Les normes de sécurité

M2 – SSI
2020- 2021
 Introduction

• Nairobi, Kenya, 10 au 14 octobre

• 11e rencontre du comité ISO/IEC JTC1/SC27
• 200+ délégués de 46 pays
• Qui sont ces gens ?
• Pourquoi sont-ils ici ?
Les normes, pourquoi ?
 Les normes, pourquoi ?

• C’est une réponse à un besoin exprimé par l’industrie pour :

• Faciliter l’interopérabilité
• Faciliter la communication
• Faciliter la démonstration
• Faciliter la certification
• Améliorer l’efficacité et l’efficience
• Simplifier l’acceptation
• Réduire la maintenance
 Les normes, c’est quoi ?

• Un document qui fournit des lignes directrices sur les processus, les produits
et les résultats. Il doit être
• Réaliste;
• Vérifiable
• Acceptable par toutes les parties
• Établie par voie de consensus entre experts du domaine
• Approuvée par un organisme de normalisation reconnu
 Vue d’ensemble des normes de sécurité de
l’information publiées par ISO/IEC/JTC1/SC27
suite
Les normes c’est qui ?
 ISO/IEC JTC1/SC27 Techniques de sécurité des
technologies de l’information

• WG1 Systèmes de management de la sécurité de l’information

• WG2 Cryptographie et mécanismes de sécurité
• WG3 critères d’évaluation de la sécurité
• WG4 Contrôle et services de sécurité
• WG5 Gestion d’identité et technologies de domaine privé
• 50 pays votants
• 200+ experts
• 5 groupes de travail
• 97 normes publiées
• 2 rencontres / an
• 1 plénière / an
 PROCESSUS iso? C’EST QUOI ,

Stade Document
Préliminaire Proposition d’un nouveau projet (NWIP)
Proposition Nouveau projet (NP)
Préparatoire Avant projet (WD)
Comité Projet de comité (CD)
Enquête Projet de norme internationale (DIS)
Approbation Projet final de norme internationale (FDIS)
Publication Norme internationale (IS)
 EXEMPLE
• Le cloud computing
• En octobre 2010, SC27 a lancé l’étape préliminaire pour une norme sur la
sécurité et PRP dans le clous
• L’étude d’opportunité est confiée aux groupes de travail 1, 4 et 5 :
(gouvernance, control et prp)
• Les délégués sont invités à soumettre suggestions et matériels
• On lance aussi l’invitation à des groupes externes (UIT-T, NIST,ISACA, SC38)
• 3 responsables (rapporteurs) sont désignés pour recevoir les contributions et
produire un rapport avant la prochaine rencontre
 Exemple (suite)
• En avril 2011, le SC27 décide qu’il est opportun de produire une telle norme
et de continuer l’étude d’opportunité pour les détails du projet
• En octobre 2011, le SC27 décide de proposer trois projets et désigne les
éditeurs qui doivent préparer un premier avant projet (preliminary working
draft)
• Les pays membres du SC27 doivent se prononcer par vote avant la
prochaine rencontre
• Si le vote est positif, le travail en comité commencera à la prochaine
rencontre à l’etape préparatoire
 Être membre de l’ISO, c’est quoi ?

• Être invité en qualité d’expert par l’organisme national

• Participer aux rencontres nationales
• Participer aux discussions en ligne nationales et internationales
• Courrier, forums, skype
• Lire et commenter les normes en rédaction
 Exemple de participation

Commentaire Proposition de changement

such identity-based decisions may concern access Replace with « such identity-based decisions may
to applications other resources. involve allowing or denying access to information
both "concern" and "access" are vague. also access or other resources »
control ultimately applies to information or data
Proposition « which operate on behalf of Remove comma after « components »
individuals or organizations » applies only to
information technology components
Certification des auditeurs des systèmes
d’information
 La certification

