Académique Documents
Professionnel Documents
Culture Documents
ou comment construire
un vrai système de management
de la sécurité ?
Évolution de la menace : ISO 27001 : les clefs du management
des Systèmes d’Information de la sécurité
sous pression !
La norme ISO 27001 décrit ce que doit être un système de mana-
La place de plus en plus prépondérante des Systèmes d’Informa- gement de la sécurité de l’information (SMSI) pertinent. Un SMSI
tion dans tous les processus métiers a sensiblement augmenté la recouvre l’ensemble des ressources mises en place pour organi-
dépendance des entreprises vis-à-vis de leur SI. Cette évolution ser et gérer la sécurité au quotidien. Il englobe les différents docu-
est corrélée à une plus large ouverture de l’entreprise au monde ments formalisant les règles de sécurité, ainsi que l’organisation
extérieur, qui implique directement une plus large ouverture des associée (RSSI, correspondants sécurité, exploitants, instances
systèmes d’information (nomadisme des collaborateurs, inter- de décision…). Le SMSI constitue donc un dispositif global de
connexion avec des partenaires, accès des clients…). Les nou- gouvernance de la sécurité de l’information. Il est important de
velles stratégies de sourcing (externalisation, infogérance, noter qu’il est toujours défini pour un périmètre bien déterminé :
off-shore) viennent encore renforcer les risques de perte de maî- toute l’entreprise, un métier ou un processus particulier, une
trise de la sécurité. Enfin, de multiples lois et réglementation aug- application, un centre de production…
mentent les exigences en matière de traçabilité, de protection
des données personnelles, et de continuité d’activité pour cer- Comme les systèmes de management de la qualité (ISO 9000) et
tains secteurs comme la banque et l’assurance ou la santé. Et les de l’environnement (ISO 14000), un SMSI ISO 27001 repose sur
autorités de régulation ou de contrôle, comme la CNIL par exem- le cycle de progrès PDCA : Plan, Do, Check, Act, également
ple, se font de plus en plus présentes. appelé Roue de Deming. Ce cycle vise une amélioration continue
reposant sur une logique simple : dire ce que l’on fait, faire ce que
Cette augmentation de « l’exposition » aux risques liés à la sécu- l’on a dit, puis contrôler et corriger ce qui ne va pas.
rité des SI se produit malheureusement dans un contexte où la
menace informatique s’accroît véritablement. Cette menace se
professionnalise, avec une recherche ciblée de gains financiers
ou d’avantage concurrentiel. L’usage généralisé de l’informatique
augmente aussi la tentation pour les attaques d’origines interne. PLAN
Globalement, toutes les enquêtes montrent une croissance de la
sinistralité déclarée. ACT
Pour faire face à ces évolutions, les entreprises ont toutes aug-
menté sensiblement leurs budgets consacrés à la sécurité des SI,
et ont pris des mesures conservatoires souvent centrées sur la
mise en place de dispositifs techniques (firewall, anti-virus, centre DO
de backup…). Mais ces mesures ont des limites, et ne peuvent
répondre à tous les problèmes. Elles sont souvent mal comprises
par les Directions Générales qui voient surtout les contraintes qu’el- CHECK
les amènent sans identifier clairement les risques business aux-
quelles elles répondent. Pour sortir de ce dilemme, les
Responsables de la Sécurité des SI (RSSI) doivent envisager de
nouvelles réponses, plus globales, et plus compréhensibles par les
responsables métiers et les Directions Générales. Le SMSI va également s’appuyer sur d’autres principes issus
des normes ISO 9000 et notamment une approche par proces-
Avec l’arrivée des normes de la famille ISO 27000, et surtout de sus : la norme préconise en effet que toutes les activités liées au
sa « clé de voûte », l’ISO 27001, les RSSI disposent maintenant SMSI soient conçues et formalisées sous la forme de processus.
