1 - Cours-4a-2022-Volet 1-Module-2

MODULE N°2 : MANAGEMENT DE LA SÉCURITÉ
SYSTÈME DE MANAGEMENT DE LA SÉCURITÉ – SMSI –

NORME 27001 - 27002
INTÉGRER LA SÉCURITÉ DANS UNE ORGANISATION ET DANS LES PROJETS
30 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

Source ANSSI
Le pilotage SSI (Sécurité des Système d’Information)

Les responsabilités du RSSI (Responsable de la Sécurité des Système d’Information)
Le RSSI a des responsabilités dans les domaines suivants :
Stratégie de sécurité
Politique de sécurité
Feuille de route de la sécurité
Pilotage de la SSI
Reporting (au management)
Comité de SSI
32
PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Source ANSSI
Le pilotage SSI
La gouvernance de la sécurité de l’information
POURQUOI ?
Assurer une gestion cohérente et Optimiser / rationnaliser l’organisation et Assurer l’amélioration

globale des risques les ressources continue
NOTIONS CLÉS
« La gouvernance de la sécurité de l’information fournit des informations essentielles à la direction

stratégique, permet d’atteindre les objectifs, de gérer les risques de manière appropriée, d’utiliser les
ressources de manière responsable, et de suivre le succès ou l’échec du programme de sécurité de
l'organisation » (Source: IT Governance Institute)
Le RSSI devrait pouvoir aborder la gouvernance, la gestion, comprendre les enjeux IT & métier, et
avoir facilement accès aux comités exécutifs
33
Source ANSSI
Le pilotage SSI
Comment définir les missions et la feuille de route de la SSI ?
Gouvernance SSI Management SSI Sécurité dans les projets

1 Définir les activités SSI à
mener Stratégie SSI Pilotage du plan d’action Analyses de risques Revues d’architecture Contrats
(modèle, feuille de route)
Sécurité opérationnelle
Etudes et normes
Organisation SSI
2 Pour chaque activité SSI, Services de protection du SI
SOC & CERT / CSIRT
Gestion des crises et des

en ligne avec les enjeux Gestion des projets SSI (pare-feu, IPS…)
Gestion des vulnérabilités
incidents
métier et IT, définir: Politiques et directives
SSI Gestion de la sécurité dans les IAM
- Quelle performance ? projets
- Quel support ? Référentiel des identités Authentification Gestion des autorisations
- Quels rôles et Cartographie des risques Gestion de la sécurité
SSI opérationnelle
responsabilités ?
Confiance numérique (PKI)
- Quelles interactions
Gestion des identités
avec d'autres entités ? Tableaux de bord et
communication SSI Conformité SSI (interne et externe)
- Quels organes de
gestion ? Gestion des demandes et des
exceptions Veille réglementaire
Audits Contrôles
(Confidentialité des données…)
- Quelles mesures et quels
Gestion SSI des
reporting ? prestataires de services Conformité
- Quels coûts ? Résilience à subdiviser entre MOA, MOE et Opérations
Formation et PCA PRA Plan de Reprise utilisateurs

Plan de continuité d’activité
sensibilisation
3 Définir un objectif et une

feuille de route
METTRE EN PLACE UN PROGRAMME DE SÉCURITÉ afin d'apporter une vision unifiée des
investissements en cybersécurité à votre hiérarchie
34
Source ANSSI
UNE GOUVERNANCE ADAPTÉE AUX SI INDUSTRIELS
La sécurisation des SI industriels nécessite la mise en place d’une gouvernance adaptée. Celle-ci à pour objectif
de piloter la création puis la montée en maturité des mesures de sécurité adéquates.
La communication est la clé ! La gouvernance est trop souvent décentralisée et repose sur
les équipes industrielles locales. Un rééquilibrage et une répartition des rôles est
nécessaire entre les équipes locales et centrales.

Source ANSSI
L’outil de reporting clé : le tableau de bord
La maîtrise du niveau de Pour être suivi et piloté, Les tableaux de bord La mise en œuvre de ces
sécurité est essentielle ce niveau de sécurité sécurité doivent tableaux de bord
doit pouvoir être permettre : nécessite de s'appuyer
pour une bonne gestion
mesuré, de manière • De suivre l’évolution du niveau de sur une démarche
du SI complète, régulière et
sécurité en fonction des critères
rigoureuse et
retenus dans la politique de
cohérente sécurité pragmatique
• De remonter les alertes
• Une synthèse rapide des actions en
cours
• De fournir un outil d’aide à la
gestion de la sécurité au quotidien
Un chantier sur la réalisation de tableaux de bord nécessite les prérequis suivants :
• Identifier un responsable en charge du pilotage du projet et de la validation des options ;

• Traiter un nombre limité d’indicateurs ;
• Sensibiliser les personnes sur la nécessité de la collecte d’information ;
• Vérifier la pertinences des éléments à mesurer ;
• Déterminer les valeurs cibles et leur seuil de tolérance ;
• Disposer d’un minimum d’outils permettant la collecte des informations
• Déterminer une fréquence adaptée d’alimentation des tableaux
36
Source ANSSI
Vue d’ensemble des objectifs des tableaux de bord
Management 1 Tenir informé / Rendre des comptes

Responsables • Suivi des risques et du plan de réduction
• Bilans et tendances du niveau de sécurité du SI
d’exploitation
• Avancement des plans d’actions
Acteurs Métiers • Utilisation des budgets et des ressources
4
2 Mobiliser
Piloter la démarche sécurité
Équipe RSSI • Pilotage de l’activité de l’équipe SSI (suivi de l’intégration Sensibiliser
de la sécurité dans les projets, gestion des demandes, etc.)
• Avancement du plan d’actions du RSSI
Communiquer
3 Mesurer le niveau de sécurité du SI

