Les normes de sécurité

informatique
BS 7799 / ISO 17799, ISO 27002 ,
ISO 27001, BS 7799-2

Présenté par
Dr. Ala Eddine Barouni
 Plan

• Sécurité des informations, normes

BS 7799, ISO 17799, ISO 27001

• Normes BS 7799, ISO 17799 et ISO 27002

• Qualités de BS 7799 / ISO 17799

• Les dix contextes clés de ISO 17799

• Normes ISO 27001, BS 7799-2

• Approche de gestion (Modèle PDCA)

• Historique

• Pour qui ?

• Implantation

• Outils et logiciels
Les normes de Sécurité Informatique

Sécurité des informations, normes

BS 7799, ISO 17799, ISO 27001

• Plusieurs normes, méthodes et

référentiels de bonnes pratiques en
matière de sécurité des systèmes
d’information sont disponibles. Elles
constituent des guides
méthodologiques ainsi que le moyen
de fournir l'assurance d'une démarche
de sécurité cohérente.
 Les normes de Sécurité Informatique
• L’ISO a entrepris un vaste effort de rationalisation
des travaux existants donnant naissance à la série
des ISO 27000. Certaines sont obligatoires pour
obtenir une certification (27001 et 27006), les autres
ne sont que des guides :

• l'ISO 17799 sera renommé en 27002, le 1er avril

2007.

• l'ISO 27006 est en cours de fabrication -sortie

prévue fin novembre.

• l'ISO 27004 et l'ISO 27005 sont à l'état de drafts

avancés.
Normes BS 7799, ISO 17799 et ISO 27002 ?

• Un ensemble de contrôles basés sur

les meilleures pratiques en sécurité des
informations;

• Standard international qui couvre tous

les aspects de la sécurité informatique:
– Équipements;
– Politiques de gestion;
– Ressources humaines;
– Aspects juridiques.
 Normes BS 7799, ISO 17799 et ISO 27002

• ISO 17799 (partie 1) se veut un guide contenant des

.

conseils et des recommandations permettant d’assurer la

sécurité des informations d’une entreprise.

• La norme ISO 17799 (partie 2 :2005), prochainement

renommée 27002, est directement tirée de la BS 7799-1
(créée par le BSI British Standard Institute).
Elle correspond à un niveau de détail plus fin que la
27001 et spécifie une Poltique de la Sécurité des
Systèmes d'Information. C'est une liste détaillée et
commentée de mesures de sécurité. Cette norme est un
guide de Bonnes Pratiques (Best Practices)
Normes BS 7799, ISO 17799 et ISO 27002
Pour maîtriser la sécurité d'un système d'information.
plusieurs versions de la BS 7799 ont été élaborées
depuis le début des années 1990 et la dernière est
devenue la norme ISO/IEC 17799.

Schématiquement, la démarche de sécurisation du

système d'information doit passer par 4 étapes de
définition :

1. périmètre à protéger (liste des biens sensibles),

2. nature des menaces,
3. impact sur le système d'information,
4. mesures de protection à mettre en place.
 Normes BS 7799, ISO 17799 et ISO 27002

• L’ ISO 17799 donne des exemples et des indications

sur les niveaux 1 à 3, mais ne traite vraiment que le
niveau 4 (et en partie seulement), en listant ce qui est
nécessaire de mettre en place, sans toutefois préciser
en détail comment.

• La norme ISO 17799 comporte 39 catégories de

contrôle et 133 points de vérification répartis en 11
domaines :
 Normes BS 7799, ISO 17799 et ISO 27002
• 1. Politique de sécurité

• 2. Organisation de la sécurité :
- organisation humaine, implication hiérarchique,
- notion de propriétaire d’une information et mode de
classification,
- évaluation des nouvelles informations,
- mode d’accès aux informations par une tierce partie,
- Répartition des responsabilités, groupes de travail, …

3. Classification et contrôle des biens

- Identifications des actifs, Classification de l’information
 Normes BS 7799, ISO 17799 et ISO 27002

• 4. Sécurité du personnel
- contrats de travail, Sensibilisation à la sécurité,
implication dans la sécurité
• 5. Sécurité physique
- organisation des locaux et des accès,
- protection contre les risques physiques (incendies,
inondations...)
- systèmes de surveillance et d’alerte,
- sécurité des locaux ouverts et des documents
circulant.
 Normes BS 7799, ISO 17799 et ISO 27002
• 6. Communication et exploitation:
- Gestion des incidents,
- Gestion du réseau
- prise en compte de la sécurité dans les procédures
de l’entreprise,
- mise en oeuvre des systèmes de sécurisation (anti-
virus, alarmes..),