• Procédure d’authentification et de contrôle de la qualité d’un informaticien

pour jouir des droits légitimes d’être auditeur informatique (évaluateur des
systèmes d’information) par les organismes de normalisation au moyen d’un
écrit, oral ou en ligne.
• En informatique, le concept de certification d’une direction informatique ou
des applications informatiques n’a pas encore été défini.
• Les processus de certification concernent la qualité des projets
informatiques comme par exemple CMMI. À titre d’exemple la norme ISO
20000 (sous ensemble d’ITIL) certifie la qualité de service fournie par
l’exploitation
• Ou bien la certification des outsourceurs exp : la norme « SAS 70 : Statement
on Auditing Standards n°70 », Cette norme a été créée par l'American
Institute of Certified Public Accountants (AICPA) pour éviter à ces
organismes de devoir supporter successivement plusieurs audits
informatiques sur des sujets voisins.
• Ce sont des audits réalisés par des tiers et vont s'assurer que les processus
mis en œuvre offrent la qualité du service attendue. La norme SAS 70 a été
remplacée depuis par la norme ISAE 3402 (International Standards for
Assurance Engagement) entrée en vigueur le 15 juin 2011. Il s'agit d'une
extension de SAS 70 qui définit les standards qu'un auditeur doit suivre pour
évaluer les contrôles internes contractuels d'un organisme de service.
• D’où le besoin de certifier les auditeurs
Certification CISA (Certified Information System Auditor)
• certification professionnelle internationale organisée par l'ISACA depuis 1978.
• 75 000 personnes certifiées CISA dans le monde.
• L'examen peut être passé trois fois par an : en juin, en septembre et en décembre,
dans 11 langues différentes et dans 200 villes dans le monde.
• Il faut répondre 150 - 200 questions à choix multiples en 4 heures portant sur l'audit
et l'informatique.
• L'examen porte sur 6 domaines :
• les processus d'audit des systèmes d'information ;
• la gouvernance IT ;
• la gestion du cycle de vie des systèmes et de l'infrastructure,
• la fourniture et le support des services ;
• la protection des avoirs informatiques ;
• le plan de continuité et le plan de secours informatique.
CISM (Certified Information Security Management)
• Depuis 2003, c’est une certification de référence des auditeurs. C’est une
certification professionnelle pour les managers en sécurité de l'information
• Elle est subdivisée en deux grandes catégories :
• CRISC (Certified in Risk and Information Systems Control)
• CGEIT (Certified in the Governance of Entreprise IT)
• Le programme de la certification CISM est composé de 5 domaines de la
sécurité de l'information :
• La gouvernance de la sécurité de l'information ;
• La gestion des risques de l'information ;
• L'implémentation d'un programme de sécurité de l'information ;
• La gestion d'un programme de sécurité de l'information ;
• La gestion des incidents de sécurité de l'information.
• CISSP (Certified Information Systems Security Professional)
• ISO27001 lead auditor, lead implemantor
• ITIL, Prince2, CobIT, etc.
Quelques normes de sécurité
Sécurité de l’information, normes BS7799, ISO
17799, ISO 27001

• Plusieurs normes, méthodes et référentiels de bonnes pratiques en matière

de sécurité des systèmes d’information sont disponibles. Elles constituent
des guides méthodologiques ainsi que le moyen de fournir l'assurance d'une
démarche de sécurité cohérente.
• L’ISO a entrepris un vaste effort de rationalisation des travaux existants
donnant naissance à la série des ISO 27000. Certaines sont obligatoires pour
obtenir une certification (27001 et 27006), les autres ne sont que des guides :
• L'ISO 17799 sera renommé en 27002, le 1er avril 2007. La dernière mise à jour
date de 2013. deux rectifications techniques ont été élaborées en 2014 et
2015
• L'ISO 27006 publiée conjointement par l’ISO et la CEI Elle a été mise à jour
en 2011 puis en 2015
• L'ISO 27004 élaborée en 2009 et mise à jour en 2016
• L'ISO 27005 élaborée en 2008 et mise à jour en 2011 puis en 2018. un
nouveau draft 27005.2 est dans un etat d’élaboration avancé
 Normes BS7799, ISO 17799 et ISO 27002 ?

• Un ensemble de contrôles basés sur les meilleures pratiques en sécurité des

informations
• Standard international qui couvre tous les aspects de la sécurité informatique:
• Équipements;
• Politiques de gestion;
• Ressources humaines;
• Aspects juridiques.
 Normes BS7799, ISO 17799 et ISO 27002 ?

