Sommaire

Domaine d’application de l’ISO 27001:2005

Le modèle PDCA

Exigences

Etablir un SMSI

Plan / Do / Check / Act

Les Mesures de l’Annexe A

Incidents de sécurité

1 |

Domaine d’application de l’ISO 27001:2005

• spécifie les exigences relatives à l'établissement, à la mise en œuvre,

au fonctionnement, à la surveillance et au réexamen, à la mise à jour
et à l'amélioration d'un SMSI documenté dans le contexte des risques
globaux liés à l'activité de l'organisme.

• spécifie les exigences relatives à la mise en oeuvre des mesures de

sécurité adaptées aux besoins de chaque organisme ou à leurs parties
constitutives

2 |

1
 Sommaire
Domaine d’application de l’ISO 27001:2005

Exigences
Le modèle PDCA
Etablissement d'un SMSI

Plan / Do / Check / Act

Mesures de l'Annexe A

Incidents de sécurité

3 |

Exigences générale aux SMSI

L'organisme doit établir, mettre en oeuvre, exploiter, surveiller, réexaminer, tenir à jour et améliorer un SMSI
Pour l’application de cette norme le modèle PDCA a été choisi.
P = Plan (planifier) (ISO/IEC 27001:2005, 4.2.1):
Les processus respectifs doivent être planifiés avant leur implémentation finale.
D = Do (mettre en oeuvre) (ISO/IEC 27001:2005, 4.2.2):
Les processus sont implémentés et mis en oeuvre comme planifié.
C = Check (suveillez, réexaminer) (ISO/IEC 27001:2005, 4.2.3):
La surveillance du processus et de ses résultats sont examinés. Des indicateurs peuvent permettre d’identifier des différen
A = Act (Agir, tenir à jour, améliorer) (ISO/IEC 27001:2005, 4.2.4):
La cause de ces différences est identifiée et éliminée. Le processus d’amélioration reprendre au début du cycle PDCA.

20 |

2
 Le modèle PDCA

5 |

Le modèle PDCA
Sécuriser la maturité des processus

20 |

3
Sommaire
Domaine d’application de l’ISO 27001:2005

Le modèle PDCA

Etablissement d'un SMSI

Exigences
Plan / Do / Check / Act

Mesures de l'Annexe A

Incidents de sécurité

7 |

Exigences relatives à la documentation (ISO/IEC

27001:2005, 4.3)
• Documentation de la politique de sécurité et de la surveillance de l’atteinte des
objectifs de sécurité.
• Définition du domaine d’application du SMSI, des procédures et des mesures de
sécurité.
• Documentation de la systématique de l’analyse de risque (méthodes, rapport
d’audit).
• Plan de gestion du risque, avec des responsabilité et un budget
• Documentation de la planification, de la mise en œuvre des mesures, tout comme la
mesure de l’efficacité des mesures mise en place.
• Mise en place des enregistrements nécessaire pour le fonctionnement du SMSI, par
exemple, autorisation d’accès, enregistrement d’audit .
• Déclaration d’applicabilité, sélection des mesures à partir de l’annexe A de
l’ISO/IEC 27001 et justification de la non application des mesures.
• Maîtrise des erreurs et des enregistrements (records).

20 |

4
 Exigences relatives à la documentation (ISO/IEC
27001:2005, 4.3) - Suite

• Documentation de la revue de direction du SMSI

• Documentation des responsabilités pour la protection des actifs et du
fonctionnement des processus de sécurités
• Documentation du processus d’autorisation de l’usage de nouveau
équipement IT.
• Documentation de la revue indépendante de la mise en places des
mesures de sécurité.
• Documentation des aspects liés à la sécurité de l’information lors de
l’intervention d’une partie tierce partie ou de la sous-traitance d’activités.

9 |

Exigences relative à la documentation d’un SMSI

Déclaration d’applicabilité
• 3.16 déclaration d'applicabilité (DdA)
• déclaration documentée décrivant les objectifs de sécurité, ainsi que les
mesures appropriées et applicables au SMSI d'un organisme et la raison de
leur selection.

