Sécurité Des Systèmes D'information

S
é
c
u
r
i
t
é
d
e
s
Sécurité des systèmes

s
y
s
t
è
m
d’information
e
s
d
’
i
n
f
o
r
m
a
t
i
o
n
Abdelouahed Ennibi
Sécurité des systèmes d’information
S
é
c
u
r
i
 Management de la sécurité de l’information t

é
d
e
s
 Mise en place d’un système de management de la s

y
sécurité de l’information s
t
 Audit du système de management de la sécurité de è

m
e
l’information s
d
’
i
 Gestion des risques en sécurité de l’information n

f
o
r
m
a
 La norme ISO 27005 t

i
 Etude de cas
o
n
Abdelouahed Ennibi
S
é
c
u
r
i
 Enjeux et objectifs de la sécurité

t
é
d
e
s
 Place du système d’information dans l’entreprise s

y
 L’information est une ressource stratégique s

t
 Le système d’information facteur d’amélioration de la

è
m
e
compétitivité s
d
’
i
 Maintien de la disponibilité n
f
 Intégrité
o
r
m
 Confidentialité a
t
i
o
n
Abdelouahed Ennibi
S
é
c
u
r
i
 Management de la sécurité de l’information

t
é
d
e
s

y
t
 Audit du système de management de la sécurité de

è
m
e
l’information s
d
’
i
n
f
o
r
m
a
t
i
o
n
Abdelouahed Ennibi
S
é
c
u
r

i
t
é
d
e
s

y
t
è
m

e
Les systèmes de management s
 Le système de management de la sécurité de d

’
i
l’information « SMSI » n
f
 L’implémentation d’un « SMSI » o

r
m
a
t
i
o
n
Abdelouahed Ennibi
S
é
c
u
r

i
t
é
d
e
s

y
t
è
m

e
Les systèmes de management s
d
’
•
i
Définition d’un système de management n
f
• Propriétés des systèmes de management o

r
•
m
Apports des systèmes de management a
t
• Le modèle PDCA i
o
n
Abdelouahed Ennibi
S
é
c
u
r
i
 Les systèmes de management t

é
 Définition d’un système de management d

e
s
s
Un système de management est un système permettant : y
s
t
è
m
- D’établir une politique e
s
- D’établir des objectifs d
- D’atteindre des objectifs ’

i
n
f
o
r
m
a
t
i
o
n
Abdelouahed Ennibi
S
é
c
u
r
i

é
 Définition d’un système de management d

e
s
s
C’est-à-dire un ensemble de mesures organisationnelles et y
s
techniques visant à atteindre un objectif et, une fois celui-ci t

è
atteint , à s’y tenir, voir à le dépasser. m

e
s
Mesures d
’
techniques i
n
f
o
r
Situation
Politique Objectif à m
actuelle a
atteindre t
i
o
n
Mesures
organisationnelles
Abdelouahed Ennibi
S
é
c
u
r
i
 Les systèmes de management

t
é
 Propriétés des systèmes de management d

e
s
Parmi les nombreuses propriétés partagées par ces systèmes, y

s
t
quatre d’entre elles nous intéressent: è
m
e
s
- Large spectre de métiers et de compétences d

’
- Un projet fédérateur et mobilisateur i
n
- Importance de l’écrit f
o
- Auditabilité r
m
a
t
i
o
n
Abdelouahed Ennibi
S
é
c
u
r
i

é

e
s
 Large spectre de métiers et de compétences s

y
s
Quel que soit leur périmètre, les systèmes de management impliquent un t
è
nombre important de métiers et de compétences. m
e
s
Exemple: Un système de management pour le service de recherche et d

’
développement i
n
f
Personnel du Personnel des
Société services
o
service r
informatique généraux m
Service de recherche a
t
et développement i
o
n
Personnel
Personnel du Personnel du
service du service de
personnel comptabilité
Abdelouahed Ennibi
S
é
c
u
r

i
t
é

e
s
 Un projet fédérateur et mobilisateur s

y
s
Un système de management implique toute la hiérarchie de l’entreprise , t
è
c’est-à-dire toute personne qui interagissent de près ou de loin avec le m
e
système. s
d
’
Exemple: Généralement les personnes concernées par le système de i
n
management sont : f
o
r
m
- Les membres de la direction générale a
t
- Les principaux responsables de la direction générale i
- Tous les cadres et employés directement impliqués dans les activités o

n
couvertes par le système de management
Abdelouahed Ennibi
S
é
c
u
r
i

é

e
s
s
 Importance de l’écrit y
s
La formalisation des politiques et des procédures de l’entreprise est t
è
indispensable. m
e
Le système de management impose de passer à la traduction écrite car la s
transmission de la connaissance dans l’entreprise se fait encore par d

’
tradition orale. i
n
f
o
r
m
a
t
i
o
n
Abdelouahed Ennibi
S
é
c
u
r
i

é

e
s
 Auditabilité
s
y
s
Le système de management implique la mise en place d’un processus t
è
d’audit. m
e
Ceci implique aussi que l’entreprise doit formaliser ses procédures par s
écrit et consigner les principales décisions dans des comptes rendus. d

’
L’audit consiste alors à vérifier ce qui est pratiqué correspond i
effectivement à ce qui a été spécifié par écrit. n

f
o
r
m
a
t
i
o
n
Abdelouahed Ennibi
S
é
c
u
r
i

t
é
 Apports des systèmes de management d

e
s
La mise en place et l’exploitation d’un système de y

s
management est souvent lourde à implémenter vue leur coût t

è
m
humain et financier qui n’est pas négligeable. e
s
Donc , il est légitime de se demander ce qui justifie un tel d
investissement. ’
i
n
On peut citer trois apports: f
o
r
m
- L’adoption de bonnes pratiques a

t
i
- L’augmentation de fiabilité o
n
- La confiance
Abdelouahed Ennibi
S
é
c
u
r
i

é

e
s
s
 L’adoption de bonnes pratiques y
s
Tout organisme qui se lance dans la mise en place d’un système de t
è
management est quasiment obligé d’adopter les bonnes pratiques sur m
e
lesquelles se base ce dernier. s
d
’
Exemple: Pour un système de management de sécurité de l’information, il i
n
faut poser les bonnes questions pour adopter les mesures de f
o
sécurité appropriées aux besoins: r
m
a
t
- Quels sont les éléments les plus sensibles de l’entreprise? i
o
- Où déployer en priorité les mesures de sécurité ? n
- Comment réagir rapidement aux intrusions?

- Comment améliorer les processus?
- Etc. …
Abdelouahed Ennibi
S
é
c
u
r
i

é

e
s
 L’augmentation de fiabilité
s
y
s
L’augmentation de la fiabilité est une conséquence directe de l’adoption t
è
de bonnes pratiques , en plus, tout système de management impose la m
e
mise en place de mécanismes d’amélioration continue. s
d
’
Exemple: Mise en place d’une procédure de réaction aux incidents i
n
f
o
- Une tentative d’intrusion se produit dans le réseau r
m
- Les équipes savent ce qu’elles ont à faire et agissent pour limiter l’impact a
t
de cette attaque i
- L’attaque est analysée et des actions préventives sont entreprises pour o

n
éviter qu’une telle agression puisse se reproduire.
Abdelouahed Ennibi
S
é
c
u
r
i

é

e
s
 La confiance
s
y
s
Un système de management fiable fournit la confiance envers les parties t
è
prenantes. m
e
Une partie prenante est toute personne, groupe ou instance envers s
laquelle l’entreprise doit rendre des comptes. d

’
i
n
Exemple: les plus classiques sont: f
o
r
m
- Les actionnaires a
t
- Les autorités de tutelle i
- Les clients o
n
- Les fournisseurs
- Les partenaires
- Les banques et les assurances
- Le personnel
- L’opinion publique
Abdelouahed Ennibi
S
é
c
u
r
i

t
é
 Le modèle PDCA d
e
s
Les systèmes de management fonctionnent selon un modèle y

s
en quatre temps appelé « PDCA » : Plan, Do, Check, Act. t

è
m
e
s
1. Phase Plan : planification
d
Dire ce que l’on va faire dans un domaine particulier. ’
i
n
f
2. Phase Do : action o
r
Faire ce que l’on a dit dans ce domaine. m
a
t
3. Phase Check : vérification i

o
Vérifier qu’il n’y a pas d’écart entre ce que l’on a dit et ce que l’on a fait. n
4. Phase Act : correction

Entreprendre des actions correctives pour régler tout écart qui aurait été
constaté précédemment.
Abdelouahed Ennibi
S
é
c
u
r
i

é
e
s
s
y
s
Plan t
è
m
e
s
Do Act ’
i
n
f
o
r
m
a
Check t
i
o
n
Abdelouahed Ennibi
S
é
c
u
r
i

é
e
s
s
Exemple: Vue d’ensemble de mise en place d’un SMSI y
s
t
- La phase plan / planification: è

m
Produire un certain nombre de documents et identification des actions à e
s
entreprendre pour se prémunir contre les actes de malveillance.
d
’
- La phase do / action: i
n
Mettre en œuvre les mesures de sécurité identifiées précédemment. f
o
r
m
- La phase check / vérification: a
t
Audit interne pour vérification de ce sui est mis en place est conforme aux i
politiques et aux procédures. o
n
- La phase act / correction :

Correction des écarts.
Abdelouahed Ennibi
S
é
c
u
r
i

é
e
s
s
Exemple: Mise en place d’une solution de sécurité réseau y
s
t
- La phase plan / planification: è

m
Elaboration d’une matrice de flux qui illustre la politique de flux réseau. e
s
d
- La phase do / action: ’
i
Configuration des pare-feux et des routeurs en traduisant cette matrice sous forme n
de règles d’accès. f
o
r
m
- La phase check / vérification: a
t
Vérification périodique des règles de pare-feux et des routeurs pour s’assurer s’elles i
correspondent bien à ce qui est spécifié dans la matrice de flux. o
n
- La phase act / correction :

Correction de tout écart entre les deux.
Abdelouahed Ennibi
S
é
c
u
r
i

é
d
e
s

y
t
è
m
e
 Le système de management de la sécurité de s
d
l’information « SMSI » ’
i
n
f
•
o
Phase Plan du SMSI r
m
• Phase Do du SMSI a
t
•
i
Phase Check du SMSI o
n
• Phase Act du SMSI
Abdelouahed Ennibi
S
é
c
u
r
 Le système de management de la sécurité de i

t
é
l’information « SMSI » d
e
 Phase Plan du SMSI s
s
y
s
Cette phase se découpe en quatre grandes étapes : t
è
m
Politique Périmètre e
s
d
’
i
Appréciation des risques n

f
o
r
m
a
t
Traitement Risques i
o
du risque résiduels n
Sélection des mesures de

sécurité +SOA
Abdelouahed Ennibi
S
é
c
u
r
 Le système de management de la sécurité de

i
t
é
e
s
y
s
1. Définition de la politique et du périmètre t
è
À partir de la définition de ces deux points que s’articulera tout le travail du m
e
système de management: s
d
’
- Périmètre : i
n
f
C’est le domaine d’application du SMSI. Le but est d’inclure dans le o

r
périmètre toutes les activités dont les parties prenantes exigent de la m

a
confiance. t
i
o
n
- Politique :
Elle précise le niveau de sécurité qui sera pratiqué sur le périmètre défini.
Abdelouahed Ennibi
S
é
c
u
r
i
 Le système de management de la sécurité de t

é
e
s
y
s
2. Appréciation des risques t

è
Une étape qui doit respecter un cahier des charges qui exige les séquences m
e
suivantes: s
- Identifier les actifs : d

