[Musique]

[Applaudissements]
[Musique]
la série iso 27000 introduit le concept
des sms qu'on traduit en français par
sms y système de management de la
sécurité de l'information
le sms y est un cadre organisationnel
pour la gestion de la sécurité
il se compose de politique de procédure
et des ressources et activités sécurité
associés en fait il ya beaucoup
d'entreprises qui sans le savoir ont
déjà un ace et messi il suffit qu'une
entreprise passe de la sécurité même un
tout petit peu et on peut considérer
qu'elle un sms i parce qu'il ya des gens
qui ont des process de travail liées à
la sécurité
comme par exemple déployer des antivirus
ou des correctifs de sécurité
et puis il ya des gens qui prennent des
décisions par rapport à la sécurité
il ya des politiques de sécurité qui
sont publiés et c est donc tout ça et la
manière dont s'est organisée dans
l'entreprise c'est ce qu'on appelle un
smsi la norme iso 27001 décrit de
manière formelle ce qu est un sms y
laisser messi est un cadre de gestion
globale à l'aide duquel une organisation
peut identifier analyser et traiter ces
risques en sécurité de l'information de
manière organisée et auditables iso
27001 ne prescrit pas de contrôles de
sécurité spécifiques
étant donné que les contrôles utile ou
nécessaire varie considérablement
à travers le large éventail
d'organisations qui adopte la norme
elle se concentre surtout sur les
aspects organisationnels et les process
dans iso 27001 on raisonne en mode peah
d'ici en plein doute chaque acte pendant
la phase plane on va établir la
politique
les objectifs les processus les
procédures et les indicateurs du smsi
une manière à fournir des résultats
conformes aux objectifs de
l'organisation
ensuite durant la phase d'où on va
mettre en oeuvre à exploiter la
politique mais processus et les
procédures du sms
la phase tchèque permettra d'évaluer les
performances des processus mise en
oeuvre à partir des indicateurs et de
rendre compte des résultats à la
direction
enfin pendant la phase acte on va
entreprendre les actions correctives et
préventives sur la base des performances
observées des rapports d'audit et de la
revue de direction pour une amélioration
continue du sms if iso 27001 est une
norme certifiante on peut donc faire
certifier un sms i il existe aussi des
certifications individuelles iso 27001
auditeurs et iso 27001 implémenteurs un
certain nombre de documents sont
explicitement requis pour obtenir la
certification la mise en place d'un sms
y commence nécessairement par un travail
de compréhension de l'organisme et de
son activité
lors de cette étude de contexte
l'organisation devra déterminer quelles
sont les parties intéressées qui sont
concernés par le sms ainsi que leurs
exigences concernant la sécurité de
l'information
ces exigences peuvent notamment inclure
des obligations légales réglementaires
ou contractuels suite à cette étude
il faudra définir le domaine
d'application ou scop qui est un élément
fondamental dans iso 27001 est ce que le
sms si c'est toutes les ressources
informatiques ou bien seulement les
actifs d'une activité bien spécifique au
sein de l'organisation
une définition claire et précise du
domaine d'application est un facteur
important lors de la mise en oeuvre du
sms si le scope doit définir les limites
au niveau organisationnel
s'agit-il d'un processus d'un
département de l'organisation dans son
ensemble au niveau système
s'agit-il d'un réseau d'une application
d'un type de données d'un processus et c
est au niveau physique
s'agit-il d'un site d'un bâtiment une
salle c'est à l'organisation de décider
à quel niveau elle veut former un sms i
en sachant qu une même organisation peut
très bien avoir plusieurs sms si en son
sein le but du scope et de définir
clairement les limites et donc le
périmètre du sms
une fois qu'on a défini le périmètre on
va commencer à rédiger une politique de
gouvernance de la sécurité des systèmes
d'information c'est dans ce document
qu'ont adressera les clauses 4 à 10 de