• Devrait être accessible au Manager, employés et partie indépendante (par

exemple auditeur, certificateur etc … )

• Autre documentation
• Système de management pour la sécurité de l’information d’un
organisme.
• Documentation des objectifs et mesures de sécurité
• Documentation de la politique de sécurité
• Description de processus
• Autres enregistrements necessaires

20 |

5
 Exigences : Sécurité organisationnelle

• Etablissement et maintient d’un système de management de la sécurité de

l’information (SMSI)

• Détermination et mise en place des objectifs et mesures de sécurité

applicables.

• Définition d’une politique de sécurité adaptée aux besoins, exigences

applicables, tout comme à la situation organisationnelle, aux actifs et à la
technologie utilisée.

• Systématique du management des risques

11 |

„Configuration de base“ – facteurs clefs de succes (ISO/IEC 27002, 0.7)

Politique de sécurité, objectif de sécurité cohérent avec les objectifs de fonctionnement de l’entreprise.
Approche d’implémentation en conformité avec la culture de l’organisme.
Engagement et implication de tous les niveaux de l’organisme.
Bonne compréhension des
Exigences en sécurité
Evaluation du risquevoir. ISO/IEC 27002:2007, X.0.7 ff.
Management du risque

20 |

6
 Sommaire.

• La sécurité de l’information protège l’information des dangers, et permet de

• Sécuriser la continuité des activités.

• Minimiser les interruptions des opérations.
• Maximiser le retour sur investissement.
• Les opportunités peuvent être pleinement exploitée.

13 |

Sommaire
Domaine d’application de l’ISO 27001:2005

Le modèle PDCA

Exigences

Plan / Do / Check / Act

Etablissement d'un SMSI
Mesures de l'Annexe A

Incidents de sécurité

20 |

7
 Etablissement d'un SMSI

• Définition du domaine d’application

• Définition d’une politique de sécurité
• Définition d’une approche systématique pour l’appréciation du risque
• Identification du risque
• Evaluation du risque
• Identification et selection des options pour le traitement du risque
• Selection des objectifs et mesures pour le traitement du risque
• Documenter la Déclaration d’Applicabilité „DdA”
• Obtenir l’accord du management en ce qui concerne le niveau
d’acceptation du risque.

15 |

Etablissement d'un SMSI

20 |

8
Sommaire
Domaine d’application de l’ISO 27001:2005

Le modèle PDCA

Exigences

Etablissement d'un SMSI

Mesures de l'Annexe A
Plan / Do / Check / Act
Incidents de sécurité

17 |

Planification du SMSI (Plan) – Mise en place d’une

infrastructure de sécurité de l’information

• Engagement de la direction qui appui les activités de sécurité de l’information

de manière explicite et lui fourni les ressources nécessaires.

• Définition des responsabilités pour la protection des actifs et pour la

mise en œuvre des processus liés à la sécurité de l’information.

• Installation d’un système d’autorisation pour les nouveaux équipement de

la sécurité de l’information.

• Vérification indépendante et régulière de la mise en place de la sécurité de

l’information

• Mise en place de processus de sécurité permettant de minimiser les

risques liés à l’intervention de personnes tierces. ( sous-traitance).

20 |

9
 Management du Risque (Plan)

• Objectifs:
• Systématique d’identification des risques.
• Evaluation de ces risques par rapport à leur probabilité d’occurrence et
l’évaluation quantitative de l’impact.

• Prise en considération des chances et des dangers.