Acteurs • Menaces externes et vulnérabilités
opérationnels • Couverture/efficacité des moyens de protection
• Suivi de la résorption des vulnérabilités
Acteurs projets • Impacts des incidents subis
• Contrôles des actes illicites des utilisateurs
37
TABLEAU DE BORD SÉCURITÉ

 Indicateurs stratégiques : Exposition aux  Indicateurs opérationnels : Mesure du
risques (identifiés lors de l’analyse de risque), niveau « réel » de sécurité.
- Pour le niveau stratégique, la mise en place  Pour le niveau opérationnel, la mise en
d'un tableau de bord SSI permet : place d'un tableau de bord SSI permet :
 de suivre l'application de la politique de sécurité,
 de préciser les besoins opérationnels à mettre en
 De suivre les budgets alloués à la sécurité œuvre,
 d'établir des comparaisons avec d'autres organismes,  de mesurer la production et les efforts entrepris pour
 de préparer les choix de mise en place des ressources atteindre les objectifs visés en matière de production,
(définition de priorités, réévaluation de la menace et du  de motiver et dynamiser les équipes.
risque).
 Indicateurs de pilotage : Respect de la

politique de sécurité et de la charte
utilisateur, - Pour le niveau de pilotage, la
mise en place d'un tableau de bord SSI
permet :
 de contrôler la réalisation des objectifs par le niveau
opérationnel,
 d'améliorer la qualité de service.

 Indicateurs stratégiques :
 Risk analysis (annually)
 Implementation of the security policy (% of policy deployment – quarterly )
 Cost (training, project, incidents, security measures - annually)
 Awareness and Training (Human Resources – annually)
 Report of the last PCA test (annually) – Plan de Continuité D’Activité
 Indicateurs de pilotage :
 Compliance of Security Policy (pre-requisite : update security policy – quarterly)
 Project Status (% of deployment – monthly )
 Application security (Report of pen test, report of security audit – quarterly)
 Report of the last DRP test (annually) – Test de restauration des systèmes
 Indicateurs opérationnels :
 ANTIVIRUS and PATCH MANAGEMENT [ INTEGRITY ]
 Firewalls [NETWORK OUTSIDE PROTECTION ] - Proxies [NETWORK OUTSIDE PROTECTION ]
 Account Management : Active Directory - Account Management : Remote access VPN


ORGANISER LA SÉCURITÉ AU SEIN D’UNE
ORGANISATION
=
NORMES ISO 27XXX UTILES
NORMES : 27001 + 27002

INTÉGRER LA SÉCURITÉ AU SEIN D’UNE ORGANISATION [1/2]
• Dans le cadre de la mise en place de la sécurité au sein d’une organisation :

– La norme ISO 27001 permet à une organisation de mettre en
œuvre et d’améliorer le système de management de
la sécurité
– Une certification ISO 27001 délivrée par un organisme

certificateur accrédité garantie suite à un audit qu’une organisation a bien
appliquée les exigences de la norme en matière de sécurité. Cette
certification est valable 3 ans, tous les ans un audit de contrôle est
effectué.
– Il peut être exigé à une organisation d’avoir cette

certification pour accéder à certains contrats : par
exemple un organisme payeur d’aides agricoles européennes.

INTÉGRER LA SÉCURITÉ AU SEIN D’UNE ORGANISATION [2/2]
• Dans le cadre de la mise en place de la sécurité au sein d’une organisation :

– La norme ISO 27002 définit un ensemble de
« bonnes pratiques » en matière de sécurité répartie en
plusieurs chapitres, l’organisation dispose :
• d’un référentiel de mise en œuvre ;
• d’une « check-list » en cas d’audit.
– La norme ISO 27005 définit des lignes directrices

relatives à la gestion des risques de sécurité dans une
organisation. Une organisation peut s’appuyer sur ce processus de gestion de
risques pour intégrer la sécurité.

SYSTÈME DE MANAGEMENT DE LA SÉCURITÉ
DE L’INFORMATION (S.M.S.I.)
=
GOUVERNANCE DE LA S.S.I. SELON LA NORME
ISO 27001
S.S.I. : Sécurité des systèmes d’Information

45
SYSTÈME DE MANAGEMENT DE LA SÉCURITÉ SMSI
Système de Management
Définition(s)
Générique Pratique
Un « Système de Management » Un « Système de Management » est :
est un système permettant
Un ensemble de mesures
 D’établir des objectifs organisationnelles et techniques
 D’établir une politique Permettant d’atteindre un objectif
et une fois atteint de s’y tenir voir
 D’atteindre ces objectifs
le dépasser

Propriétés
 Basés sur la notion de processus

 Processus : Le processus est un ensemble d’activités corrélées ou en interaction
qui transforme des éléments d’entrée en éléments de sortie. ISO 9001
 Couvrent un large spectre de métiers et de compétences

 Projet fédérateur et mobilisateur
 Concernent tout le monde : De la direction aux employés
 Importance du document écrit
 Se basent sur des référentiels précis
 Auditabilité
 Un auditeur peut vérifier qu’il n’y a pas d’écart entre le système de management
et le référentiel

… de la Sécurité
 La certification ISO 27001 est le résultat de la mise en œuvre du

SMSI (Système de Management de la Sécurité de l’Information).
 Le SMSI s’appuie sur des moyens humains et technologiques
 Il est formalisé dans un ou plusieurs documents décrivant la
Politique de Sécurité des Systèmes d’Information (PSSI), ainsi
que les procédures et instructions de travail adaptées aux contextes
et environnements.
 La norme ISO 27002 répertorie les bonnes pratiques,
regroupées par domaine, pour l’obtention de la certification ISO
27001

