ISO 27001 – Sécurité de l’information

l information

L’ardente
’ d nécessité de
d manager la
l
sécurité de l’Information

9/09/2010 – Marie DAVID – Présentation QuaRES 1

 La sécurité des Systèmes d’Information
d Information
A l ’issue de cette p
présentation,, vous ne « saurez »… p
presque
q rien :-((
Mais vous aurez des idées sur… presque tout :-)

Objectifs de la présentation:
Appréhender les enjeux de la sécurité des systèmes d’information dans notre contexte
Découvrir la logique de la norme qui y est associée
Repositionner notre rôle dans ce contexte
Echanger autour de la question

La théorie …..et la p
pratique
q
Une présentation (ici et maintenant)
Une mise en pratique (l’atelier prévu demain matin)

9/09/2010 – Marie DAVID – Présentation QuaRES 2

 Le laboratoire : un patrimoine scientifique convoité ?

lle portefeuille
t f ill dde
contrats de recherche
la réputation du La valorisation de la
(organismes publics,
laboratoire recherche
entreprises
privées…)

le potentiel technique
(infrastructures, les compétences les données
installations,, ((savoir,, savoir faire)) informationnelles
matériels…)

9/09/2010 – Marie DAVID – Présentation QuaRES Joseph Illand – FSD du CNRS – présentation réunion des CRSSI 2007 3
 …soumis à des menaces ?

l’espionnage
p g visant
des secrets de l’espionnage
l’altération de
défense à des fins de scientifique et
données
prolifération ou de industriel
terrorisme

l ’atteinte à la
l ’utilisation
disponibilité , l ’atteinte à des
frauduleuse de
intégrité, personnes ou des
moyens
confidentialité de biens
informatiques
l’information

mais aussi les

risques juridiques ….
(civils, pénaux)

9/09/2010 – Marie DAVID – Présentation QuaRES Joseph Illand – FSD du CNRS – présentation réunion des CRSSI 2007 4
 Les enjeux de la Sécurité des SI

Intégrité des
Disponibilité de
systèmes et des
l ’outil de travail
personnes

Protection de Protection
données sensibles juridique
• données du patrimoine • Risques administratifs
scientifique • Risques pénaux
• données de gestion • Protection de l’image de
• données individuelles marque

Finalité « protection du patrimoine scientifique »

9/09/2010 – Marie DAVID – Présentation QuaRES 5
 Et la norme dans tout cela….
Appréhender la sécurité de l’information sous l’angle du
management permet de dépasser le stade purement technique de
la SSI.
SSI
La sécurité…
La technologie
g

La norme aide à :
 Piloter et organiser La procédure
la sécurité des SI

 Sensibiliser les
utilisateurs

 Discuter avec les

partenaires

L’individu

9/09/2010 – Marie DAVID – Présentation QuaRES 6

 L’intérêt de l’approche par la norme

Système de management

Ensemble de • Organisationnelles
mesures • Techniques

• D’atteindre un objectif
Permettant • Une fois atteint, d’y rester dans la durée

Objectifs

Mes res
Mesures
techniques
Situation Situation
actuelle Politique visée
Mesures
organisationnelles

9/09/2010 – Marie DAVID – Présentation QuaRES D’après une présentation de Robert LONGEON – Chargé de Mission SSI du CNRS 7
 L’intérêt de l’approche par la norme
Définition des
Niveau
objectifs
P
direction

Prévention des Niveau gestion du

Niveau incidents système d'information

stratégique
D
Mise en place des
Niveau exploitation
p
C
protections

Pilotage de la sécurité
Contrôle du système Niveau surveillance du système
d'information d'information et maintenance
A
Niveau
Réaction sur
incident Niveau prise en charge des incidents et analyse

organisationnel
Normes, règles, plans, procédures,
recommandations, structures, …

Niveau opérationnel
Dispositifs techniques de protection et de contrôle, administration
système et réseau, outils d'audits et d'analyse des incidents, …

9/09/2010 – Marie DAVID – Présentation QuaRES D’après une présentation de Robert LONGEON – Chargé de Mission SSI du CNRS 8
 La construction du SMSI
ISO27001  Formalisation
F li ti de d
la gouvernance
 Documentation
 Communication
 Audit
Exigences
légales et
réglementaires

Exigences
Exigences métiers et
de sécurité référentiel SSI
ISO27005 de l’organisme
g ISO27004
Appréciation Exigences de Indicateurs
du risque sécurité liées
aux enjeux
A
Acceptation
i

Traitement Refus
du risque T
Transfert
f t
Mesures de Dispositifs de
Objectifs de sécurité sécurité
Réduction sécurité (techniques et (techniques et
organisationnelles
g organisationnelles)
g )
)

ISO27002

9/09/2010 – Marie DAVID – Présentation QuaRES 9

 Les différentes étapes de mise en place du SMSI

10

9/09/2010 – Marie DAVID – Présentation QuaRES 10

 L’état des lieux
• Inventaire des documents sécurité existants
• Inventaire des mesures de sécurité ISO27002 déjà
appliquées
• A quel degré sont-elles conformes au modèle PDCA ?
État des lieux • Quid de la gestion des documents ?
• Quid
Q id ddu suivi
i id
des actions
i ?
• Existe-t-il une appréciation des risques (analyse de
risque) ?
• Y-a-t-il
Y a t il une gestion des preuves
preuves, des enregistrements ?

