Vous êtes sur la page 1sur 40

Mise en place d’un SMSI

Etape 2:
Mise en œuvre et opération
Saber ISSA
Etape précédente: P: Planifier
1 Compréhension de l’organisme

2 Analyse du système existant

3 Leadership et approbation du projet

4 Domaine d’application

5 Politique de sécurité

6 Structure organisationnelle

7 Management du risque
D: Déployer

1 Documentation

2 Mise en œuvre des processus et mesures

3 Communication

4 Sensibilisation et formation

5 Gestion des opérations


D: Déployer

1 Documentation

2 Mise en œuvre des processus et mesures

3 Communication

4 Sensibilisation et formation

5 Gestion des opérations


D: Documentation
Objectifs de cette étape
 Développer et maintenir la documentation nécessaire (processus,
contrôles de sécurité, politiques spécifiques et procédures) pour un
SMSI efficace et adapté aux besoins de l’organisme.
 Assurer le contrôle et la validité de la documentation du SMSI.

5
D: Documentation
Exigences de la norme ISO 27001
Clause 7.5 Informations documentées
Le SMSI doit inclure les informations documentées exigées par ISO 27001 et
les informations documentées que l’organisation juge nécessaires à
l’efficacité du SMSI.

6
D: Documentation
Exigences de la norme ISO 27001
Liste des informations documentées explicitement exigées par ISO 27001
 Domaine d’application du SMSI (4.3)
 PSI (5.2)
 Processus et résultats de l’appréciation des risques SI (6.1.2 & 8.2)
 Processus et résultats du traitement des risques SI (6.1.3 & 8.3)
 Déclaration d’applicabilité (6.1.3.d)
 Objectifs de sécurité de l’information (6.2)
 Compétence des personnes (7.2.d)
 Planification et contrôles opérationnels (8.1)
 Résultats de la surveillance et des mesures (9.1)
 Programme et résultats d’audit interne (9.2)
 Conclusions des revues de direction (9.3)
 Non-conformités, actions correctives et résultats (10.1)

7
D: Documentation
Définition du processus de gestion de la documentation
– Un organisme qui désire se conformer à ISO 27001 devra:
 Publier l’ensemble des documents exigés par la norme ISO 27001;
 Elaborer une procédure de gestion documentaire (documents et
enregistrements).
– Chaque organisme détermine l’étendue de la documentation nécessaire
et les supports à utiliser.

8
D: Documentation
Définition du processus de gestion de la documentation
Validation de la documentation du SMSI en fonction de trois critères:

S’assurer que chaque document contient les


Critère 1: informations minimales exigées par la clause
Contenu associée

S’assurer que chaque document est conforme


Critère 2: en termes de format: titre, identification de
Format l’auteur, numéro de version, date, approbation, date
de la dernière version, etc.

Critère 3: S’assurer qu’il existe un cycle de vie


Cycle de vie documentaire conforme à la clause 7.5.3 de la
documentaire norme

9
D: Documentation
Définition du processus de gestion de la documentation
Création des modèles: Créer des modèles par types de documents
Type de Description
document
Politique Objectifs et orientations globales exprimés formellement par la
direction
Procédure Instructions spécifiques qui détaillent les étapes à suivre
Manuel de Regroupement dans un même volume des différents types de
sécurité documents relatifs à la sécurité de l’information
Charte Description d’engagements mises en place entre l’organisme et un
groupe d’acteurs (employés, fournisseurs, …)
Processus Description du fonctionnement d’un processus par schémas et/ou
narratif
Formulaire Support papier ou électronique qui sert comme enregistrement de la
réalisation d’une opération : demande d’autorisation, de
changement, déclaration d’un incident
Guide Document pratique détaillant les modes d’utilisation, installation ,
maintenance et/ou exploitation 10
D: Documentation
Définition du processus de gestion de la documentation
Elaboration d’un processus de gestion documentaire et établissement
d’une procédure pour gérer le cycle de vie des documents

1) Création
2) Identification
9) Elimination
3) Classification
Cycle de vie et sécurité
8) Archivage des documents

