Isms Implementation FR

Abonnez-vous à DeepL Pro pour traduire des fichiers plus volumineux.
Visitez www.DeepL.com/pro pour en savoir plus.
MS ISO/IEC 27001:2007
SYSTÈME DE GESTION DE LA
SÉCURITÉ DE
L'INFORMATION (ISMS) MISE
EN ŒUVRE
Par : Noor Aida Idris CISSP, auditeur principal du SMSI
CyberSécurité Malaisie
Copyright © 2010 CyberSecurity Malaysia
AGENDA
- Introduction à la sécurité de
l'information
Système de gestion de l'information (SGI)
• Mise en œuvre du SMSI
• Avantages de la certification ISMS pour la

cybersécurité en Malaisie
• Facteurs critiques de succès

SMBP-5-PSL-14-ISMS-v1 2
QU'EST-CE QUE LA SÉCURITÉ DE L'INFORMATION ?
Préservation de la confidentialité, de l'intégrité et de la

disponibilité des informations ; en outre, d'autres propriétés
telles que l'authenticité, la responsabilité, la non-répudiation
et la fiabilité peuvent également être impliquées. Référence : MS
ISO/IEC 27001:2007 Systèmes de gestion de la sécurité de l'information
❑ Confidentialité - propriété selon laquelle les informations ne sont

pas divulguées à des personnes, des entités ou des processus
non autorisés.
❑ Intégrité - la propriété de sauvegarder l'exactitude et l'intégrité des

données.
l'exhaustivité des informations
❑ Disponibilité - propriété d'être accessible et utilisable sur

demande par des personnes, des entités ou des processus
autorisés.
SMBP-5-PSL-14-ISMS-v1
3
INCIDENTS DE CYBERSÉCURITÉ (1997-2009)
• Au total, 13 314 incidents de sécurité ont été signalés depuis 1997 (à
l'exclusion des spams).
• Pour l'année 2009, le nombre total de spams détectés s'élève à 184 407.
4,000
3,564
CyberSecurity Malaysia (à
3,500
cybersécurité signalés à
Nombre d'incidents de
l'exclusion des spams)
3,000
2,500
2,123
2,000
Source :
1,372 MyCERT
1,500
1,038
860 912 915
1,000 754
527 625
500 347
196
81
-
2008
1997
1998
1999
2000
2001
2002
2003
2004
2005
2006
2009
2007
4
LES CONSÉQUENCES DES INCIDENTS DE SÉCURITÉ
Quel est le degré d'importance des conséquences suivantes en cas de
perte, de compromission ou d'indisponibilité des informations de votre
organisation ?
Source :
Ernst &
Young, 2008

5
COMMENT RÉAGIR ?
❑ Comprendre les
menaces
❑ Atténuer les risques
❑ Stratégie de sécurité - personnes, processus,
technologie
❑ Établir des exigences en matière de sécurité :
❑Évaluation des risques
❑Exigences légales, statutaires, réglementaires et
contractuelles
❑Ensemble de principes, d'objectifs et d'exigences
opérationnelles en matière de traitement de
6
l'information qu'une organisation a mis au point pour
soutenir ses activités.

7
QU'EST-CE QUE L'ISMS ?
• ISMS e que part d les global gestion

s de sécurité
Le système ie ede l'information,
e basé sur une
approchet du risque d'entreprise, permet d'établir, de
mettre en œuvre, d'exploiter, de contrôler,
d'examiner, de maintenir et d'améliorer la sécurité de
l'information.
• Le système de gestion comprend la structure
organisationnelle, les politiques, les activités de
planification, les responsabilités, les pratiques, les
procédures, les processus et les ressources.
Référence : MS ISO/IEC 27001:2007
8
Une approche systématique de la gestion de la
sécurité de l'information de
l'organisation

9
POURQUOI L'ISME ?
Objectif de la sécurité de l'information tel que défini dans la

norme ISO/IEC 27002
"Minimiser les risques et l'impact sur les entreprises tout en
maximisant les opportunités commerciales et les
investissements et en assurant la continuité des activités.
Maximiser les
opportunités
commerciales et
les
investissements
Minimiser les risques et les impacts