’
i
n
Ce travail consiste à faire la liste de tout ce qui revêt une importance en f
o
matière d’information au sein du périmètre du SMSI. r
m
Voici certains types d’actifs: a
t
i
• Matériel : équipements système, équipements réseau o

n
• Physique : entrepôts, bureaux, aires de livraison

• logiciel : systèmes d’exploitation, bases de données, fichiers
• Humain : personnel de direction, techniciens, etc…
• Documents : manuels d’utilisation, documents papiers
• Immatériel : savoir-faire de l’entreprise
Abdelouahed Ennibi
S
é
c
u
r

i
t
é
e
s
y
s
è
m
e
- Identifier les personnes responsables: s
d
’
Il s’agit en général de celle qui connait le mieux la valeur et les i
n
conséquences d’une compromission en termes de disponibilité , d’intégrité f
et de confidentialité de l’actif. Ceci impose la désignation d’un responsable o

r
pour chaque bien. m

a
t
i
o
n
Abdelouahed Ennibi
S
é
c
u
r
i

é
e
 Phase Plan du SMSI

s
s
y
s
è
m
e
- Identifier les vulnérabilités : s
d
’
Une vulnérabilité est une propriété du bien qui l’expose à des menaces. i
n
Chaque actif recensé présente des vulnérabilités qui lui sont propres. f
o
r
m
- Exemple : Quelle est la vulnérabilité d’un ordinateur portable? a
t
i
La principale vulnérabilité de l’ordinateur portable est sa portabilité. o

n
Abdelouahed Ennibi
S
é
c
u
r

i
t
é
e
s
y
s
è
m
e
- Identifier les menaces : s
Les vulnérabilités précédemment identifiées exposent les biens ’

i
d’information à des menaces. n

f
o
r
- Exemple : Quelle est la menace principale pour un ordinateur portable? m
a
t
i
C’est le vol qui exploite la principale vulnérabilité de l’ordinateur , c’est-à- o
n
dire sa portabilité.
Abdelouahed Ennibi
S
é
c
u
r

i
t
é
e
s
y
s
è
m
e
- Identifier les impacts: s
d
’
L’évaluation des impacts revient à donner pour chaque actif une note en i
trois dimensions (une pour la confidentialité, une pour la disponibilité et une n

f
pour l’intégrité) selon les critères définis par l’implémenteur. o

r
m
a
t
i
o
n
Abdelouahed Ennibi
S
é
c
u
r

t
é
e
s
y
s
è
m
- Identifier les impacts: e

s
d
Exemple : Pour un critère qui a une valeur allant de 0 (pour pas d’impact) à ’
i
3 (pour impact majeur) quelle sera la note pour les actifs « Fichier n
f
client » et « Serveur Pilotant Robot » pour une menace liée à o
r
« Ouverture de session sur domaine » qui est identifiée comme m
a
vulnérabilité. t
i
o
Confidentialité Intégrité Disponibilité n
Fichier Client 3 2 1
Serveur Pilotant 1 3 2
Robot
Abdelouahed Ennibi
S
é
c
u
r

i
t
é
e
s
y
s
è
m
e
- Évaluer la vraisemblance: s
d
’
C’est de remettre tous les biens d’information dans leur contexte en i
considérant les mesures de sécurité qui sont déjà en place pour déterminer n
f
la probabilité qu’une vulnérabilité soit exploitée par une source de menaces. o

r
m
a
t
i
o
n
Abdelouahed Ennibi
S
é
c
u
r
i

é
e
s
y
s

è
m
e
- Estimer les niveaux de risques: s
d
’
Déterminer le niveau de risque auquel le système est exposé. i
n
Pour chaque paire menace-vulnérabilité, le risque dépend de: f
o
r
m
- La vraisemblance que la source d’une menace tente l’exploit; a
t
- L’ampleur de l’impact d’un tel exploit; i
- L’aptitude des moyens de contrôle en place de limiter ou de prévenir un o

n
tel exploit.
Il peut s’agir d’une note allant de 0 à 10 ou de 0 à 100 et ça peut être aussi

un code couleur (rouge pour un niveau de risque très élevé, orange pour
moyen, vert pour faible).
Abdelouahed Ennibi
S
é
c
u
r

i
t
é
e

s
s
y
s
è
m
e
d
Impact bas Impact moyen Impact haut ’
i
(10) (50) (100) n
f
Vraisemblance BAS MOYEN HAUT o
haute 10 x 1.0 = 10 50 x 1.0 = 50 100 x 1.0 = 100 r
m
1.0 a
t
Vraisemblance BAS MOYEN MOYEN i
o
moyenne 10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50 n
0.5
Vraisemblance BAS BAS BAS
basse 10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10
0.1
Abdelouahed Ennibi
S
é
c
u
r

i
t
é
e

s
s
y
s
è
m
e
d
’
i
n
f
o
r
m
a
t
i
o
n
Abdelouahed Ennibi
S
é
c
u
r

i
t
é
e
s
y
s
3. Traitement du risque et identification du risque résiduel t
è
On identifie quatre traitements possibles m
e
s
- L’acceptation: d
’
i
Accepter le risque revient à ne déployer aucune mesure de sécurité n

f
supplémentaire à celle déjà en place. o
r
m
a
Ceci peut paraître un traitement inconscient de la part de l’entreprise mais il t
i
se justifie dans le cas où les conséquences d’une attaque sont faibles. o
n
Abdelouahed Ennibi
S
é
c
u
r

i
t
é
e
s
y
s
è
m
e
- L’évitement: s
d
’
Dans le cas ou les conséquences sont jugées inacceptables pour l’entreprise. i
Il est possible d’éviter le risque. n

f
o
r
Un traitement justifié dans les cas où il y a une exigence de risque zéro. m
a
Cela consiste à se retirer de toute activité dont on veut éviter le risque. t
i
En poussant le raisonnement à l’extrême, on peut dire que pour éviter tous o
n
les risques, l’entreprise doit cesser toute activité.
Un système qui éviterait trop de risques ne serait pas crédibles.
Abdelouahed Ennibi
S
é
c
u
r
i

é
e
s
y
s

è
m
e
- Le transfert: s
d
’
Dans le cas où l’entreprise ne peut pas mettre en place les mesures de i
n
sécurité nécessaires pour réduire le risque, elle peut choisir de de le f
o
transférer. r
m
Il existe deux types de transfert : a
t
i
- La souscription d’une assurance o

n
- La sous-traitance
Abdelouahed Ennibi
S
é
c
u
r

i
t
é
e
s
y
s
è
m
e
- Le transfert: s
d
’
Exemple : La souscription d’une assurance i
n
L’incendie est un risque qu’on peut pas éviter, dans ce cas l’assurance f
n’empêche pas l’occurrence du risque mais elle en transfère les o

r
conséquences financières vers un prestataire , c’est-à-dire l’assureur. m

a
t
i
Exemple : La sous-traitance o
n
Le stockage d’une copie de sauvegarde est un exemple de transfert de
risque, car c’est le prestataire qui se charge de mettre en place les mesures
de sécurité nécessaires
Abdelouahed Ennibi
S
é
c
u
r
i
t
é
 Le système de management de la sécurité de d

e
l’information « SMSI » s
s
 Phase Plan du SMSI y
s
t
è
3. Traitement du risque et identification du risque résiduel m

e
s
- La réduction: d
’
i
n
Il consiste à mettre en place toutes les mesures techniques et f
o
organisationnelles afin de réduire le risque à niveau jugé acceptable. r
m
c’est le traitement le plus souvent sélectionné. a
t
i
o
n
Abdelouahed Ennibi
S
é
c
u
r
i

é
e

s
s
y
s
è
m
e
- L’identification du risque résiduel: s
d
’
Le risque résiduel est celui qui reste une fois que l’on a mis en place les i
n
mesures de sécurité. f
o
r
m
Si le risque résiduel est jugé inacceptable, il est nécessaire d’appliquer des a
mesures de sécurité supplémentaire pour tendre à réduire encore ce risque t

i
jusqu’à ce qu’il atteigne un niveau acceptable. o

n
Abdelouahed Ennibi
S
é
c
u
r

i
t
é
e
s
y
s
4. Sélection des mesures de sécurité t
è
m
e
Nous avons vu dans l’étape précédente que le traitement le plus souvent s
retenu est la réduction du risque. Il faudra donc, pour chacun de ces risques, d
’
identifier les mesures de sécurité qui permettront de le réduire de façon i
raisonnable. n
f
o
r
m
a
t
i
o
n
Abdelouahed Ennibi
S
é
c
u
r
i

é
e
s
 Phase Do du SMSI s
y
s
t
Les objectifs on été fixés lors de la phase Plan. Maintenant qu’ils è
m
sont fixés, encore faut-il les mettre en œuvre. C’est le but de la e
s
phase Do selon les étapes suivantes: d

’
i
n
- Plan de traitement des risques f
o
- Déployer les mesures de sécurité r

m
- Générer des indicateurs a

t
i
- Former et sensibiliser le personnel o
n
- Gérer le SMSI au quotidien

- Détection et réaction rapide aux incidents
Abdelouahed Ennibi
S
é
c
u
r

i
t
é
e
s
y
s
 Plan de traitement des risques t

è
Plusieurs cas de figure peuvent se présenter: m

e
- Certaines mesures de sécurité sélectionnées dans le SOA sont déjà en s
place. d
’
- Certaines autres ne le sont que partiellement. i
n
- Certaines mesures doivent être intégralement déployées, mais leur f
o
mise en œuvre est simple. r
m
- D’autres mesures de sécurité nécessitent, en revanche, un long travail a
t
de préparation. i
o
n
Il s’ajoute à ceci des éventuelles relations de dépendance entre les

différentes actions.
Ceci montre que la génération du plan de traitement des risques relèves

plus de la gestion de projet que de la sécurité.
Abdelouahed Ennibi
S
é
c
u
r

i
t
é
e
 Phase Do du SMSI
s
s
y
s
 Plan de traitement des risques t

è
Pour conclure, un plan de traitement des risques doit contenir au moins m

e
les éléments suivants: s
d
’
- La liste des actions à entreprendre. i
n
- Les moyens nécessaires. f
o
- La définition des responsabilités et des priorités en matière de gestion r
m
des risques de sécurité de l’information. a
t
i
o
n
Abdelouahed Ennibi
S
é
c
u
r
i

é
e
s
y
s
 Déployer les mesures de sécurité

t
è
m
Cette étape, de déploiement des mesures de sécurité retenues dans le e
s
SOA, est essentiellement du ressort d’un directeur de projet.
d
Il doit prendre soin de deux points essentiels: ’
i
n
- Vérifier que les actions se déroulent comme convenu. f

o
- Gérer les difficultés. r

m
a
t
i
o
n
Abdelouahed Ennibi
S
é
c
u
r
i

é
e
s
y
s
 Générer des indicateurs

t
è
m
Ils permettent de vérifier le bon fonctionnement du SMSI. e
s
Il existe deux familles d’indicateurs:
d
’
i
- Les indicateurs de performance: n
f
Ils permettent de savoir si les mesures de sécurité sont efficaces. o
Exemple : Le nombre d’incidents de sécurité rapportés par les r

m
utilisateurs. a
t
i
o
- Les indicateurs de conformité: n
Ils permettent de savoir si le SMSI est conforme à ses applications.