• Estimer la charge de travail pour intégrer les

Évaluation du mesures de sécurité déjà en place dans une
dé
démarche h qualité
lité (PDCA)
projet 27001 • Identifier les mesures de sécurité qu'il faut
rajouter

9/09/2010 – Marie DAVID – Présentation QuaRES 11

 Le recensement des actifs sensibles
les actifs primordiaux :
les processus et activités
métier, les informations
La norme ISO 27001
différentie
Les actifs de soutien :
le cadre organisationnel,
g , les
sites géographiques, les
personnels, le réseau, les
logiciels, le matériel..
9/09/2010 – Marie DAVID – Présentation QuaRES
dont la perte, la modification
ou la dégradation rend
impossible la poursuite de la
mission
Stratégiques,
St té i indispensables
i di bl
à l'atteinte des objectifs
déterminés par les
orientations stratégiques
Onéreux, pour lesquelles la
collecte, le stockage et le
traitement demande
beaucoup de temps ou
implique un coût d'acquisition
élevé
12
 Apprécier
pp les risques
q

Si une appréciation des Réviser l'appréciation des risques

pour vérifier qu'elle
qu elle est encore
risques existe déjà adéquate

Faire une « rétro-analyse » des

risques (partir des mesures en place
et en déduire les risques existants)

Pas d'appréciation des Compléter l’appréciation ainsi

risques ébauchée

Permet de faire le lien entre la

politique du SMSI et les mesures
déjà en place

Déjà conformes au modèle

PDCA

Identifier les mesures de A adapter au modèle PDCA

sécurité

13 Non encore implémentées

9/09/2010 – Marie DAVID – Présentation QuaRES 13

 Les étapes nécessaires de la gestion du risque

A l
Analyse d
du risque
i

Identification
des actifs +
responsables
Evaluation du risque
Menaces +
M
vulnérabilités Évaluer la

IImpactt d'une
d'
vraisemblance
Traitement du risque
perte de
Confidentialité
Intégrité Sélectionner les
Disponibilité Identifier le
mesures de Identifier les
traitement
t it t du
d
Évaluer le sécurité risques résiduels
risque
risque correspondantes
Impacts
business

9/09/2010 – Marie DAVID – Présentation QuaRES 14

 Rédiger
g et mettre en p
place les p
procédures

15

9/09/2010 – Marie DAVID – Présentation QuaRES 15

 Communiquer

• Compte tenu de l'investissement,

insister sur les apports :
• Opérationnels
Avec la • Financiers
direction
• En terme d’image de sérieux
• Reprendre le coût des incidents de
sécurité les plus récents

Avec les • Qualité et disponibilité du service

utilisateurs p de leurs demandes
• Prise en compte

16

9/09/2010 – Marie DAVID – Présentation QuaRES 16

 Auditer et itérer

Auditer par
les membres
du comité du
SMSI

Mettre en
place un
Réexaminer
programme
le périmètre
d' dit
d'audits
internes

Rechercher
Revoir la liste
et tester des
des actifs
indicateurs

Refaire
l'
l'appréciation
é i ti
des risques

9/09/2010 – Marie DAVID – Présentation QuaRES 17

 Les 5 chapitres qui construisent le SMSI
4.2.1

Établissement
Responsabilité du SMSI Documentation
de la direction
5 4.3

Planifier
(plan) 4.2.4
4.2.2
Mise à jour et
Mise en œuvre et amélioration du SMSI
fonctionnement
du SMSI Déployer Roue de Agir
(Do) Deming (Act)
8

Amélioration du
SMSI
6 Vérifier
(Check)
Audits internes du 7
SMSI
Surveillance et
réexamen du SMSI Réexamen du SMSI
par la direction
4.2.3
9/09/2010 – Marie DAVID – Présentation QuaRES 18
 En conclusion
Augmente la
fi bilité d
fiabilité de
l’organisation
Obli à
Oblige de façon Apporte la
adopter de pérenne confiance aux
bonnes parties
pratique prenantes

Manager
g la
sécurité de
l’information
par la mise
en place d’un
SMSI

9/09/2010 – Marie DAVID – Présentation QuaRES 19