4) Modification

7) Utilisation
5) Approbation
adéquate
6) Distribution

11
D: Documentation
Définition du processus de gestion de la documentation
Mise en œuvre d’un système de gestion documentaire
‒ Au moment où les documents électroniques sont les plus utilisés, il
convient de mettre en place un système efficace pour gérer le cycle de
vie des documents.
‒ Un système de gestion documentaire:
 Facilite l’archivage, l’accès, la diffusion des documents;
 Prend en charge l’ensemble du cycle de vie des documents;
 Garantit la traçabilité;
 Sécurise l’accès aux documents,
‒ Exemple de solution: Système de gestion électronique des documents
(GED).

12
D: Documentation
Processus de gestion des enregistrements
Maitrise des enregistrements
‒ Etablir et mettre en œuvre des contrôles permettant d’assurer
l’identification, le stockage, la protection, l’accessibilité, la durée de
conservation et l’élimination des enregistrements.
‒ Les enregistrements doivent être protégés, rester lisible, être faciles à
identifier et accessibles.

13
D: Documentation
Définition du processus de gestion de la documentation
Exemples d’enregistrements
Identification Classification Emplacement Responsable Durée de
conservation
Dossier employé Top secret Direction RH Directeur RH 5 ans après la
fin de l’emploi
Rapport d’audit

Revue de direction

Registre des visiteurs

Fiche de signalement
d’incidents
Formulaire accompli
d’autorisation d’accès

14
D: Documentation
Définition du processus de gestion de la documentation
Liste principale des documents
Il est de bonne pratique de créer une liste unique de l’ensemble de la
documentation relative au SMSI avec les informations de base telles que:
• L’identifiant unique
• Le titre
• Le type de document
• Les noms, les fonctions et les services des propriétaires
• Le nom de l’approbateur et la date d’approbation
• La date d’émission
• La version et sa date de révision
• La classification

15
D: Documentation
Description des processus et des contrôles de sécurité
– Aucune exigence de la norme ISO 27001 qui oblige l’organisme à
décrire de façon détaillée chaque processus ou mesure de sécurité.
– Exemples de façons à faire:
 Se limiter à une documentation sommaire qui décrit le
fonctionnement des processus et des contrôles de sécurité inclus
dans le SMSI.
 Inclure la description des mesures de sécurité dans la déclaration
d’applicabilité.
 Documenter les contrôles de sécurité par groupe. Exemple:
document pour la gestion des incidents et non par contrôles de
sécurité.

Documentation assez précise  refléter la réalité


Pas trop complexe  assurer le suivi

16
D: Documentation
Description des processus et des contrôles de sécurité
– Aucune exigence de la norme ISO 27001 sur la façon de documenter
les processus ou les mesures de sécurité.
– Exemples de façons à faire:
 Se limiter à une documentation sommaire qui décrit le
fonctionnement des processus et des contrôles de sécurité inclus
dans le SMSI
 Inclure le description des mesures de sécurité dans la déclaration
d’applicabilité
 Documenter les contrôles de sécurité par groupe. Exemple:
document pour le contrôle d’accès et non par contrôles de
sécurité

Documentation assez précise  refléter la réalité


Pas trop complexe  assurer le suivi

17
D: Documentation
Description des processus et des contrôles de sécurité
Les 6 W: concept de 6 questions à se poser systématiquement pour lister
tous les aspects afin de couvrir un sujet dans sa globalité.
 Who: Qui
 What: Quoi
 How: Comment
 When: Quand
 Where: Où
 Why: Pourquoi

L’administrateur système (Qui) s’assure que les sauvegardes sont complétées


(Quoi) en révisant les logs de sauvegarde (Comment) chaque matin
(Quand), il remplit et signe le formulaire de sauvegarde contenant une liste
de contrôles (Où) qui est conservée comme preuve de vérification de la
bonne exécution de la sauvegarde (Pourquoi).
18
D: Documentation
Rédaction des politiques spécifiques
– La publication d’une PSI est exigée.
– L’organisme devrait encore publier, selon les contrôles de sécurité
sélectionnés , les politiques spécifiques suivantes:
 Politique en matière d’appareils mobiles;
 Politique de télétravail;
 Politique de contrôle d’accès;
 Politique d’utilisation de la cryptographie;
 Politique du bureau propre et de l’écran verrouillé;
 politique de sauvegarde;
 Politique de transfert de l’information;
 Politique de développement sécurisé;
 Politique de sécurité de l’information dans les relations avec
les fournisseurs.