la norme iso 27001 il sert en quelque
sorte de colonne vertébrale à l'ensemble
de la documentation du sms
on trouvera donc dans ce document les
sections suivantes le périmètre du sms i
où on spécifiera une description
fonctionnel et les différentes
implantations de l'activité
l'environnement technique et les
différents acteurs du sms
les objectifs de sécurité
les enjeux économiques internes
financiers par exemple mes attentes et
des besoins des parties intéressées les
exigences réglementaires et les
objectifs de sécurité fixées par
l'organisation
actif de sécurité peuvent être par
exemple de s'assurer de la conformité
aux exigences légales réglementaires et
contractuels de l'organisme d'inspirer
confiance aux parties intéressées
nos structures et efficacement la
gestion de la sécurité de l'information
selon les bonnes pratiques ou encore de
protéger les actifs critiques de
l'organisme les principes de sécurité
on fera ici référence à la politique de
sécurité la gestion des risques on
spécifiera la méthodologie et les
critères de l'analyse de risque ainsi
que les différents documents qui en
découlent comme le plan de traitement
des risques par exemple on précisera
aussi les modalités de revues et de
communication des risques
le plan d'action une fera référence au
document qui recense des actions
nécessaires à la mise en oeuvre des
mesures de réduction des risques mais
aussi le calendrier de mise en oeuvre de
ces contrôles l'organisation de la
gouvernance de la sécurité ni indiquera
les rôles et responsabilités dans le
cadre de la gestion du sm ainsi
attention ces rôles et responsabilités
ne se limite pas à la dsi on y précisera
aussi les informations relatives comité
de pilotage stratégique et
opérationnelle du sms
autrement dit quel est son vol qui ont
fait partie et à quel moment il se
réunit la maîtrise documentaire ni
précisera les modalités de la gestion
documentaire du sms six épreuves de
compétences c'est ici qu'on doit montrer
que les gens qu'on met aux commandes du
sm et s'ils sont compétents on peut
s'appuyer sur leur parcours
professionnel leur cv si ce sont des
personnes qui ont été aux
responsabilités sur des questions
sécurité depuis déjà un certain temps et
puis très classiquement les
certifications individuelles
il y à des certifications iso 27001 bien
sûr mais il existe aussi d'autres
certifications sécurité comme les
certifications isaca ou bien cia csp qui
peuvent constituer des preuves tout à
fait valable
on va ainsi démontrer qu'on a placé là
des gens qui connaissent et comprennent
bien les enjeux de la sécurité
la sensibilisation et la formation au
management de la sécurité
on précisera quelles sont les programmes
de formation ou de sensibilisation
sécurité qui existent ou qui seront
mises en oeuvre
les membres du comité stratégique ou des
comités techniques devront suivre des
formations relatives à la gestion du sm
et si il y à iso 27001 les personnels
concernés devront suivre des formations
à la sécurité de l'information
enfin les usagers devront faire l'objet
d'un programme de sensibilisation à la
sécurité
[Musique]
le fonctionnement et l'évaluation des
performances
on précisera ici quels sont les
indicateurs utilisés dans le cadre de
l'évaluation du sms
l'audit on précisera ici les modalités
d'audit interne la revue de direction en
précisera les modalités de la revue
direction
l'amélioration continue on indiquera
dans cette section de quelle manière les
non conformités sont identifiés et
quelles sont les modalités de traitement
de ces non conformité et enfin la
communication
il précisera les rôles en termes de
communication interne et vis-à-vis des
clients concernant la mise en place et
c'est messi iso 27001 oblige à savoir où
sont les risques et à mettre en oeuvre
des actions pour limiter ces risques il
faut faire une appréciation des risques
qui sera ensuite soumise à la direction
pour prendre des arbitrages concernant
leur traitement
la direction pourra ainsi décidé
d'éviter d'accepter réduire ou
transférées et différents risques