• 7. Contrôle d'accès:
- Utilisateurs
- Définition des niveaux d’utilisateurs et de leur droit
d’accès,
Normes BS 7799, ISO 17799 et ISO 27002
- Gestion dans le temps des droits,
- Réseau
- Système d’exploitation
- Application

• 8. Acquisition, développement et maintenance des

systèmes
- Contrôles cryptographiques
- Sécurité des fichiers
- Chevaux de Troie

• 9. Gestion des incidents

 Normes BS 7799, ISO 17799 et ISO 27002
• 10. Management de la continuité de service
-Planification , test, réévaluation

• 11. Conformité:
- dispositions réglementaires
- dispositions légales
- dispositions internes (Politique)

• La norme n'impose pas d'autre formalisme que la mise en place

d'une organisation qui garantit un bon niveau de sécurité au fil du
temps.

• Elle est orientée processus et déborde de ce fait des simples

aspects de technique informatique. Elle s'intéresse à l'organisation
du personnel ainsi qu'aux problèmes de sécurité physique (accès,
locaux...).
Qualités de BS 7799 / ISO 17799

• Couverture de la norme;
• Éprouvée;
• Publique;
• Internationale;
• Image de marque associé à « la
qualité »
• Évolutive et souplesse (s’adapter aux
contextes);
• Disponibilité d’outils et de support.
 Les dix contextes clés de ISO 17799
Politique de
sécurité
Sécurité de
Conformité
L’organisation

Gestion de la Classification et
Intégrité Confidentialité
continuité contrôle des actifs
Information
Développement Sécurité du
et maintenance personnel
Disponibilité

Contrôle des Sécurité physique et

accès Gestion des environnementale
Communications
et opérations
 Les dix contextes clés de ISO 17799
Organisationnel

1. Politique de
sécurité

2. Sécurité de
l’organisation

3. Classification et 7. Contrôle des

contrôle des accès
actifs

10. Conformité

4. Sécurité du personnel 5. Sécurité physique et

environnementale

8. Développement 6. Gestion des 9. Gestion de la

et maintenance communications et opérations continuité

Opérationnel
 Normes ISO 27001, BS 7799-2

• La norme ISO 27001, publiée en Novembre 2005,

définit la Politique du Management de la Sécurité
des SI au sein d'une entreprise. Elle est issue de la
BS 7799-2:1999 Specification for information
security management systems qui définit les
exigences à respecter pour créer un ISMS
(Information Security Management System). Elle
spécifie en annexe certains contrôles de sécurité,
tirés de la 17799, dont la mise en oeuvre est
obligatoire.
 Normes ISO 27001, BS 7799-2

• La norme ISO 27001 comprend 6 domaines de

processus :
1. Définir une politique de la sécurité des
informations,
2. Définir le périmètre du Système de Management
de la sécurité de l'information,
3. Réaliser une évaluation des risques liés à la
sécurité,
4. Gérer les risques identifiés,
5. Choisir et mettre en oeuvre les contrôles.
Préparer un SoA ( "statement of applicability").
 Normes ISO 27001, BS 7799-2

• Comme ISO 9000, l’ISO 27001 porte moins sur

l’efficacité des dispositions mises en place, que sur
leur existence, et la mise en place d’une boucle
d’amélioration (PDCA).

• BS 7799 (partie 2) propose des recommandations

afin d’établir un cadre de gestion de la sécurité de
l'information efficace. BS 7799-2 permet d’établir un
système de gestion de sécurité de l’information
(SGSI).
Approche de gestion (Modèle PDCA)
Approche de gestion (Modèle PDCA)
Approche de gestion (Modèle PDCA)
Approche de gestion (Modèle PDCA)
Approche de gestion (Modèle PDCA)
 Complémentarité avec d’autres normes ISO
Complémentarité avec d’autres normes ISO

Code de bonnes pratiques pour la gestion

de la sécurité de l’information
ISO 17799

Produits et systèmes certifiés

par ISO 15408(CC)

Guide de gestion de la sécurité

de la technologie de l’information
ISO13335 (GMITS)
 History and Historique
Development of ISMS
La norme ISO 17799 (partie 2 :2005)
Avril 2007 renommée 27002

Novembre 2005 La norme ISO 17799 (partie 2), ISO 27001

Septembre 2002 Nouvelle version de BS 7799-2

revue et corrigée
2001
Révision de BS 7799-2

Décembre 2000 ISO/IEC 17799:2000

1999 Standards suédois SS 62 77 99 Partie 1 et 2

Nouvelle version de BS 7799 Partie 1 et 2
1998 BS 7799 Partie 2

1995 BS 7799 Partie 1

Pour qui les normes?

