Iso 27004

‘ Savoir, prévoir et décider ‘
A la découverte du logiciel libre ESIS
ISO 27004
Métriques, Indicateurs et Tableaux de Bord
“Learn & Lunch” du 28 Janvier 2010 à Genève
Animé par Philippe Le Berre
© 2010 Consulare sàrl, tous droits réservés.
Le PDCA de l’ISO 27004 défini le Plan de Mesurage de la
Sécurité de l’InformaSon pour mesure et améliorer le SMSI
Choix des mesures de sécurité qui feront l’objet d’un
mesurage, selon des critères de risques, de priorité et Implémenta?on des améliora?ons
capacité à effectuer la mesure. dans le SMSI
Implémenta?on
des mesures de
sécurité .
Défini?on de la
méthode de
mesurage
(comment) et
mesurage
(réalisa?on).
Contrôle de la per?nence et de l’efficacité du SMSI
suite à la mise en place des mesures de sécurité et
© 2010 Consulare sàrl, tous droits réservés. leur mesurage. 2
Le cycle de la métrologie de l’ISO 27004
Analyse du résultat. Besoin d’affiner ?
D’explorer ?
Choisir les mesures
de sécurité que l’on
souhaite évaluer (ie.
Mesure contre les
codes malveillants,
cloisonnement des
réseaux, remontée
des événements liés
à la sécurité de
l’informa?on, etc.)
Le moyen Cons?tu?on
d’effectuer la des agrégats,
Les aSributs mesure ra?o, moyenne,
délimitent la (collecte, normalisa?on,
métrique (ie. consolida?on) etc.
agrégat pays,
organisa?onnel,
par?e
d’infrastructure,
etc.)
© 2010 Consulare sàrl, tous droits réservés. 3
ExecuSve Security InformaSon System
•  ESIS est un logiciel qui rassemble les différents processus de la ges?on de la
sécurité et des risques afin d’apporter une réponse efficace, pragma?que aux
besoins des entreprises.
–  Chaque processus est un module à la fois autonome et capable d’échanger avec les
autres processus.
–  Une approche des métriques par la performance des processus et la consolida?on des
mesures fondamentales.
–  Des workflows pragma?ques et une interface qui s’adapte à la terminologie de
l’entreprise.
–  Supporte la consolida?on entre des unités (ie. filiales, clients infogérés, etc.).
–  La sécurité pris en compte : ségréga?on de l’administra?on, traçabilité, etc.
•  Première version en 2004.
•  Installé et u?lisé depuis 2005 par des organisa?ons.
•  Logiciel libre – opensource – sous licence GNU GPL v3.
<hSp://esis.sourceforge.net>
Les métriques au sein d’ESIS : une consolidaSon
sémanSque, quoSdienne, mulSdimensionnelle
•  SémanSque
–  Consolida?on au sein de silo de données de tout ce qui concerne
un sujet en u?lisant la richesse de toutes les sources.
•  Virus, Incidents, IT Service Management, Iden?té, Réseau, Vulnérabilités,
Email, Internet, Applica?ons, Assets, etc.
•  QuoSdienne
–  Calcul de métrique pour J
–  Agrégats par semaine, mois, trimestre, semestre, année.
•  MulSdimensionnelle
–  Des axes mul?ples pour cons?tuer des agrégats
•  Organisa?on (ie. groupe, business unit, département, site, datacenter, etc).
•  Personne (ie. individu, groupe d’u?lisateur, etc.).
•  Type de fonc?on (ie. administrateur, u?lisateur, etc.)
•  Réseau (ie. IP, range IP, VLAN, domaine interne, etc.)
•  Assets (ie. postes client, serveurs, etc.)
•  Audits, Contrôles
•  Normes, standards et références internes ou externes (ie. Poli?que de
sécurité interne, normes ISO, norme PCI, ITIL, etc.)
Une méthodologie projet pour assurer un résultat en
adéquaSon avec la société
Un mode de collecte mulSmodale par des sondes non
intrusive ‐ sans agent
Le choix des métriques se fait sur la base du besoin,
de l’applicabilité et de la disponibilité des données
Exemple d’Intranet de métriques
Vision sécurité applicaSon
internet (ie. banque en
ligne, etc.)
Intranet de
métriques
groupées par
thème
Un exemple de scoring et indicateurs de haut
niveau
Indicateur composite des 200 mesures de Scoring par niveau de maturité
sécurité les plus importantes.
Exemple de reporSng
Les avantages pour l’entreprise
Pour la DirecSon
  Une vison globale et une approche mul?‐domaines
  Un repor?ng “au bout des doigts” et exploitable pour la direc?on générale
  Le contrôle des objec?fs et des accords de niveau de service
  L’auditabilité et la traçabilité des processus
Pour la Sécurité, la DSI et les méSers
  Une plate‐forme de partage de l’informa?on avec toutes les par?es concernées (SI, lignes
business, RH, Juridique, Finances, etc.)
  Approche proac?ve de la concep?on de processus
  Une plus grande autonomie et une déléga?on mul?‐domaines.
  Une presta?on et solu?on facilitant le travail d’équipe
  Moins de d’ou?ls de repor?ng bureau?que hétérogènes
  Une presta?on et solu?on évolu?ve et modulaire
Les points de l’ISO 27004 et ESIS
Points clés de l’ISO 27004 ESIS
Un processus répétable capable de collecter et rapporter des données per?nentes pour fournir une tendance dans le temps (5.3.c) ✔
Des mesures quan?ta?ves basées sur les objec?fs du SMSI (5.3.d) ✔
Des données facilement accessible pouvant être u?lisées pour les mesures (5.3.e) ✔
Collecte périodique et consistante, analyse, et rapport sur la métrologie d’une façon per?nente (5.3.g) ✔
Obten?on de mesures répétables, objec?ves et per?nentes (5.2) ✔
Permet de démontrer la conformité vis‐à‐vis des contraintes légales, réglementaires, etc applicable à l’organisme. (5.3.1) ✔
Permet l’iden?fica?on de problème de sécurité précédemment non détectés ou inconnus (5.3.2) ✔
Répondre aux besoins du management en repor?ng notamment d’historiques des métriques pour les ac?vités présentes et passées (5.3.3) ✔
U?lisable comme source pour le processus de ges?on des risques, les audits interne et la conduite des revues de direc?on du SMSI (5.3.4) ✔
Collecte des données, et, si nécessaire, modifica?on du SMSI pour faciliter la créa?on et la collecte de données (8.2.b) ✔
Communica?on des changements dans la collecte des données aux par?es prenantes. (8.2.c) ✔
Maintenance et suivi des informa?on sur la collecte, les compétences requises, des types de données, ou?ls et procédures de collecte (8.2.d) ✔
Développement de poli?que et de procédures définissant l’u?lisa?on des métriques au sein de l’organisme, la dissémina?on de ces informa?ons, l’audit et ✔
la revue du programme de mesure de la sécurité de l’informa?on (8.2.e)
L’intégra?on de l’analyse des données et du repor?ng dans les processus clés pour s’assurer régulièrement de leur efficacité (8.2.f) ✔
Surveillance, revue et analyse des métriques (8.2.g) ✔
Défini?on d’un processus d’évolu?on des métriques pour supprimer, remplacer ou ajouter de nouvelle métrique afin de s’assurer que celle‐ci évolue en ✔
avec l’organisme (8.2.h)
Défini?on d’un processus pour détermine le cycle de vie des historiques de données pour le calcul de tendance dans le temps (8.2.i) ✔
Les points de l’ISO 27004 et ESIS
Points clés de l’ISO 27004 ESIS
Collecte des données requises à intervalle régulier en u?lisant une méthode choisie de collecte (8.3.a) ✔
Documenta?on de la collecte des données (8.3.b) ✔
‐ date, heure et source/localisa?on de la collecte de données (8.3.b.1) ✔
‐ informa?on sur le moyen de collecte (collector) (8.3.b.2) ✔
‐ informa?on sur le propriétaire et les sources (8.3.b.3) ✔
‐ toutes informa?on sur des points significa?fs concernant la collecte des données (8.3.b.4) ✔
‐ informa?on pour la vérifica?on des données et la valida?on des mesures (8.3.b.5) ✔
Vérifica?on de la collecte des données selon des critères de sélec?on et de valida?on du calcul des indicateurs. (8.3.c) ✔
Mul?ple PMSI selon les besoins et la taille de l’organisme ✔
C O N S U L A R E
C O N S U L A R E
Rue de la Rotisserie 8
CH-1204 Genève
Suisse
pleberre@consulare.ch
+41 (0)22.510.2425
+41 (0)79.915.2611
www.consulare.ch

Iso 27004

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Iso 27004

Transféré par

Droits d'auteur :

Formats disponibles

‘ Savoir, prévoir et décider ‘

‘ Savoir, prévoir et décider ‘

Vous aimerez peut-être aussi