 Pr.

Ali Kartit
 Plan

ITIL/ ISO 9000/ISO

1 Introduction 4 27000

Usage de ISO
2 SMSI 5 27001

3 Norme ISO 27001 6 Conclusion

2
Introduction
3
 QU'EST-CE QU'UNE NORME ?

Introduction
 Une norme est un document qui fournit des exigences,
des spécifications, des directives ou caractéristiques qui
peuvent être utilisées pour assurer que les matériaux,
produits, processus et services sont taillés sur mesure
pour leur but.

 Les normes garantissent que les produits et services sont

sûrs, fiables et de bonne qualité.

27/03/2021 Norme ITIL, ISO 9000, ISO 27000 et ISO 27001 4

 Une définition du système d’information

«Ensemble des ressources destinées à collecter,

classifier, stocker, gérer, diffuser les informations au sein
d’une organisation»

5
Le système d’information d’une organisation contient un ensemble
d’actifs :

6
Les enjeux de la sécurité des S.I

7
 Problématique :

8
 Critères D.I.C

• Disponibilité: Propriété d'accessibilité au

moment voulu des biens par les personnes
autorisées

• Intégrité Propriété d'exactitude et de complétude

des biens et informations

• Confidentialité: Propriété des biens de n'être

accessibles qu'aux personnes autorisées 9
Besoin de sécurité : « Preuve »

Preuve:
Propriété d'un bien permettant de retrouver, avec une confiance suffisante, les
circonstances dans lesquelles ce bien évolue. Cette propriété englobe
Notamment :
• La traçabilité des actions menées
• L’authentification des utilisateurs
• L’imputabilité du responsable de l’action effectuée

10
.

SMSI

11
Définition
Un système de gestion de la sécurité de l'information (Information
security management system) est un système de management
concernant la sécurité de l'information.

Un SMSI désigne l'approche systémique par laquelle une organisation

veille à la sécurité des informations sensibles. Construit selon un
processus de management du risque, un SMSI englobe les personnes,
les processus et les systèmes de TI.
Cette solution peut être utile aux organisations de tous secteurs et de
toutes tailles qui tiennent à la confidentialité de leurs informations.
Le plus connu des SMSI est ISO/CEI 27001

12
 Besoins d’un SMSI
 La sécurité dépend plus des personnes que de la technologie
 Les employés sont des menaces plus importantes que les personnes
extérieures à l’entreprise
 Le degré de sécurité dépend de trois facteurs :
• le risque que vous êtes prêts à prendre
• la fonctionnalité du système
• le prix que vous êtes prêts à payer
 La sécurité n’est pas un statut ou une image mais un processus continu.

13
 Systèmes de management de la
sécurité de l’information

Le SMSI a pour buts de :

maintenir et d’améliorer la position de l’organisme

de la compétitivité,
de la conformité aux lois et aux règlements,
de l’image de marque.
protéger les actifs de l’organisme
14
 Système de Management
de la Sécurité de
l’Information
les les règles et
infrastructure
s techniques processus
Il englobe l’ensemble des de sécurité
de sécurité.
documents définissant :

l’organisation
associée à la
sécurité.

15
  Les normes de la famille ISO/IEC 27000 constituent un ensemble de méthodes, mesures et bonnes
Différence et pratiques reconnues au niveau international dans le domaine de la sécurité de l'information.

Complémentarité  Elles sont destinées à tout type de société, quelle que soit sa taille, son secteur d'activité ou son pays
d’origine.
ISO 27000

27/03/2021 Norme ITIL, ISO 9000, ISO 27000 et ISO 27001 16

Norme ISO 27001
.

17
 Vous avez un SMSI?
Oui!! Vous voulez certifier??

La norme de
certification
ISO 27001 –
SMSI

18
Une affaire de standards
l’ISO, Organisation internationale de normalisation, «International organization for
standardization»

 organisation internationale, créée en 1947 ;

 composée de représentants des organismes de normalisation nationaux d’environ 150 pays
;
 produit des normes internationales dans les domaines industriels et commerciaux.

Différentes normes, IS, «International Standard» :

⋆ IS 9000 : consacrée à la définition d’un «système de management» :

⋆ IS 9001 : consacrée aux systèmes de management de la qualité et aux exigences associées
;
⋆ IS 14001 : consacrée aux systèmes de management de l’environnement ;
⋆ IS 27001 : consacrée aux systèmes de management de la sécurité de
l’information ; 19
⋆ IS 19001 : directives à respecter pour la conduite de l’audit d’un système de management.
Relations au sein de la famille de normes du SMSI

20
• Standard publié en octobre 2005
• Remplaçant de BS7799-2 (British Standard)
• Spécifications pour un SMSI (systèmes de management de la
sécurité de l’information)
• Fournit un schéma de certification pouvant être appliqué au
SMSI
• version améliorée publiée en 2013
Objectif: Fournir un modèle pour établir, implémenter,
exploiter, monitorer, contrôler, maintenir et améliorer
un SMSI

21
Norme ISO 27001
o S’applique à un SMSI ;
o S’appuie sur une approche par processus: exemple du PDCA, «Plan, Do, Check,
Act » :
o phase Plan :
 définir le champ du SMSI,
 identifier et évaluer les risques,
 produire le document qui énumère les mesures de sécurité à appliquer ;

o phase Do :
 affecter les ressources nécessaires,
 rédiger la documentation,
 former le personnel,
 appliquer les mesures décidées,
 identifier les risques résiduels;

o phase Check : audit et revue périodiques du SMSI, qui produisent des constats et permettent d’imaginer
des corrections et des améliorations ;

o phase Act :
 prendre les mesures qui permettent de réaliser les corrections et les améliorations dont l’opportunité a été mise
en lumière par la phase Check,
 préparer une nouvelle itération de la phase Plan
22
 Les méthodes d’analyse des risques dans
la Norme ISO 27001

ISO 27001 impose une analyse des risques, mais ne propose aucune
méthode pour la réaliser :
 Liberté de choisir une méthode pour le SMSI, à condition que :
• elle soit documentée ;
• elle garantisse que les évaluations réalisées avec son aide produisent
des résultats comparables et reproductibles.

