Académique Documents
Professionnel Documents
Culture Documents
M2 – SSI
2020- 2021
Introduction
• Un document qui fournit des lignes directrices sur les processus, les produits
et les résultats. Il doit être
• Réaliste;
• Vérifiable
• Acceptable par toutes les parties
• Établie par voie de consensus entre experts du domaine
• Approuvée par un organisme de normalisation reconnu
Vue d’ensemble des normes de sécurité de
l’information publiées par ISO/IEC/JTC1/SC27
suite
Les normes c’est qui ?
ISO/IEC JTC1/SC27 Techniques de sécurité des
technologies de l’information
Stade Document
Préliminaire Proposition d’un nouveau projet (NWIP)
Proposition Nouveau projet (NP)
Préparatoire Avant projet (WD)
Comité Projet de comité (CD)
Enquête Projet de norme internationale (DIS)
Approbation Projet final de norme internationale (FDIS)
Publication Norme internationale (IS)
EXEMPLE
• Le cloud computing
• En octobre 2010, SC27 a lancé l’étape préliminaire pour une norme sur la
sécurité et PRP dans le clous
• L’étude d’opportunité est confiée aux groupes de travail 1, 4 et 5 :
(gouvernance, control et prp)
• Les délégués sont invités à soumettre suggestions et matériels
• On lance aussi l’invitation à des groupes externes (UIT-T, NIST,ISACA, SC38)
• 3 responsables (rapporteurs) sont désignés pour recevoir les contributions et
produire un rapport avant la prochaine rencontre
Exemple (suite)
• En avril 2011, le SC27 décide qu’il est opportun de produire une telle norme
et de continuer l’étude d’opportunité pour les détails du projet
• En octobre 2011, le SC27 décide de proposer trois projets et désigne les
éditeurs qui doivent préparer un premier avant projet (preliminary working
draft)
• Les pays membres du SC27 doivent se prononcer par vote avant la
prochaine rencontre
• Si le vote est positif, le travail en comité commencera à la prochaine
rencontre à l’etape préparatoire
Être membre de l’ISO, c’est quoi ?
• L’ ISO 17799 donne des exemples et des indications sur les niveaux 1 à 3,
mais ne traite vraiment que le niveau 4 (et en partie seulement), en listant
ce qui est nécessaire de mettre en place, sans toutefois préciser en détail
comment.
• La norme ISO 17799 comporte 39 catégories de contrôle et 133 points de
vérification répartis en 11 domaines :
Normes BS7799, ISO 17799 et ISO 27002 ?
1. Politique de sécurité
2. Organisation de la sécurité :
• Organisation humaine, implication hiérarchique,
• Notion de propriétaire d’une information et mode de classification,
• Evaluation des nouvelles informations,
• Mode d’accès aux informations par une tierce partie,
• Répartition des responsabilités, groupes de travail, …
3. Classification et contrôle des biens
• Identifications des actifs, Classification de l’information
Normes BS7799, ISO 17799 et ISO 27002 ?
4. Sécurité du personnel
• Contrats de travail, Sensibilisation à la sécurité, implication dans la sécurité
5. Sécurité physique
• Organisation des locaux et des accès,
• Protection contre les risques physiques (incendies, inondations...)
• systèmes de surveillance et d’alerte,
• sécurité des locaux ouverts et des documents circulant.
Normes BS7799, ISO 17799 et ISO 27002 ?
6. Communication et exploitation:
• Gestion des incidents,
• Gestion du réseau
• Prise en compte de la sécurité dans les procédures de l’entreprise,
• Mise en oeuvre des systèmes de sécurisation (antivirus, alarmes..),
7. Contrôle d'accès:
• Utilisateurs
• Définition des niveaux d’utilisateurs et de leur droit d’accès,
• Gestion dans le temps des droits,
• Réseau
• Système d’exploitation
• Application
Normes BS7799, ISO 17799 et ISO 27002 ?
8. Acquisition, développement et maintenance des systèmes
• Contrôles cryptographiques
• Sécurité des fichiers
• Chevaux de Troie
9. Gestion des incidents
10.Management de la continuité de service
• Planification , test, réévaluation
11.Conformité:
• Dispositions réglementaires
• Dispositions légales
• Dispositions internes (Politique)
Normes BS7799, ISO 17799 et ISO 27002 ?
• Couverture de la norme;
• Éprouvée;
• Publique;
• Internationale;
• Image de marque associé à « la qualité »
• Évolutive et souplesse (s’adapter aux contextes);
• Disponibilité d’outils et de support.