19
D: Documentation
Rédaction des procédures
– Les procédures assurent que les contrôles de sécurité élaborées
seront exécutées au quotidien selon les spécifications et les
politiques de l’organisme.
– Il convient d’impliquer les employés responsables des opérations
pour la rédaction et la validation des procédures.

20
D: Documentation
Rédaction des procédures
Exemples de procédures pouvant être incluses dans un SMSI:
 Procédure de marquage des informations;
 Procédure de traitement de l’information;
 Procédure de gestion des supports amovibles;
 Procédure de mise au rebut des supports;
 Procédure de connexion sécurisée;
 procédure pour le travail dans les zones sécurisées;
 procédures d’exploitation;
 Procédure pour l’installation de logiciel sur des systèmes en
exploitation;
 Procédures de transfert de l’information;
 Procédures de contrôle des changements de système;
 Procédure de gestion des incidents SI;
 Procédure pour la collecte des preuves;
 Mise en œuvre de la continuité de la sécurité de l’information;
 Procédure de gestion des droits de propriété intellectuelle.
21
D: Déployer

1 Documentation

2 Mise en œuvre des processus et mesures

3 Communication

4 Sensibilisation et formation

5 Gestion des opérations


D: Mise en œuvre des processus et des contrôles de sécurité
Objectif:
‒ Assurer la protection efficace des actifs de l’organisme par la mise en
ouvre des contrôles de sécurité appropriés.

23
D: Documentation
Exigences de la norme ISO 27001

L’organisation doit
Clause 8.1 Planification et contrôle opérationnels
 planifier, mettre en œuvre et contrôler les processus nécessaires à la
satisfaction des exigences liées à la SI et à la réalisation des actions
déterminées en 6.1.
 mettre en œuvre des plans pour atteindre les objectifs de SI définis
6.2.
Clause 8.2 Appréciation des risques SI
 Réaliser des appréciations des risques SI à des intervalles planifiés ou
quand des changements significatifs sont prévus ou ont lieu.
Clause 8.3 Traitement des risques SI
 Mettre en œuvre le plan de traitement des risques SI.

24
D: Mise en œuvre des processus et des contrôles de sécurité
‒ Un organisme qui désire se conformer à ISO 27001 doit mettre en ouvre
les contrôles de sécurité selon le plan de traitement des risques.
‒ Ces contrôles de sécurité sont sélectionnés principalement de la liste des
mesures de sécurité de l’annexe A de l’ISO 27001.
‒ Output: les processus et les contrôles de sécurité appropriés en place et
prêts à être mis en opération.

25
D: Déployer

1 Documentation

2 Mise en œuvre des processus et mesures

3 Communication

4 Sensibilisation et formation

5 Gestion des opérations


D: Communication
Objectifs de cette étape
 Informer les parties intéressées de l’organisme des actions, des
améliorations et des changements liés à la gestion du SMSI avec le
niveau de détails approprié.

27
D: Communication
Exigences de la norme ISO 27001

Clause 7.4 Communication


Déterminer les besoins de communication interne et externe pertinents
pour le SMSI, notamment:
a) Sur quels sujets communiquer;
b) À quels moments communiquer;
c) Avec qui communiquer;
d) Qui doit communiquer;
e) Les processus par lesquels la communication doit s’effectuer.