CONFIANCE
Pourquoi ?
 L’information étant l’atout majeur ou la base de vos entreprises, le SMSI

Protection & Rentabilité
permet de protéger et de rentabiliser votre activité
Implication  La direction de l’entreprise est toujours impliquée dans la sécurité
Fiabilité & Crédibilité  Fiabilité et crédibilité vis à vis de nos partenaires s’améliorent
Opportunité  La certification de votre SMSI ouvre d’autres opportunités d’affaires
Efficacité  Les sources d’informations et les données sont utilisées de manière plus
efficace
…  Le SMSI rend votre investissement dans la sécurité de l’information plus
Bonnes Pratiques
efficace
 Adoption des bonnes pratiques
Culture du risque
 Le SMSI change la culture de votre entreprise

ATELIER N°6 : NORMES DE SÉCURITÉ INFORMATIQUE – MANAGEMENT DE LA SÉCURITÉ
Mise en place d’un SMSI – Modèle PDCA
Plan – Contexte & Planification (4 à 6) Do – Fonctionnement (7 et 8)

- Contexte de l’organisation - Mettre en œuvre le SMSI
 Périmètre du SMSI - Plan de Traitement du Risque [PTR]
- Politique de Sécurité [PSSI] - Allocation et gestion des ressources
- Planification - Formation et sensibilisation
 Appréciation des risques - Communication
 Traitement des risques
 Identification des objectifs de sécurité
 Définition d’un plan d’opération
 Déclaration d’Applicabilité [DdA]
- Documentation
Act – Amélioration (10) Check – Evaluation performances (9)
- Actions de non-conformité - Surveillance, mesures, analyse et

- Actions correctives évaluation
- Actions d’amélioration - Audit interne du SMSI
- Revue de Direction

SYSTÈME DE MANAGEMENT DE LA SÉCURITÉ DE L'INFORMATION -
SMSI
Qui sont les parties prenantes ?
PARTIES PRENANTES ORGANISATION

Formule des exigences
Clients
Partenaires
Fournisseurs
Personnel
Actionnaires
… Satisfait les exigences

ISO 27001
ZOOM SUR QUELQUES POINTS

IMPORTANTS

ZOOM SUR LA NORME 27001
 10 chapitres
1. Domaine d’application,
2. Références normatives,
3. Termes et définitions,
4. Contexte de l’organisme,
5. Responsabilité de la direction,
6. Planification,
7. Support,
8. Activités opérationnelles,
9. Evaluation de la performance
10. Amélioration
 Les 3 premiers chapitres sont généraux et les 7 suivants illustrent les

exigences de la norme, pouvant former un modèle de PDCA.

EXIGENCES DE LA NORME 27001 : CHAPITRES DE 4 À 7

PRINCIPES DES CHAPITRES DE LA NORME 27001
 Chapitre 4 : Contexte de l’organisme

 Analyser le contexte de l’organisme afin de définir un périmètre précis pour le SMSI.
Prendre en considération les enjeux issus de cette opération et au même temps de
penser aux exigences imposées par les parties intéressées.
 Chapitre 5 : Leadership
 La direction doit s’engager dans la démarche de mise en place du SMSI, de fournir les
ressources nécessaires pour la réussite de cette opération en prenant en compte
l’implication du personnel dans cette mission.
 Chapitre 6: Planification
 L’organisme doit fixer ses objectifs en planifiant les activités nécessaires et en
anticipant les risques potentiels, ce qui va lui permettre de mieux saisir les
opportunités.
 La partie planification comprend la réalisation des exigences de l’Annexe A,
découlant des lignes directives des articles 5 à 18 de la norme ISO/CEI 27002.

 Chapitre 7 : Soutien
 Le soutien concerne trois composantes essentielles : les ressources, les informations et
la communication.
 Au vu de la diversité des ressources, l’organisme doit les valoriser et améliorer leur
exploitation surtout qu’ils présentent un grand support pour la réalisation des
processus de management de la sécurité de l’information.
 L’information aussi est très importante pour la réussite de ce projet. Les données
doivent être fiables et les informations documentées doivent être conservées.
 Et finalement, la communication joue un rôle très important dans le management de
la sécurité du SI ; les compétences des collaborateurs doivent être développées afin
de les sensibiliser et de les impliquer dans cette démarche.
 Chapitre 8 : Fonctionnement
 L’organisme doit prendre en considération les processus internes et externes selon les
critères mis en jeu. Il s’agit de traiter la notion de l’activité en tant qu’ensemble de
processus qui permettent de transformer des données d’entrée en éléments de sortie. Ce
qui permettra de mieux aborder les différentes activités, leurs managements ainsi que
leurs besoins…

 Chapitre 9 : L’évaluation de la performance

 L’organisme, doit définir un ensemble de mesures capable de lui fournir des informations sur
les performances des processus et de se positionner par rapport aux objectifs identifiés
précédemment.
 La revue de direction permet une analyse détaillée sur l’évaluation effectuée pour mieux
gérer le système de management du SI. C’est pour cela qu’il est recommandé d’effectuer des
audits internes afin d’avoir une bonne vision sur ce système.

