)
l’organisation
Exemple: A.8.1.2 Sélection Non Non applicable Mr Y, VP - Convention syndicale C’est interdit par la
RH article 3.2 convention syndicale

Exemple: A.10.9.1 Non Non applicable L’organisation ne pratique


Commerce électronique pas le commerce
électronique
Exemple: A.11.7.2 Non Non applicable Mr X, - Guide d’utilisation des L’organisation ne pratique
Télétravail CISO ressources pas le télétravail, c’est
informatiques interdit par le guide
d’utilisation des ressources
informatiques
La planification
du SMSI

3. Déclaration d’applicabilité
• Exercice 8:
– Remplir la déclaration d’applicabilité fournie avec 3
mesures de contrôle applicables à votre
organisation
Mise en œuvre
de la SMSI

La mise en œuvre de la SMSI


1. Gestion documentaire
2. Design des mesures de contrôle et procédures
3. Mise en œuvre des mesures de contrôle
4. Formation, sensibilisation et communication
5. Gestion des incidents
6. Gestion des opérations
Contrôle, audit,

Le contrôle, l’audit, l’amélioration amélioration du


SMSI

du SMSI
1. Monitoring des mesures de contrôle
2. Mesure de la performance des mesures de
contrôle
3. Audit interne du SMSI
4. Amélioration continue
5. Audit de certification