relevés les différentes étapes de cette
appréciation des risques ont déjà été
vus dans la vidéo précédente sur iso
27005 il est de fonds dans une analyse
de risque c'est qu'on va éviter de
dépenser des fortunes pour sécuriser
quelque chose qui n'est pas très
critique mais qu'en revanche on va
s'assurer de bien faire le nécessaire
pour protéger les choses qui sont
vraiment critique à la fin de ce
processus on sera en mesure de rédiger
un plan de traitement des risques qu'ils
spécifieraient les différents choix de
traitements concernant les risques
identifiés
les conclusions de l'analyse de risque
et le plan de traitement qui en résulte
doivent impérativement être validé par
la direction
la déclaration d'applicabilité et rédigé
suite à l'appréciation des risques
elle contient la liste de l'ensemble des
contrôles de sécurité présents dans iso
27002 pour chacun de ces contrôles il
est indiqué si le contrôle est retenue
ou non dans le
c'est mais si les raisons de sélection
d'exclusion doivent être justifiées pour
chacun des 114 contrôlent la plupart des
entreprises déclarent plus de 80
contrôles de sécurité applicables en ce
qui concerne les exclusions les raisons
les plus souvent invoquées sont
l'incompatibilité avec une exigence
légale réglementaire aux contractuels ou
bien qu' aucune activité liée à cette
mesure n'est présente dans le périmètre
du sms si la déclaration d'applicabilité
va aussi faire le mapping entre les deux
contrôle iso 27002 et la politique de
sécurité de l'organisation qui sera
rédigé au même moment il faut qu'il y
est une politique qui indique les règles
de sécurité à respecter la politique de
sécurité est un élément important du
smsi qui découle de l'analyse de risque
c'est dans ce document qu'on va définir
les grands principes de sécurité qui
seront par la suite appliqué dans
l'organisation pour simplifier la mise
en relation avec la déclaration
d'applicabilité de nombreuses
organisations choisissent de se baser
sur la liste des contrôles iso 27002
pour rédiger leur politique de sécurité
on peut aussi mettre en place des
contrôles de sécurité supplémentaires
qui n'existe pas dans le référentiel iso
27002 la politique de sécurité doit être
validé par la direction
il faut faire en sorte qu'elles soient
disponibles et communiquer au sein de
l'organisation
la politique de sécurité sera souvent
accompagné d'autres documents plus
spécifiques
c'est ainsi qu'on pourra par exemple
trouver une politique de gestion des
incidents ou une politique
de contrôle d'accès parallèlement à la
sélection des contrôles de sécurité
il faut élaborer des métriques qui
permettront de mesurer l'efficacité des
contrôles mise en oeuvre ces indicateurs
doivent être présentées de manière
détaillée dans la base documentaire du
sms si il faut un ticket dans des
procédures comment seront gérés les
enregistrements il y aura des
indicateurs relatifs aux sms i comme par
exemple les comptes rendus de réunions
pour mesurer l'activité des différents
comités de pilotage les feuilles
d'émargement aux séances de training
pour mesurer l'activité du programme de
formation et de sensibilisation
les rapports d'audit pour mesurer
l'activité d'audit interne
et puis il y aura des indicateurs
relatifs pour contrôles de sécurité à la
sécurité de l'information comme par
exemple le ratio des postes à jour
d'antivirus
le nombre d'incidents de sécurité etc
idéalement il faudrait être en mesure de
mesurer l'atteinte des objectifs
stratégiques
la norme iso 27000 4 est la norme de
référence pour les métriques
d'efficacité du sm et si on y trouve un
certain nombre d'exemples en mesurant le
niveau de sécurité ont fait en sorte de
savoir où l'on se situe par rapport à
nos objectifs de sécurité
on est vigilant et on analyse les
variances qu'ils sont observés
on va ensuite faire un inventaire des
contrôles de sécurité déjà existants
afin de savoir ce qui reste à mettre en
place à partir de là on sera en mesure
de rédiger un plan d'action dans lequel