 Chapitre 10 : L’amélioration
 L’amélioration continue est l’une des étapes les plus importantes dans notre système. Le SMSI
doit être mis à jour régulièrement, adapté aux besoins changeants des entreprises et surtout
compatible avec les objectifs des organismes.
 L’annexe A
 L'annexe A contient les points de contrôles de la norme 27002
La norme 27001 fait référence à la norme 27002

ISO 27002
LES BONNES PRATIQUES DE SÉCURITÉ

NORMES ISO 27001 ET ISO 27002
 « ISO-27001 explique comment appliquer ISO-27002 »

ZOOM SUR LA NORME 27002
 La norme ISO/IEC 27002:2022 constitue un code de bonnes pratiques. Elle est

composée de 93 mesures de sécurité réparties en 4 domaines :
 A.5 Mesures organisationnelles (37)
 A.6 Mesures sur le personnel (8)
 A.7 Mesures physiques (14)
 A.8 Mesures techniques (34)

ZOOM SUR LA NORME 27002 : EXEMPLES
 Exemple « classification de l’information » :

 La classification selon la confidentialité des informations aide à définir des mesures de protection
appropriées pour chaque type d’information.
Intitulé Explication Exemple Risque

C1 Accès libre Tout le monde peut y accéder Informations publiées sur le Aucun
site internet
C2 Accès à Seul le personnel de l’organisation Nom, adresse des Atteinte à
l’organisation est autorisé à accéder à partenaires et fournisseurs l’image, gêne
l’information de l’organisation passagère
C3 Diffusion Au sein de l’organisation, seul un Plan technique d’un nouveau Situation à
limitée groupe de personnes est autorisé laboratoire ; Listes der risques ; pertes
comme les membres du même personnes admissibles avant financières
projet publication officielle… acceptables
C4 Confidentiel L’information est accessible à une Contenu des brevets Pertes
liste très restreinte d’utilisateurs à déposés ; Recherche en financières
titre individuel cours ; N° de sécurité sociale inacceptables,
et noms… poursuites
judiciaires
 Exemple « classification de l’information » :

 Sur la base des niveaux de confidentialité définis, les mesures suivantes peuvent
être implémentées :
 Une politique de gestion des informations est définie :

 Création d’un modèle de document indiquant le niveau de confidentialité ;
 Sensibilisation du personnel et des partenaires à cette politique.
 Les informations de niveau « Confidentiel » doivent être :

 envoyées par mail de manière chiffrée et le mot de passe communiqué par SMS aux destinataires ;
 stockées localement dans des conteneurs chiffrés.
 Les informations de niveau « Diffusion limitée » doivent être :

 échangées au travers au travers d’un système documentaire collaboratif ayant des accès nominatifs contrôlés,
par exemple MS SharePoint.

 Exemples de mesures sur le chapitre « Contrôle d’accès » :

 L’accès aux fichiers/répertoires doit être restreint conformément aux politiques de
contrôle d’accès :
 Seuls les professeurs autorisés doivent pouvoir accéder à un répertoire contenant les
épreuves des futurs examens/concours.
 Les propriétaires de l’information doivent vérifier les droits d’accès à intervalles
réguliers :
 Le responsable des concours doit contrôler les droits d’accès au répertoire contenant les
épreuves des futurs examens/concours pour s’assurer qu’il n’y a pas d’étudiants qui
auraient été rajoutés.
 Exemple de mesures sur le chapitre « Sécurité opérationnelle » :

 L’installation et la configuration de logiciels doivent être encadrés :
 Seuls les administrateurs doivent pouvoir installer un logiciel sur un poste.
 Des sauvegardes doivent êtres régulièrement effectuées et testées :
 Un espace de sauvegarde des données peut être mis à disposition des utilisateurs.

 Exemple « Gestion des ressources humaines » :

 Avant embauche :
 Sélection des candidats et interviews ;
 Vérification du CV (contacter les anciens employeurs, vérifier les diplômes, certifications…) du candidat ;
 En fonction de la sensibilité du poste, un extrait de casier judiciaire peut être demandé.
 Pendant l’embauche :
 Fourniture des accès logiques (création de comptes utilisateurs, accès aux répertoires nécessaires…) et
physiques (badges) adaptés à la fonction ;
 Sensibilisation aux politiques et procédures internes de l’organisation ;
 Sensibilisation régulière à la sécurité adaptée aux fonctions ;
 Processus disciplinaire en cas de non respect.
 Au terme du contrat de travail :

 Retrait des accès et restitution du matériel fourni (badge, ordinateur, …).

LE CORPUS DOCUMENTAIRE

Source ANSSI
Le corpus documentaires SSI
L’ENJEU EST D’AVOIR UN ENSEMBLE DE DOCUMENTS TRAITANT DES NOTIONS SSI NÉCESSAIRES ET SACHANT
LES DÉCLINER AU BON NIVEAU DE LECTURE
Quelles notions-clés doit-on trouver dans le corpus ?
Quels documents composent le corpus ?

Quels sont les rôles de ces documents les uns par rapport aux autres ?
Comment se positionne le corpus dans la démarche de sécurité globale ?

En particulier, le corpus présente-t-il une cible à moyen / long terme ou la
situation à date régulièrement mise à jour ?
67
Source ANSSI
Le corpus documentaire doit traiter un nombre de notions-clés liées aux

problématiques des différents niveaux de l’organisation…
Les menaces et les évènements redoutés

Des règles de sécurité
La gouvernance et les activités SSI

Un cadre réglementaire et normatif
Un accompagnement des projets Le sponsoring de la direction générale

Le corpus documentaire SSI
Un lien avec les schémas directeurs SI et SSI Le contexte et les enjeux techniques Des principes de sécurité
Un accompagnement des Le contexte et les enjeux métier

opérations Des contrôles
Les objectifs SSI

Un adossement à un cadre de
référence
68
Source ANSSI
…il est donc important de définir clairement chacune de ces notions, ainsi que
son rôle dans le corpus
Notion Définition Notion Définition
Document donnant les orientations stratégique (ex : Revue