d’un outil pertinent pour concevoir une telle réponse. Examinons Les porteurs et acteurs des différentes actions contribuant à la
en détail les concepts et les apports de cette norme. sécurité doivent donc être identifiés tout comme l’enchaînement
Implémentation du SMSI
ISO 27003
Guide díaudit s
ISO 27007
La norme ISO 27001 arrive alors que les entreprises et les admi- • Des chantiers « ISO 27002 » comme par exemple le Plan
nistrations ont déjà pour la plupart mis en place des premiers de Continuité d’Activité, la gestion des identités et des
éléments de gouvernance de la sécurité et ont engagé de nom- accès (IAM), la gestion contractuelle des tiers…
breux chantiers d’amélioration. La décision d’appliquer les prin-
cipes de l’ISO 27001 remet-elle en cause tout l’existant ? Le processus de gestion des risques, défini par l’ISO 27005, est
Comment entamer ce projet ISO 27001 ? l’un des processus clés à mettre en place dans le cadre de ce
plan de maîtrise des risques. Ce processus permet de préciser et
de mettre à jour progressivement la « cartographie des risques »
Par où commencer ? globale. Il permet aussi d’ajuster les contours et les priorités des
chantiers de mise en conformité et de réorienter le SMSI dans la
Si l’on prend l’ISO 27001 au pied de la lettre, la première étape à bonne direction si nécessaire. Le processus de gestion des ris-
mener est l’analyse de risques. Pour conduire cette action, le ques prévoira dans la plupart des cas une alimentation régulière
choix du « niveau de granularité » est lourd de conséquences. de la cartographie des risques sur la base des analyses de ris-
Identifier tous les risques en analysant chaque micro processus ques réalisées pour chaque projet SI et sur un travail progressif
de l’entreprise est une tâche de longue haleine. Se placer à un d’analyse détaillée des risques pour chaque processus métier.
niveau très macroscopique permet d’aller beaucoup plus vite,
mais donne des résultats beaucoup moins précis. Pour traiter
ce dilemme et lancer la « boucle PDCA » dans un délai raisonna- Analyse d'écart de la norme Analyse de risques macro
ble, nous préconisons de mener en parallèle l’identification
macroscopique des besoins de sécurité, réalisée sur la base d’in-
terviews des principaux responsables métiers et de la Direction Stratégie du SMSI
Générale, et une analyse des écarts entre les pratiques existan- Politique de sécurité
tes et les principes et règles de la norme (i.e. les chapitres 4 à 8 de Plan de maîtrise des risques
l’ISO 27001 et les 133 mesures de sécurité de l’ISO 27002), réa-
lisée sur la base d’interviews du RSSI et des responsables SI
(exploitants, architectes, chefs de projets…), d’une revue docu- Chantiers de mise
en conformité Processus de
mentaire et de visites de sites. ISO 27001/ISO 27002 gestion des
DO Ajustement ISO 27005
Ce travail initial permet d’identifier les grandes familles de ris-
ques et les périmètres du SI sur lesquels les enjeux sont les plus
forts. Il permet aussi de détecter les éléments manquants pour CHECK
disposer d’un SMSI opérationnel et efficient. Le travail ainsi mené ACT
permet de définir et de faire valider la « stratégie du SMSI » par la
Direction Générale. La stratégie du SMSI consiste à :
1) Fixer le périmètre du SMSI.
2) Formaliser une politique de sécurité de l’information et une
organisation adéquate. L’analyse de risques,
3) Définir un plan de maîtrise des risques argumenté identifiant point focal de la démarche
les chantiers prioritaires.
L’analyse de risques constitue le point de départ d’une démarche
Le plan de maîtrise des risques comporte plusieurs volets : ISO 27001. Pour autant, il s’agit d’un exercice complexe et sen-
• Des chantiers de conformité ISO 27001 pour décliner les sible nécessitant un vrai appui de la direction ainsi qu’une métho-
exigences de la norme. Une approche par processus de dologie et un plan de communication bien élaborés. Les
sécurité sera évidemment très pertinente (gestion des inci- difficultés à anticiper incluent :
dents, contrôle…). • La définition des critères d’acceptation des risques (à par-
tir de quel niveau l’entreprise ne peut accepter un risque).
