Préparation à la certification en

ISO 27001
Master co-construit en électronique et système
embarqué appliqué à l’agriculture

Le support du cours est un livrable de la formation des formateurs dans le

cadre du PAQ Price 2017
Principes fondamentaux
de la sécurité de
l’information
 L’information
Selon l’ISO 27002
• l’information constitue un bien important pour
l’organisme
• Elle est à ce titre un élément important de
l’activité de l’organisme et elle nécessite une
protection adéquate
 Les supports de l’information
• Manuscrits ou imprimés
• Numériques
• Transmises par courrier ou par courrier électrique
• Diffusées par vidéo conférence
• Verbales
… » … quelque soit la forme des informations,
ou les moyens de partage ou de stockage,
l’information doit toujours être protégée (ISO
27002)
 Système d’information
Ensemble des moyens matériels, logiciels et
organisationnels, qui permettent de recevoir, de
conserver et de traiter l’information

Concept de sécurité de l’information

• Passage de la sécurité informatique à la sécurité des

systèmes d’information puis à la sécurité de
l’information
• On passe de notions techniques à des notions plutôt
organisationnelles ou managériales.
 Sécurité de l’information?
Vaste, complexe, immature …
Complexité
Sécurité
globale
?
Technologique
Organisationnelle
Economique Sécurité Cyber défense
numérique Cyber sécurité

Sécurité
de
l’information
Sécurité
des systèmes
d’information

Sécurité
informatique
1975 ------------1990 1995 2000 2010 2015
 Sécurité de l’information
Selon l’ISO 27002

La sécurité de l’information vise à protéger

l’information contre une large gamme de
menaces, de manière à garantir la continuité de
l’activité, à réduire le plus possible le risque et
à optimiser le retour sur investissement ainsi
que les opportunités en termes d’activités pour
l’organisme
 Sécurité de l’information
* La sécurité de l’information est assurée par la
mise en œuvre de mesures adaptées, qui
regroupent des règles, des processus, des
procédures, des structures organisationnelles, et
des fonctions matérielles et logicielles.
* Ces mesures doivent être spécifiées, mises en
œuvre, suivies, réexaminées et améliorées aussi
souvent que spécifiques en matière à atteindre les
objectifs spécifiques en matière de sécurité et
d’activité d’un organisme.
 Les actifs
▪ Les informations, ainsi que les processus
informationnels, constituent les actifs
essentiels au cœur des éléments d’un système
d’information
• Les actifs essentiels reposent sur des actifs
supports (réseaux, matériels, logiciels,
organisations, personnes, sites).
 Pour protéger les actifs essentiels, il faut
protéger les actifs supports
 Objectifs de la sécurité de
l’information
les critères de la sécurité de l’information sont:
✓ confidentialité (Confidentiallity)
✓ Intégrité (integrity)
✓ Disponibilité (availability)

Auxquels on peut ajouter d’autres caractéristiques:

✓ authenticité (authenticity) = authentification + intégrité
✓ Imputabilité, auditabilité, traçabilité (accountability)
✓ Non répudiation (non repudiation)
✓ Etc …
 Objectifs de la sécurité
Espions Hackers

Cryptage
Identification VPN
Filtrage
Authentification
Filtrage
Confidentialité
Anti virus

Cryptage Information Redondance

Intégrité Disponibilité
Filtrage
Hackers
Backup
Authentification Pannes

Hackers
Virus
Erreurs
 Confidentialité
ISO 27000, clause 2.13

Propriété qu’une information n’est pas disponible ou divulguée aux

individus, aux entités ou aux processus non autorisés
Par exemple, les données personnelles d’employés salariés ne doivent
être accessibles qu’au personnel autorisé du département RH.
Pour protéger l’information, les contrôles d’accès peuvent être
appliqués à différents niveaux d’un système des gestion de la
sécurité de l’information.
Au niveau physique (exemple: de verrous sur les portes, des cabinets de
classeurs qui se verrouillent, des coffrets de sûreté, etc.)
Au niveau logistique (exemple: des contrôles d’accès à l’information)
 Intégrité
ISO 27000, clause 2.36