28
D: Communication
Etablir un plan de communication détaillant la stratégie de
communication adoptée:
1) Etablissement des objectifs de communication;
2) Identification des parties intéressées;
3) Identification des éléments déclencheurs et la fréquence de
communication;
4) Identification du contenu des messages;
5) Identification des techniques de communication et des outils et des
canaux à utiliser;
6) Identification des personnes autorisées à communiquer à l’externe et
à l’interne;
7) Identification des ressources nécessaires;
8) Les critères et les méthodes d’évaluation des résultats de la
communication.

29
D: Communication
Supports à la réalisation de la communication : exemples

Ateliers et Groupes de
Site web Courriels
conférences discussion

Articles de Communiqués
Brochures Sondages
journaux de presse

Visites guidées
Rapports Publicité Affiches
de l’organisme

30
D: Déployer

1 Documentation

2 Mise en œuvre des processus et mesures

3 Communication

4 Sensibilisation et formation

5 Gestion des opérations


D: Sensibilisation et formation
Objectifs de cette étape
 Assurer la compétence des personnes impliquées dans les opérations
du SMSI.
 Sensibiliser les parties prenantes de l’organisme aux enjeux de la
sécurité de l’information et s’assurer de l’adoption des
comportements en la matière.

 Un employé non sensibilisé ou non formé représente un risque


potentiel.
 L’actif humain est un paramètre essentiel qui agit sur le niveau de
maturité de la sécurité de l’organisme.

32
D: Sensibilisation et formation
Exigences de la norme ISO 27001

Clauses 7.2 Compétence et 7.3 Sensibilisation


– L’organisation doit s’assurer d’avoir les personnes compétentes pour
exécuter les tâches reliées au SMSI.
– Les personnes qui travaillent sous le contrôle de l’organisme doivent
être sensibilisées à la PSI, avoir conscience de leur rôle dans le SMSI et
des exigences de SMSI.

33
D: Sensibilisation et formation
Formation, sensibilisation et communication: différences

Formation Sensibilisation Communication

Acquérir des
Changer les habitudes S’informer
compétences
Quelles compétences Quel comportement
Quels messages veut-t-
veut-on qu’ils veut-on renforcer ou
on transmettre?
obtiennent? faire modifier?

34
D: Sensibilisation et formation
Définition des besoins en compétence: exemple
Postes Politiques Risque Continuité Incident Sécurité Juridique Audit …
d’activité Physique

Poste1

Poste2

Poste3

Poste4

Niveau de sensibilisation Connaissance Expertise

35
D: Sensibilisation et formation
Etablir un plan de formation:
1) Les objectifs de formation: basés sur la compétence souhaitée;
2) Spécification des besoins de formation;
3) Les méthodes de formation: cours sur site ou hors site, atelier, auto-
formation, formation à distance, etc.
4) Les critères de sélection des méthodes de formation;
5) Les exigences de ressources comme le matériel de la formation et le
personnel;
6) Les exigences financières;
7) Les critères et les méthodes d’évaluation des résultats de la
formation.

36
D: Déployer

1 Documentation

2 Mise en œuvre des processus et mesures

3 Communication

4 Sensibilisation et formation

5 Gestion des opérations


D: Gestion des opérations du SMSI
Objectifs de cette étape
 Transférer le projet de SMSI aux opérations de l’organisme.
 Assurer le maintien du SMSI.

38
D: Gestion des opérations du SMSI
Exigences de la norme ISO 27001

Clause 8.1 Planification et contrôle opérationnels


Clause 5.1.c Implication de la direction
Clause 7.1 Ressources

39
D: Gestion des opérations du SMSI
Transfert aux opérations
– Lorsque l’équipe de projet du SMSI a terminé la mise en œuvre des
processus et des mesures de sécurité, un transfert doit être effectué
aux opérations.
– Prévoir un plan de communication pour les usagers, les opérateurs et
les responsables des processus avant le transfert aux opérations.
– S’assurer de former le personnel impliqué dans les opérations avant
de transférer les activités.
– L’organisation doit allouer suffisamment de ressources pour assurer le
maintien et l’amélioration du SMSI : budget, personnel qualifié et
matériel nécessaire.

40

Vous aimerez peut-être aussi