• Problèmes:
• Risque identifiés de manière tardive
• Absence de mesures de détection.
• Processus complexe
• Temps de réaction réduit
• Pression des coûts
• Suivi et surveillance insuffisants

19 |

Planification du SMSI (Plan) – Standards / Lois

Standard Purpose / Scope

ISO/IEC 17799 / ISO/IEC 27001
BSI Baseline Protection Manual
COBIT
ISO 27005 (ISO/IEC TR 13335)
DIN ISO/IEC 15504
Norme Internationnal pour le management de la sécurité de l’information (ligne directrice
et exigence)
Ensembre de mesures de sécurité recommandé par le BSI
Le CobiT (Control Objectives for Business and related Techonology – Contrôle de
l’Information et des Technologies Associées) est un outil fédérateur qui permet
d'instaurer un langage commun pour parler de la gouvernance des Systèmes
d'information tout en intégrant d'autres référentiels tels que ISO 9000 ou ITIL.
ISO/IEC 27005:2008 Technologies de l'information -- Techniques de
sécurité -- Gestion du risque en sécurité de l'information (MICTS)
La norme ISO/IEC 15504 initialement connue sous le nom de SPICE (Software Process
Improvement and Capability dEtermination), ne se limite plus à l’évaluation des
processus de développement informatique, mais est aujourd’hui utilisée dans de
nouveaux secteurs. Cette norme a été développée conjointement par un sous-comité
technique de l'ISO (International Organization for Standardization) et de l'IEC
(International Electrotechnical Commission).
La norme ISO/IEC 15504 est à l'origine de la norme concernant les cycles de vie des
processus (standard ISO 12207) et des concepts hérités des modèles de maturité tels
Bootstrap, Trillium and the CMM(Capability Maturity Model).

20 |

10
Planification du SMSI (Plan) – Standards / Lois (suite)
Standard Objectif / Domaine d’application
Common Criteria Common Criteria est une norme standard (ISO 15408). Elle permet de certifier les
niveaux de défense procurés par les composants de sécurité des systèmes d'information.
Elle provient de la convergence entre les normes de l'Orange Book de la NSA (aux
USA) et celles de l'ITSEC en Europe.
Sarbanes-Oxley Act (SOX) Aux États-Unis d’Amérique, la loi de 2002 sur la réforme de la comptabilité des
sociétés cotées et la protection des investisseurs est une loi fédérale imposant
de nouvelles règles sur la comptabilité et la transparence financière. Le texte est
couramment appelée loi Sarbanes-Oxley, du nom de ses promoteurs les sénateurs Paul
Sarbanes et Mike Oxley. Ce nom peut être abrégé en SOX, Sarbox

KonTRAG Loi pour la transparence et le contrôle dans les entreprises Allemande impose l’audit de la
sécurité de l’information et d’informé les actionnaires sur le niveau de risque.

ITIL Bibliothèque pour l'infrastructure des technologies de l'information

Orange Book Standard de Securité du Département de défence Américain
Basel II Evaluation des risques opérationnels (relatif à l’évalutation financière)

21 |

Risque management (Plan) – Definitions

Analyse du risque (ISO/IEC 27002:2007, 2.10 or ISO/IEC 27001, 4.2.1)

• Utilisation systématique d'informations pour identifier les sources et pour
estimer le risque
• Analyses des dangers et vulnérabilités, y compris l’étendu des
dommages et leur probabilité d’occurrence, relatifs à l’information et
installations pour le traitement de l’information.

Management du risque (ISO/IEC 27002:2007, 2.13 or ISO/IEC 27001, 4.2.1)

• activités coordonnées visant à diriger et piloter un organisme vis-à-vis du
risque
• (Ancien : Processus pour l’identification, la surveillance, et minimisation
des risques à des coûts appropriés)

20 |

11
 Management du Risque (Plan) – Evaluation des risques = validation des coûts.

Risque = Probabilité d’occurrence x Dommages Matrice des risques

élev
D
Analyses et évaluation du risque

Facteur clef de succès: C

Les scenarios sont complets

Probabiité
Probabilités sont réalistes A

faible
Calcul du montant des dommages l’est également.
Risque Total:
Somme de tous les risques
faiblesmoyensélevés
Domages DT

23 |

Management du Risque (Plan) – Evaluation des risques = validation des coûts.