Exemple : La fréquence de réunion du comité de sécurité représente un
indicateur de conformité.
Abdelouahed Ennibi
S
é
c
u
r

i
t
é
e
 Phase Do du SMSI
s
s
y
s
 Former et sensibiliser le personnel t

è
m
Un SMSI ne peut perdurer efficacement sans un personnel formé et e
sensibilisé à la sécurité de l’information. s
d
’
- Formation: i
n
Elle s’adresse à un public ciblé pour transmettre une connaissance f
o
spécifique. Elle est nécessaire pour le personnel pour savoir se servir des r
m
outils de sécurité installés. a
t
i
o
- Sensibilisation: n
Elle s’adresse à tous , en dispensant une connaissance très généraliste

concernant la sécurité informatique. Elle consiste à expliquer les principes
de bases de la sécurité et de rappeler les engagements de l’organisme en
matière de sécurité.
Abdelouahed Ennibi
S
é
c
u
r
i

é
e
s
y
s
 Gérer le SMSI au quotidien

t
è
m
C’est un aspect souvent négligé par les personnes chargées d’implémenter e
s
un SMSI.
d
Dans la pratique, ceci implique de bien gérer les ressources : ’
i
n
f
- Humaines o
r
- Organisationnelles m
- Financières a
t
- Matérielles i
o
- Logicielles n
Aussi, de produire , pour chacun des processus du système de

management, les traces qui prouvent son bon fonctionnement à
l’auditeur.
Abdelouahed Ennibi
S
é
c
u
r

i
t
é
e
s
y
s
 Détection et réaction rapide aux incidents t

è
Un SMSI opérationnel se doit détecter rapidement tout incident, qu’il soit m

e
d’origine malveillante ou accidentelle, risquant d’altérer la disponibilité, la s
confidentialité ou l’intégrité de l’information. d

’
i
n
L’idée, que le principe de la sécurité axée sur le temps, part de trois f
o
constats très simple: r
m
a
t
1. Toute attaque prend un certain temps de l’agresseur avant de réussir. i
o
2. Toute attaque prend un certain temps à être détectée par le défenseur. n
3. Les actions entreprises par le défenseur pour contrecarrer l’attaque

prennent un certain temps.
Abdelouahed Ennibi
S
é
c
u
r

i
t
é
e
s
y
s
 Détection et réaction rapide aux incidents t

è
La sécurité, axée sur le temps , implique que toute conception d’une m

e
mesure de sécurité doit prendre en compte la contrainte suivante: s
d
’
- Le temps de détection ajouté au temps de réaction doit être inférieur au i
n
temps nécessaire à l’agresseur pour réussir son attaque. f
o
r
Temps nécessaire à une attaque avec succès m
a
t
Temps de détection Temps de réaction i
o
n
Marge
Abdelouahed Ennibi
S
é
c
u
r

i
t
é
e
 Phase Check du SMSI s
s
y
s
La mise en place de moyens de contrôle ont le but de surveiller en t
è
permanence: m
e
s
d
- L’efficacité du système ’
i
- Sa conformité par rapport aux spécifications n

f
o
r
m
Trois familles d’outils permettent à l’implémenteur de répondre à a
t
cette exigence: i
o
n
- Les audits internes

- Le contrôle interne
- Les revues ou bien réexamen
Abdelouahed Ennibi
S
é
c
u
r

i
t
é
e
 Phase Check du SMSI

s
s
y
s
 Les audits internes t

è
m
Le but de l’audit consiste à vérifier : e
s
- La conformité d
’
- L’efficacité du système de management i
n
f
o
Les audites internes sont planifiés à l’avance, et tout le personnel r
m
concerné est informé des dates. a
t
i
o
L’auditeur étudie les documents pertinents: n
- Politiques
- Procédures
- Enregistrements
Abdelouahed Ennibi
S
é
c
u
r

i
t
é
e

s
s
y
s
 Les audits internes t

è
De préférence, l’audit doit être effectuée par des personnes n’ayant pas m
e
été impliqués dans la mise en œuvre ou l’exploitation du processus audité. s
d
’
Le périmètre ou le champs de d’audit peut couvrir l’ensemble du SMSI: i
n
f
o
- L’application de toute les clause r
m
- L’application de les mesures de sécurité sélectionnées dont le SOA a
t
i
o
n
Abdelouahed Ennibi
S
é
c
u
r

i
t
é
e
s
y
s
 Le contrôle interne t
è
Il consiste à vérifier en permanence que les processus fonctionnent m

e
comme prévu. s
d
’
Le but est de vérifier que les employés appliquent les procédures i
n
correctement en dehors au quotidien hors des périodes d’audit. f
o
r
m
a
t
i
o
n
Abdelouahed Ennibi
S
é
c
u
r
i

é
e
s
y
s
 Les revues ou bien réexamen t

è
m
e
s
Si les audits internes et le contrôle permanent permettent de déceler un
d
nombre important d’anomalies, ils ne garantissent pas l’adéquation du ’
SMSI par rapport à son environnement. Pour cela il faut prendre du recul. i
n
C’est la mission de la revue. f

o
r
m
Deux types de revues: a
t
i
o
- La revue de direction n
- Revues ponctuelle
Abdelouahed Ennibi
S
é
c
u
r

i
t
é
e

s
s
y
s

è
m
e
Deux types de revues: s
d
’
- La revue de direction i
n
C’est une réunion au cours de laquelle les managers jettent un regard f
o
rétrospectif sur le SMSI. Ils passent en revu tout les évènements notoires qui r
m
se sont déroulés pendant l’année. Cela leur permet d’avoir une vision a
t
globale de l’évolution du SMSI ainsi que son contexte. i
o
n
Abdelouahed Ennibi
S
é
c
u
r

i
t
é
e
s
y
s

è
m
e
d
’
- La revue de direction i
n
Les points les plus importants généralement à l’ordre du jour de la revue f
o
sont les suivants: r
m
- Résultats des audites internes de l’année a
t
- Retours des parties prenantes i
- État des lieux sur les actions en (préventives et curatives) o

n
- Menaces mal appréhendées lors de l’appréciation des risques

- Interprétation des indicateurs
- Nouvelles priorités
- Changements survenus dans l’entreprise (réorganisations, fusions,
acquisitions)
Abdelouahed Ennibi
S
é
c
u
r

i
t
é
e

s
s
y
s

è
m
e
d
’
- Revues ponctuelle i
n
La revu annuelle du SMSI doit être tenu dans tous les cas. Cependant , f
o
certains changements significatifs dans la vie de l’entreprise peuvent r
m
justifier une révision ponctuelle et sans délai du SMSI. a
t
i
o
n
Abdelouahed Ennibi
S
é
c
u
r

t
é
e
 Phase Act du SMSI s
s
y
s
Un SMSI ne générant aucun constat en sortir de la phase check t
è
serait très suspect. m

e
Les constats peuvent être de plusieurs ordres: s
d
’
i
- Écarts entre les spécifications du SMSI et la pratique n

f
constatée. o
r
m
- Mesures de sécurité inefficaces ou insuffisamment a
t
performantes. i
o
- Risques oubliés. n
- Changements de contexte entraînant de nouveaux risques

- Problèmes récurrents
Abdelouahed Ennibi
S
é
c
u
r

i
t
é
e
s
y
s
Un SMSI ne générant aucun constat en sortir de la phase check t

è
serait très suspect. m

e
s
Selon ces constats, plusieurs actions peuvent être exécutées: d
’
i
- Actions correctives n
f
o
- Actions préventives r
m
- Actions d’améliorations a
t
i
o
n
Abdelouahed Ennibi
S
é
c
u
r

t
é
e
s
y
s
 Actions correctives t
è
Elles sont entreprises lorsqu'un incident ou un écart a été constaté. Le but m
e
est d’agir d’abord sur les effets pour corriger l’écart, puis les causes pour s
éviter que l’écart ne se reproduise à nouveau. d

’
i
n
f
o
r
m
a
t
i
o
n
Abdelouahed Ennibi
S
é
c
u
r
i

é
e
 Phase Act du SMSI

s
s
y
s
 Actions préventives t
è
m
Elles sont lancées lorsqu’on détecte une situation qui risque d’entraîner un e
écart ou un incident si rien n’est fait. En fait, les actions préventives s
consistent à réagir sur les causes avant que l’écart ne se produise. d

’
i
n
f
o
r
m
a
t
i
o
n
Abdelouahed Ennibi
S
é
c
u
r
i

é
e
s

y
s
 Actions d’améliorations
t
è
m
Leur but n’est pas de corriger ni d’éviter un écart, mais d’améliorer la e
s
performance d’un processus du SMSI.
d
’
i
n
f
o
r
m
a
t
i
o
n
Abdelouahed Ennibi
S
é
c
u
r
i

é
d
e
s

y
t
è
m
e
 L’implémentation d’un « SMSI » s
d
’
i
• Politique et périmètre du SMSI n

f
•
o
Gouvernance de la sécurité r
m
• Documentation a
t
•
i
Audit interne et suivi des actions o
n
• Appréciation des risques

• Sélection des mesures de sécurité
• Formation et sensibilisation
Abdelouahed Ennibi
S
é
c
u
r
i
 L’implémentation d’un « SMSI » t

é
 Politique et périmètre du SMSI d

e
s
s
Le responsable de la mise en œuvre du SMSI se charge de rédiger y
s
ces deux documents qui ne représentent pas plus de trois ou t

è
quatre pages. m
e
s
Il doit être à l’écoute de deux courants qui ne vont pas toujours d
dans le même sens: ’

i
n
f
o
- Les attentes des parties prenantes r
m
- Le contexte de l’organisme a
t
i
o
n
Abdelouahed Ennibi
S
é
c
u
r
 L’implémentation d’un « SMSI »

i
t
é

e
s
 Les attentes des parties prenantes s

y
s
La politique et le périmètre doivent impérativement tenir compte de leurs t
attentes, afin que le SMSI leur fournisse la confiance qu’ils escomptent. è

m
e
s
 Le contexte de l’organisme d
’
Beaucoup de questions doivent se poser et pour lesquelles on doit avoir i
des réponses: n
f
o
r
- La taille ou la structure de l’organisme? m
a
- Quels sites seront-ils couverts par le périmètre? t
i
- Sur quel niveau de sécurité est-il raisonnable de s’engager? o
n
- Combien coûtera le projet?
- Ne serait-il pas mieux de commencer par un périmètre plus restreint?
Abdelouahed Ennibi
S
é
c
u
r

i
t
é

e
s
 Le périmètre s
y
s
- Définition du périmètre t
Pour cela, il convient généralement de : è

m
e
s
- Enumérer la liste des sites d
- Enumérer la liste des unités organisationnelles ’
i
- Enumérer les activités concernées par le périmètre n
f
- Décrire les technologies utilisés o
r
- Insérer un schéma pour illustrer le périmètre m
a
t
i
o
n
Abdelouahed Ennibi
S
é
c
u
r
i

é

e
s
 Le périmètre
s
y
s
- Exemple; t
è
Une société qui fabrique des bons à gratter pour tous types de jeux et m
e
opérations promotionnelles. C’est une PME dont le siège social se trouve à s
Paris, mais qui possède plusieurs antennes à Lyon, Marseille et Nantes. d
Elle souhaite mettre en place un SMSI couvrant toutes les activités et tous ’
i
les sites de l’entreprise. n

f
o
Localisation physique Activités Limites du SMSI r
m
a
t
Le SMSI couvre l’ensemble • Toutes les activités sont Sont considérées à i
des implantations couvertes par le SMSI l’extérieur du SMSI o
n
• Siège social à Paris • Conception des bons à • Les clients de la société
• L’ensemble de son gratter • Les fournisseurs
réseau d’agences • Génération des codes
gagnants
• Stockage
• Livraison
Abdelouahed Ennibi
S
é
c
u
r
i

é

e
s
 Le périmètre
s
y
s
- Exemple; t
Clients Fournisseurs è
m
e
s
Intérieur Extérieur d
’
Conception du SMSI du SMSI i
n
f
o
r
Schéma synoptique m
a
Génération t
Impression i
codes o
n
Livraison Stockage
Abdelouahed Ennibi
S
é
c
u
r

i
t
é

e
s
 La politique du SMSI s
y
Il ne faut pas confondre politique du SMSI et politique de sécurité s

t
informatique. Ce sont deux documents complémentaires. è
m
e
s
- Politique du SMSI
d
Un document qui précise les engagements de la direction sur un certain ’
i
nombre de points en matière de sécurité. C’est un document très court n
f
n’excédant pas généralement deux pages. o
r
m
- Politique de sécurité a
t
Un document qui commence par rappeler les principaux engagements de i

o
l’entreprise en matière de sécurité. n
Il contient ensuite des directives plus ou moins précises.