Assur
er
la
co
nti
nu
ité
de
s
ac
tiv
ité
s

AGENDA
l'information


MS ISO/IEC 27001:2007 ou ISO/IEC 27001:2005
❑Technologies de
l'information -
Techniques de sécurité -
Systèmes de gestion de
la sécurité de
l'information - Exigences
❑Certification et norme
vérifiable
❑Approche obligatoire
fondée sur les
risques
❑Clause 4 à Clause 8 -
clauses de conformité
Flic droit © 2010 CyberSecurity Malaysia
RÉSUMÉ DE
MS ISO/IEC 27001:2007
- 4:Système de gestion de la sécurité de l'information
- 4.1 Exigences générales
- 4.2 Établir et gérer la sécurité de l'information
- 4.2.1 Mise en place du SMSI
- 4.2.2 Mise en œuvre et fonctionnement du SMSI
- 4.2.3 Contrôler et réviser le SGSI
- 4.2.4 Maintenir et améliorer le SGSI
- 4.3 Exigences en matière de documentation
- 4.3.1 Généralités
- 4.3.2 Contrôle des documents
- 4.3.3 Contrôle des enregistrements
- 5 : Responsabilité de la direction
- 5.1 Engagement de la direction
- 5.2 Gestion des ressources
- 5.2.1 Mise à disposition de ressources
- 5.2.2 Formation, sensibilisation et compétence
- 6:Audit interne du SMSI
- 7:Revue de direction du SMSI
- 7.1 Généralités
- 7.2 Contribution à l'examen
- 7.3 résultats de l'examen
- 8:Amélioration du SMSI
- 8.1 : Amélioration continue
- 8.2 : Mesures correctives
- 8.3 : Actions préventives Copyright © 2010 CyberSecurity Malaysia
MS ISO/IEC 17799:2006 ou ISO/IEC 27002:2005
❑ Technologies de l'information - Techniques de

sécurité - Code de pratique pour la gestion de
la sécurité de l'information
❑ Établit des lignes directrices et des principes
généraux pour initier, mettre en œuvre,
maintenir et améliorer la gestion de la
sécurité de l'information dans une
organisation.
❑ Il contient les meilleures pratiques en matière
d'objectifs de contrôle et de contrôles (avec
quelques lignes directrices pour la mise en
œuvre) dans de nombreux domaines de la
gestion de la sécurité de l'information.
❑ Les contrôles énumérés sont également
inclus dans l'annexe A de la norme MS
ISO/IEC 27001.
❑ Il ne s'agit PAS d'une norme de
certification et d'audit
APERÇU DE LA MISE EN ŒUVRE D'ISMS
Contrôles de la sécurité de
l'information (sur la base de la
norme ISO/IEC 27002:2005)
Réalisation
d'une étude [11 domaines, 133 contrôles]
préliminaire
Amélioration des Politique de sécurité
Établir les rôles performances
Organisation de la gestion des
Conduite de actifs de la sécurité de
l'audit
Portée du interne
l'information
SMSI
Ressources humaines Sécurité
Mesurer
l'efficacité Sécurité physique et environnementale
Élaborer un SGSI
Communication et gestion des opérations
Contrôle d'accès
Politique Sélection et mise Acquisition, développement et maintenance
en œuvre des des systèmes d'information
contrôles
Organiser des
ateliers de
Gestion des incidents de sécurité de l'information
Effectuer
sensibilisation une Conformité de la gestion de la continuité des
évaluation
des risques activités
Exigences en matière de gestion de la sécurité de l'information

14 (sur la base de la norme MS ISO/IEC 27001:2007)
ISMS PDCA CYCLE
L'organisation doit PLAN

Mise en place du SMSI
établir, mettre en Contexte et
évaluation
œuvre, des risques
opérer, contrôler, réviser,

maintenir et améliorer une GLOBAL
GESTION
le SMSI documenté dans DO SYSTÈME
ACT
Conception
le contexte de l'ensemble et
mettre en
Améliorer le
SGSI
L'APPROCH
des activités de œuvre le
SMSI
E FONDÉE
l'organisation et des SUR LES
RISQUES
risques auxquels elle est
confrontée VÉRIFIE
R
Contrôler et
Référence : MS ISO/IEC 27001:2007 Réviser le
SGSI
Clause 4.1 Exigences générales
15
Mise en œuvre du SMSI
- L'expérience de CyberSecurity Malaysia
2006 2007 2008 2009 2010
• Étude -1ère étape Audit de Audit de

• Mettre en
préliminaire sur d'audit surveillance surveillance
œuvre et
l'ISMS de
reprendre le -2ème phase
NISER
processus DO, d'audit
mise en œuvre
CHECK et ACT
• Kikckoff de Phase
l'ISMS • Nous
-Évaluation des
Mise en œuvre -
Phase du PLAN risques sommes
• Sensibilisation & certifiés
!
programme f mation
de o
• Audit interne
r
Amélioration continue