Textes fondateur stratégique de cyberdéfense, livre blanc sur la défense et la Rôles, responsabilités et activités des parties prenantes
sécurité nationale, etc.) (personnes, instances et comitologie) participant au cadrage,
Gouvernance et activités SSI
pilotage, mise en œuvre ou au contrôle de la sécurité des SI de
Cadre règlementaire et Cadre légal avec lequel l’organisation doit se mettre en l’organisation (ex : relations avec l’écosystème SSI, avec les tiers)
normatif conformité (ex : RGPD, LPM, HDS, NIS)
Ensemble des documents SSI de tous niveaux applicables dans

Sponsoring de la direction Endossement et communication par la direction dans un effort Corpus documentaire SSI
l’organisation
générale de sensibilisation à la sécurité de l’organisation
Contexte SI existant de l’organisation, ses axes d’évolution à Mécanismes qui permettent aux chefs de projet et équipes
Accompagnement des
Contexte et enjeux l’extérieur (ex : Cloud…) comme à l’intérieur de l’organisation (ex sécurité de se mettre en conformité vis-à-vis des règles de
projets
techniques : APIsation, développement Agile...), ainsi que les enjeux de sécurité avant sa mise en production
sécurité liés à ces activités
Mécanismes qui permettent aux chefs de projet, exploitants et
Accompagnement des
équipes sécurité de maintenir un périmètre en conditions de
Grandes activités métier existantes de l’organisation, leurs opérations
sécurité après sa mise en production
Contexte et enjeux métier perspectives d’évolution ainsi que les principaux besoins de
sécurité D-I-C-T liés à ces activités
Mécanismes de vérification de la bonne application

Contrôles
Menaces et évènements Ensemble des scénarios dans lesquels un incident remet en opérationnelle des règles de sécurité
redoutés cause l’atteinte des enjeux D-I-C-T
Niveaux de sécurité cibles à atteindre sur les ressources de Adossement à un cadre de Mise en cohérence des dispositifs et organisations mises en
Objectifs SSI référence œuvre avec un référentiel SSI reconnu (ex : NIST, ISO 27001/2)
l’organisation
Impératifs SSI génériques et de haut niveau dont l’application Rapport entre les schémas directeurs SI/SSI et le corpus
Principes de sécurité Lien avec les schémas
permettra d’atteindre les objectifs SSI documentaire SSI, dans un contexte d’intégration des nouvelles
directeurs SI et SSI
technologies dans l’organisation
Déclinaisons des concepts évoqués dans les principes de sécurité

Règles de sécurité
sous forme de règles applicables sans interprétation
69
Des règlementations aux politiques de sécurité : le cadre de référence de la sécurité
de l’information
Mise Objectifs
en œuvre Réglementation Exemple : RGS, RGPD
de gouvernance
obligatoire
Modèles de gouvernance / Exemple : PSSI-E, ISO 27001, ISO 9001, ISO

systèmes de management 14001, ITIL
Mise
en œuvre Processus
conseillée et organisationnel
Exemple : Guide d’hygiène de l’ANSSI,
Bonnes pratiques ISO 27002, RFC
Usage Méthodologie Exemple : EBIOS-RM, MERISE Technique

facultatif
Déclinaison au sein
des organisations
Corpus documentaire Exemple : Politique de sécurité, méthode

de sécurité d’analyse de risque
70
Source ANSSI
Un corpus documentaire à diviser en 3 niveaux afin de répondre aux besoins de

tous les collaborateurs
Principes
fonctionnels
Un document décrivant les grands enjeux et objectifs de sécurité de

1 Stratégie l’organisation
Population cible : dirigeants, management, copil, acteurs SSI
Une série de documents traduisant les enjeux et objectifs en règles de

sécurité à priorité variable
2 Règles
Population cible : management, acteurs SSI, chefs de projet, administrateurs &
utilisateurs SI, prestataires
Procédures et
Des standards techniques, des guides et des procédures opérationnelles
3 chartes décrivant la manière d’appliquer concrètement les règles de sécurité
Population cible : acteurs SSI, équipes opérationnelles & utilisateurs SI, prestataires
Principes
opérationnels
71
EXEMPLE DE DOCUMENTATION D’UN SMSI
ISO 27001
Chapitre 7.5
Politique,
périmètre
Politique générale de Sécurité
Évaluation des risques,
Niveau 1
Déclaration d’applicabilité
Niveau 2 Décrit les procédures – Procédures

qui, quand, comment, où(4.1- 4.10) (politiques)
Fiches de travail,
Niveau 3 Décrit comment les tâches et les activités sont effectuées formulaires,
check-lists, etc.
Niveau 4 Fournit les preuves objectives de conformité avec les exigences de l’ISMS
(clause 3.6) Enregistrements

INTÉGRER LA SÉCURITÉ DANS VOS PROJETS
73 PRONETIS©2020
PRONETIS©2022
- Philippe Prestigiacomo
- Philippe Prestigiacomo
- Droits d'utilisation
- Droits d'utilisation
ou de reproduction
ou de reproduction
réservés réservés
La sécurité doit être prise en

compte dans toutes les étapes
d’un projet
Sécurité prise en compte en fin de développement =

Délai, coût et effort supplémentaires…

Source ANSSI
Enjeux de sécurité dans les projets
Tout changement sur le SI (introduction d’un nouveau composant ou modification d’un

composant existant) induit de nouveaux risques de sécurité de l’information
Des risques pour

Des risques pour le Métier
l’ensemble du SI
• Si les besoins de sécurité du Métier ne • Si le changement induit de nouvelles

sont pas pris en compte failles de sécurité
Exemple : divulgation de données sensibles, Exemple : ouverture du SI à l’extérieur,
indisponibilité d’une application, etc. nouvelles vulnérabilités techniques, etc.
La Filière Sécurité doit garantir le niveau