• ISO 17799 (partie 1) se veut un guide contenant des conseils et des

recommandations permettant d’assurer la sécurité des informations d’une
entreprise.
• La norme ISO 17799 (partie 2 :2005), renommée 27002, est directement
tirée de la BS 7799-1 (créée par le BSI British Standard Institute).
• Elle correspond à un niveau de détail plus fin que la 27001 et spécifie une
Politique de la Sécurité des Systèmes d'Information. C'est une liste détaillée
et commentée de mesures de sécurité. Cette norme est un guide de Bonnes
Pratiques (Best Practices)
 Normes BS7799, ISO 17799 et ISO 27002 ?

• Pour maîtriser la sécurité d'un système d'information. plusieurs versions de

la BS 7799 ont été élaborées depuis le début des années 1990 et la dernière
est devenue la norme ISO/IEC 17799.
• Schématiquement, la démarche de sécurisation du système d'information
doit passer par 4 étapes de définition :
1. Périmètre à protéger (liste des biens sensibles),
2. Nature des menaces,
3. Impact sur le système d'information,
4. Mesures de protection à mettre en place.
 Normes BS7799, ISO 17799 et ISO 27002 ?

• L’ ISO 17799 donne des exemples et des indications sur les niveaux 1 à 3,
mais ne traite vraiment que le niveau 4 (et en partie seulement), en listant
ce qui est nécessaire de mettre en place, sans toutefois préciser en détail
comment.
• La norme ISO 17799 comporte 39 catégories de contrôle et 133 points de
vérification répartis en 11 domaines :
 Normes BS7799, ISO 17799 et ISO 27002 ?

1. Politique de sécurité
2. Organisation de la sécurité :
• Organisation humaine, implication hiérarchique,
• Notion de propriétaire d’une information et mode de classification,
• Evaluation des nouvelles informations,
• Mode d’accès aux informations par une tierce partie,
• Répartition des responsabilités, groupes de travail, …
3. Classification et contrôle des biens
• Identifications des actifs, Classification de l’information
 Normes BS7799, ISO 17799 et ISO 27002 ?

4. Sécurité du personnel
• Contrats de travail, Sensibilisation à la sécurité, implication dans la sécurité
5. Sécurité physique
• Organisation des locaux et des accès,
• Protection contre les risques physiques (incendies, inondations...)
• systèmes de surveillance et d’alerte,
• sécurité des locaux ouverts et des documents circulant.
 Normes BS7799, ISO 17799 et ISO 27002 ?
6. Communication et exploitation:
• Gestion des incidents,
• Gestion du réseau
• Prise en compte de la sécurité dans les procédures de l’entreprise,
• Mise en oeuvre des systèmes de sécurisation (antivirus, alarmes..),
7. Contrôle d'accès:
• Utilisateurs
• Définition des niveaux d’utilisateurs et de leur droit d’accès,
• Gestion dans le temps des droits,
• Réseau
• Système d’exploitation
• Application
 Normes BS7799, ISO 17799 et ISO 27002 ?
8. Acquisition, développement et maintenance des systèmes
• Contrôles cryptographiques
• Sécurité des fichiers
• Chevaux de Troie
9. Gestion des incidents
10.Management de la continuité de service
• Planification , test, réévaluation
11.Conformité:
• Dispositions réglementaires
• Dispositions légales
• Dispositions internes (Politique)
 Normes BS7799, ISO 17799 et ISO 27002 ?

• La norme n'impose pas d'autre formalisme que la mise en place d'une

organisation qui garantit un bon niveau de sécurité au fil du temps.
• • Elle est orientée processus et déborde de ce fait des simples aspects de
technique informatique. Elle s'intéresse à l'organisation du personnel ainsi
qu'aux problèmes de sécurité physique (accès, locaux...).
 Qualités de la BS7799/ISO 17799

• Couverture de la norme;
• Éprouvée;
• Publique;
• Internationale;
• Image de marque associé à « la qualité »
• Évolutive et souplesse (s’adapter aux contextes);
• Disponibilité d’outils et de support.
Les dix contextes clés de l’ISO 17799
Politique de
sécurité

Sécurité de
Conformité
l’organisation

Classification
Gestion de la
et contrôle
continuité Disponibili des actifs
Intégrité
té