Propriété de protéger l’exactitude et l’exhaustivité des

actifs
• l’exactitude est traduite par l’absence d’altération dans
l’information
• Les contrôles de l’intégrité doivent être inclus dans les
procédures. Ils contribuent à la réduction du risque
d’erreur, de vol ou de fraude.
• Exemples: les contrôles de validation des données, la
formation des utilisateurs, des contrôles au niveau
opérationnel …
 Disponibilité
ISO 27000, clause 2.10

Propriété d’être accessible et utilisable sur demande par une entité

autorisée
Pour assurer la disponibilité de l’information, plusieurs mesures
peuvent être mises en place, comme:
- La sauvegarde des données,
- La planification de la capacité
- Les procédures de gestion des incidents,
- La gestion des médias amovibles
- Les procédures de traitement de l’information,
- L’entretien et le test des équipements,
- Les plans de reprise et de continuité …
Objectifs de la sécurité de
l’information

Menaces

Confidentialité
Intégrité
Légalité Vulnérabilités
Disponibilité
Non
Traçabilité répudiation

Risques
 Vulnérabilité
Faiblesse d’un actif ou d’une menace de
contrôle qui pourrait être exploitée par une
menace
Personnel
Produits
Processus Technologies
Partenaires
Fournisseurs
 Types de vulnérabilité
ISO 27005, Annexe D
Type de vulnérabilité Exemples
1. Matériel informatique Entretien insuffisant
Portabilité
2. Logiciel Aucun registre
Interaction compliqué
3. Réseau Manque de transfert de chiffrement
Simple point d’accès
4. Personnel Formation insuffisante
Manque de supervision
5. Site Système électrique instable
Site dans une zone inondable
6. Structure de l’organisme Manque de séparation des tâches
Aucune description de tâches
 Sources de vulnérabilités

Manque de formation

Inexistence de procédure
Application non testée
Humain
Organisationnel
Logiciel
Services
(environnement)
Matériel
Manque de maintenance
Coupure de courant électrique
 Sources de vulnérabilités

➢ Sur l’environnement physique de l’entreprise:

- Manque de protection physique pour le contrôle
d’accès des personnes dans l’ enceinte de
l’entreprise
- Position de l’entreprise dans une zone inondable,
sismique, sensible aux désastres naturels,
- Zone de stockage non protégée,
- Sensibilité du matériel à l’humidité, aux
variations de température, à la poussière, etc.
 Exemples de vulnérabilités
➢ Sur les ressources humaines:
- Formation insuffisante (sécurité)
- Manque de connaissance
- Manque de système de surveillance
- Manque de règlement pour utilisation média, e Mail, télécom,
- Personnel non motivé ou contrarié
- Non remplacement des droits d’accès après fin d’une mission
➢ Sur maintenance, développement et acquisition:
- Manque de contrôle des données Entrée/Sortie
- Aucun contrôle de téléchargement & installation de logiciels
- Protection inadéquate des clefs cyptographiques,
- Manque de validation des données traitées, etc.
- Non séparation des environnements de développement, test et production
 Exemples de vulnérabilités
➢ Sur la communication et les opérations de gestion:
- Interface utilisateur compliquée
- Contrôle des changements inadéquats,
- Gestion du réseau inadéquate,
- Manque de procédures de back –up
- Aucune séparation des fonctions
➢ Sur le contrôle d’accès:
- Séparation inadaptée du réseau informatique,
- Manque de mécanismes d’identification et
d’authentification,
- Aucune ou mauvaise politique de contrôle d’accès,
- Aucune révision des droits d’accès utilisateurs, etc.
 Menace

➢ cause potentielle d’un événement (incident)

indésirable pouvant affecter (d’une manière
défavorable) une organisation
- Par définition, une menace a la possibilité d’une
préjudice pour des actifs, comme une information,
des processus et des systèmes et, par conséquent,
être préjudiciable pour les organismes.
- Elle est associée à l’aspect négatif du risque. La
nature de la menace est toujours indésirable.
 Types de menace
ISO 27005, Annexe C
Type de menace Exemples
1. Dommage physique Feu
Dommage par l’eau
2. Désastre naturel Séisme
Inondation
3. Perte d’un service essentiel Panne de climatisation
Panne d’un courant électrique
4. Perturbation causée par radiation Radiation électromagnétique
Radiation thermale
5. Information compromise Appareils sur écoute
Vol de documents
6. Défaillance technique Panne d’équipement
Surcharge de réseau
7. Action non autorisée Accès non autorisé
Utilisation de logiciel piraté
 Exemple de menaces

Incendie Virus informatiques

Hacker

Voleur d’équipement Inondation

 Types de menaces

Intrus interne Intrus externe

Actifs de l’entreprise

Virus Autorisation incorrect

 Exemples de menaces
➢ Plusieurs formes:
- Humain:
Intrus ayant accès au réseau par un port du pare feu, accès aux données
non conforme à la poltique de sécurité, tornade anéantissant une
infrastructure, employé faisant une erreur involontaire pouvant
porter atteinte à la confidentialité et à l’intégrité de l’information,
Pirate informatique
- Arrêt de l’activité:
Incendie, attaque terroriste, séisme, inondation, foudre, tempête,
ouragan, désastres naturels, interruption momentanée des activités,
détérioration ou panne de médias, vandalisme, vol, etc.
- Pannes:
Disfonctionnement de la climatisation, disfonctionnement électrique,
interruption des activités, erreur d’utilisation, erreur de maintenance,
panne du matériel, indisponibilité du matériel
 Exemples de menaces
- Accès non autorisé: Mise en péril des actifs, espionnage
industriel, perte de l’information, faille de sécurité, accès au
réseau d’une personne non autorisée, dommages causés par
des tests de pénétration, dommages causés par les sous-
traitants, fournisseurs, collaborateurs, erreur humaine
- Conformité: infraction de la législation, rupture des
obligations contractuelles, destruction des enregistrements,
destruction du plan de continuité de l’entreprise, manque de
communication des différents services de l’entreprise,
falsification des données, fraude, utilisation illégale de
logiciel, interférence, utilisation, malveillante des
ressources et actifs de l’entreprise, contrefaçon , etc….
 Relation: vulnérabilité & Menace
Exemples
Vulnérabilités Menaces
Entrepôt non protégé et sans surveillance Vol
Procédures compliquées de traitement des Erreur d’entrée des données par le
données personnel
Pas de séparation des tâches Fraudes, utilisation non autorisée d’un
système
Données non chiffrées Vol d’information
Utilisation de logiciels piratés Procès, virus
Pas de revue des droits d’accès Accès non autorisée par des personnes
qui ont quitté l’organisme
Pas de procédures de sauvegarde Perte d’information
 Impact
ISO 27005. Clause 3.1.
Changement négatif réalisé au niveau des objectifs de
l’activité

Exemples d’impact Exemples d’impacts Exemples d’impacts

sur la confidentialité sur l’intégrité sur la disponibilité
• Invasion de la vie • Changement • Dégradation de la
privée des accidentel performance
utilisateurs ou des • Changement délibéré • Interruption du
clients • Résultats incorrects service
• Invasion de la vie • Résultats incomplets • Non disponibilité du
privée des employés service
• Perte de données
• Fuite d’information • Interruption des
confidentielle opérations
Voici une liste de plusieurs impacts potentiels (voir ISO 27005,
annexe B.2) qui peuvent affecter soit la disponibilité, l’intégrité, la
confidentialité ou une combinaison des 3:

1. Pertes financières:
2. Perte d’actifs ou de leur valeur
3. Perte de clients, de fournisseurs;
4. Procès et sanctions;
5. Perte d’avantages compétitifs
6. Perte d’avantages technologiques;
7. Perte de rendement ou d’efficacité;
8. Violation de la vie privée d’utilisateurs ou de clients;
9. Interruption des services;
10. Incapacité de fournir des services;
11. Perte de la marque ou de la réputation;
12. Interruption des opérations;
13. Interruption des opérations de tiers (fournisseurs, clients…);
14. Incapacité à remplir les obligations légales;
15. Incapacité à remplir les obligations contractuelles;
16. Menace à la sécurité du personnel, des utilisateurs
 Exercice 1

Menaces et vulnérabilités
 Exercice 1: Menace et vulnérabilité
Proposition Menace ou Complément (menace D I C
vulnérabilité / vulnérabilité)
Vol d’un fichier

Ne pas planifier une revue

périodique de la PSSI
Divulgation d’information
confidentielle
Utilisation d’un logiciel
piraté
Pas de procédure de mise
au rebut des médias
Interface utilisateur
compliquée
Date système incorrect

Interception d’un mot de

passe
Le journal système
désactivé
Manque de formation pour
le personnel
 Risque et sécurité de l’information
ISO 27000. Clause 2.61
La possibilité qu’une menace donnée exploite les
vulnérabilités d’un actif ou d’un groupe d’actifs et cause
ainsi un préjudice à l’organisme

Note: il est mesuré en termes d’une combinaison de la probabilité d’un événement et de

ses conséquences

Probabilité Conséquence
Risque
(occurrence) (impact)
 Le risque
ISO 31000, clause 2.1
Définition: Effet de l’incertitude sur l’atteinte des
objectifs
1. Vision positive
Possibilité de gain

2. Vision neutre
Probabilité d’événement

3. Vision négative
Événement nuisible
Contrôles (ou mesures de sécurité)
Classification
Contrôle préventif
Décourager ou prévenir l’apparition
des problèmes
Préventif

Contrôle de détection
Rechercher, détecter et identifier les
Correctif problèmes
De détection

Contrôle corrective
Résoudre les problèmes trouvés et
en prévenir la récurrence
Mesure de prévention
But: décourager ou prévenir l’apparition de problèmes
•Détecter les problèmes avant qu’ils se produisent
•Contrôler les opérations;
•Prévenir une erreur, une omission ou des actes malveillants

Mesure de détection
But: Rechercher et identifier les anomalies
•Utiliser les contrôles qui détectent et rapportent l’apparition d’une erreur, d’une omission
ou d’un acte malveillant
Mesure corrective

But: prévenir la répétition des anomalies

•Minimiser l’impact d’une menace
•Remédier aux problèmes découverts par des contrôles de détection
•Identifier les causes du problème
•Corriger les erreurs qui se produisent à cause d’un problème
•Modifier le système de traitement pour réduire au minimum la possibilité de problèmes
futurs
 Objectifs et mesures de sécurité:
ISO 27000, clause 2.17 et ISO 27005, clause 3.2

Objectif de sécurité
Mesure Mesure •Déclaration décrivant ce qui est à
technique administrative accomplir par suite de la mise en
place des mesures de sécurité
Mesure de sécurité
•Moyens de management du risque
Mesure •Comprend les politiques, les
Corrective procédures, les lignes directrices et
managériale
les pratiques ou l’organisation
•Synonyme: contrôle, contre
mesure, dispositif de sécurité,
sauvegarde, mesure de contrôle
 Le lien entre les objectifs de la sécurité
et les contrôles
Objectifs de sécurité
S’assurer que l’information bénéficie d’un
niveau de protection approprié conforme
à son importance pour l’organisation
Assurer l’exploitation correcte et
sécurisée des moyens de traitement de
l’information
Limiter l’accès à l’information et aux
moyens de traitement de l’information
Contrôles de sécurité
Classification de l’information (A.8.2.1)
Marquage de l’information (A.2.2)
Manipulation des actifs (A.8.2.3)
Procédures d’exploitation documentaires
Gestion des changements
Dimensionnement
Séparation des environnements de
développement de test d’exploitation
Politique de contrôle d’accès (A.9.1.1)
Accès aux réseaux et services réseau
(A.9.1.2)
Exemples
Contrôles préventifs Contrôles de détection Contrôles correctifs

•Publier une politique •Réviser les services des •Investigation technique

de sécurité de tiers et légale suivant un
l’information incident de sécurité
• effectuer le suivi des
• Signer une entente de ressources systèmes •Permettre le plan de
confidentialité continuité d’activité
•Déclenchement après l’occurrence d’un
•N’embaucher que du d’alarmes (détection de désastre
personnel qualifié fumée)
•Implémentation des
•Identifier les risques •Revue des privilèges correctifs suivant
provenant de tiers utilisateurs l’identification des
vulnérabilités techniques
•Séparation des tâches •Analyse des
enregistrements
 Exercice 2

Classification des mesures de sécurité