Point de départ:

Matrice des risques

Réduction du risque en DT B
Critère pour la sélection de mesures
> D
élev

Coût Investissement en sécurité

Efficacité
Applicabilité C
Probabiité

Notre expérience: A
L’utilisation de la règle
faible

faiblesmoyensélevés
Domages DT

20 |

12
 Management du Risque (Plan) – Etablissement d’un mix de mesures

Réduction du Risque > Investments

Risque Total

Risque déployé dans toute l’entreprise

Prévention des Risque Réduction du Risque < Investments

Reduction des Risque Prevention

Mise en place de mesures:
Changement / Mise ne place d’activities
Personnel
de sécurisation Technique
Transfert du Risque transfer
Organisationelle

Acceptation du Risque
Risque résiduel
Assurance, SecLAs
Reaction

25 |

Management du Risque (Plan) – Objectifs de Protection

• La sécurité de l’information protège l’information contre les dangers

• Protéger les processus de gestion
• Minimiser la durée des dommages et
• Obtenir le maximum de retour en investissement
• Chaque organisme a ses propres exigences concernant le niveau de
confidentialité, intégrité et accessibilité à atteindre..

20 |

13
 Réalisation (Do)

• Elaboration du plan de traitement des risques qui couvrent de manière

approprié le besoin en protection.
• Mise en œuvre du plan de traitementt des risque avec l’affectation des
responsabilités correspondantes.
• Obtention de l’accord pour la mise en place de mesure pour l’atteinte des
objectifs de sécurité
• Planification et mise en œuvre du programme de sensibilisation.
• Management des performances du SMSI
• Management des ressources
• Etablissement et mise en œuvre des mesures pour la détection des
incidents de sécurité

27 |

Mise en oeuvre (Do) – Selection des mesures (preventive, reactive)

Identification Du Risque Appréciation Mesures (Selection & mise en place)

Surveillance

Risque A
Risque A 1
Probabilité d‘ooccurrence
Risque A 2
Risque A 3
...
Elevée Risque A 1 Mesure 1 Niveau de sécurité
Risque B
Risque B 1 Risque B 3

Risque B 2
Risque B 3 Risque B 4 Mesure 2 Niveau de sécurité

Risque B 4
... Risque C 2
Mesure 3 Niveau de sécurité
Risque C faible
Risque C 1 DT
Dommages

Risque C 2
...

20 |

14
 Surveillance (Check)

• Application des procédures de surveillance afin de

• Détection immédiate des erreurs au niveau des opération.
• Détection des incidents de sécurité
• Prendre les décisions managériales concernant l’efficacité du SMSI

• Revue de l’éfficacité du SMSI de manière régulière

• Revue de l’analyse des risques en tenant compte des changements

• organisationnels
• Relatifs à l’infrastructure
• Relatif aux objectifs de l’organisme et des processus.
• Dues à des situation de dangers
• Dues à d’autre facteurs externe

29 |

Actualiser / Améliorer (Act)

• Mise en œuvre des améliorations applicable au SMSI

• Mise en œuvre des actions préventive et réactive.

• Evaluation du retour d’expérience

• Communication des résultats et des activités à tous les employés

20 |

15
Sommaire
Domaine d’application de l’ISO 27001:2005

Le modèle PDCA

Exigences

Etablissement d'un SMSI

Plan / Do / Check / Act

Incidents de sécurité
Mesures de l'Annexe A

31 |

Sommaire
• Articles de l‘Annexe A

• Politique de sécurité
• Organisation de la sécurité de l’information
• Gestion des actifs
• Sécurité liée aux ressources humaines
• Sécurité physique et environnementale
• Gestion de l’exploitation et des télécommunications
• Contrôle d'accès
• Acquisition, développement et maintenance des systèmes d’information
• Gestion des incidents liés à la sécurité de l’information
• Gestion de la continuité de l’activité
• Conformité