Le Métier reste le propriétaire des global de sécurité pour le SI, en
risques de cybersécurité cohérence avec les besoins du Métier
La réflexion liée à la sécurité doit être réalisée lors de tout changement sur le SI, et surtout lors de la conduite de
projets SI
75
Source ANSSI
 Compromis entre attentes métiers et besoins de sécurité
Il existe une perception historique du choix entre les attentes métiers et les besoins de sécurité. La
sécurité doit être au service des métiers, tout en protégeant l’essentiel : il faut donc trouver un
équilibre.
Mesures de sécurité
Attention à ce que la
sécurité ne freine pas les
besoins des métiers
Attentes métiers
Attention à ce que la sécurité

protège l’essentiel !
Source ANSSI
 La sécurité industrielle dès la phase de projet

Assurer la sécurité d’un SI est un processus continu. Il faut intégrer des produits avec des exigences de sécurité
clairement définies dès l’initialisation du projet. Il faut également mettre en place des mesures afin de maintenir
l’installation en condition de sécurité et de s’assurer de la pertinence des mesures de sécurité mises en œuvre.
Etapes d’un projet Bonnes pratiques :
/ Intégrer les exigences de sécurité dans les contrats et dans les cahiers des
charges.
Étude de
Conception Conception Travaux / / Intégrer les fournisseurs à cette démarche, afin de garantir leur
faisabilité et
générale détaillée Réalisation acceptation du résultat, étant donnée leur position de force. Il est à noter
d’opportunité
qu’il est aussi souvent difficile d’impliquer les « directions achats » dans
cette démarche…
/ Vérifier le respect des règles de sécurité rechercher les vulnérabilités des

systèmes via des d’audits et de tests d’intrusion.
Mise en
Exploitation / Assurer la mise en place d’une veille sécurité sur les produits déployés.
Réception service Fin de vie
Maintenance
/ Déploiement
/ S’abonner à différents CERT et de coupler l’inventaire des SI industriels
avec les bulletins de vulnérabilités.
L’identification des mesures de sécurité à intégrer aux projets permet de :

• Réduire les risques dès la phase de test
• Réduire les coûts et la complexité de la mise en œuvre de ces mesures
Source ANSSI
Principes de base de l’ISP

ISP = Intégration de la Sécurité dans les Projets
Objectifs Périmètre d’application

• Garantir que le produit ou le service cible du projet offre
un niveau de sécurité en adéquation avec les besoins • Généralement, tous les nouveaux projets SI
Métiers et les enjeux de sécurité de l'organisation (applicatifs et d’infrastructure, réalisés en interne et
externalisés, basés sur un développement spécifique
• Prendre en compte la cybersécurité dès les phases amont
et sur un outil du marché…)
et tout au long du projet (conception, développement,
mise en production, etc.) et éviter ainsi une application • Idéalement les maintenances importantes
coûteuse des mesures de sécurité après la mise en
production
La méthode ISP est la clé de voûte du processus de sécurisation du produit informatique, car il est toujours plus
facile d’intégrer la cybersécurité dès la conception d’un produit informatique plutôt qu’à posteriori.
78
Source ANSSI
Mettre en œuvre progressivement la méthodologie ISP
S’inscrire dans un plan d’amélioration à 5 ans
Objectifs de la première année
• Valider la méthode et l’outillage sur un nombre restreint de projets • Renseigner l’évaluation de la sensibilité sécurité pour tous les
• Avec un accompagnement fort de l’équipe sécurité projets
• Mise à jour régulière de la méthodologie et de l’outillage • Pour avoir une vision complète du niveau de sécurité des
(analyse de risques, suivi, plan d’actions, échelles, etc.) projets qui démarrent
• Pour sensibiliser d’ores et déjà les acteurs à la démarche
Critères de choix des projets pilotes
• Avoir une sensibilité avérée en termes de sécurité
• Couvrir un panel représentatif de projets
• Répartition entre les différentes MOA de l’entité
• Répartition entre les projets de développement
interne et d’intégration de progiciels
• Se dérouler en un temps réduit (de 3 à 6 mois) permettant
un suivi du projet
Objectif des années suivantes
• Généraliser la méthode à l’ensemble des projets

• En rendant les chefs de projet de plus en plus autonomes
79
Focus : Intégrer la Sécurité dans les méthodes agiles Source ANSSI
Livrables sécurité
Activités du Security Champion
Daily meeting
5
› Validation du traitement des EUS :
S’assurer que les critères d’acceptation
4
sécurité et de la DoD sont respectés › Développement des US et S-US
› Vérifier que les S-US sont fonctionnelles › Accompagnement de la Feature Team

dans l’implémentation des Security User
› Evaluation des failles de sécurité Stories
rencontrées et accompagnement dans la
correction
Sprint › Contrôle continu de la sécurité du code
(revue de code / scan de vulnérabilité)
Security User Stories Security User Stories
6.2
#3 6 Rétrospective
1 2
Priorisation Livraison
Initialisation Conception Itérations › Bilan du sprint et définition du plan
d’un incrément
courtes d’amélioration pour le prochain sprint
1 2 3
PI planning Product Backlog Sprint Planning 6.1
(tous les 3-6 mois)
Démo
› Planification et coordination des › Spécification des User Stories (US), › S-US Priorisation des US en fonction des
chantiers fonctionnels identification des Evil User Stories (EUS) et besoins métier et des fonction de la criticité › GO/NO GO RSSI Sécurité pour les S-US
› Définition des enjeux stratégiques définition des Security User Stories (S-US) › Estimation de l’effort à fournir pour critiques
moyen et long terme intégrant la Security Baseline développer chaque US et S-US
› Identification des impacts sécurité › S’assurer que les critères d’acceptation et › Sélection des US et S-US embarquées en
associés les Definition of Done intègrent spec. / fonction de la capacité à faire (imposer 10%
recette sécurité de S-US dans chaque sprint)
› Adapter l’accompagnement sécurité à la
criticité du produit
Itération de 2 à 4 semaines
Liste des Evil User Stories Liste des Security User Stories
Passeport Sécurité
& Security User Stories en cours de déploiement
80
Source ANSSI
La méthode Agile, une gestion itérative des risques : où et quand identifier les
risques pesant sur le produit
3 sources de risques/mesures de sécurité :
Màj 1 fois par an/2 ans Màj 3/6 mois Màj 2/4 semaines
PSSI PI PLANNING SPRINT
RSSI, équipe SSI RSSI, BO, feature teams, SC Feature teams, SC