Cela peut aller des contraintes sur les flux réseau aux règles à suivre lors de
la création des comptes. Certains politique vont même jusqu’à préciser ce
qu’est un bon mot de passe.
Abdelouahed Ennibi
S
é
c
u
r

i
t
é

e
s
 La politique du SMSI s
y
- Exemple; Politique de SMSI de la société citée dans l’exemple s

t
précèdent è
m
e
s
L’objet de cette politique est de protéger contre toutes les menaces, qu’elles
d
soient internes ou externes, délibérés ou accidentelles, les actifs ’
i
d’informations gérés par la société et concernant : n
f
- La société o
r
- Ses clients m
- Ses fournisseurs a
t
i
o
Ceci implique aussi la mise en place d’un système de management de la n
sécurité de l’information permettant s’assurer :

- La confidentialité
- L’intégrité
- La disponibilité
Abdelouahed Ennibi
S
é
c
u
r
i

é
 Gouvernance de la sécurité d
e
s
L’établissement d’un SMSI nécessite de se poser, dès le départ, la s

y
s
question suivante: t
è
Qui fait quoi ? m

e
L’une des responsabilités du management consiste à établir les s
d
rôles et responsabilités en matière de sécurité de l’information. ’
i
n
f
L’implémenteur doit organiser à sa manière la gouvernance du o

r
m
SMSI, ou bien , s’appuyer sur un référentiel connu. a
t
i
o
n
Abdelouahed Ennibi
S
é
c
u
r
i

é
e
s
s
 Modèle de gouvernance y
s
- Modèle empirique t
è
m
e
s
d
’
Amélioration Stratégie i
n
f
o
r
m
Contrôle Pilotage a
t
i
o
n
Maîtrise
Exploitation
Abdelouahed Ennibi
S
é
c
u
r
i

é
e
s
 Modèle de gouvernance
s
y
s
è
- Stratégie : m
e
Cette fonction englobe toutes les activités consistant à faire en sorte s
que les décisions relatives à la sécurité des systèmes d’information d

’
tiennent compte des priorités stratégiques de l’entreprise. i
n
f
o
- Pilotage r
m
Cette fonction regroupe toutes les activités consistant à mettre en a
t
application la stratégie décidée par l’encadrement supérieur de i
l’entreprise o
n
Abdelouahed Ennibi
S
é
c
u
r
i

é
e
s
s
y
s
è
- Exploitation m
e
Cette fonction réunit toutes les activités consistant à fournir les services s
de sécurité convenus dans le SMSI. d

’
i
n
- Contrôle f
o
Cette fonction concerne toutes les activités consistant à contrôler que r
m
le SMSI produit des résultats efficaces et aux conformes aux a
spécifications. t
i
o
n
Abdelouahed Ennibi
S
é
c
u
r
i

é
e
s
s
s
- Modèle Cobit (Control Objectives for Information and related Technology) t
è
Cobit est un référentiel aidant à construire une gouvernance cohérente en m
e
matière de systèmes d’information. L’une de ses priorités consiste à faire en s
sorte que le l’informatique soit en phase avec les objectifs de l’entreprise. d

’
i
n
Cobit identifie cinq centres d’intérêt en matière de gouvernance: f
o
r
- Alignement stratégique m
a
- Apport de valeur t
i
- Gestion des risques o
n
- Gestion des ressources
- Mesure de performance
Abdelouahed Ennibi
S
é
c
u
r
i

é
e
s
s
s
è
- Alignement stratégique m
e
Les objectifs stratégique de l’informatique doivent être en accord avec s
la stratégie de l’entreprise. d
’
i
n
- Apport de valeur f
Cela consiste à s’assurer que l’informatique apporte concrètement ce o

r
qui a été convenu par la stratégie. m

a
t
i
- Gestion des risques o
n
L’objectif est de faire en sorte que le risque soit pris en compte à tous
les niveaux de l’entreprise.
Abdelouahed Ennibi
S
é
c
u
r

i
t
é
e
s
 Modèle de gouvernance s
y
s
- Gestion des ressources è

m
Elle consiste à optimiser l’investissement et à gérer de façon e

s
appropriée les ressources. d
’
i
- Mesure de performance n
f
Cela consiste à mesurer l’application concrète de la stratégie, l’état o
r
d’avancement des projets, ou encore la gestion des ressources. m
a
t
i
o
n
Abdelouahed Ennibi
S
é
c
u
r

i
t
é
e
s
y
s
Pour satisfaire ces cinq grands domaines, Cobit identifie 34 processus, è

m
divisés eux même en quatre grandes catégories: e

s
d
- Planifier et organiser ’
i
- Acquérir et implémenter n
f
- Délivrer et supporter o
r
- Surveiller et évaluer m
a
t
i
o
n
Abdelouahed Ennibi
S
é
c
u
r
i

é
e
s
y
s
è
- Planifier et organiser 10 m
e
Les processus de cette catégorie contribuent à fixer une stratégie pour s
le système d’information, à définir une architecture, à fixer des d
objectifs technologiques et à gérer l’investissement informatique. ’

i
n
f
o
r
m
a
t
i
o
n
Abdelouahed Ennibi
S
é
c
u
r
i

é
e
s
s
y
s
è
- Acquérir et implémenter 7 m
e
Les processus de ce groupe permettent d’identifier les solutions à s
mettre en place, de les développer, de les acquérir, de les installer et de d
gérer le changement. ’
i
n
f
o
r
m
a
t
i
o
n
Abdelouahed Ennibi
S
é
c
u
r
i

é
e
s
y
s
è
- Délivrer et supporter 13 m
e
Les processus contribuent à la production informatique, en gérant tout s
ce qui est relatif aux services liés à la continuité de service et à la d
gestion des incidents. ’

i
n
f
o
r
m
a
t
i
o
n
Abdelouahed Ennibi
S
é
c
u
r
i

é
e
s
y
s
è
- Surveiller et évaluer 4 m
e
Les actions entrant dans cette catégorie servent à surveiller la s
performance du système d’information, ainsi que sa conformité avec d
toutes les exigences d’ordre réglementation, contractuel ou sectoriel. ’

i
n
f
o
r
m
a
t
i
o
n
Abdelouahed Ennibi
S
é
c
u
r
i

é
e
s
s
y
s
- Exemple: t
è
Voici une proposition de structure de gouvernance articulée autour de trois m
e
comités : s
d
’
- Comité de direction i
- Comité de pilotage de sécurité n

f
- Comité d’audit o
r
m
a
t
i
o
n
Abdelouahed Ennibi
S
é
c
u
Instance Comité de direction r
i
t
Membres Directeur général é
Responsables des services
DSI d
e
Invités en cas de besoin Responsable de sécurité des systèmes d’information
s
Responsable du SMSI
Experts techniques s
Directeur général y
Président s
t
Période Tous les deux mois è
m
e
Objectif Aligner la sécurité sur les priorité de la stratégie de l’entreprise
s
Missions 1. Fixer les priorités de la sécurité des systèmes d’information en fonction de la stratégie de l’entreprise d
2. Valider les bases du SMSI ’
i
Points à l’ordre du jour 1. Validation de la politique du sécurité du SMSI n
2. Fixation des critères d’acceptation des risques f
3. Approbation des risques résiduels proposés par le responsable du SMSI o
4. Autorisation d’exploiter le SMSI r
5. Validation de la gouvernance sécurité de l’entreprise m
a
En rapport avec 1. Le comité d’audit, qui présente une fois par an l’état de conformité et efficacité du SMSI t
2. Le comité du pilotage, qui propose une fois par an les révisions des points clés du SMSI i
o
n
Abdelouahed Ennibi
S
é
c
u
Instance Comité de pilotage de sécurité r
i
t
Membres Directeur général Responsables des services DSI é
Responsable sûreté Responsables des services concernés
d
Invités en cas de besoin Experts techniques Chefs de projets Utilisateurs clés
e
s
Président Responsable du SMSI
s
y
Période Tous les mois s
t
Objectif Faire en sort que la sécurité fournisse le niveau de confiance qui été convenu par le comité de direction è
m
e
Missions 1. Suivre les projets en cours s
2. Proposer des solutions aux difficultés qui se présentent
d
Points à l’ordre du jour 1. Point sur la communication et la formation en matière de sécurité
’
2. Point sur les actions correctives et préventives en cours
i
3. Analyse des dépenses et des besoins pour exploiter le SMSI n
4. Suivi des projets en cours f
5. Point sur les incidents de sécurité survenus dans la période o
r
m
Points à l’ordre du jour 1. Révision de la politique et du périmètre
a
une fois par an 2. Révision du SMSI
t
3. Révision de l’appréciation des risques
i
4. Étude du rapport de la commission de contrôle relatif aux audits de l’année
o
1. Le comité d’audit, pour proposer et suivre les actions correctives et préventives suite aux écarts n
En rapport avec
identifiés lors des audits
2. L’exploitation, pour contrôler la production et piloter les projets
3. Le comité de direction, pour lui proposer une fois par an les révisions des points clés du SMSI
Rapporte Au comité de direction
Abdelouahed Ennibi
S
é
c
u
Instance Comité d’audit r
i
t
Membres Responsable de l’audit interne é
Auditeurs internes
d
Invités en cas de besoin RSSI
e
Responsable de la sécurité du SMSI
s
Président Responsable du SMSI
s
y
Période Tous les deux mois s
t
Contrôler la conformité et l’éfficacité du SMSI è
Objectif m
e
Missions 1. Assurer le bon déroulement des audits s
2. Assurer un suivi de s actions correctives et préventives
d
Points à l’ordre du jour 1. Retour sur le déroulement des audits réalisés depuis la réunion précédente ’
2. Points sur les non-conformités relevées i
3. Validation des actions correctives et préventives n
4. Points sur les actions correctives et préventives en cours f
o
Points à l’ordre du jour 1. Validation du rapport annuel des audits présenter au comité de direction r
une fois par an 2. Validation de programme des audits de l’année à venir m
a
En rapport avec 1. Le COPIL de sécurité, en charge de pilotage de la mise en œuvre des actiions correctives et t
préventives en d’écart i
2. Le comité de direction, pour lui présenter l’état de conformité d’éfficacité du SMSI o
n
Rapporte Au comité de direction, une fois par an, afin de donner un état de l’éfficacité et de la conformité du SMSI
Abdelouahed Ennibi
S
é
c
u
r
i

é
 Documentation d
e
s
La documentation est un enjeu majeur du SMSI: mal réalisée, elle s

y
s
condamne à coup sûr le système de management. t
è
m
e
Toute procédure de gestion de documents doit apporter s
d
clairement les réponses aux questions suivantes: ’
i
n
f
- Comment les documents sont-ils approuvés? o

r
m
- Comment sont-ils mise à jour? a
t
- Comment les versions sont-elles gérées? i
o
- Comment ne rendre ces documents disponibles que pour les n
personnes qu’ils concernent?

- Comment sont-ils retirés lorsqu’ils ne sont plus valides?
Abdelouahed Ennibi
S
é
c
u
r

i
t
é
 Documentation d
e
- Exemple: s
Procédure : Gestion des documents du SMSI s

y
Responsable de la procédure : Le responsable de la procédure de gestion s
des documents est le responsable qualité t

è
cycle de vie d’un document : m

e
o Propriétaire : s
 C’est la personne désignée pour valider le document, et elle peut d

’
désigner un rédacteur. i
n
o Rédaction : f
o
 La personne désignée rédige le document puis le fait approuver par r
m
le propriétaire. a
o Approbation : t
i
 Les documents sont approuvés par le propriétaire du document. o

n
 Tout document approuvé doit être placé dans un répertoire X

 Tout document situé dans ce répertoire est considéré comme
approuvé.
 Aucune document situé ailleurs que dans ce répertoire ne pourra
être considéré comme approuvé.
Abdelouahed Ennibi
S
é
c
u
r
i

é
 Documentation d
e
- Exemple: s
cycle de vie d’un document : s

y
o Mise à jour : s
t
 Les personnes habilitées à mettre à jour le document sont désignées è
m
par le propriétaire. e
 Toute modification doit faire l’objet d’une approbation. s
o Version: d
’
 Toute modification du document donnera lieu à une nouvelle i

n
version. f
o
 Après toute modification, le document doit être formellement r
m
approuvé par son propriétaire. a
t
o Fin de vie: i
o
 Tout document doit être retiré de son répertoire X par son n
propriétaire lorsqu’il n’a plus de raison d’être.
Abdelouahed Ennibi
S
é
c
u
r

i
t
é
 Documentation d
e
- Exemple: s
o Types de documents: y
s
 Tout documents du SMSI se verra attribuer une référence unique t

è
composée de : m
e
 Un préfixe sur trois lettres dénotant le type de document s
 Un suffixe sur 5 chiffres donnant son numéro d’ordre d

’
 D’un V**, où ** précise la version i
n
o Diffusion des documents: f
o
 Les documents peuvent être classés selon différentes catégories: r
 Public : Ils peuvent être diffusés librement en dehors de

m
a
t
l’entreprise. i
 Diffusion interne : Ils peuvent être diffusés librement en o

n
interne. Il est interdit de les rendre public , de les disffuser en

dehors de la société.
 Confidentiel domaine: La diffusion du document est limitée aux
personnes concernées par le domaine. Il faut préciser le
domaine d’application(projet, comité, etc…).
Abdelouahed Ennibi
S
é
c
u
r
i

é
 Documentation d
e
- Exemple: s

y
o Diffusion des documents: s
t
 Secret : Seules les personnes citées dans la liste de diffusion è
m
jointe au document y ont accès. e
s
d
’
i
n
f
o
r
m
a
t
i
o
n
Abdelouahed Ennibi
S
é
c
u
r
i

é
 Documentation d
e
- Exemple: s

y
o Cartouche : s
t
 Tout document du SMSI doit comporter un cartouche dûment è
m
rempli, selon le modèle joint en annexe. e
s
Classification Public /Diffusion interne/ Confidentiel /Secret
d
Référence ’
i
Version n
f
Nom prénom Service o
r
Propriétaire m
a
Rédigé par t
i
Validé par
o
n
Historique des mises à jours
Dates Modifié par Description du
changement
Abdelouahed Ennibi
S
é
c
u
r
i

é
 Audit interne et suivi des actions d

e
s
Ce processus est un des éléments clés à mettre en place à s

y
s
l’initiation de la construction du SMSI. t
è
m
e
- Audit interne s
d
- Comment mettre en place l’audit interne? ’
i
- Suivi des actions n

f
o
r
m
a
t
i
o
n
Abdelouahed Ennibi
S
é
c
u
r
i

é

e
s
 Audit interne s
y
s
L’audit interne est le processus le plus important de la phase check du PDCA. Il t
è
consiste à vérifier la conformité des activités du SMSI vis-à-vis de leur m
application comme précisé dans les procédures internes ainsi que leur e
s
efficacité. d
’
i
Elle sert surtout à vérifier les trois points suivants: n
f
o
r
- l’absence d’écart entre les processus du SMSI. m
a
- L’application des mesures de sécurité sélectionnées dans le SOA t
i
conformément au modèle PDCA. o
n
- L’absence d’écart entre les procédures internes et leur application effective.
L’audit interne n’a pas pour but de « piéger »les audités.
Abdelouahed Ennibi
S
é
c
u
r

i
t
é

e
s
 Comment mettre en place l’audit interne? s

y
La structure de l’audit interne sera différente selon qu’il s’agit d’une : s

t
- PME è
m
- Grande entreprise ayant un service d’audit e
s
- Grande entreprise sans service d’audit d
’
i
n
f
o
r
m
a
t
i
o
n
Abdelouahed Ennibi
S
é
c
u
r
i

é

e
s

y
s
- PME t
o Le tout en interne: è
m
Consiste à désigner des auditeurs internes parmi le personnel des e

s
différents services. d
’
i
o Stratégie d’externalisation: n
f
Faire appel à un prestataire. o

r
m
a
o Stratégie hybride: t
i
Puiser dans les deux approches à la fois. Les audits internes peuvent être o
n
réalisés par le personnel de l’entreprise tant dis qu’une fois par an, un
audit est commandité à un cabinet externe.
Abdelouahed Ennibi
S
é
c
u
r

i
t
é

e
s

y
- Grande entreprise ayant un service d’audit s

t
Dans cette situation, l’idéal est de mutualiser les audits qualité et sécurité en è
m
élargissant les compétences du service d’audit déjà existant. e

s
d
Pour certains points du SMSI qui nécessitent une expertise technique, il est ’
i
alors possible de faire appel à un expert (interne ou externe)pour auditer ces n
f
points en particulier. o
r
m
a
t
i
o
n
Abdelouahed Ennibi
S
é
c
u
r
i

é

e
s
 Comment mettre en place l’audit interne?

s
y
s
- Grande entreprise sans service d’audit t
è
o Créer une structure indépendante m
e
Idéalement, l’audit interne doit dépendre directement de la direction s
générale. Cette approche garantie une réelle indépendance de l’audit par d
rapport aux entités exploitant le SMSI. ’

i
n
f
o Rattachement à une structure existante o
r
Il est possible d’élargir les compétences d’un service pour qu’il se charge m
a
de conduire les audits du SMSI. t
i
Cela implique la réaffectation d’une ou plusieurs personnes pour assurer o
n
les audits.
Abdelouahed Ennibi
S
é
c
u
r
i

é

e
s
 Suivi des actions s

y
s
Il est consacré aux audits internes que lorsqu’un auditeur identifie une non- t
è
conformité dans un processus, le responsable est tenu d’entreprendre sans m
e
délai des actions pour corriger les causes et les effets. s
Un audit ne sert à rien s’il n’est suivi d’actions correctives ou préventives. ’

i
n
f
o
r
m
a
t
i
o
n
Abdelouahed Ennibi
S
é
c
u
r
i

é
 Appréciation des risques d

e
s
Il s’agit d’une discipline bien antérieure à l’apparition des s

y
s
systèmes de management. t
è
Les personnes chargées d’apprécier les risques butent toujours m

e
sur les mêmes questions : s
d
’
i
- Comment faire l’inventaire des actifs? n

f
- Comment évaluer les risques? o

r
m
- Qu’est ce qu’un niveau de risque? a
t
i
o
En réalité, nous sommes en présence d’une discipline nécessitant n
impérativement de la pratique, dans laquelle la meilleure théorie

ne remplacera jamais le savoir-faire de l’expert.
Abdelouahed Ennibi
S
é
c
u
r
i

é
 Appréciation des risques d

e
s
Il existe plusieurs méthodes d’appréciation des risques, comme : s

y
s
t
è
- Iso 27005 m
e
- Ebios s
d
- Mehari ’
i
- Octave n
f
o
r
m
Tous ces méthodes, même si chacune présente des particularités, a
t
partagent toutes deux points commun: i
o
n
- Elles fournissent un cadre méthodologique

- Elles proposent un référentiel
Abdelouahed Ennibi
S
é
c
u
r
i

é
d
e
s
 Sélection des mesures de sécurité s
La désignation des mesures de sécurité qui seront effectivement y

s
t
appliqués dans le cadre du SMSI donne lieu à la déclaration è
m
d’applicabilité (statement of applicability). e
s
d
’
La déclaration d’applicabilité doit être cohérente avec le i
n
périmètre et la politique du SMSI. f
o
r
m
Aussi, elle doit être cohérente avec le modèle PDCA. a

t
i
o
n
Abdelouahed Ennibi
S
é
c
u
r
i

é
 Formation et sensibilisation d
e
s
s
La formation et la sensibilisation sont deux aspects très y
s
importants du SMSI, dont il faut tenir compte dès le début du t

è
m
projet. e
s
d
’
i
n
f
o
r
m
a
t
i
o
n
Abdelouahed Ennibi
S
é
c
u
r
i

é
e
s
s
- Formation y
s
 Points importants t
è
- Définition des compétences m

e
En général, une fois par an, le service du personnel fait circuler des formulaires s
dans lesquels les employés expriment leurs souhaits en matière de formation. d

’
i
n
- Formation f
o
La DRH doit garder une trace des feuilles d’émargement attestant que les r
m
personnes concernées ont bien suivi la formation. a
t
i
o
- Vérification de la compétence n
Ce point peut être satisfait en demandant aux employés leur diplôme ou leur
certificat, si la formation qu’ils ont suivie est certifiante.
Abdelouahed Ennibi
S
é
c
u
r
i

é
e
s
s
- Formation y
s
 Les besoins en formation t
è
- Pendant la construction du SMSI m
e
o Les proches collaborateurs du chef de projet s
o Les responsables de service et les utilisateurs clés d

’
i
n
- Pendant l’exploitation du SMSI f
o Les auditeurs internes o

r
o Les techniciens informatiques m

a
o Les techniciens métier t

i
o
n
Abdelouahed Ennibi
S
é
c
u
r
i

é
e
s
s
- Sensibilisation y
s
 Différentes forme de sensibilisation t

è
- Affichage m
e
- Circulaires s
- Messages électroniques d
’
- Intranet i
n
- E-learning f
o
r
m
a
t
i
o
n
Abdelouahed Ennibi
S
é
c
u
r
i

é
d
e
s
 Audit du système de management de la sécurité de s

y
l’information s
t
è
m

e
Les indicateurs du « SMSI » s
 Les audits d
’
i
n
f
o
r
m
a
t
i
o
n
Abdelouahed Ennibi
S
é
c
u
r

i
t
é
d
e
s

y
l’information s
t
è
m

e
Les indicateurs du « SMSI » s
• Comment choisir les indicateurs d’un SMSI d

’
• Approche méthodologique
i
n
f
o
r
m
a
t
i
o
n
Abdelouahed Ennibi
S
é
c
u
r
i
 Les indicateurs du « SMSI » t

é
 Comment choisir les indicateurs pour un SMSI d

e
s
Avoir une vision claire de l’état du SMSI revient à avoir une vision s
y
s
claire de l’état, à la fois : t
è
m
e
- Des processus en support s
d
- Des mesures de sécurité ’
i
n
f
Ceci n’est pas viable dans la réalité. Il faudra alors adopter une o
r
m
stratégie plus pragmatique, en se centrant sur l’essentiel: a
t
i
o
- Questions fondamentales n
- Principales erreurs à éviter