ÉTABLIR LES ISMES
▪ Définir le champ d'application et les ▪ P i
limites du SMSI r o
▪ Définir une politique de SMSI é n
▪ Définir l'approche de p
l'organisation en matière a d
d'évaluation des risques r '
▪ Identifier les risques e a
▪ Analyser et évaluer les risques r p
▪ Identifier et évaluer les options de p
traitement des risques u l
▪ Sélectionner les objectifs de contrôle et n i
contrôles pour le traitement des risques e c
Fai d
a
b
re é i
▪ Obtenir l'approbation de la direction c l
sur les risques résiduels proposés l i
▪ Obtenir l'autorisation de la direction a t
pour mettre en œuvre et exploiter le r é
SMSI. a
t (
DDA)
Plan
Agir
Vérifi
er
DÉFINIR LA PORTÉE ET LES LIMITES DES ISMES
❑ Définir le champ d'application et les limites du

SMSI en fonction des caractéristiques de
l'entreprise, de l'organisation, de sa
localisation, de ses actifs et de sa technologie,
en incluant les détails et la justification de toute
exclusion du champ d'application.
❑ Une partie limitée de l'organisation ou

l'ensemble de l'organisation

18
DÉFINIR UNE P O L I T I Q U E E N
M A T I È R E D'ISMS
❑ Définir une politique de SMSI en fonction des

caractéristiques de l'entreprise, de
l'organisation, de sa localisation, de ses actifs et
de sa technologie, et en tenant compte des
exigences légales et réglementaires.
❑ Tient compte des exigences commerciales,

légales ou réglementaires, ainsi que des
obligations contractuelles en matière de sécurité.
❑ Doit être approuvé par la direction

APPROCHE DE L'ÉVALUATION DES RISQUES
• Évaluation des risques - processus global d'analyse

des risques (utilisation systématique d'informations
pour identifier les sources et estimer les risques) et
d'évaluation des risques (processus de comparaison
des risques estimés par rapport à des critères de risque
donnés afin de déterminer l'importance des risques).
• Identifier une méthodologie d'évaluation des risques

adaptée au SMSI et aux exigences légales et
réglementaires en matière de sécurité de l'information
de l'entreprise.
• Effectuer une évaluation des risques

20
PRÉPARER L'AOS
• Déclaration d'applicabilité (SOA)
• L'AOS est un document décrivant :

– les objectifs de contrôle et les contrôles
sélectionnés, ainsi que les raisons de ces
sélections
– les objectifs de contrôle et les contrôles
actuellement mis en œuvre
– les raisons des exclusions

METTRE EN ŒUVRE ET EXPLOITER LES ISMES
▪ Formuler et mettre en p a
œuvre un plan de r u
traitement des risques o t
▪ Mettre en œuvre et c r
exploiter les contrôles é e
▪ Mesurer l'efficacité des d s
contrôles sélectionnés u
▪ Mettre en place des formations et r c
des e o
programmes de sensibilisation s n
Fai t
re e r
▪ Gérer le fonctionnement de la
t ô
ISMS
l
▪ Gérer les ressources
d e
▪ Mettre en œuvre des
' s
Plan
Agir
Vérifier
METTRE EN ŒUVRE DES CONTRÔLES
• Mettre en œuvre les contrôles sélectionnés dans

le cadre de l'évaluation des risques et des
traitements :
• Les objectifs de contrôle et les contrôles de

l'annexe A de la norme MS ISO/IEC 27001 doivent
être sélectionnés ; des objectifs de contrôle et des
contrôles supplémentaires peuvent également être
sélectionnés.

MESURER L'EFFICACITÉ
• Assurer une sécurité de l'information

efficace en conciliant les exigences de
l'entreprise et les exigences de sécurité
• Les paramètres de mesure devraient être les suivants

:
– Des informations précises et fiables
– Répétable, vérifiable et évolutif

METTRE EN ŒUVRE LA FORMATION ET LA
SENSIBILISATION
PROGRAMME
• L'objectif du programme de formation et de

sensibilisation est de créer une culture de
gestion des risques et de sécurité bien fondée.
• Une formation spécifique à la sécurité doit être

mise en place chaque fois que cela est
nécessaire pour soutenir le programme de
sensibilisation et permettre à toutes les parties
de remplir leurs tâches en matière de sécurité.
SENSIBILISATION ET FORMATION
SENSIBILISATION/FORMAT FORMATION ISMS MODULE/OUTIL CIBLE