Gestion documentaire
PLAN ACT
Système de management de la
sécurité de líinformation (SMSI)
ISO 27001
DO CHECK
3/ Sensibilisation et formation 11/ Plan de contrôle et d’audit
4/ Insertion de la sécurité dans les projets 12/ Tableaux de bord
5/ Gestion des tiers
6/ Mise en conformité (SOX, CNIL…)
7/ Gestion opérationnelle de la sécurité
8/ Plan de continuité d’activité
9/ Gestion des identités et des accès
10/ Architectures de sécurité
d’un plan d’action d’amélioration de la sécurité s’apparente tout amont (facteurs clés de succès, engagement du manage-
de même aux « 12 travaux d’Hercule ». Ce qu’il est donc très ment…).
important de noter, c’est que l’analyse des risques doit permet-
tre de définir les bonnes priorités dans la sélection et dans la La rédaction de cette norme est un travail important et complexe
conduite de ces chantiers. mais si le résultat est à la hauteur des espérances, elle pourrait
devenir incontournable pour tous les RSSI.
L’ISO 27001 n’impose pas de structure documentaire. Le docu-
ment de politique de sécurité de l’information pourra ainsi très
bien regrouper les principes de la politique du SMSI, son périmè- Mesurer l’efficacité du SMSI :
tre, l’organisation du SMSI et les directives/procédures sur les- les tableaux de bord de sécurité
quelles la sécurité sera bâtie. Il pourra aussi être pertinent de
consigner ces informations dans le manuel du SMSI, document Pour garantir l’efficacité du SMSI, il faut se doter de moyens de
maître du SMSI décrivant toute l’organisation mise en œuvre. mesure représentatifs et cohérents. A travers la publication de
Dans la plupart des cas, les procédures de sécurité devront être tableaux de bord de sécurité, les porteurs du SMSI vont pouvoir
complétées par une description des processus de sécurité. Ces à la fois mesurer cette efficacité, et communiquer vers les acteurs
processus précisent les règles applicables par une vision « orga- impliqués. Un bon indicateur est un compromis entre pertinence,
nisationnelle » des rôles et responsabilités. L’essentiel, c’est que complexité et pérennité. Pour construire des tableaux de bord, il
tous les éléments qui composent le SMSI sont clairement iden- faut à la fois :
tifiés. Si certains documents ne s’appliquent que partiellement au • Reprendre et consolider les éléments qui existent déjà
SMSI, cela doit être indiqué explicitement. C’est notamment le (souvent de nombreux indicateurs techniques issus des
rôle de la Déclaration d’Applicabilité (SoA) qui, même si elle n’est équipes d’exploitation).
pas impérative en dehors d’une certification officielle, constitue • Mais aussi construire des éléments de haut niveau repré-
un document très pertinent pour bâtir le SMSI. sentatifs du SMSI dans son ensemble.
La norme ISO 27003 devrait ensuite donner quelques guides On retrouvera donc dans les indicateurs des éléments de mesure
pour aider à l’implémentation des mesures de sécurité. Annon- de chaque phase et notamment :
cée pour la fin 2008, cette norme sera un guide d’aide à l’implé- • De l’analyse de risques (PLAN) et du plan de traitement
mentation du SMSI. Les premières versions de travail montrent des risques (DO).
une volonté forte de donner des conseils précis basés sur les • De suivi des chantiers ISO 27001 et ISO 27002 (DO).
meilleures pratiques rencontrées pour mettre en œuvre un SMSI. • Des contrôles et audits (CHECK).