- Différents types d’indicateurs
Abdelouahed Ennibi
S
é
c
u
r
i

é

e
s
 Questions fondamentales s
y
s
Pour trouver un indicateur, il faut se poser systématiquement trois questions t
è
fondamentales: m
e
s
- Quel fait concret et mesurable permet-il de savoir si un point de la norme d
est appliqué et/ou efficace? ’

i
n
f
- Exemple : Virus o
r
Le nombre de virus ayant perturbé le fonctionnement d’une station de travail est m
a
un fait concret et mesurable qui permet de savoir si les dispositifs de protection t
i
contre les codes malveillants sont appliqués et efficaces. o
n
Abdelouahed Ennibi
S
é
c
u
r
i

é

e
s
y
s
- Ce fait est-il mesurable facilement? t
è
Il faut retenir que les faits qui peuvent être mesurés facilement. m
e
s
- Exemple : Service indisponible d
Le nombre d’heures perdues suite à un incident est difficile à évaluer. S’il s’agit ’
i
d’une application transactionnelle qui n’a pas réussi à démarrer le matin, il suffit n
f
de multiplier le temps d’indisponibilité par le nombre d’utilisateurs concernés. En o
r
revanche, s’il s’agit d’un incident d’exploitation plus complexe , nécessitant des m
a
interventions correctives de la part des informaticiens et des utilisateurs , le coût t
i
humain est beaucoup plus difficile à évaluer . o
n
Abdelouahed Ennibi
S
é
c
u
r
 Les indicateurs du « SMSI »

i
t
é

e
s
y
s
- Comment obtenir concrètement cette mesure? t
La mesure sera appelée à être réalisée périodiquement, donc , il faut savoir è

m
précisément comment obtenir cette mesure. e

s
d
- Exemple : Service indisponible ’
i
Dans ce cas , il y a un traitement ponctuel , car l’estimation globale du temps n
f
perdu est liée à chaque personne concernée et comment elle a évalué son temps o
r
perdu. m
a
t
i
o
n
Abdelouahed Ennibi
S
é
c
u
r
i

é

e
s
 Principales erreurs à éviter s

y
s
Trouver les éléments pertinents qui permettront de mesurer tel ou tel point t
è
n’est pas une chose facile. m
e
s
Il est indispensable que les indicateurs soient faciles à obtenir, mieux vaut tout d
de même éviter de sélectionner des indicateurs pour la simple raison qu’ils ’

i
sont aisés à obtenir. n
f
o
r
D’autres pièges fréquemment constatés doivent être évités: m
a
t
i
- Indicateurs hors sujet o
n
- Indicateurs trop nombreux
- Mauvais indicateurs
- Indicateurs figés
Abdelouahed Ennibi
S
é
c
u
r
i

é

e
s

y
s
- Indicateurs hors sujet t
è
Pour chaque SMSI l’indicateur doit permettre de mesurer l’application ou la m
e
conformité dans le cadre du périmètre et de la politique définis. s
- Indicateurs trop nombreux ’

i
Il ne faut pas sélectionner un trop grand nombre, l’expérience montre que les n
f
indicateurs sont très coûteux à obtenir. o
r
m
a
t
i
o
n
Abdelouahed Ennibi
S
é
c
u
r

i
t
é

e
s

y
- Mauvais indicateurs s
t
Un indicateur mal choisi donnera une vision erronée sur le point du SMSI. è
m
e
s
- Exemple : Nombre de spams bloqués
d
L’augmentation ou la diminution du nombre de spams bloqués ne signifie pas ’
i
que le système de messagerie fonctionne bien ou bien il connait une baisse n
f
d’efficacité. o
r
m
a
- Indicateurs figés t
Certains indicateurs méritent d’être revus pour refléter d’avantage la situation i

o
du SMSI. n
Abdelouahed Ennibi
S
é
c
u
r
i

é

e
s
 Différents types d’indicateurs s

y
s
Les indicateurs en sécurité peuvent répondre à plusieurs objectifs t
è
fondamentalement différents. Il faut donc savoir précisément ce que l’on veut m
mesurer avant de sélectionner ces indicateurs. e

s
On peut citer les indicateurs suivants: d

’
i
- Indicateurs d’efficacité n
f
- Indicateurs de conformité o
r
- Indicateurs de communication m
a
- Indicateurs d’avancement t
i
o
n
Abdelouahed Ennibi
S
é
c
u
r

i
t
é

e
s

y
- Indicateurs d’efficacité s
t
Leur but est de mesurer l’efficacité d’une mesure de sécurité. è

m
e
s
- Exemple: Nombre d’incidents d
Le nombre d’incidents de sécurité recensés dans le mois est un indicateur ’
i
d’ efficacité, dans la mesure où il permet de mesurer l’efficacité des moyens de n
f
protections contre les attaques. o
r
m
a
t
i
o
n
Abdelouahed Ennibi
S
é
c
u
r

i
t
é

e
s

y
- Indicateurs de conformité s
t
Ils ont pour objectif de vérifier que les processus du SMSI fonctionnent è
m
conformément aux spécifications internes de l’entreprise et aux exigences e
s
d’une norme appliquée.
d
’
i
- Exemple : Réalisation des audits n
f
Considérons un SMSI dont la procédure d’audit interne stipule que quatre audits o
r
doivent être conduits en interne , au début de chaque trimestre. m
a
t
Un indicateur montrant que le nombre d’audit prévus a eu lieu permettra de i

o
vérifier la conformité du processus d’audits aux spécifications du SMSI. n
Abdelouahed Ennibi
S
é
c
u
r

i
t
é

e
s

y
s
t
- Indicateurs de communication è
m
Ce sont des indicateurs qui ont l’unique finalité est la communication en e
s
interne. Ils s’inscriront dans le cadre de la politique de sensibilisation à la
d
sécurité. ’
i
n
f
- Exemple : Nombre de virus bloqués o
r
D’un point de vue strictement opérationnel, cet indicateur ne sert à rien, mais la m
publication de ce chiffre sur l’intranet montre aux utilisateurs l’utilité de la plate a

t
–forme antivirus. i
o
n
Abdelouahed Ennibi
S
é
c
u
r

i
t
é

e
s

y
- Indicateurs d’avancement s
t
Il est intéressant d’établir des indicateurs qui permettront d’avoir une idée sur è
m
l’état d’avancement du projet, vue que ce dernier ce fait par étape. e
s
d
- Exemple : Nombre de mesures de sécurité mises en place ’
i
n
f
o
r
m
a
t
i
o
n
Abdelouahed Ennibi
S
é
c
u
r

i
t
é
 Approche méthodologique d
e
s
 Identifier les objets s

y
s
L’objet de la mesure est l’entité qui va fournir la mesure permettant, par la t
è
suite, de générer l’indicateur. m
e
s
- Exemple: Comité de pilotage sécurité d

Si l’objectif est de vérifier la conformité de la gouvernance, l’objet qui fournira la ’
i
mesure pourra être « le comité de pilotage sécurité », puisque cette instance est n
f
identifiée comme élément clé dans la gouvernance du SMSI. Comme la mesure o
r
portera sur le comité de pilotage sécurité, ce dernier sera ainsi « l’objet » de la m
a
mesure. t
i
o
n
Abdelouahed Ennibi
S
é
c
u
r

i
t
é
e
s
 Identifier les attributs s

y
Ils sont des propriétés des objets, auxquelles on peut donner une valeur soit s
t
quantitative, soit qualitative. è

m
e
s
- Exemple: Réunion du comité du pilotage sécurité d
Le comité de pilotage sécurité est tenu de se réunir régulièrement, la tenu d’une ’
i
réunion est un attribut de l’objet « comité de pilotage sécurité ». n
f
o
r
m
a
t
i
o
n
Abdelouahed Ennibi
S
é
c
u
r

i
t
é
e
s
 Identifier la mesure s
y
s
La mesure est une variable qui se verra attribuer une valeur. t
è
On distingue deux types: m
e
s
- Mesure de base d
- Mesure dérivé ’
i
n
f
o
r
m
a
t
i
o
n
Abdelouahed Ennibi
S
é
c
u
r
i

é
e
s
 Identifier la mesure
s
y
s
- Mesure de base t
è
Directement issue des attributs. m
e
s
- Exemple: d
Le nombre de réunions du comité de pilotage sécurité tenues dans le semestre ’

i
est la mesure relative à l’attribut « réunion du comité de pilotage ». n

f
o
r
m
a
t
i
o
n
Abdelouahed Ennibi
S
é
c
u
r

i
t
é
e
s
 Identifier la mesure s
y
- Mesure dérivé s
t
Elles sont le fruit d’une combinaison de mesures, ou l’application d’une è

m
fonction. e
s
d
- Exemple: ’
i
Le nombre moyen d’action correctives décidées lors des tenues des réunions du n
f
comité de pilotage de sécurité est une mesure dérivée. o
r
m
a
t
i
o
n
Abdelouahed Ennibi
S
é
c
u
r

i
t
é
e
s
 Fixer le modèle analytique s

y
C’est un algorithme qui combine plusieurs mesures. Il s’agit d’une formule qui s
t
interprète la mesure afin de savoir si elle dénote une situation satisfaisante ou è

m
pas. e
s
d
- Exemple: Nombre de réunion du comité de pilotage de sécurité ’
i
Si le nombre de réunion du comité de pilotage sécurité = nombre de réunion n
f
prévues, alors « satisfaisante ». o
r
m
a
t
i
o
n
Abdelouahed Ennibi
S
é
c
u
r

i
t
é
e
s
 Définir l’indicateur s
y
s
C’est l’interprétation concrète dans le SMSI de l’application du modèle t
è
analytique sur les mesures. m
e
s
- Exemple: d
Si « satisfaisant » , alors le processus de gouvernance est satisfaisant. ’

i
n
f
o
r
m
a
t
i
o
n
Abdelouahed Ennibi
S
é
c
u
r
i

é
e
s
 Définir les critères de décision y

s
Ce sont les actions correctives et préventives qui devront être entreprises t
è
lorsque les indicateurs auront atteint certain niveau. m
e
s
- Exemple: comité de pilotage de sécurité d

’
Si « satisfaisant », alors ne rien faire. i
n
Si « à améliorer », alors convoquer dès que possible la tenue d’un COPIL sécurité. f
o
Si « non satisfaisant » alors demander le soutien de la direction générale, r
m
confirmer le calendrier des tenus du COPIL sécurité, rappeler aux membres du a
comité l’importance de leur participation, relancer ceux qui on été toujours t

i
indisponibles. o
n
Abdelouahed Ennibi
S
é
c
u
r

i
t
é
e
s
s
Objet y
s
t
è
Mesure de base m
e
s
Attribut Mesure dérivée d
’
Attribut i
n
Indicateur f
o
Attribut r
m
a
Modèle analytique Action t

i
o
n
Critères de décision
Abdelouahed Ennibi
S
é
c
u
r
i

t
é
d
e
s

y
l’information s
t
è
m
e
 Les audits s
• Principes de base
d
’
i
• Principe de l’audit n
f
• Différents types d’audit

o
r
m
• Déroulement d’audit a
t
• La notion de non-conformité
i
o
n
Abdelouahed Ennibi
S
é
c
u
r
 Les audits
i
t
é
 Principes de base d
e
s
Trop souvent, l’audité pense encore que l’auditeur peut arriver s

y
s
d’un instant à l’autre, sans prévenir, et avec des instructions t
è
secrètes. On a ainsi l’impression que l’auditeur vient pour pièger m
e
l’audité. s
d
’
i
Une meilleur façon de considérer les audits consiste à : n
f
o
r
m
- Ecrire noir sur blanc toutes les opérations qui seront réalisées. a
t
- À prévenir toutes les personnes concernées. i
o
- Régler en amont toute difficulté avant qu’elle ne devienne n
ingérable.
Abdelouahed Ennibi
S
é
c
u
r
 Les audits
i
t
é
 Principe de l’audit d
e
s
Les auditeurs sont tenu à tout instant de respecter les cinq s

y
s
principes suivants: t
è
m
e
- Déontologie s
d
- Impartialité ’
i
- Conscience professionnelle n
f
- Indépendance o
r
- Approche fondée sur la preuve m

a
t
i
o
n
Abdelouahed Ennibi
S
é
c
u
r
i
 Les audits t
é
 Principe de l’audit d
e
s
 Déontologie
s
y
s
Les auditeurs sont tenus à un devoir de discrétion, ils ne doivent pas dévoiler à t
è
l’audité des informations relatives à une autre société. m
e
s
 Impartialité d
’
Les auditeurs doivent présenter leurs constats honnête indépendamment de i
n
l’opinion personnelle qu’ils se font des audités. f
o
r
 Conscience professionnelle
m
a
t
L’auditeur a une mission très précise qu’il doit accomplir en un délai défini. i
o
n
Abdelouahed Ennibi
S
é
c
u
r
i
 Les audits
t
é
 Principe de l’audit
d
e
s
s
 Indépendance y
s
L’auditeur doit être indépendant par rapport à l’audité. Aussi sera-t-il tenu de t
è
refuser d’auditer un périmètre sur lequel il a déjà travaillé en tant que conseil. m
e
s
 Approche fondée sur la preuve d