 Un risque identifié peut être :

• accepté,
• transféré à un tiers (assurance, prestataire),
• réduit à un niveau accepté.
23
Evolutions de la version ISO 27001:2013

24
 .

Chapitres
ISO 27001

25
4. Contexte de
l’organisation 6
Plan

7
Ressources humaines et
10 compétences, 8
communication
Act (interne & externe), Do
gestion de la
documentation
(sécurité et SMSI),

9
Check
5. Leadership
 Changement de registre de
vocabulaire pour les responsabilités
des dirigeants :
 S'assurer, diriger et soutenir,
promouvoir, communiquer.
 Etablir, décider, déterminer,
fournir, évaluer.
 Demande à un responsable de
s'assurer
 De la conformité du SMSI.
 De son efficacité.
 Rôle moteur pour l’amélioration du SMSI.
 Méthode intégrée et complète d’évaluation
et de management des risques

Visant à sécuriser les systèmes d’information

La méthode d’une entreprise ou d’une organisation

MEHARI Développée, diffusée et mise à jour par le

«Method for club professionnel CLUSIF depuis 1996
Harmonized
Analysis of Risk» Mise à jour en 2010 pour respecter les lignes
directrices de la norme ISO 27005

utilisable dans le cadre d’un système de

gestion de la sécurité de l’information de la
norme ISO 27001

28
MÉthode Harmonisée d’Analyse des RIsques

29
Ressources, compétences, sensibilisation, communication

 Ressources.
 Compétences :
 Compétence des personnes qui peuvent affecter la sécurité.

 Sensibilisation :
 Sensibilisation aux sanctions applicables en cas de non respect des
exigences du SMSI.

 Communication :
 Communication interne et externe (sur quoi, quand, avec qui, par qui...).
Gestion de la documentation :
La phase do :

 La planification et le contrôle des processus Opérationnel

 Réaliser des évaluations des risques pour la sécurité de

l'information pendant des intervalles planifiés

 la mise en œuvre de la sécurité de l'information et réaliser un

rapport concernant le plan de traitement des risques
La phase Contrôle :

1. Les audits internes qui vérifient la conformité et l’efficacité du

système de management. Ces audits sont ponctuels et
planifiés.

2. Le contrôle interne qui consiste à s’assurer en permanence

que les processus fonctionnent normalement.

3. Les revues de direction (ou réexamens) qui garantissent

l’adéquation du SMSI avec son environnement.
La phase Agir :

1. Actions correctives : agir sur les effets pour corriger les

écarts puis sur les causes pour éviter que les incidents ne se
reproduisent

2. Actions préventives : agir sur les causes avant que

l’incident ne se produise

3. Actions d’amélioration : améliorer la performance d’un

processus du SMSI.
• La certification n’est pas obligatoire

• Confiance des parties prenantes incitent à avoir

un SMSI certifié
 -Évaluation des lieux et les conditions
spécifique des sites à auditer
1- Visites -Prise de contact avec le personnel de l’audité

des lieux -Observation des technologies utilisées

- Observation générale des opérations du
SMSI

2- Entretien -Validation du domaine d¡¦application ainsi

que des contraintes légales,
réglementaires et contractuelles applicables
avec les -Vérification que les audits internes et la
revue de direction ont été réalisés
acteurs clés - Préparation de l’étape 2 de l’audit

-Compréhension globale du fonctionnement

3- Revue du système de management
-Evaluation du design du système de
des management ainsi que des processus et
mesures de sécurité reliées
documents -Vérification que les audits internes et la
revue de direction ont été réalises
Évaluer que le SMSI déclaré est :

Conforme à toutes les

exigences de ISO 27001.

Effectivement en œuvre dans

l’organisation.

En mesure de permettre à
l’organisation d’atteindre ses
objectifs de sécurité
  Les non-conformités relevées lors de l’audit

initial

 L’état d’avancement des activités planifiées

 L’utilisation de la marque de l’organisation

Audit de suivi certificatrice. Audit de renouvellement

 La fiabilité du SMSI.

Vérification des plans Il porte sur les non-conformités du

Audit de Surveillance
d’actions et mesures dernier audit de surveillance ainsi
correctives reliées aux non- que sur la revue des rapports des
conformités identifiées audits de surveillance précédents
dans le rapport d’audit. et la revue des performances du
SMSI sur la période.
 .

Usage de
ISO 27001

41
La marocaine des Maroc Telecom a En 2014 La Bourse Devient le premier
jeux et des sports obtenu la première de Casablanca est groupe industriel
(MDJS) a été la certification ISO devenue la 1ère privé du Maroc à
1ère entreprise 27001:2005 en bourse en Afrique certifier la gestion
marocaine à opter 2010. Ensuite ISO et l'une des de la sécurité de
pour cette 27001:2013 premières dans le son système
certification. En 2015 et monde à certifier d’information
renouvelée en son SMSI par ISO conformément à
2017 27001 et renouvelé 27001:2013.
en 2017
Utilisation de
ISO 27001

43
  Meilleure maîtrise des risques

Conclusion  Une description pratique de la mise en œuvre

 Utilisation d’ISO 27001 avec autres standards

44
Merci pour votre attention!