Les dix contextes clés de l’ISO 17799
Politique de
sécurité
Sécurité de
Conformité
l’organisation
Classification
Gestion de la
et contrôle
continuité Disponibili des actifs
Intégrité
té
Information
Développeme
Sécurité du
nt et
maintenance Confidenti personnel
alité
Sécurité
Contrôle des physique et
accès environneme
Gestion des ntale
communicati
ons et des
opérations
Les dix contextes clés de ISO 17799
ISO 27002
• C’est une norme internationale dont le titre est Code de bonnes pratiques
pour le contrôle de la sécurité de l'information. Elle fait partie de la suite
ISO/CEI 27000.
• L'ISO/CEI 27002 est un ensemble de 113 mesures dites « best practices »,
destinées à être utilisées par tous ceux qui sont responsables de la mise en
place ou du maintien d'un Système de Management de la Sécurité de
l'Information (SMSI).
• La sécurité de l'information est définie au sein de la norme comme la «
préservation de la confidentialité, de l'intégrité et de la disponibilité de
l'information ».
• Cette norme n'a pas de caractère obligatoire pour les entreprises. Son
respect peut toutefois être mentionné dans un contrat : un prestataire de
services pourrait ainsi s'engager à respecter les pratiques normalisées dans
ses relations avec un client.
ISO 27002 : objectifs
• ISO/CEI 27002 est plus un code de pratique, qu’une véritable norme ou
qu’une spécification formelle telle que l’ISO/CEI 27001.
• Elle présente une série de contrôles (35 objectifs de contrôle) qui suggèrent
de tenir compte des risques de sécurité de informations relatives à la
confidentialité, l'intégrité et les aspects de disponibilité.
• Les entreprises qui adoptent l'ISO/CEI 27002 doivent évaluer leurs propres
risques de sécurité de l'information et appliquer les contrôles appropriés, en
utilisant la norme pour orienter l’entreprise.
• La norme ISO 27002 n'est pas une norme au sens habituel du terme. En
effet, ce n’est pas une norme de nature technique, technologique ou
orientée produit, ou une méthodologie d'évaluation d'équipement telle que
les critères communs CC/ISO 15408. Elle n’a pas de caractère d'obligation,
elle n’amène pas de certification, ce domaine étant couvert par la norme
ISO/CEI 27001.
ISO 27002 : mise en œuvre
• Comme ISO 9000, l’ISO 27001 porte moins sur l’efficacité des dispositions
mises en place, que sur leur existence, et la mise en place d’une boucle
d’amélioration (PDCA).
• BS 7799 (partie 2) propose des recommandations afin d’établir un cadre de
gestion de la sécurité de l'information efficace. BS 7799-2 permet d’établir
un système de gestion de sécurité de l’information (SGSI).
Approche de gestion (Modèle PDCA)
Planifier
Etablir le
SGSI
Cycle de Déployer
Agir soutenir développement mettre en
et améliorer de place et
le SGSI maintenance et exploiter le
SGSI
d’amélioration
Contrôler
contrôler et
évaluer le
SGSI
Approche de gestion (Modèle PDCA)
• Planification (Plan)
• Périmetre du SMSI
• Identification et évaluation des risques
• Plan de gestion des risques
• Méthode choisie pour gérer le risque
• Contrôles mis en place
• Traitement du risque
• Acceptation
• Transfert
• Réduction du risque à un niveau acceptable
• Document : statement of applicability (SoA) : document obligatoire en vue d’une
certification
Approche de gestion (Modèle PDCA)
• Execution (Do)
• Allocation des ressources
• Personnes, temps, argent
• Rédaction de la documentation
• Formation du personnel concerné
• Gestion du risque
• Pour les risques acceptés : ne rien faire
• Pour les risques transférés : Assurance, partenariat etc..
• Pour les risques à réduire :
• implémentation de contrôles identifiés dans la phase précédente
• Assignation des responsabilités
• Identifier les risques résiduels
Approche de gestion (Modèle PDCA)
• Vérification (Check)
• Vérification de routine
• Apprendre des autres
• Audit du SMSI
• Audit annuel
• Sur la base de
• Documents
• Traces système
• Conduit à
• Constatation que des contrôles ne réduisent pas de façon effective les risques pour lesquels
ils ont été mis en place
• Identification de nouveaux risques non traités
• Tout autre type d’inadaptation de ce qui est mis en place
Approche de gestion (Modèle PDCA)
• Action (act)
• Prendre les mesures résultant des constatations faites lors de la phase de vérification
• Actions possibles
• Passage à la phase de planification
• Si de nouveaux risques ont été identifiés
• Passage à la phase d’exécution
• Si la phase de vérification en montre le besoin
• Constatation de non-conformité
• Actions correctives ou préventives
• Actions entreprises immédiatement
• Planification d’actions sur le moyen et long terme
Complémentarité avec d’autres normes ISO