Le document sera structuré en fonction de chaque étape du pro- • De suivi des actions correctrices et des recommandations
cessus PLAN, DO, CHECK, ACT mais détaillera également la des audits (ACT).
notion même de processus et abordera également les phases
La certification du SMSI par un organisme externe apporte une systèmes de management tels que l’ISO 9001 et l’ISO 14001
reconnaissance publique et internationale. Cette certification (système de management environnemental). Les normes géné-
nécessite cependant des efforts importants qui doivent donc être riques d’audit sont complétées par des textes spécifiques au
justifiés par un réel besoin métier. La certification garantit de SMSI, en particulier la norme ISO 27006. L’organisation souhai-
manière indépendante que le SMSI est conforme aux exigences tant se faire certifier va tout d’abord contracter avec un orga-
spécifiées, qu’il est capable de réaliser de manière fiable les nisme de certification.
objectifs déclarés et qu’il est mis en œuvre de manière efficace. Ce contrat d’une durée de 3 ans va encadrer l’ensemble du cycle
Ses apports sont notamment : de la certification. L’organisme de certification va mandater des
1. Vis-à-vis des clients, des fournisseurs et des partenaires, la auditeurs certifiés pour réaliser les contrôles. Plusieurs types
réponse à des demandes explicites des clients lors d’émis- d’audits sont formellement identifiés : l’audit initial couvrant la
sion d’appels d’offres requérant la certification, la maîtrise totalité du périmètre, des audits de surveillance sur un périmètre
des coûts avec la réduction du nombre d’audits mandatés plus restreint et l’audit de renouvellement.
par des tiers ou encore le renforcement de l’image de mar- La durée de l’audit est déterminée par la norme ISO 27006 et
que de la société. varie suivant le nombre et la taille des sites, le nombre de person-
2. Pour l’entreprise, la capacité de mobiliser ses équipes der- nes dans le périmètre et la complexité du SI. À titre d’exemple, il
rière un projet commun et visible, dans un objectif de plan- faut compter un peu moins de 30 jours d’audit pour une société
ning déterminé, et d’accélérer ainsi la démarche de 10 000 employés.
d’amélioration de la sécurité. Suite à cette phase de contractualisation, l’audit certifiant est ini-
tié. Une première phase de vérification documentaire est réalisée
Mais viser la certification reste une cible ambitieuse nécessitant avant d’enchaîner sur les visites de sites. Lors de cette opération,
un bon niveau de maturité. C’est un projet à part entière néces- les auditeurs réalisent un ensemble de contrôles, techniques et
sitant un haut niveau de sponsoring. C’est aussi un engagement organisationnels, pour vérifier que le SMSI « tourne », que les
dans la durée, aussi bien dans la fourniture de moyens que dans principes sélectionnés ont bien été mis en œuvre et que le sys-
l’amélioration continue. À la vue des efforts nécessaires, la certi- tème est pérenne.
fication doit répondre à une demande explicite des métiers et de
la direction de la société. La majorité des contrôles organisationnels nécessite la fourniture
de preuves concrètes (comptes rendus de réunion, documents
La certification dans le monde approuvés, listes de personnes ayant suivi les formations…). Les
contrôles plus techniques sont vérifiés par la réalisation d’opéra-
Aujourd’hui, le niveau d’adoption de la certification ISO 27001 est tions sur les systèmes (affichage des habilitations, vérification
très hétérogène d’un pays à l’autre. Certains sont très en avance, en des correctifs…). De plus, certains contrôles par des interviews
particulier le Japon. D’autres (États-Unis, Inde…) sont en train de spontanées d’employés sont possibles.
rattraper leur retard suite à la publication de l’ISO 27001 comme Suite à l’audit, les auditeurs font parvenir leurs recommandations
norme internationale. Fin août 2007, 2 323 certifications ISO 27001 à l’organisme de certification qui approuve les résultats et peut
ont été prononcées dans le monde. En France, quelques sociétés délivrer le certificat officiel. En cas de désaccord avec les résul-
ont obtenu la certification. Agissant principalement sur le domaine tats, il est possible de poser des recours.
des technologies de l’information, ces sociétés ont certifié des pro-
cessus particuliers proches de leur cœur de métier.