Organisation Epic, produit Feature, stories
Socle minimum de sécurité requis Risques macro (EBIOS, conformité, Risques opérationnels (issus des
(PSSI, règles d’hygiène ANSSI) cadre de travail) actions d’évaluation des produits)
>> Traduction des risques en EVIL USER STORIES
>> Ecriture des SECURITY USER STORIES ou critères d’acceptation correspondants

et intégration aux backlogs
81
b. Exemple d’intégration de la sécurité dans le cycle de vie d’un projet
• Perception d’un • Formalisation de • Développement • Déploiement dans • Libération des

besoin besoins fonctionnels logiciel ou matériel l’environnement de ressources
Phases
• Expression des • Étude de marché • Construction de production • Fin du projet

besoins • Étude de faisabilité prototype • Test de performance
• Création d’un • Analyse de coût • Tests utilisateurs • Maintien en Condition
projet • Planification • Documentation Opérationnelle
• Identification des • Exploitation
entrée/sortie
Étude / Implémentation / Exploitation /

Conception Prototype / Test Fin de vie
Initialisation Maintenance
• Analyse de • Analyse de risques • Développement • Maintien en condition • Archivage des

risques amont • Proposition de • Prise en compte de sécurité informations
• Consultation des mesures de sécurité des bonnes • Gestion des incidents • Effacement
équipes sécurité • Identification des pratiques • Analyse Forensique sécurisé
risques résiduels • Top 10 OWASP • Sauvegarde • Réversibilité
Sécurité
• Expressions de • Validation sécurité • Supervision de • Mise au rebut

besoins de sécurité • Contrôle des sécurité • Obsolescence des
• Estimation de coûts mesures de • Veille de sécurité configurations
sécurité • Audit (technique,
opérationnel)
• Tests d’intrusion
• Résilience

L’approche par l’analyse et le traitement du risque
Une démarche d’analyse de risque peut être schématisée ci-dessous :
Identifier les biens à

Risque 1
protéger
Niveau de risque
Risque 2
Gravité
Risque 3
Seuil de prise
Menaces
en compte du
Probabilité Risque 4 risque
d’occurrence
Risque 5
La hiérarchisation des risques permet de déterminer les risques qui :

• doivent absolument être traités et donc réduits par des mesures ;
• ceux qui sont acceptables et avec lesquels le système peut exister.

LA GESTION DES TIERS

Source ANSSI
 Les prestataires et fournisseurs, des acteurs majeurs dans l’industrie

Une bonne gestion des intervenant externes permet de s’assurer que ces derniers n’introduisent pas de charges
malveillantes au sein du SI industriel (volontairement ou involontairement) et également qu’ils n’exfiltrent pas de
données.
Bonnes pratiques :
/ Il est de la responsabilité des commanditaires de gérer les

interventions à travers la vérification de la sécurisation du
matériel utilisé lors des interventions (clé USB, ordinateurs de
maintenance…) et la connaissance des impacts potentiels des
interventions.
/ Interdire l’utilisation des périphériques non maîtrisés lors des

interventions
/ Déployer des bornes de décontamination USB ou de SAS à

fichier
/ Utiliser de clé USB dédiées à la maintenance
Tout intervenant externe à l’entreprise doit être sensibilisé et formé afin de s’assurer qu’il connaisse et applique les
bonnes pratiques de sécurité.
Source ANSSI
La sécurité dans le cadre des prestations

La sécurisation des prestations sur les aspects sécurité porte sur deux grands volets distincts :
Sécurisation des modalités de

Sécurisation intrinsèque du produit final réalisation de la prestation
Ex : l'application développée devra être sécurisée Ex : les développeurs doivent accéder à l’environnement de
développement avec de l’authentification forte
Exigences sur les services et livrables Exigences sur les conditions de réalisation
réalisés lors de la prestation de la prestation
CCTP Plan Assurance Sécurité
Détail des fonctionnalités sécurité Clauses Détail des moyens mis en œuvre par le
attendues dans les produits ou les contractuelles prestataire pour atteindre des
prestations qui seront réalises exigences de sécurité
Plan Assurance Qualité

SLA et indicateurs de contrôle associés
aux fonctionnalités sécurité mises en
œuvre
La sécurisation des prestations doit intervenir au cours des 4 grandes phases avec le prestataire / fournisseur :
Appel d’offres Contractualisation Durée du contrat Fin du contrat
86
Source ANSSI
 Avoir une bonne connaissance de ses prestataires et fournisseurs
Pendant l’appel d’offres

• Mettre des exigences de sécurité dans le cahier des charges
• Être inclus (ou votre équipe) dans le projet, dès l’appel d’offre
• Avoir à l’esprit la certification et la qualification des produits (cf. diapositive suivante)
Avant / pendant la contractualisation