Information

Développeme
Sécurité du
nt et
maintenance Confidenti personnel

alité

Sécurité
Contrôle des physique et
accès environneme
Gestion des ntale
communicati
ons et des
opérations
Les dix contextes clés de ISO 17799
 ISO 27002
• C’est une norme internationale dont le titre est Code de bonnes pratiques
pour le contrôle de la sécurité de l'information. Elle fait partie de la suite
ISO/CEI 27000.
• L'ISO/CEI 27002 est un ensemble de 113 mesures dites « best practices »,
destinées à être utilisées par tous ceux qui sont responsables de la mise en
place ou du maintien d'un Système de Management de la Sécurité de
l'Information (SMSI).
• La sécurité de l'information est définie au sein de la norme comme la «
préservation de la confidentialité, de l'intégrité et de la disponibilité de
l'information ».
• Cette norme n'a pas de caractère obligatoire pour les entreprises. Son
respect peut toutefois être mentionné dans un contrat : un prestataire de
services pourrait ainsi s'engager à respecter les pratiques normalisées dans
ses relations avec un client.
 ISO 27002 : objectifs
• ISO/CEI 27002 est plus un code de pratique, qu’une véritable norme ou
qu’une spécification formelle telle que l’ISO/CEI 27001.
• Elle présente une série de contrôles (35 objectifs de contrôle) qui suggèrent
de tenir compte des risques de sécurité de informations relatives à la
confidentialité, l'intégrité et les aspects de disponibilité.
• Les entreprises qui adoptent l'ISO/CEI 27002 doivent évaluer leurs propres
risques de sécurité de l'information et appliquer les contrôles appropriés, en
utilisant la norme pour orienter l’entreprise.
• La norme ISO 27002 n'est pas une norme au sens habituel du terme. En
effet, ce n’est pas une norme de nature technique, technologique ou
orientée produit, ou une méthodologie d'évaluation d'équipement telle que
les critères communs CC/ISO 15408. Elle n’a pas de caractère d'obligation,
elle n’amène pas de certification, ce domaine étant couvert par la norme
ISO/CEI 27001.
 ISO 27002 : mise en œuvre

• La norme ne fixe pas de niveaux ou d’objectifs de sécurité et rappelle dans

les chapitres d'introduction, la nécessité de faire des analyses de risques
périodiques mais ne précise aucune obligation quant à la méthode
d’évaluation du risque.
• Ilsuffit donc de choisir celle qui répond aux besoins. C’est à partir des
résultats de l’analyse de risque que l’organisation « pioche » dans les
différentes rubriques de la norme celles qu’elle doit mettre en œuvre pour
répondre à ses besoins de sécurité.
• En 2002, plus de 80 000 entreprises se conformaient à cette norme à travers
le monde.
 ISO 27002 : contenu de la norme

• La norme ISO/CEI 27002 est composé de 18 chapitres dont les 4 premiers

introduisent la norme et les 11 chapitres suivants couvrent le management
de la sécurité aussi bien dans ses aspects stratégiques que dans ses aspects
opérationnels.
 ISO 27002 : contenu de la norme
• Chapitre n° 1 : Champ d'application
• La norme donne des recommandations pour la gestion de la sécurité des informations
pour ceux qui sont chargés de concevoir, mettre en œuvre ou maintenir la sécurité.
• Chapitre n° 2 : Termes et définitions
• « Sécurité de l'information » est explicitement définie comme la «préservation de la
confidentialité, l'intégrité et la disponibilité de l'information». Ceux-ci et d'autres
termes connexes sont définies plus loin.
• Chapitre n° 3 : Structure de la présente norme
• Cette page explique que la norme contient des objectifs de contrôle.
• Chapitre n° 4 : Évaluation des risques et de traitement
• ISO/CEI 27002 couvre le sujet de la gestion des risques. Elle donne des directives
générales sur la sélection et l'utilisation de méthodes appropriées pour analyser les
risques pour la sécurité des informations ; elle ne prescrit pas une méthode spécifique,
puisque celle-ci doit être appropriée selon le contexte.
 ISO 27002 : contenu de la norme
• Chapitre n° 5 : Politiques de sécurité de l'information
• Il existe deux mesures de sécurité. Elles concernent la composition des politiques de sécurité et leurs revues
périodique. Il s’agit de résumer les points des articles quatre et cinq de la norme ISO 27001. Ensuite l’ISO
27002 conseille d’aborder chaque domaine relatif à la sécurité. Évoquer chaque chapitre de la norme.
• Chapitre n° 6 : Organisation de la sécurité de l'information Il n’existe aucun lien particulier
entre les différentes mesures de sécurité abordées dans ce chapitre. Elles sont toutes
organisationnelles.
• Répartition des rôles et responsabilités : une mesure conseille de répartir clairement les rôles et
responsabilités en matière de sécurité. Il est également possible, selon la norme, d’identifier les
responsables pour les principaux actifs.
• Séparation des tâches : la norme recommande la séparation des tâches dans le but de prévenir les risques de
fraude et/ou de modifications illicites. Cette recommandation est très répandue dans le domaine financier.
• Relations avec les autorités : un grand nombre d’organismes sont tenus d’avoir des relations avec les
autorités. Ces relations doivent être formalisées et entretenues. Les autorités avec lesquelles il faut être en
contact varient en fonction de l’activité de l’organisme.
• Relations avec les groupes de travail spécialisés : il est conseillé de participer à des forums professionnels
abordant les questions de sécurité. Cela permet d’échanger les expériences et d’améliorer le niveau général
de sécurité.
• Gestion de projet : il est recommandé par la norme d’intégrer la sécurité dans la gestion de projet. Le conseil
donné est d’apprécier les risques puis d’intégrer des points sécurité à tous.
• Mobilité et télétravail : cette mesure aborde les questions de la mobilité malgré son aspect technique. Cette
mesure a pris de l’importance avec le développement des parcs mobiles (smartphones, tablettes).
 ISO 27002 : contenu de la norme
• Chapitre n° 7 : Sécurité des ressources humaines : Il existe un certains nombres de mesures de
sécurité à prendre auprès du personnel avant son embauche, pendant sa présence dans
l’organisme, puis à son départ
• Avant l’embauche : il est souhaitable de préciser des critères de sélection avant l’embauche en matière de
compétence générales et compétences en sécurité nécessaire pour chaque poste. La norme conseille, de
plus, de formaliser dans les contrats de travail les engagements du futur salarié en matière de sécurité.
• Pendant la durée du contrat : la direction doit faire en sorte que tout le monde adopte un comportement
adéquat par rapport à la sécurité de l’information.
• Publication d’une charte destinée aux utilisateurs,
• Concevoir et formaliser un processus disciplinaire afin de recadrer le personnel.
• Au départ du personnel : la norme conseil de clarifier autant que possible les règles de sécurité qui seront
applicables au salarié, même quand il aura quitté l’entreprise.
• Chapitre n° 8 : Gestion des actifs :Ce chapitre aborde les actifs d’information au sens large du
terme comme les supports physiques.
• Responsabilités relatives aux actifs : la norme recommande de dresser un inventaire des actifs d’information
(éléments important en matière d’information). Elle conseille ensuite de préciser, pour chaque actif, quelle
est son utilisation nominale.
• Classification de l’information : cette partie recommande de classifier l’information. Cela met en évidence les
actifs les plus sensibles, dans le but de mieux les protéger.
• Manipulation des supports : cette mesure rappelle qu’il est prudent de bien penser les procédures de
manipulation des supports amovibles. La norme rappelle qu’il convient de prévoir une procédure de
destruction ou d’effacement des données lorsque les supports amovibles sont en fin de vie.
 ISO 27002 : contenu de la norme
• Chapitre n° 9 : Contrôle d’accès : L’objectif de cette catégorie est de contrôler l’accès aux
informations des installations de traitement, d’information et des processus commerciaux.
• Chapitre n° 10 : Cryptographie : Il existe deux mesures de sécurité :
• Politique de chiffrement : cette mesure conseille de chiffrer les informations en fonction de leur
sensibilité et chiffrer les échanges lorsque les liaisons ne sont pas considérées comme sûres.
• Gestion des clés : les conséquences liées à la divulgation des clés ou à la perte de celles-ci sont telles
qu’il convient de les protéger de façon adéquate. Les procédures doivent être correctement
formalisées.
• Chapitre n° 11 : Sécurité physique et environnementale
• Mesure de sécurité des salles machines et des autres locaux de l’organisme :
• Les salles machine doivent être conçu dans les règles de l’art,
• Contrôle d’accès physique doit interdire l’accès à toute personnes non habilitées,
• Protections contre les désastres naturels, contre les attaques malveillantes ainsi que contre les accidents.
• Sécurité des équipements :
• Les services généraux doivent être exploités conformément aux spécifications du fabricant. Le câblage réseau
doit être posé de telle sorte qu’il soit difficile d’intercepter les flux,
• Le matériel doit être maintenu régulièrement afin de prévenir des pannes et de prévoir des procédures
appropriées en vue de la mise au rebut, en fin de vie,
• Les équipements laissés sans surveillance doivent être protégés et les postes de travail doivent être
automatiquement verrouillés.
 ISO 27002 : contenu de la norme
• Chapitre n° 12 : Sécurité liée à l’exploitation : Ce chapitre aborde de très nombreux domaine :
voici les plus importants :
• Documentation des procédures d’exploitation : la norme recommande de documenter les procédures
d’exploitation ainsi que les conduites à tenir en cas d’erreur.
• Gestion des changements : cette mesure consiste à planifier les changements, à en apprécier les risques et à
prévoir les procédures de mise en œuvre. Elles consistent aussi à prévoir des retours en arrière en cas de
problème, de vérifier que tous les acteurs impliqués sont informés et que les différents responsables ont
donné leur accord pour le changement.
• Dimensionnement du système : des mesures doivent être prises pour garantir la capacité de traitement du SI.
Il faut également vérifier que les nouveaux dispositifs ne vont pas consommer trop de ressources et surveiller
la charge du système et de supprimer les équipements et les données devenues inutiles.
• Séparation des environnements : cette mesure consiste à séparer clairement les environnements de
production et ceux de développement. Cette norme recommande de ne pas placer d’informations sensibles
dans les bases de tests.
• Protection contre les codes malveillants : la norme recommande vivement le déploiement d’antivirus, afin de
prévenir les attaques par code malveillant.
• Sauvegardes : la norme donne des conseils sur les sauvegardes et insiste sur le fait que des tests de
restauration doivent être réalisés périodiquement pour s’assurer de l’efficacité des processus de sauvegarde.
• Journalisation : la norme recommande de journaliser les événements jugés les plus pertinents. Elle conseille
aussi de protéger les journaux administrateurs. Surveillance de l’activité des administrateurs.
• Gestion des vulnérabilités techniques : cette mesure consiste à mettre en place une veille en vulnérabilités et à
appliquer dans un délai approprié tout correctif qui serait nécessaire.
 ISO 27002 : contenu de la norme
• Chapitre n° 13 : Sécurité des communications Ce chapitre traite des mesures relatives à la
sécurité des réseaux.
• Sécurité des services : Cette mesure recommande de spécifier avec l’entité qui fournit le service réseau
les propriétés du service rendu. Cela concerne en autre la capacité des réseaux, leur dispositif de
continuité de service, mais également les services supplémentaires comme le filtrage, le chiffrement…
• Cloisonnement des réseaux : Le cloisonnement des différents domaines de réseau est recommandé
(poste de travail, serveurs, DMZ…).
• Transferts d’information : Il est recommandé de prendre des dispositions techniques et
organisationnelles pour sécuriser les échanges d’information. Une des mesures recommande au
personnel de ne pas tenir de conversations confidentielles dans les lieux publics. Une autre mesure
évoque les précautions à prendre dans la messagerie électronique.
• Engagement de confidentialité : Il est conseillé de disposer d’engagement de confidentialité.
• Chapitre n° 14 : Acquisition, développement et maintenance des systèmes
d’information
• Il est convenu de mettre en place des mesures pour assurer la sécurité des services réseaux. Les
mesures de sécurité recommandent de protéger les transactions contre les erreurs et les traitements
incomplets. Concernant les changements applicatifs, la norme rappelle les mesures élémentaires
(exemple : le fait d’effectuer des revues techniques après les changements).
 ISO 27002 : contenu de la norme
• Chapitre n° 15 : Relations avec les fournisseurs Il s’agit d’un des points le plus important
de la norme.
• Relations avec les fournisseurs : Il est conseillé de rédiger une politique de sécurité destinée aux
fournisseurs, d’insérer des articles relatifs à la sécurité des SI dans les contrats pour que les
fournisseurs s’engagent dans le domaine.
• Gestion de la prestation de service : Le fournisseur doit être en mesure d’apporter la preuve qu’il
respecte ses engagements en matière de sécurité.
• Chapitre n° 16 : Gestion des incidents liés à la sécurité de l’informatique Ce chapitre
évoque toutes les mesures liées à la gestion des incidents de sécurité de l’information.
• Signalement des incidents : La norme a pour but d’inciter les utilisateurs du SI à signaler tout incident.
• Signalement des failles liées à la sécurité : Il est conseillé de signaler sans délai toute vulnérabilité qui
serait détectée.
• Appréciation des événements et prise de décision : La norme recommande d’établir des critères pour
évaluer la gravité et par conséquent prendre les mesures adaptées.
• Tirer les enseignements des incidents : Afin d’améliorer le processus de gestion des incidents il est
recommandé d’organiser des retours d’expérience pour comprendre les causes des incidents.
• Recueil des preuves : Il est très important de collecter des preuves de façon fiable en cas de poursuites
judiciaires.
 ISO 27002 : contenu de la norme
• Chapitre n° 17 : Aspects de la sécurité de l’information dans la gestion de
la continuité d’activité
• Il est recommandé de réaliser un plan de continuité (PCA) ou de reprise (PRA), qui doit
être testé et mis à jour. De plus ce chapitre mentionne qu’une catastrophe ne justifie
pas de faire l’impasse sur la sécurité (contrôle d’accès, chiffrement des données
sensibles, protection des données à caractère personnel).
• Chapitre n° 18 : Conformité
• Il est conseillé d’identifier les législations applicables dans le pays où se situe l’organise.
Des textes peuvent formuler des exigences concernant la sécurité des systèmes
d’information que l’organisme se doit de respecter sous peine de poursuites judiciaires
ou de pénalités contractuelles. La norme invite aussi les organismes à mettre en place
un processus de gestion des licences ainsi que des dispositifs pour éviter l’installation
illicite de logiciels. De plus la norme aborde la protection des données à caractère
personnel et la cryptographie, qui doit être utilisée conformément aux
réglementations locales. La seconde partie du chapitre présente les mesures de
sécurité conseillant de faire auditer de façon régulière le Si tant du point de vue
technique qu’organisationnel.
 ISO 27002 : contenu de la norme
• Organisation : cette norme apporte une image positive auprès des actionnaires
lorsque l'entreprise tend à maîtriser ses risques pour maximiser ses profits.
• Conformité : la norme insiste sur la nécessité d'identifier toutes les lois et
réglementations s'appliquant à l'entreprise et la mise en œuvre de processus
adaptés pour identifier et suivre les obligations permet de prouver au moins la
volonté de conformité, ce qui tend à diminuer les amendes en cas de non-
conformité.
• Gestion des risques : la norme insiste dans ses chapitres d’introduction sur la
nécessité de réaliser une analyse de risques périodiquement et définit dans les
domaines « politique de sécurité » et « organisation de la sécurité » les pratiques à
mettre en œuvre pour gérer les risques mis en lumière par l’analyse de risque. Ceci
permet une meilleure connaissance des risques et donc une meilleure allocation
des ressources permettant d’améliorer la fiabilité du système.
• Finances : associant une meilleure maîtrise des risques, une meilleure gestion des
incidents et une meilleure allocation des ressources, la mise en place d’un SMSSI
s’appuyant sur les normes ISO 27001 et 27002 permet une meilleure maîtrise des
coûts de la sécurité des systèmes d’information.
 ISO 27002 : contenu de la norme
• Crédibilité et confiance : la mise en place d'une politique de sécurité et des
moyens associés donne une image rassurante pour les partenaires et les
clients, notamment sur la protection des données personnelles (sujet très
médiatique, avec le syndrome du « big brother »).
• Ressources humaines : s'appuyer sur une norme permet de mieux faire
passer les messages de sensibilisation, notamment auprès des populations
techniques.
• Guide de référence en sécurité des SI : présenter un panorama complet des
mesures de sécurité pouvant être déployées pour sécuriser un SI (fonction
1re).
• Aide à l’implémentation de mesures de sécurité : détails de chaque mesure de
sécurité. Nombreuses suggestions pour faciliter l’implémentation des
mesures.
• Appels d’offres : très utilisée pour rédiger les clauses de sécurité dans les
appels d’offres.
 ISO 27002 : contenu de la norme

• Politiques de sécurité : de nombreuses politiques de sécurité suivent le plan

de l’ISO 27002. Elle permet d’être sur de ne rien avoir oublié dans la politique
• Référentiel d’audit : la norme est très utilisée pour vérifier les pratiques de
sécurité. Lors des audits, ils passent en revue les mesures de sécurité et
vérifient, mesure par mesure, comment elles sont implémentées chez
l’audité.
• Comparaisons : ce référentiel est très utilisé pour comparer le niveau de
sécurité de différentes entités. Audit des filiales par rapport au référentiel
(vue d’ensemble de la sécurité).
• Aide à l’implantation de l’ISO 27001 : la norme ISO 27002 est le complément
de la norme ISO 27001. Elle sert à décliner concrètement les mesures de
sécurité dans le système
 ISO 27001, BS 7799-2

• La norme ISO 27001, publiée en Novembre 2005 et révisée en 2013, définit

la Politique du Management de la Sécurité des SI au sein d'une entreprise.
Elle est issue de la BS 7799-2:1999 Specification for information security
management systems qui définit les exigences à respecter pour créer un
ISMS (Information Security Management System).
• Elle spécifie en annexe certains contrôles de sécurité, tirés de la 17799, dont
la mise en œuvre est obligatoire.
 ISO 27001, BS 7799-2

• La norme ISO 27001 comprend 6 domaines de processus :

1. Définir une politique de la sécurité des informations,
2. Définir le périmètre du Système de Management de la sécurité de l'information,
3. Réaliser une évaluation des risques liés à la sécurité,
4. Gérer les risques identifiés,
5. Choisir et mettre en œuvre les contrôles.
6. Préparer un SoA ( "statement of applicability").
 ISO 27001, BS 7799-2

• Comme ISO 9000, l’ISO 27001 porte moins sur l’efficacité des dispositions
mises en place, que sur leur existence, et la mise en place d’une boucle
d’amélioration (PDCA).
• BS 7799 (partie 2) propose des recommandations afin d’établir un cadre de
gestion de la sécurité de l'information efficace. BS 7799-2 permet d’établir
un système de gestion de sécurité de l’information (SGSI).
Approche de gestion (Modèle PDCA)
Planifier
Etablir le
SGSI

Cycle de Déployer
Agir soutenir développement mettre en
et améliorer de place et
le SGSI maintenance et exploiter le
SGSI
d’amélioration

Contrôler
contrôler et
évaluer le
SGSI
 Approche de gestion (Modèle PDCA)

• Planification (Plan)
• Périmetre du SMSI
• Identification et évaluation des risques
• Plan de gestion des risques
• Méthode choisie pour gérer le risque
• Contrôles mis en place
• Traitement du risque
• Acceptation
• Transfert
• Réduction du risque à un niveau acceptable
•  Document : statement of applicability (SoA) : document obligatoire en vue d’une
certification
 Approche de gestion (Modèle PDCA)

• Execution (Do)
• Allocation des ressources
• Personnes, temps, argent
• Rédaction de la documentation
• Formation du personnel concerné
• Gestion du risque
• Pour les risques acceptés : ne rien faire
• Pour les risques transférés : Assurance, partenariat etc..
• Pour les risques à réduire :
• implémentation de contrôles identifiés dans la phase précédente
• Assignation des responsabilités
• Identifier les risques résiduels
 Approche de gestion (Modèle PDCA)
• Vérification (Check)
• Vérification de routine
• Apprendre des autres
• Audit du SMSI
• Audit annuel
• Sur la base de
• Documents
• Traces système
• Conduit à
• Constatation que des contrôles ne réduisent pas de façon effective les risques pour lesquels
ils ont été mis en place
• Identification de nouveaux risques non traités
• Tout autre type d’inadaptation de ce qui est mis en place
 Approche de gestion (Modèle PDCA)

• Action (act)
• Prendre les mesures résultant des constatations faites lors de la phase de vérification
• Actions possibles
• Passage à la phase de planification
• Si de nouveaux risques ont été identifiés
• Passage à la phase d’exécution
• Si la phase de vérification en montre le besoin
• Constatation de non-conformité
• Actions correctives ou préventives
• Actions entreprises immédiatement
• Planification d’actions sur le moyen et long terme
Complémentarité avec d’autres normes ISO