Les difficultés de la certification
La certification, une démarche encadrée et Au-delà des points clés inhérents à la mise en place du SMSI (périmè-
normalisée tre, analyse de risques et mesure de l’efficacité), les difficultés rencon-
trées couramment lors des audits certifiant sont les suivantes :
Pour obtenir la certification, il est nécessaire de faire auditer son • La gestion des enregistrements et des preuves demande
SMSI par un organisme de certification externe. La certification des efforts importants de formalisation et de communica-
du SMSI ISO 27001 suit le même processus que celle des autres tion. C’est sur cette base que les contrôles seront réalisés.
CONCLUSION :
Adopter les principes
dès aujourd’hui,
certifier sur opportunité !
La norme ISO/IEC 27001, première brique d’une grande famille de majeurs que l’on pourra pleinement tirer partie des enseigne-
normes internationales consacrées à la sécurité des systèmes ments des normes tout en se donnant un périmètre de travail
d’information, constitue une avancée majeure dans le mouve- raisonnable. Une fois ces risques majeurs maîtrisés, les cycles
ment de professionnalisation progressive des démarches de successifs de la boucle PDCA permettront d’élargir progressive-
sécurité. ment le périmètre des risques traités pour couvrir à terme l’en-
Elle formalise des principes essentiels qui vont permettre un ali- semble du système d’information.
gnement progressif de la sécurité de l’information avec les meil-
leures pratiques de management : pilotage par les risques, En résumé, appliquons dès aujourd’hui les bons principes de
formalisation des processus, contrôle, amélioration continue… l’ISO 27000, mais visons la certification uniquement lorsque le jeu
en vaut la chandelle !
Appelée à s’imposer, l’ISO 27000 est aussi pour les RSSI et les
DSI un outil de communication efficace permettant d’asseoir la
crédibilité et la cohérence des démarches d’amélioration de la
sécurité, et de conforter et valoriser ces démarches vis-à-vis du
top management. Avec la certification officielle, cette crédibilité
deviendra même dans certains secteurs d’activité une reconnais-
sance externe incontournable.
Il ne faut pourtant pas tout attendre de l’ISO 27000 : en aucun cas Laurent BELLEFIN
les normes n’aident à choisir le bon niveau de granularité et de Directeur des opérations sécurité
détail pour conduire les analyses de risques. Elles n’aident pas du groupe Solucom.
non plus à sélectionner les mesures de sécurité adaptées au
contexte et ne garantissent pas que les processus que vous allez
définir seront les plus efficaces pour maîtriser vos risques. Comme
dans le domaine de la qualité, les normes fixent des objectifs,
proposent une méthodologie, mais seuls le bon sens et l’expertise
assurent la pertinence des choix d’implémentation. A propos de Solucom
Le chemin à parcourir pour s’aligner complètement avec la norme Solucom :Cabinet de conseil en gouvernance des SI et technologies,le groupe Solu-
et atteindre la certification ISO 27001 s’avérera souvent long, coû- com rassemble plus de 500 consultants. Dans le domaine de la sécurité, Solucom
teux et ambitieux. La certification officielle doit donc être réservée accompagne les grandes entreprises dans la mise en place de leur politique de maî-
pour le moment aux organisations qui peuvent y trouver un apport trise des risques SI et dans le design de leurs architectures de sécurité. Le pôle
direct pour leur cœur de métier. sécurité du Groupe Solucom est fort de plus de 120 consultants intervenant sur les
aspects suivants :
Mais que cela n’empêche pas chaque entreprise d’appliquer dès • cartographie des risques et conduite d’audits,
maintenant les bons principes des normes, et d’accélérer ainsi • formalisation des politiques et des organisations de management de la sécurité,
leur démarche d’amélioration de la sécurité ! C’est en focalisant • élaboration de plans de continuité d’activité,
dans un premier temps l’attention sur le traitement des risques • conception des processus et des solutions de gestion des identités et des habilitations.