ION
PROGRAMME
Formation aux compétences • Mise en œuvre du SMSI • Les responsables de la
en matière de SMSI • Auditeur principal certifié mise en œuvre du SMSI
• Formation à l'évaluation des • Auditeurs internes du
risques SMSI
-Cadres supérieurs
Formation à l'introduction du • Exigences en matière de Tous les employés
SMSI pour les employés normes et code de pratique
• Atelier d'évaluation des risques
Sensibilisation générale au • Discussions de sensibilisation Tous les employés

SMSI • Affiches 3rd partie (vendeur,
• Messages électroniques consultant, etc.)
Évaluation du SMSI • Quiz ad hoc Tous les employés

• Test en ligne
26
MATÉRIEL DE SENSIBILISATION - AFFICHES EXEMPLE

CONTRÔLER ET RÉVISER LES ISMS
contrôles
▪ Audits
▪ Contrôler et
examiner les
performances P
▪ Examiner les
risques et procéder
l
à des réévaluations a
des risques n
▪ Examiner les
résultats du
traitement des
incidents Faire
▪ Examen de la gestion
▪ Examiner
l'efficacité des
Vérifier
Agir
EXAMEN DES ISMES
• Examen régulier de l'efficacité du SMSI

- Prise en compte des résultats des audits de sécurité,
des incidents, des suggestions et du retour
d'information de toutes les parties intéressées
• Examen du niveau de risque résiduel et
acceptable
- Prise en compte des changements intervenus dans
l'organisation, la technologie, les objectifs et les
processus commerciaux, les menaces identifiées et les
événements extérieurs.
• Examen régulier du SGSI par la direction

- La direction réexamine le SGSI à des intervalles planifiés
29
afin de s'assurer qu'il reste adapté, adéquat et efficace.

30
EFFECTUER DES AUDITS INTERNES SUR
LES ISMS
• L'audit interne est effectué à des intervalles planifiés
intervalles pour déterminer si les objectifs, les

contrôles, les processus et les procédures des
contrôles sont respectés :
– se conformer aux exigences de sécurité identifiées
– sont mises en œuvre et maintenues de manière
efficace
– Performances conformes aux attentes

31
MAINTENIR ET AMÉLIORER LES ISMES
▪ Mettre en œuvre les atteignent

améliorations l'objectif visé
identifiées P
▪ Prendre des l
mesures a
correctives et
n
préventives
▪ Communiquer les
actions et les
améliorations
▪ Veiller à ce que les
Faire
améliorations
32
Vérifier
Agir

33
METTRE EN ŒUVRE LES AMÉLIORATIONS
IDENTIFIÉES
• Organisation doiv continuelle amélior les
ent ment er
l'efficacité du SMSI par l'utilisation de la
politique de sécurité de l'information, des
objectifs de sécurité, des résultats d'audit, de
l'analyse des événements contrôlés, des
actions correctives et préventives et de la revue
de direction.

DÉTECTER LA NON-
CONFORMITÉ
• Non-
conformité :
– l'absence ou le défaut de mise en œuvre et
de maintien d'une ou de plusieurs
exigences du SMSI ; ou
– une situation qui, sur la base des éléments
objectifs disponibles, susciterait des doutes
importants quant à la capacité du SMSI à
mettre en œuvre la politique de sécurité de
l'information et à atteindre les objectifs de
sécurité de l'organisme.

PRENDRE DES MESURES
CORRECTIVES/PRÉVENTIVES
• Action corrective
– éliminer la cause d'une non-conformité ou d'une
autre situation indésirable afin d'éviter qu'elle ne
se reproduise
• Action préventive
– éliminer la cause d'une non-conformité
potentielle ou d'une autre situation potentielle
indésirable
AGENDA
l'information


AVANTAGES DES ISMES POUR LES
CYBERSÉCURITÉ MALAISIE
• Sensibiliser le personnel à la sécurité de l'information
• Réduction du nombre d'incidents de sécurité
grâce à l'amélioration de la gestion des incidents
de sécurité de l'information et aux enseignements
tirés.
• Les risques sont bien gérés, en particulier
lorsque le personnel devient plus conscient
des risques.
• Approche systématique de la gestion de la sécurité
de l'information pour notre organisation

AGENDA
l'information


FACTEURS CRITIQUES DE SUCCÈS
• Engagement et soutien de la direction

• Bonne compréhension des exigences en matière
de sécurité, de l'évaluation et de la gestion des
risques
• Des programmes de sensibilisation, de
formation et d'éducation efficaces pour faire
de la sécurité une culture.
• Volonté de "changer"
• Diffusion d'orientations sur la politique et les normes
de sécurité de l'information à l'ensemble des
responsables, employés et autres parties.
• Faites-en un sujet amusant, PAS un sujet sérieux.

Programme CyberSAFE
Sensibilisation à la cybersécurité pour tous

Sensibilisation à la sécurité
CyberSAFE
www.cybersafe.my
Activités CyberSAFE
CyberSAFE
Discussion sur la sensibilisation Forum CyberSAFE
Concours de contenu numérique

CyberSAFE Partenaires
Références
multimédias
communautair
CyberSAFE es CyberSAFE
CONCLUSION
La sécurité est la responsabilité de TOUS !

42
Siège social : CyberSecurity
Malaysia, Level 8, Block A,
Parc d'activités du front de mer de Mines,
No 3 Jalan Tasik, The Mines Resort City,
43300 Seri Kembangan,
Selangor Darul Ehsan, Malaisie.
T +603 8946 0999
F +603 8946 0888
www.cybersecurity.my
CyberSecurity Malaysia est

certifié ISO/IEC 27001 !
Copyright © 2010 CyberSecurity Malaysia 43

Isms Implementation FR

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Isms Implementation FR

Transféré par

Droits d'auteur :

Formats disponibles

Abonnez-vous à DeepL Pro pour traduire des fichiers plus volumineux.

Visitez www.DeepL.com/pro pour en savoir plus.

• Mise en œuvre du SMSI

• Avantages de la certification ISMS pour la

• Facteurs critiques de succès

Copyright © 2010 CyberSecurity Malaysia

Préservation de la confidentialité, de l'intégrité et de la

❑ Confidentialité - propriété selon laquelle les informations ne sont

❑ Intégrité - la propriété de sauvegarder l'exactitude et l'intégrité des

❑ Disponibilité - propriété d'être accessible et utilisable sur

l'exclusion des spams)

Copyright © 2010 CyberSecurity Malaysia

Copyright © 2010 CyberSecurity Malaysia

• ISMS e que part d les global gestion

Copyright © 2010 CyberSecurity Malaysia

Objectif de la sécurité de l'information tel que défini dans la

Minimiser les risques et les impacts

Copyright © 2010 CyberSecurity Malaysia

• Mise en œuvre du SMSI

• Avantages de la certification ISMS pour la

• Facteurs critiques de succès

Copyright © 2010 CyberSecurity Malaysia

❑ Technologies de l'information - Techniques de

Exigences en matière de gestion de la sécurité de l'information

L'organisation doit PLAN

opérer, contrôler, réviser,

2006 2007 2008 2009 2010

• Étude -1ère étape Audit de Audit de

Copyright © 2010 CyberSecurity Malaysia

❑ Définir le champ d'application et les limites du

❑ Une partie limitée de l'organisation ou

Copyright © 2010 CyberSecurity Malaysia

❑ Définir une politique de SMSI en fonction des

❑ Tient compte des exigences commerciales,

❑ Doit être approuvé par la direction

• Évaluation des risques - processus global d'analyse

• Identifier une méthodologie d'évaluation des risques

• Effectuer une évaluation des risques

• Déclaration d'applicabilité (SOA)

• L'AOS est un document décrivant :

Copyright © 2010 CyberSecurity Malaysia

• Mettre en œuvre les contrôles sélectionnés dans

• Les objectifs de contrôle et les contrôles de

Copyright © 2010 CyberSecurity Malaysia

• Assurer une sécurité de l'information

• Les paramètres de mesure devraient être les suivants

Copyright © 2010 CyberSecurity Malaysia

• L'objectif du programme de formation et de

• Une formation spécifique à la sécurité doit être

SENSIBILISATION/FORMAT FORMATION ISMS MODULE/OUTIL CIBLE

Sensibilisation générale au • Discussions de sensibilisation Tous les employés

Évaluation du SMSI • Quiz ad hoc Tous les employés

Copyright © 2010 CyberSecurity Malaysia

• Examen régulier de l'efficacité du SMSI

• Examen régulier du SGSI par la direction

Copyright © 2010 CyberSecurity Malaysia

intervalles pour déterminer si les objectifs, les

Copyright © 2010 CyberSecurity Malaysia

▪ Mettre en œuvre les atteignent

Copyright © 2010 CyberSecurity Malaysia

Copyright © 2010 CyberSecurity Malaysia

Copyright © 2010 CyberSecurity Malaysia

• Mise en œuvre du SMSI