• Avant la contractualisation, vérifier les certifications et le respect des exigences de sécurité du cahier des charges, chez les
prestaires et fournisseurs
• S’assurer que sont incluses dans les contrats, a minima : des clauses de confidentialité des données, d'application des
correctifs de sécurité, de gestion des obsolescences et d’audit (clause d’audit uniquement pour les prestataires critiques). Ces
clauses peuvent être intégrées dans le Plan d'Assurance Sécurité ou le Plan d'Assurance Qualité
Pendant le contrat
• S’assurer que les prestataires respectent le plan d’assurance sécurité et le plan d'assurance qualité à travers des indicateurs
fournis par le prestataire et ne pas hésiter à appliquer les pénalités en cas de manquement.
• S’assurer de l’application de la clause d'audit, lorsqu'elle existe, pour contrôler la conformité du prestataire aux exigences de
sécurité
A la fin du contrat
• S’assurer du respect des exigences de sécurité à la fin du contrat (destruction des données)
• S’assurer de l’application des clauses de réversibilité en cas de changement de prestataire
Remarque : ces actions sont à mener en collaboration avec l’équipe Achats
87
Source ANSSI
 Certification et qualification des produits
Avoir à l’esprit la certification et la qualification des produits, lors de leur acquisition
Certification Qualification
• La certification permet d’attester de la conformité et • La qualification permet d’attester de la conformité d’un
robustesse d’un produit, en termes de sécurité et de produit de sécurité au Référentiel Général de Sécurité
résistance aux attaques d’un niveau déterminé.
• L’ANSSI instruit les demandes et délivre les attestations
• Une analyse de conformité et des tests de pénétration de qualification selon 3 niveaux :
sont réalisés par un évaluateur tiers sous l’autorité de • Elémentaire (référentiel CSPN)
l’ANSSI, selon un schéma et un référentiel adaptés aux
besoins de sécurité des utilisateurs et tenant compte des • Standard (référentiel Critères Communs)
évolutions technologiques. • Renforcé (référentiel Critères Communs)
• L’ensemble du processus est géré au sein de l’ANSSI par le • L’ANSSI procède à des contrôles complémentaires :
Centre de Certification National.
• elle valide la cible de sécurité au regard des besoins de
l’administration
• elle réalise et fait réaliser des tests sur la cryptologie
et son implémentation.
Liste des produits certifiés par l’ANSSI : Liste des produits recommandés par l’ANSSI :
https://www.ssi.gouv.fr/entreprise/produits-certifies/ https://www.ssi.gouv.fr/entreprise/produits-certifies/
88
UTILISATION DE WOOCLAP
 Sondage à partir d’un navigateur Web ou d’une App (smart phone)

1. Aller sur https://www.wooclap.com/
2. Rentrer le code donné par le formateur
CODE A SAISIR : KODPMY

RÉSUMÉ DU MODULE
Système de
Périmètre axes management de la
stratégiques sécurité - PDCA -
27001
Intégrer la Cyber
La gestion des
Sécurité dans les
tiers
projets
SI : Systèmes d’Information

1 - Cours-4a-2022-Volet 1-Module-2

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

1 - Cours-4a-2022-Volet 1-Module-2

Transféré par

Droits d'auteur :

Formats disponibles

MODULE N°2 : MANAGEMENT DE LA SÉCURITÉ

SYSTÈME DE MANAGEMENT DE LA SÉCURITÉ – SMSI –

30 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

Le pilotage SSI (Sécurité des Système d’Information)

Le RSSI a des responsabilités dans les domaines suivants :

Feuille de route de la sécurité

Reporting (au management)

Assurer une gestion cohérente et Optimiser / rationnaliser l’organisation et Assurer l’amélioration

« La gouvernance de la sécurité de l’information fournit des informations essentielles à la direction

Gouvernance SSI Management SSI Sécurité dans les projets

Gestion des crises et des

Formation et PCA PRA Plan de Reprise utilisateurs

3 Définir un objectif et une

35 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

L’outil de reporting clé : le tableau de bord

Un chantier sur la réalisation de tableaux de bord nécessite les prérequis suivants :

• Identifier un responsable en charge du pilotage du projet et de la validation des options ;

Vue d’ensemble des objectifs des tableaux de bord

Management 1 Tenir informé / Rendre des comptes

3 Mesurer le niveau de sécurité du SI

38 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

 Indicateurs de pilotage : Respect de la

39 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

40 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

41 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

NORMES : 27001 + 27002

42 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

• Dans le cadre de la mise en place de la sécurité au sein d’une organisation :

– Une certification ISO 27001 délivrée par un organisme

– Il peut être exigé à une organisation d’avoir cette

43 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

• Dans le cadre de la mise en place de la sécurité au sein d’une organisation :

– La norme ISO 27005 définit des lignes directrices

44 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

S.S.I. : Sécurité des systèmes d’Information

PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

46 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

 Basés sur la notion de processus

 Couvrent un large spectre de métiers et de compétences

47 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

 La certification ISO 27001 est le résultat de la mise en œuvre du

48 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

 L’information étant l’atout majeur ou la base de vos entreprises, le SMSI

Opportunité  La certification de votre SMSI ouvre d’autres opportunités d’affaires

49 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

Mise en place d’un SMSI – Modèle PDCA

Plan – Contexte & Planification (4 à 6) Do – Fonctionnement (7 et 8)

Act – Amélioration (10) Check – Evaluation performances (9)

- Actions de non-conformité - Surveillance, mesures, analyse et

50 PRONETIS©2020 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

Qui sont les parties prenantes ?

PARTIES PRENANTES ORGANISATION

51 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

ZOOM SUR QUELQUES POINTS

52 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

 Les 3 premiers chapitres sont généraux et les 7 suivants illustrent les

53 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

54 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

 Chapitre 4 : Contexte de l’organisme

55 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

56 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

 Chapitre 9 : L’évaluation de la performance

57 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés