NORME

ISO/IEC 27001
Système de Management de la Sécurité de l’Information
Plan

ASAP PACIFIQUE

ISO/IEC 27001

ISO/IEC 27001 Annexe A (ISO/IEC 27002)

Approche Analyse des risques EBIOS

NOUMEA - Jeudi 20 octobre 2016

ASAP Pacifique

Vincent LOCASTELLO
Tél / fax (689) 83 20 14 – Vini (689) 73 83 64 - E-mail vlocastello@asap.pf

Ingénieur en informatique Temps réel, systèmes embarqués,

Réseaux & Systèmes

En Polynésie française depuis 2004

Auditeur Resp. d’Audit ICA QSE intégré

Auditeur International (Lead Auditor ISO 9000 series IRCA)

Référent de AFNOR en Polynésie

Missions :
Diagnostic & Audits, Conseil, Formations, Assistance aux démarches de
normalisation, Accompagnement à la mise en œuvre de système
Qualité – Hygiène - Sécurité - Environnement
ISO 9001, ISO 14001, OHSAS18001, HACCP, ISO 22000, NF K11-112,
ISO 27000
NOUMEA - Jeudi 20 octobre 2016
Références / Clients

SDR

COMEXT
MIN ENV

Assemblée
Pf

NOUMEA - Jeudi 20 octobre 2016

 NORME
ISO/IEC 27001
Système de Management de la Sécurité de l’Information
APPLICATION DE LA NORME ISO/IEC 27001

Un Système de Management de Sécurité de

l’Information (SMSI) selon l’ISO/IEC 27001 concerne
toute entreprise et touche l’ensemble des secteurs
d’activités.

Elle puise son développement dans des secteurs

exposés à une concurrence difficile ou traitant des
informations sensibles :

BANQUE, SANTE, ELECTRONIQUE, ADMINISTRATIONS

PUBLIQUES, TECHNOLOGIES DE L’INFORMATION, …

NOUMEA - Jeudi 20 octobre 2016

GENERALITES
Pourquoi l’ISO/IEC 27001?

Établir un niveau de confiance avec les partenaires et

les clients

Se positionner par rapport à un référentiel international

standard

Bénéficier d’une marque de reconnaissance

Être conforme aux réglementations

NOUMEA - Jeudi 20 octobre 2016

GENERALITES
Qu’est-ce que c’est ?

Certification de Systèmes de Management de la Sécurité de

l’Information (SMSI) :
- Exigences Organisationnelles
- Exigences Techniques

Basée sur :

 BS 7799-2 / ISO 17799

 Les principes de sécurité de l’OCDE
(Organisation de Coopération et de Développement Économiques)

Complémentarité et Intégration avec d’autres systèmes de

management :
ISO 9001, ISO 20000-1, ISO 14001, EN 9100…

NOUMEA - Jeudi 20 octobre 2016

 ISO/IEC 27002
Code de bonne pratique pour le management de la
sécurité de l'information

ISO/IEC 27003
Lignes directrices pour la mise en œuvre du SMSI

ISO/IEC 27004
GENERALITES

Management de la sécurité de l'information -

Mesurage

ISO/IEC 27005
Qu’est-ce que c’est ?

Gestion des risques liés à la sécurité de l'information

NOUMEA - Jeudi 20 octobre 2016

ISO/IEC 27006
Exigences pour les organismes procédant à l'audit et
à la certification des SMSI

ISO/IEC 27007
Lignes directrices pour l'audit des SMSI

ISO/IEC TR 27008
Lignes directrices pour l'audit des contrôles de

ISO/IEC 27000
sécurité
ISO/IEC 27001

ISO/IEC 27011
Lignes directrices pour le SMSI pour les organismes
de télécommunications sur la base de l'ISO 27002
Les principales normes de la série ISO/IEC 27000

ISO/IEC 27799
Gestion de la sécurité de l'information relative à la
santé en utilisant l'ISO/CEI 27002
Systèmes de management de la sécurité de l'information - Vue d'ensemble et vocabulaire
ISO 22301
de l'information

ISO/IEC 27013
ISO/IEC 27035
et lignes directrices
Système de Management de la Sécurité de l’Information - Exigences

ISO/IEC ISO 31000

continuité d'activité - Exigences

Systèmes de management de la
Gestion des incidents de sécurité
Management du risque - Principes

Guide sur la mise en œuvre intégrée

d'ISO/CEI 27001 et ISO/CEI 20000-1
GENERALITES
Qu’est-ce que c’est ?
Synthèse
Modification de l’architecture
Renforcement
avec l’alignement sur la structure
du PDCA
HLS

Alignement avec
d’autres normes ISO
Intégration
prépondérante
du Leadership

ISO/IEC 27001 Focus

sur les compétences
version 2013
Redéfinition du périmètre
de certaines exigences
Contexte
de l’organisation

Renforcement
De nouvelles
de la surveillance
exigences
Meilleure
prise en compte
Précisions et des parties intéressées
clarifications
NOUMEA - Jeudi 20 octobre 2016
GENERALITES
Qu’est-ce que c’est ? 4.1 Compréhension de l’organisation et
de son contexte
Architecture de la norme 4.2 Compréhension des besoins et des
parties intéressées
4.3 Détermination du champ d’application
Amélioration du SMSI
continue 4.4 SMSI
10.1 Non-conformité et
actions correctives 5.1 Leadership and engagement
10.2 Amélioration 10 - 5.2 Politique
4 - Contexte de 5.3 Rôles, responsabilités and
continue Amélioration l’organisation autorités
5 - Leadership
6 – Planification 6.1 Actions face aux risques et
7 - Support opportunités
6.2 Objectifs de la sécurité de
9.1 Surveillance, 9 – Evaluation
mesures, analyse et l’information et plans pour les
évaluation des atteindre
9.2 Audit interne performances
9.3 Revue de direction 8 – Fonctionnement
7.1 Ressources
7.2 Compétence
7.3 Sensibilisation
7.4 Communication
8.1 Planification et maîtrise opérationnelles 7.5 Informations documentées
8.2 Appréciation du risque de sécurité de l’information
8.3 Traitement du risque de sécurité de l’information

A P
Et l’annexe A ? C D
35 Objectifs de Sécurité
 114 Mesures de Sécurité
NOUMEA - Jeudi 20 octobre 2016
GENERALITES
Qu’est-ce que c’est ?
La documentation demandée

Les documents exigés :

Domaine d’application du SMSI (§ 4.3)

Politique de Sécurité de l’Information (§ 5.2)
Processus d’analyse des risques – Résultat de l’analyse de risques (§ 6.1.2 - § 8.2)
Processus de traitement des risques – Résultats du traitement des risques (§ 6.1.3 –
§8.3)
Objectifs de sécurité de l’Information - Statement of Applicability / Déclaration
d’applicabilité (§ 6.2)
Preuves de compétences des personnes concernées (§ 7.2)
Planification et maîtrise opérationnelles (§ 8.1)
Surveillance, mesures, analyse et évaluation (§ 9.1)
Preuves de programme et résultats d’audit interne (§ 9.2)
Preuves de revues de direction (§ 9.3)
Non-conformités et résultats des actions correctives (§10.1)
Selon les mesures de sécurité incluses dans le SMSI

La documentation de l’organisme doit également inclure les procédures et

enregistrements nécessaires au fonctionnement du SMSI.
NOUMEA - Jeudi 20 octobre 2016
 ISO/IEC 27001 Annexe A
(ISO/IEC 27002)

NOUMEA - Jeudi 20 octobre 2016

GENERALITES
Qu’est-ce que c’est ?
L’annexe A – obligatoire
14 Domaines
35 Objectifs de Sécurité
 114 Mesures de Sécurité
 Politiques de Sécurité de l’Information (1/2)
 Organisation de la Sécurité de l’Information (2/7)
 Sécurité des Ressources Humaines (3/6)
 Gestion des Actifs (3/10)
 Contrôle d’Accès (4/14)
 Cryptographie (1/2)
 Sécurité physique et environnementale (1/15)
 Sécurité des opérations (7/14)
 Sécurité des communications (2/7)
 Acquisition, développement et maintenance des systèmes (3/13)
 Relation avec les fournisseurs (2/5)
 Gestion des incidents de sécurité de l’information (1/7)
 Les aspects de sécurité de l’information dans la continuité d’activité (2/4)
 Conformité (2/8)
NOUMEA - Jeudi 20 octobre 2016
Les normes : Annexe ISO 27001
Annexe 1/3

A.5 Politiques de sécurité de A.8 Gestion des actifs

l’information A.8.1 Responsabilités relatives aux actifs
A.5.1 Orientations de la direction en matière A.8.2 Classification de l’information
de sécurité de l’information A.8.3 Manipulation des supports

A.6 Organisation de la sécurité de A.9 Contrôle d’accès

A.9.1 Exigences métier en matière de contrôle
l’information
d’accès
A.6.1 Organisation interne
A.9.2 Gestion de l’accès utilisateur
A.6.2 Appareils mobiles et télétravail
A.9.3 Responsabilités des utilisateurs
A.9.4 Contrôle de l’accès au système et à
A.7 Sécurité des ressources l’information
humaines
A.7.1 Avant l’embauche A.10 Cryptographie
A.7.2 Pendant la durée du contrat A.10.1 Mesures cryptographiques
A.7.3 Rupture, terme ou modification du
contrat de travail

NOUMEA - Jeudi 20 octobre 2016

Les normes : Annexe ISO 27001
Annexe 2/3

A.11 Sécurité physique et A.13 Sécurité des

environnementale communications
A.11.1 Zones sécurisées A.13.1 Gestion de la sécurité des réseaux
A.11.2 Matériels A.13.2 Transfert de l’information

A.12 Sécurité liée à l’exploitation A.14 Acquisition, développement

A.12.1 Procédures et responsabilités liées à et maintenance des systèmes
l’exploitation
d’information
A.12.2 Protection contre les logiciels
A.14.1 Exigences de sécurité applicables
malveillants
aux systèmes d’information
A.12.3 Sauvegarde
A.14.2 Sécurité des processus de
A.12.4 Journalisation et surveillance
développement et d’assistance technique
A.12.5 Maîtrise des logiciels en exploitation
A.14.3 Données de test
A.12.6 Gestion des vulnérabilités techniques
A.12.7 Considérations sur l’audit des
systèmes d’information

NOUMEA - Jeudi 20 octobre 2016

Les normes : Annexe ISO 27001
Annexe 3/3

A.15 Relations avec les A.17 Aspects de la sécurité de

fournisseurs l’information dans la gestion de la
A.15.1 Sécurité dans les relations avec les continuité de l’activité
fournisseurs A.17.1 Continuité de la sécurité de
A.15.2 Gestion de la prestation du service l’information
A.17.2 Redondances
A.16 Gestion des incidents liés à
la sécurité de l’information A.18 Conformité
A.16.1 Gestion des incidents liés à la sécurité A.18.1 Conformité aux obligations légales et
de l’information et améliorations réglementaires
A.18.2 Revue de la sécurité de l’information

NOUMEA - Jeudi 20 octobre 2016

 Approche Analyse des risques EBIOS

NOUMEA - Jeudi 20 octobre 2016

Processus de Gestion des Risques

NOUMEA - Jeudi 20 octobre 2016

Evaluation des risques (principes)

1/ Que protéger et Liste des biens

Exemples de pourquoi ?
biens sensibles sensibles

Exemples de 2/ De quoi les protéger ? Liste des menaces

menaces

Norme 3/ Quels sont les risques Liste des impacts

2700x ? et probabilités

Exemples de 4/ Comment Protéger Liste des contre-

recommandations l’entreprise ? mesures

NOUMEA - Jeudi 20 octobre 2016

EBIOS

La méthode EBIOS est une méthode d'évaluation des risques développée

par l'Agence nationale de la sécurité des systèmes d'information (ANSSI).

Elle permet d'apprécier les risques Sécurité des systèmes d'information

(entités et vulnérabilités, méthodes d’attaques et éléments menaçants,
éléments essentiels et besoins de sécurité...), de contribuer à leur
traitement en spécifiant les exigences de sécurité à mettre en place, de
préparer l'ensemble du dossier de sécurité nécessaire à l'acceptation des
risques et de fournir les éléments utiles à la communication relative aux
risques.

NOUMEA - Jeudi 20 octobre 2016

EBIOS : 1.Contexte & impacts potentiels

Biens essentiels / Actif (processus, humain)

Besoins de sécurité & Valeur actif = somme DICT (*)

Dispo.
Intég.
Conf.
Traçab.

Evénements Redoutés

Impact(s) : IMG - FIN - JUR – ACT & Valeur d'Impact (**)

Scénario de la menace

Source de la menace

Vraisemblance
0-10% 10-50% 50-90% 90-100%
Très Faible Faible Moyenne Forte
Évènement faiblement Évènement vraisemblable Évènement à prendre en compte Évènement attendu
vraisemblable Peut arriver occasionnellement sérieusement Finit par arriver
Peut arriver

1-Improbable 2-Probable 2-Très Probable 4-Quasi Certain

Gravité brute = Valeur d'Impact + Vraisemblance

NOUMEA - Jeudi 20 octobre 2016
EBIOS : Echelle d’exigences

Disponibilité, faculté d’un système à fonctionner dans des conditions

prédéterminées d’exploitation et de maintenance (de délais et de
performances)

Intégrité, consistant à empêcher les altérations, suppressions ou ajouts

d’informations non autorisées

Confidentialité, consistant à empêcher la divulgation d’informations à des

personnes non autorisées

Traçabilité, consistant à gérer les traces des accès, actions ou échanges

réalisés, afin d’assurer la possibilité d’un contrôle systématique ou a
posteriori, d’apporter des preuves

NOUMEA - Jeudi 20 octobre 2016

EBIOS : Echelle d’exigences

Confidentialité Disponibilité Intégrité Traçabilité

Public Aucun besoin de disponibilité Aucun besoin d’intégrité Aucun besoin de preuve
Le bien est accessible à tous sans Le bien peut être indisponible Il n’y a aucun besoin de Il n’y a aucun besoin de
0
aucune restriction. définitivement ou pas, sans que cela ait une garantir l’intégrité du bien. garantir la preuve du bien.
conséquence.
Restreint aux Groupe XXX et aux Long terme
clients
Le bien est accessible seulement Le bien peut être indisponible plus d’une
1
aux collaborateurs du Groupe ou semaine, mais il ne doit pas être perdu
pour un client concerné et définitivement
identifié
Restreint aux Groupe XXX Moyen terme Besoin d’intégrité moyen Besoin de preuve moyen
2 Le bien est accessible seulement Le bien doit être disponible dans la semaine. Besoin d’intégrité moyen Besoin de preuve moyen
aux collaborateurs du Groupe.
Confidentiel Court terme
Le bien est accessible seulement Le bien doit être disponible dans la journée.
3 aux personnes du Groupe
directement concernées par cet
élément.
Secret Très court terme Parfaitement intègre Fort besoin de preuve
Le bien est très sensible, seules Le bien doit être disponible en temps réel. Le bien doit être Le bien doit être
4
certaines personnes identifiées parfaitement intègre. parfaitement traçable
peuvent y accéder.

NOUMEA - Jeudi 20 octobre 2016

EBIOS : Grille d'appréciation des impacts

Grille d'appréciation des impacts

Client Juridique Image Opérationnel Financier

Sanction civile ou
Mention négative Perturbation pouvant Valeur de la perte
Détérioration de la pénale dont l'impact
1 ponctuelle dans un être contournée sans inférieur à 25 % du
relation client financier ou d'image
média difficultés majeures CA mensuel
est de niveau 1
Sanction civile ou Atteinte à la Perturbation de la
Valeur de la perte
Perte de pénale dont l'impact réputation de capacité
2 inférieur à 50 % du
transaction financier ou d'image l'entreprise vs opérationnelle sans la
CA mensuel
est de niveau 2 problème concerné remettre en cause
Atteinte à la
Sanction civile ou Perturbation de la
réputation de Valeur de la perte
pénale dont l'impact capacité
3 Perte de client l'entreprise en général inférieur à 75 % du
financier ou d'image opérationnelle durant
avec mention dans la CA mensuel
est de niveau 3 plusieurs semaines.
presse locale
Atteinte durable à la
Sanction pénale
réputation de
contre la personne Impact irrémédiable Valeur de la perte
Perte d'un groupe l'entreprise avec
4 morale, les sur la capacité supérieure à 75 % du
de client mention dans la
mandataires sociaux opérationnelle. CA mensuel
presse locale ou
ou les dirigeants.
nationale

NOUMEA - Jeudi 20 octobre 2016

EBIOS : 2 Impacts potentiels et causes

Biens essentiels / Actif (processus, humain)

Biens de support

Mesure(s) de sécurité existante (s)

Vulnérabilités

Réévalatution de
Valeur d'Impact
Vraisemblance

Gravité résiduelle = Valeur d'Impact +

Vraisemblance ré-évaluée

NOUMEA - Jeudi 20 octobre 2016

EBIOS : 3.Trait. des risques

Biens essentiels / Actif (processus, humain)

Traitement proposé :
Evitement / Prise / Réduction / Transfert

Mesures(s) proposée(s)

Type
Prévention / Protection / Récupération

Réévalatution de
Valeur d'Impact
Vraisemblance finale (attendue)

Gravité finale (attendue) =

Valeur d'Impact + Vraisemblance ré-
évaluée finale (attendue)

Echéance(s)

NOUMEA - Jeudi 20 octobre 2016

EBIOS : PLAN DE CONTINUITE
DMIA & RTO (Prise de risques)

durée maximale d'interruption admissible (DMIA)

Niveau d'impact au bout de… Recovery Time
Objective (RTO)
1 j. 3 j. 1 sem. 15 j. 1 m.

Client NA NA C2 C3 C4
Jur. NA NA NA NA NA
Imag NA NA NA NA I1 1 mois
Ops NA NA O1 O2 O3
Fin. NA NA NA F1 F1
Client C2 C3 C3 C4 C4
Jur. NA NA J2 J2 J2
Imag I1 I3 I4 I4 I4 1 sem.
Ops O1 O2 O2 O2 O2
Fin. NA NA F1 F2 F4

NOUMEA - Jeudi 20 octobre 2016

EBIOS : PLAN DE CONTINUITE
DMIA & RTO (Prise de risques)

Biens essentiels / Actif (processus, humain)

RTO

Scénario

Solution proposée

Plan d'action

Plan de reprise (Réf. Document ou détail du

plan de reprise)"

NOUMEA - Jeudi 20 octobre 2016

 Question ?

NOUMEA - Jeudi 20 octobre 2016