on détaillera le planning de déploiement
des contrôles manquants et les actions à
suivre le plan d'action sera soumis à la
direction pour approbation et devra être
complétée au cours des trois ans de la
certification
une fois le plan d'action validé par la
direction on va établir les différents
comités de pilotage le comité de
direction dont l'objectif est d'aligner
le sms i avec les objectifs et la
stratégie de l'organisation
on va typiquement et trouver les membres
de la haute direction
si aussi a aussi les faux etc
c'est ce comité qui va établir les
objectifs stratégiques du sms y
effectuer les revues de direction annuel
fournir les ressources adéquates pour le
fonctionnement du sms y est enfin validé
et approuvé l'évaluation des risques et
le plan de traitement
il se réunira aux étapes clés de
validation dans de la mise en place
initiale du sms
puis sur une base annuelle pour
effectuer la revue de direction le
comité de pilotage du sms i dont
l'objectif est d'assurer le bon
fonctionnement du sms y ait des
contrôles de sécurité
on y trouvera le responsable du smsi
ainsi que les directeurs des
départements clés haïti audit juridique
finance rh et sécurité du personnel
c'est ce comité qui va assurer le
déroulement souple des opérations du sms
maintenir l'évaluation des risques faire
le lien entre la direction et les
opérations gérer les problèmes de
sécurité et proposer des solutions aux
non conformité et enfin contrôler la
mise en oeuvre des plans d'action et
d'implémentation des actions correctives
il se réunira sur une base régulière
une fois par mois par exemple les
comités opérationnels qui auront pour
objectif de mettre en oeuvre des
contrôles de sécurité du smsi les
comités seront créés en fonction des
sujets traités et leurs membres
viendront des opérations ces comités
vous assurez la mise en oeuvre des
contrôles de sécurité
j'irai la documentation du sms y
améliorer le smsi le traitement des non
conformités
ils se réuniront sur une base régulière
de manière hebdomadaire par exemple on
va lancer les programmes de formation et
de sensibilisation
on va commencer à documenter et mettre
en oeuvre les différents process et
contrôles de sécurité qui ont été
précédemment retenues les différents
process doivent prendre la forme de
boucle d'amélioration continue sur le
modèle planned to check act
par exemple pour un process de patch
management
on peut imaginer la forme suivante plane
on veut éliminer toutes les
vulnérabilités qui apparaissent sur les
serveurs de production d'où quand les
patchs sont disponibles on les déploie
sur les serveurs tchèque
on va vérifier qu'on a plus de
vulnérabilités en faisant un scan de
venir habillés
ces actes on va regarder pourquoi tel ou
tel serveur n'a pas été patché est ce
que c'est parce qu'ils n'étaient pas à
lister dans l'inventaire ou bien est ce
que l'administrateur qui s'occupe de ce
serveur n'a pas fait son boulot
voilà et puis on pourra du coup corriger
le process lors de la nouvelle phase de
planes
[Musique]
on va aussi commencer à rédiger les
procédures opérationnelles qui seront
elles aussi intégrées à la documentation
du sms si on va alimenter les différents
indicateurs sms i et sécurité quand on
met en place un sms y iso 27001 on doit
mettre en oeuvre un programme d'audit
interne
c'est un petit peu la partie tchèque du
pi 10 y ait cet audit est réalisé soit
par des collègues soit par la direction
de l'audit interne si elle existe soit
par des consultants l'audit interne ne
peut pas être fait par des personnes
impliquées dans la gestion du sm et si
l'organisation doit réaliser des audits
internes à intervalles réguliers bien
qu'il n'y ait pas de règles
particulières à ce sujet la plupart des
organisations audit un tiers du smsi par
an soit l'intégralité du sms si sur
trois ans
il faut que l'auditeur cueille des
preuves d'audit et non conformité qui
sont identifiés doivent être documenté
de même que les actions correctives qui
font suite une autre chose qui est
requise par iso 27001 c'est que le top