’
l’auditeur ne doit pas baser ses conclusions sur des préjugés ou des i
n
suppositions. Il doit se fonder exclusivement sur des faits. f
o
r
m
a
t
i
o
n
Abdelouahed Ennibi
S
é
c
u
r
 Les audits
i
t
é
 Différents types d’audit d

e
s
Il existe de très nombreux types d’audits. Chacun répond à un s

y
besoin très particulier. s

t
è
m
e
Dans le cadre de SMSI nous retenons ceci : s
d
’
i
- Audits de base n
f
o
r
m
a
t
i
o
n
Abdelouahed Ennibi
S
é
c
u
r
i
 Les audits t
é

e
s
 Audits de base s
y
s
L’audit peut être vu comme une relation tripartite entre un auditeur, un audité t
è
et un commanditaire. m
e
Il en existe trois : s
- Audit interne ’
i
- Audit seconde partie n
f
- Audit tierce partie o
r
m
a
t
i
o
n
Abdelouahed Ennibi
S
é
c
u
r
 Les audits
i
t
é

e
s
y
s
- Audit interne t
C’est un audit commandé par l’entreprise pour se contrôler elle même ou bien è
m
commandé un cabinet spécialisé. C’est ce qu’on appelle l’externalisation de e

s
l’audit interne. d
Dans ce cas d’audit interne , c’est la même entité qui est commanditaire (celui ’
i
qui paye l’audit). n
f
o
r
m
a
t
i
o
n
Abdelouahed Ennibi
S
é
c
u
r
 Les audits
i
t
é

e
s
y
s
- Audit seconde partie t
C’est un audit dans lequel le commanditaire est une partie prenante (un client, è
m
par exemple), et l’audité un fournisseur. e

s
Les auditeurs sont soit des employés du commanditaire, soit ils travaillent dans d
un cabinet fournissant une prestation d’audit pour le commanditaire. ’
i
n
f
o
r
m
a
t
i
o
n
Abdelouahed Ennibi
S
é
c
u
r
 Les audits
i
t
é

e
s
y
- Audit tierce partie s

t
C’est ce qu’on l’appelle couramment l’audit de certification. Le commanditaire è

m
et l’audité font partie de la même entité. e
s
En revanche l’auditeur travail obligatoirement pour un organisme de d
certification indépendant. ’
i
n
f
o
r
m
a
t
i
o
n
Abdelouahed Ennibi
S
é
c
u
r
 Les audits
i
t
é
 Déroulement d’audit d
e
s
Les audits internes et seconde partie laissent libres le choix de la s

y
s
méthode par contre l’audit tierce partie sont tenus de respecter la t
è
séquence présente ci-après. m
e
s
d
- Premier contact ’
i
- Revu de la documentation n
f
- Plan d’audit o
r
m
- Réunion d’ouverture a
t
- Activités d’audit i
o
- Réunion de clôture n
- Après l’audit
Abdelouahed Ennibi
S
é
c
u
r
 Les audits
i
t
é
e
s
 Premier contact s
y
Il permet de confirmer : s
t
- Objectif : è
m
Il varie énormément d’un cas à l’autre (Obtenir la certification iso 27001, par e
s
exemple).
d
’
i
- Champ : n
f
Il détermine l’étendu et les limites de l’audit. Il peut couvrir l’ensemble des o
r
exigences d’une norme, sur tous les processus du SMSI. m
Dans le langage courant on parle de « périmètre de l’audit » mais le terme a

t
technique est bien « champ d’audit ». i

o
n
- Critère :
Ce sont les références auxquelles sont confrontés les observations de
l’auditeur, ce qui lui permet de formuler les conformités ou des non-
conformités.
Abdelouahed Ennibi
S
é
c
u
r
 Les audits
i
t
é
e
s
 Revu de la documentation s
y
Le but de la revue est de vérifier la conformité de la documentation au regard s

t
des critères d’audit. A ce stade l’auditeur n’a pas le temps d'étudier toute la è
m
documentation. e
s
Il se contente de prendre connaissance des documents clés du système de
d
management pour vérifier qu’ils existent et qu’ils sont conformes. ’
i
n
f
o
r
m
a
t
i
o
n
Abdelouahed Ennibi
S
é
c
u
r
 Les audits
i
t
é
e
s
 Plan d’audit s
y
Le plan d’audit sert donc de récapitulatif officiel pour vérifier qu’auditeur et s

t
audité se sont bien compris et qu’ils sont d’accord sur les points clés de l’audit. è
m
Le plan d’audit est composé de deux parties. e
s
d
La 1er partie récapitule les points convenu lors de la revu de documentation: ’
i
• Objectif, champ et critères n
f
• Dates de début et de fin , sites concernés o
• Rôles et responsabilité de chacun

r
m
• Questions logistiques a
t
• Clauses de confidentialité i
o
• Toute autre question jugée suffisamment importante pour être n
formalisée par écrit dans ce document
Abdelouahed Ennibi
S
é
c
u
r
 Les audits
i
t
é
e
s
 Plan d’audit s
y
La seconde partie détaille les actions que prévoit l’auditeur, et notamment, les s
t
personnes qu’il souhaite rencontrer et les thèmes qu’il va aborder. è

m
e
Auditeur Nom Prénom s
exemple : Auditer le SMSI de la société X en vue d'obtenir la certification d

Objectif ISO 27001 ’
Champ d'audit exemple : Tous le processus du SMSI sur tous les sites de l'entreprise i
n
Critères f
d'audit exemple : ISO 27001 o
Dates Du Lundi 12 janvier 2012 au au Vendredi 16 Janvier 2012 r
m
Matin Heure : Tâche d'audit planifiée
Lundi a
Après-Midi Heure : Tâche d'audit planifiée t
Matin Heure : Tâche d'audit planifiée i
Mardi o
Après-Midi Heure : Tâche d'audit planifiée n
Mercredi
Après-Midi Heure : Tâche d'audit planifiée
Jeudi
Vendredi
Abdelouahed Ennibi
S
é
c
u
r
 Les audits
i
t
é
e
s
 Réunion d’ouverture s
y
Elle fait figure de véritable lancement de l’audit. Elle se tient généralement s

t
deux à trois semaine après la revu de documentation. è

m
La réunion d’ouverture est purement formelle, au cours de laquelle l’audit est e
s
ouvert officiellement. d
Il ne faut pas la confondre avec la réunion de lancement , cette dernière a pour ’
i
fonction de régler les questions pratique en vue de procéder à l’audit. n
f
o
r
m
a
t
i
o
n
Abdelouahed Ennibi
S
é
c
u
r
 Les audits
i
t
é
e
s
 Activités d’audit s
y
s
L’auditeur aborde point par point tout ce qui est prévu dans le plan d’audit. t
Pour chaque thème abordé, il cherche d’abord à : è

m
e
s
- Comprendre le fonctionnement des processus correspondants d
- Etudier les documents (procédures, politique, inventaires etc…) ’
i
- S’entretenir avec les responsables et les opérateurs n
f
- Vérifier la cohérence des informations recenser puis les confronter aux o
r
critères d’audit m
a
t
i
Deux cas sont alors possible: o
- Il n’y a pas d’écart : il dresse un constat de conformité n
- Il y a écart : il rédige une fiche d’écart et chaque non-conformité donne lieu

à une fiche.
Abdelouahed Ennibi
S
é
c
u
r
 Les audits
i
t
é
e
s
 Réunion de clôture s
y
Elle marque la fin de l’audit. s

t
Les personnes concernées sont les mêmes pour la réunion d’ouverture. è
m
Durant cette réunion, l’auditeur passe en revu, devant tout le monde, toutes e
s
les non-conformités constatées.
d
’
i
n
f
o
r
m
a
t
i
o
n
Abdelouahed Ennibi
S
é
c
u
r
i
 Les audits t
é
e
s
 Après l’audit s
y
s
Aucune norme ne formalise officiellement les rapports d’audit de certification. t
è
Dans la plupart des cas, on y retrouve les sections suivantes: m
e
s
- Rappels d
Rappel des objectifs, champ et critères de l’audit, aussi les dates d’intervention ’
i
etc… n
f
- Constats o
r
Cette section constitue l’essentiel du rapport. L’auditeur y consigne tous les m
a
constats de conformité. t
i
- Fiche d’écart o
n
Elles récapitulent toutes les non-conformités identifiées lors de l’audit.
- Conclusion
Le rapport termine par la conclusion de l’auditeur, qui se limite généralement à
une simple phrase.
Abdelouahed Ennibi
S
é
c
u
r
i
 Gestion des risques en sécurité de l’information

t
é
d
e
s
 La norme ISO 27005 s

y
 Méthodes d’analyse des risques s

t
è
m
e
s
d
’
i
n
f
o
r
m
a
t
i
o
n
Abdelouahed Ennibi
S
é
c
u
r
 La norme ISO 27005

i
t
é
 Définition de la norme ISO 27005 d

e
s
L'ISO/CEI 27005:2008 a été publiée le 4 juin 2008. Cette norme s

y
s
n'est pas une méthode d'analyse des risques liés au traitement de t
è
l'information. m
e
s
d
Elle constitue une norme de gestion des risques liés à ’
i
l'information. n
f
o
r
m
C'est un guide pour la mise en œuvre de la gestion des risques de a
t
la sécurité de l'information. i
o
n
La démarche proposée est structurée en sous-processus /

activités
Abdelouahed Ennibi
S
é
c
u
r
i
 La norme ISO 27005 t

é
 Processus de la norme ISO 27005 d

e
s
s
Elle propose un processus d'appréciation, d'analyse et de y
s
traitement des risques aligné sur la démarche d'amélioration t

è
continue de la sécurité des informations proposée par l'ISO/IECI m

e
s
27001 structurée en 4 grandes étapes : d
1. l'établissement du contexte, ’
i
2. l'appréciation du risque qui comprend son analyse et son évaluation en n
f
fonction des enjeux de l'entreprise, o
r
3. le traitement du risque, m
4. l'acceptation du risque après traitement. a

t
i
o
Ces quatre étapes sont accompagnées de deux autres tâches qui n
sont :
• la communication au sein de l'entreprise et
• la supervision et la revue continue du risque.
Abdelouahed Ennibi
S
é
c
u
r

i
t
é

e
s
s
y
s
t
è
m
e
s
d
’
i
n
f
o
r
m
a
t
i
o
n
Abdelouahed Ennibi
S
é
c
u
r

i
t
é

e
s
Ce processus est conforme aux principes d'amélioration continue s

y
appliqués à la gestion des risques liés à l'information (PDCA) : s

t
è
m
e
1. Plan : s
• Etablissement du contexte d
’
• Appréciation des risque i
•
n
Développement du plan de traitement des risques f
• Acceptation des risques résiduels après traitement o

r
2. Do : m
a
• Implémenter le plan de traitement des risques t

i
3. Check : o
n
• Supervision continue et revue continue des risques
4. Act :
• Maintenir et améliorer le processus de gestion des risques
Abdelouahed Ennibi
S
é
c
u
r

i
t
é

e
s
s
y
s
t
è
m
e
s
d
’
i
n
f
o
r
m
a
t
i
o
n
Abdelouahed Ennibi
S
é
c
u
r

i
t
é

e
s
s
y
Évitement du risque Soit on décide de ne rien faire car l'attaque et donc la menace est s
jugée improbable, et l'entreprise se dit prête à assumer les t
è
conséquences (impact) d'un sinistre m
Soit on décide de renoncer à l'activité source du risque ou à e
l'application concernée, en acceptant un manque à gagner que l'on s
considère moindre que le risque lui-même. d
Transfert du risque C'est le cas d'un contrat d'assurance qui assume une partie du risque à ’
i
la place de l'entreprise ou le cas de la sous-traitance d'une fonction à n
un prestataire f
o
Réduction du risque Par la mise en place de mesures de sécurité, techniques ou r
organisationnelles, permettant de combler les vulnérabilités; mais m
a
aussi par la dissuasion ou une bonne communication externe comme t
interne. i
o
Conservation du L'impact est considéré comme tolérable face au coût des mesures de
n
risque sécurité à mettre en face.
Abdelouahed Ennibi
S
é
c
u
r
i
t
 Gestion des risques en sécurité de l’information é
d
e
s
 Méthodes d’analyse des risques s

y
s
t
è
m
e
s
d
’
i
n
f
o
r
m
a
t
i
o
n
Abdelouahed Ennibi
S
é
c
u
r
i
 Méthode d’analyse des risques t

é
 Principes généraux des méthodes de sécurité informatique d

e
s
 Méthodes s
y
s
Elles procèdent en plusieurs étapes. t
è
m
o Déterminer le périmètre du système e

s
L’analyse doit couvrir tous les éléments qui peuvent contribuer à générer d
des défaillances (environnement, matériel, logiciel, application, réseau, ’

i
exploitation). n
f
o
r
o Analyser les risques m
a
L’évaluation du risque doit être effectuée en fonction de la durée et de la t
i
nature des pertes d’information. o
n
o Analyser les vulnérabilités

Elle doit couvrir tous les objets de l’environnement en relation avec le
système d’information.
Abdelouahed Ennibi
S
é
c
u
r
i

é

e
s
 Méthodes
s
y
s
t
è
o Identifier les dispositions à prendre m
e
Les dispositions sont orientées vers la disponibilité (reprise rapide, s
passage en mode dégradé) ou vers le secours (restauration des données, d
restauration de l’infrastructure). ’
i
n
f
o
r
m
a
t
i
o
n
Abdelouahed Ennibi
S
é
c
u
r
i

é

e
s
 Méthodes s
y
s
t
è
- Mehari m
- Ebios e
s
- Octave / OctaveS d
’
i
n
f
o
r
m
a
t
i
o
n
Abdelouahed Ennibi
S
é
c
u
r
i

é

e
s
 Méthodes s
y
s
- Mehari t
è
En 1997, le Clusif a évolué de la méthode Marion à la méthode Mehari m
(Méthode harmonisée d’analyse des risques ). La nouvelle méthode était e

s
revendiquée comme étant plus cohérente et offrant une mesure de d
l’évaluation des risques ’

i
n
f
o
r
m
a
t
i
o
n
Abdelouahed Ennibi
S
é
c
u
r
i

é

e
s
 Méthodes s
y
s
- Mehari t
La méthode Mehari s’appuie sur : è

m
e
s
a) Un plan stratégique de sécurité (PSS) qui fixe les objectifs de
d
sécurité et qui qualifie le niveau de gravité des risques encourus . ’
i
n
b) Des plans opérationnels de sécurité (POS) qui déterminent, par site f
o
ou par entité géographique, les mesures de sécurité à mettre en r
place, tout en assurant la cohérence des actions choisies. m
a
t
i
c) Un plan opérationnel d’entreprise (POE) qui permet le pilotage de la o
sécurité au niveau stratégique par la mise en place d’indicateurs et n
la remontée d’informations sur les scénarios les plus critiques.
Abdelouahed Ennibi
S
é
c
u
r
i

é

e
s
 Méthodes
s
y
s
- Mehari t
è
m
e
s
d
’
i
n
f
o
r
m
a
t
i
o
n
Abdelouahed Ennibi
S
é
c
u
r
i

é

e
s
 Méthodes
s
y
s
- Ebios t
è
EBIOS (méthode pour l’expression des besoins et l’identification des m
objectifs de sécurité) est une méthode basée sur l’analyse des risques, elle
e
s
est apparue dans sa première version en 1995 et elle a été élaborée par la d
’
DCSSI en France. i
n
f
La méthode EBIOS permet l’expression : o
r
m
a
a) Des besoins de sécurité. t
i
o
b) L’identification des objectifs de sécurité pour un système à concevoir n
ou un système existant.
Abdelouahed Ennibi
S
é
c
u
r
 Méthode d’analyse des risques

i
t
é

e
s
 Méthodes s
y
s
- Ebios t
è
La méthode EBIOS comprend quatre étapes: m
e
s
a) Étude de contexte :
d
cette première étape permet de prendre connaissance du domaine et ’
de le modéliser. i
n
f
o
b) Expression des besoins intrinsèques de sécurité : r
les besoins essentiels de sécurité doivent être issus des exigences m
a
opérationnelles du système indépendamment de toute solution t
i
technique. o
n
c) Étude des risques :

De manière classique, cette étude passe par les étapes suivantes :
sélection des menaces, détermination des vulnérabilités, association
des menaces et des vulnérabilités en termes de risques.
Abdelouahed Ennibi
S
é
c
u
r

i
t
é

e
s
 Méthodes s
y
s
- Ebios t
è
m
d) Identification des objectifs de sécurité déduits de : e
s
La confrontation des risques spécifiques aux besoins de sécurité .
d
La prise en compte des contraintes (en particulier la ’
réglementation). i
n
L’application de la politique de sécurité retenue pour les f
o
informations. r
m
a
t
i
o
n
Abdelouahed Ennibi
S
é
c
u
r

i
t
é

e
s
 Méthodes s
y
- Octave / Octave S s
t
Une méthode d’évaluation des vulnérabilités, des menaces, et des actifs è
m
opérationnels critiques publiée par le SEI ,(Software Engineering e
s
Institute) de la Carnegie Mellon University , université américaine
d
située à Pittsburgh très reconnue dans le domaine de la sécurité. ’
i
n
La première version d’OCTAVE est parue en 1999. En version 2.0 depuis

f
o
r
2001, la méthode a été déclinée en une version pour les PME en 2003 en m
finalisation « OCTAVE-S ». L’ensemble de la méthode est publique et a

t
maintenue par l’université i

o
n
Abdelouahed Ennibi
S
é
c
u
r
i

é

e
s
 Méthodes
s
y
s
- Octave / Octave S t
è
L’approche OCTAVE est avant tout basée sur les actifs de l’entreprise. m
L’équipe d’analyse devra donc : e

s
d
a) Identifier les actifs importants de l’entreprise. ’
i
n
b) Centrer son analyse des risques sur ces actifs les plus critiques. f
o
r
m
c) Considérer les relations entre ces actifs ainsi que les menaces et les a
vulnérabilités pesant sur eux. t
i
o
d) Evaluer les risques d’un point de vue opérationnel. n
e) Créer une stratégie de protection basée sur des pratiques.
Abdelouahed Ennibi
S
é
c
u
r

i
t
é

e
s
 Méthodes s
y
s
è
La méthode OCTAVE se décompose en 8 processus répartis dans les 3 m
phases majeures de la méthode. e
s
PHASE PROCESSUS
d
’
Vue Identification des connaissances par les cadres i
Supérieurs n
Organisationnelle Identification des connaissances par les cadres
f
o
de l’opérationnel r
m
OCTAVE
Identification des connaissances par les a

t
équipes
i
de production o
n
Création des profils de menace
Vue technique Identification des composants clefs

Evaluation des composants sélectionnés
Développement Analyse des risques

Développements
Abdelouahed Ennibi
S
é
c
u
r
i

é

e
s
 Méthodes s
y
s
è
m
e
s
PHASE PROCESSUS
d
’
Vue Dégager des informations sur l’organisation i
n
Organisationnelle f
o
Créer les profils de menace r
OCTAVE-S
m
a
t
Vue technique Examiner l'infrastructure informatique en i

relation avec les actifs critiques o
n
Développement Identifier et analyser les risques
Développer la stratégie de protection et les

plans de réduction des
risques
Abdelouahed Ennibi

Sécurité Des Systèmes D'information

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Sécurité Des Systèmes D'information

Transféré par

Droits d'auteur :

Formats disponibles

S

Sécurité des systèmes

 Management de la sécurité de l’information t

 Mise en place d’un système de management de la s

 Audit du système de management de la sécurité de è

 Gestion des risques en sécurité de l’information n

 La norme ISO 27005 t

 Enjeux et objectifs de la sécurité

 Place du système d’information dans l’entreprise s

 L’information est une ressource stratégique s

 Le système d’information facteur d’amélioration de la

 Management de la sécurité de l’information

 Mise en place d’un système de management de la s

 Audit du système de management de la sécurité de

 Management de la sécurité de l’information

 Mise en place d’un système de management de la s

 Le système de management de la sécurité de d

 L’implémentation d’un « SMSI » o

 Management de la sécurité de l’information

 Mise en place d’un système de management de la s

• Propriétés des systèmes de management o

 Les systèmes de management t

 Définition d’un système de management d

- D’atteindre des objectifs ’

 Les systèmes de management t

 Définition d’un système de management d

techniques visant à atteindre un objectif et, une fois celui-ci t

atteint , à s’y tenir, voir à le dépasser. m

 Les systèmes de management

 Propriétés des systèmes de management d

Parmi les nombreuses propriétés partagées par ces systèmes, y

- Large spectre de métiers et de compétences d

 Les systèmes de management t

 Propriétés des systèmes de management d

 Large spectre de métiers et de compétences s

Exemple: Un système de management pour le service de recherche et d

 Les systèmes de management

 Propriétés des systèmes de management d

 Un projet fédérateur et mobilisateur s

- Tous les cadres et employés directement impliqués dans les activités o

couvertes par le système de management

 Les systèmes de management t

 Propriétés des systèmes de management d

transmission de la connaissance dans l’entreprise se fait encore par d

 Les systèmes de management t

 Propriétés des systèmes de management d

écrit et consigner les principales décisions dans des comptes rendus. d

effectivement à ce qui a été spécifié par écrit. n

 Les systèmes de management

 Apports des systèmes de management d

La mise en place et l’exploitation d’un système de y

management est souvent lourde à implémenter vue leur coût t

Donc , il est légitime de se demander ce qui justifie un tel d

- L’adoption de bonnes pratiques a

 Les systèmes de management t

 Apports des systèmes de management d

- Comment réagir rapidement aux intrusions?

 Les systèmes de management t

 Apports des systèmes de management d

- L’attaque est analysée et des actions préventives sont entreprises pour o

éviter qu’une telle agression puisse se reproduire.

 Les systèmes de management t

 Apports des systèmes de management d