• Les normes BS 7799/ISO 17799, …

peuvent être utilisée par tout
organisme ou entreprise. Il suffit qu’une
organisation utilise des systèmes
informatiques, à l’interne ou à
l’externe, qu’elle possède des
données confidentielles, qu’elle
dépende de systèmes d’informations
dans le cadre de ses activités
commerciales ou encore qu’elle
désire adopter un niveau élevé de
sécurité tout en se conformant à une
norme.
Achat en ligne du standard ISO 17799
(% par région)

18 % 23 %
9%

35 %
6%

Autres : 9 %
Audit et certification BS 7799 / ISO 17799

• Il n’existe pas de certification ISO 17799 pour le

moment.
• Une entreprise peut se conformer à ISO 17799
et ensuite se certifier BS 7799-2 : 2002, ISO
27001.
• Une démarche d’audit peut être appuyée:
– Vérification interne
– Vérification externe (lettre d’opinion)
– Bureau de registraire du BSI (certification officielle)
Liste d’entreprises certifiés

• Plus de 80 000 entreprises se

conforment à BS 7799/ISO 17799 à
travers le monde dont:
• Fujitsu Limited;
• Insight Consulting Limited;
• KPMG ;
• Marconi Secure Systems ;
• Samsung Electronics Co Ltd;
• Sony Bank inc. ;
• Symantec Security Services ;
• Toshiba IS Corporate
 Avantages

• Se conformer aux règles de

gouvernance en matière de gestion
du risque.

• Une meilleure protection de

l’information confidentielle de
l’entreprise ;

• Une réduction des risques d’attaques ;

• Une récupération des opérations plus

rapidement et plus facilement lors
d’attaques ;
Avantages (suite)

• Une méthodologie de sécurité

structurée et reconnue
internationalement ;

• Une confiance mutuelle accrue entre

partenaires ;

• Une diminution potentielle des primes

d’assurance contre les risques
informatiques ;

• Une amélioration des pratiques sur la

vie privée et une conformité aux lois
sur les renseignements personnels.
 Méthodologie et cycle d’implantation
Étape de la Description
méthodologie
du cycle
d’implantation
de la norme
Initiation du projet •Inciter l’engagement de la haute direction;
•Sélectionner et former les membres de l’équipe initiale du
projet.

Définition du SGSI L’identification de la portée et des limites du cadre de

(Système de gestion de la gestion de la sécurité de l’information est déterminante pour
sécurité de l’information) la bonne conduite du projet.

Évaluation des risques •Identifier et évaluer les menaces et vulnérabilités;

•Calculer une valeur de risque associée;
•Diagnostiquer le niveau de conformité ISO 17799;
•Inventorier et évaluer les actifs à protéger.
Méthodologie et cycle d’implantation (suite)
Étape de la Description
méthodologie
du cycle
d’implantation
de la norme
Traitement de risque Vous comprendrez comment la sélection et l’implantation
des contrôles vous permettront de réduire les risques à un
niveau acceptable pour l’organisation.

Formation et sensibilisation Vos employés peuvent être le maillon faible dans la chaîne
de sécurité de votre organisation.

Préparation à l’audit Apprenez comment valider votre cadre de gestion et ce

qu’il faut faire avant la venue d’un auditeur externe pour la
certification BS 7799-2 ou ISO27000.

Audit Apprenez-en davantage sur les étapes réalisées par les

auditeurs externes et sur les organismes de certification
accrédités BS 7799-2 ou ou ISO27000.
Amélioration continue
Livrables – ISO 17799
Obstacles potentiels Facteur de succès
• Crainte, résistance au • Ressources et personnel
changement; dédiés;
• Augmentation des • Expertise externe;
coûts; • Bonne compréhension des
• Connaissances fonctionnements (gestion) et
inadéquates pour des processus (opérations) de
l’approche gestion du risque;
sélectionnée;
• Tâche apparemment • Communications fréquentes;
insurmontable. • Sensibilisation des
gestionnaires et des employés
• Engagement de la direction
supérieure;
• Structure de l’approche.
Implantation – ISO 17799
 Références

• Documents BSI (www.bsi.org.uk/index.xhtml)

• Information Security Management: An Introduction

(PD3000)
Fournit une vue d'ensemble du fonctionnement pour
la certification accréditée et forme une préface utile
aux autres guides.

• Guide to BS7799 Risk Assessment and Risk

Management (PD3002)
Décrit les concepts sous-jacents à l'évaluation de
risque de BS 7799, y compris la terminologie, le
processus d'évaluation et la gestion de risque.

• ISO/IEC Guidelines for the Management of IT Security

(GMITS)

• Selecting BS7799 Controls (PD3005)

Décrit le processus de sélection des commandes
appropriées.