management
donc la direction soit fortement
impliqué dans le sms si c'est pour cette
raison que la direction est
régulièrement consulté afin de valider
les décisions stratégiques dans la mise
en place du smsi
le but ici c'est d'aligner le smsi aux
objectifs et à la stratégie de
l'entreprise
la direction doit faire preuve de
leadership et affirmé son engagement en
faveur du sms
doit s'assurer que la politique et les
objectifs du smsi sont alignés avec
l'orientation stratégique de
l'organisation en établissant les lignes
directrices et les objectifs de
l'organisme
elle doit s'assurer que les exigences de
l'essai mais s'ils sont intégrés au
processus métier de l'organisation en
promouvant les politiques et objectifs
sécurité à tous les niveaux de
l'organisme elle doit s'assurer que les
ressources nécessaires pour le sms y
sont disponibles
enfin doit s'assurer que les rôles et
les responsabilités sont attribués et
communiquer au sein de l'organisation
la revue de direction qui intervient
après l'audit interne est un élément
obligatoire du smsi iso 27001 la revue
direction doit être faite sur une base
régulière
une fois par an par exemple il faut
conserver des enregistrements de ces
réunions
l'ordre du jour les participants et les
décisions qui ont été prises il faut
constamment avoir en tête le fait que
tous les éléments du smsi doivent être
auditables ça nécessite donc d'une part
d'avoir des métriques des indicateurs de
performance du sms y ait des contrôles
de sécurité
mais ça nécessite aussi et surtout de
tout documenter pour un auditeur ce qui
n'est pas documenté n'existe pas lorsque
des informations sont documentés il faut
s'assurer que les éléments suivants sont
bien présents dans la documentation des
informations d'identification et de
descriptions peu titre l'auteur un
numéro de référence par exemple et les
informations relatives à la création la
validation et la révision les dates bien
sûr mais aussi les noms rôles des
personnes ayant validé ou modifier le
document
de plus on doit s'assurer que la
documentation est disponible pour toutes
les parties intéressées et qu'elle est
protégée de manière adéquate afin
d'éviter des incidents de
confidentialité d'usagé inapproprié ou
de perte d'intégrité dans cette optique
il est recommandé de mettre en place une
procédure de gestion documentaire
les sources de l'amélioration continue
dans iso 27001 sont la gestion des
incidents une révision de l'analyse de
risque régulière le relevé des non
conformités lors des audits la veille
technologique et juridique et les
indicateurs ce sont ces éléments qui
permettent d'entraîner l'ensemble du sms
y est dans une logique de progrès le
principe de la boucle d'amélioration
continue ou plan do check act est le
suivant plane
je dis ce que je vais faire d'où je fais
ce que j'ai dit j'allais faire tchèque
je vérifie que ce que j'ai fait est bien
conforme à ce que j'avais dit actes je
constate d'éventuels écarts et j'intègre
les correctifs nécessaires à ma
prochaine phase de plage et c'est cette
logique s'applique à tous les process
identifiés dans la norme iso 27001 qu'il
s'agisse des process organisationnel
comme l'appréciation des risques par
exemple ou des process techniques de
sécurité opérationnelle s'est ainsi que
l'ensemble de la chaîne de gestion
d'insécurité est entraîné dans un cycle
d'amélioration perpétuelle iso 27001 va
permettre de s'assurer d'une part que la
sécurité est bien aligné avec les
objectifs stratégiques de l'entreprise
et d'autre part que le sms qui
fonctionne sous forme de boucle
d'amélioration continue ce qui est mise
en oeuvre doit être contrôlée mesurer et
corriger si besoin
la certification iso 27001 est de plus
en plus demandés aux prestataires et aux
partenaires commerciaux par les
organismes qui sont préoccupés par la
sécurité de leurs données
la certification démontre que
l'organisation prend la sécurité de
l'information au sérieux dans le
prochain épisode
on s'intéressera au processus de
certification iso 27001