20 |

16
Article de l'Annexe A
Politique de SI (ISO/IEC 27002:2007, 5)
• A.5.1 Politique de sécurité de l'information
Objectif: Apporter à la sécurité de l’information une orientation et un
soutien de la part de la direction, conformément aux exigences métier et
aux lois et règlements en vigueur.
• Documenter et mettre à jour les principes fondamentaux de la sécurité de
l’information (Politique de sécurité)
• Par les personnes responsable
• Lors de changement qui affecte le « paysage » des risques, par
exemple
• Incidents de sécurité
• Nouvelles vulnérabilités
• Changement organisationnels et techniques
• À des intervalles appropriés afin de vérifier:
• L’efficacité (sur la base de l’expérience et des incidents)
• Coûts et effets sur les opérations.
• Effets des changement technologiques.
33 |

Article de l'Annexe A
Organisation Interne (ISO/IEC 27002:2007, 6.1)
Objectif: Gérer la sécurité de l’information au sein de l’organisme.

• Déclaration de la gestion sur sécurité de l'information

• Règles de coordination dans l'organisation
• Tâche assignée de responsabilités sur sécurité de l'information
• Installation d'un processus de l'autorisation pour les installations IT
• Accords de la confidentialité
• Contacts avec les autorités
• Contacts avec les associations et groupement
• Révision indépendante de sécurité de l'information

34 |

17
 Article de l'Annexe A
Tiers (ISO/IEC 27002:2007, 6.2)
Objectif: Assurer la sécurité de l'information et des moyens de
traitement de l'information appartenant à l'organisme et consultés,
traités, communiqués ou gérés par des tiers.

• Identifier les risques et mettre œuvre les mesures nécessaires avant

d’autoriser l’accès.
• Faire très attention à la sécurité de l’information lors
• Des visites des clients
• Lors de l’établissement de contrat avec les organismes tierces.

35 |

Article de l'Annexe A
Gesion des actifs (ISO/IEC 27002:2007, 7)
Objectif: Mettre en place et maintenir une protection appropriée des
actifs de l’organisme.
Objectif: Garantir un niveau de protection approprié aux informations.

• Responsabilité relatif au avoir informationnel de l’organisme (propriétaire)

• Inventaire
• Affectation à un employé ou une unité de gestion.
• Type d’utilisation autorisé.

• Classification des informations

• Ligne directrice pour la classification
• Identification et manipulation de l’information

36 |

18
 Article de l'Annexe A
Sécurité liée aux ressources humaines (ISO/IEC 27002:2007, 8)
Objectif: Réduire les risques liés aux erreurs humaines, erreurs
inattention, fraudes, fausse manipulation des installation par les
employés, fournisseurs et parties tierces.
• Avant le recrutement
• Compréhension des responsabilité, sélection adéquat du personnel
vérification des CV, engagement de confidentialité, condition
d’emploies et clause relative à la fin de l’emploie.

• Pendant la durée du contrat

• Sensibilisation aux dangers, responsabilité et autorités, usage adapté des
équipement, etc… (formation, formation spécialisée,…)

• Fin ou modification du contrat

• Suppression des responsabilités, récupération de la propriété de
l’organisation, suppression des droit d’accès et autorisation

37 |

Article de l'Annexe A
9 Sécurité physique et environnementale
(ISO/IEC 27002:2007, 9)
Objective: Prévention des accès non autorisés, destruction ou
interférence dans les affaires.

• Zones de sécurité
• Délimitation physique, contrôle d’accès, protection physique des bureaux
et des équipement, instruction de travail spécifique pour les zones
sécurisée, zones de livraison et zone de chargement.

• Protection physique des installations

• Exposition, installation support tels que l’énergie, le câblage, service de
traitement ou transmission de l’information externe. Société de
recyclage, de transport en contacts avec les actifs de l’organisme.

38 |

19
 Article de l'Annexe A
Gestion de l’exploitation et des télécommunications
(ISO/IEC 27002:2007, 10)
Objectif: Sécuriser les opérations de traitement de donnés et les installations de traitement
de données.

• Méthodologies et responsabilités documentées

• Maîtrise des changements, gestion des l'incidents, séparation de tâches, séparation des
activités de test et activités opérationnelles, gestion de materiel par externe,
• Gestion des services prestés par des tierces
• Planification et acceptation des systèmes
• Protection contre logiciel malveillants
• Sauvegarde
• Gestion du réseau
• Manutention sécurisé des moyens
• Échange d'information
• Commerce électronique
• Surveillance (enregistrement des manipulation aux informations importantes et
protection de celles-ci contre manipulation, synchronisation de l'horloge)

39 |

Article de l'Annexe A
Contrôle d'accès (ISO/IEC 27002:2007, 11)
Objective: Contrôle d’accès (accès, autorisation) à l’information.

• Principes pour accès à information quant à affaire et demandes de la

sécurité

• Prévention d'accès non autorisé

• Responsabilité de l'utilisateur (conscience et sensibilisation)
• Contrôle d'accès établir des contacts services
• Contrôle d'accès aux services du système d'exploitation
• Contrôle d'accès aux applications et aux données
• Applications mobiles et télétravail

38 |

20
 Article de l'Annexe A
Acquisition, développement et maintenance des
systèmes d’information (ISO/IEC 27002:2007, 12)
Objectif: Assurer que la sécurité et une partie intégrante des systèmes d’information

• Analyse de besoin de sécurité et spécifications de sécurité

• Traitement sans défaut de données dans les applications
• Contrôle de l'usage de techniques cryptographiques
• Sécurité de données du système
• Sécurité des processus de développement et processus support
• Gestion de vulnérabilité technique

41 |

Article de l'Annexe A
Gestion des incidents liés à la sécurité de l’information
(ISO/IEC 27002:2007, 13)
Objective: Identification et réaction lors d’incident pertinents.

• Différentiation of événement (2.6) et incident (2.7)

• Notification des
• Evénements et
• vulnérabilités identifiés

• Manipulation des incidents actions d’amélioration

• Responsabilités et processus.
• Apprendre des événements.
• Protection des preuves.

38 |

21
 Article de l'Annexe A
Gestion de la continuité de l’activité (ISO/IEC 27002:2007, 14)

Objectif: Prévention des interruption des affaires et protections des

processus sensibles des perturbations dues à des erreurs graves ou
des catastrophes et assurer la reprise des activités.

• Intégration de la sécurité de l’information dans les processus afin de d’en

assurer la continuité.
• Création et mise en place d’un concept pour le maintien de la continuité des
opérations en tenant compte de la sécurité de l’information.
• Mise en place d’un cadre consistant pour la mise ne place et mise à jours des
plans d’urgence.
• Tests, maintien et revue des plan d’urgence

43 |

Article de l'Annexe A
Conformité (ISO/IEC 27002:2007, 15)
Objectif: Maintenir la conformité aux règlementations, standards de
sécurité.

• Exigences Légales et réglementaires

• Lois, arrêtés, décrets
• Propriété intellectuelle
• Enregistrement interne à l’entreprise.
• Protection des données personnelles (privé)
• Prévention de la mauvaise manipulation des systèmes de traitement de
données.
• Politique de sécurité, standards, normes et règles techniques
• Considérations concernant les „audits système“

38 |

22
 Mesures de l'Annexe A
Note

• Attention
• Toutes les mesures ne sont pas applicable à toutes les situations.
• Les mesures doivent être adapté à la culture de l’organisme.

45 |

Sommaire
Domaine d’application de l’ISO 27001:2005

Le modèle PDCA

Exigences

Etablissement d'un SMSI

Plan / Do / Check / Act

Mesures de l'Annexe A

Incidents de sécurité

46 |

23
 Incidents de sécurité
ISO/IEC TR 18044:2004
Evénement lié à la sécurité de l'information
• occurrence identifiée d'un état d'un système, d'un service ou d'un réseau
indiquant une faille possible dans la politique de sécurité de l'information
ou un échec des moyens de protection, ou encore une situation inconnue
jusqu'alors et pouvant relever de la sécurité
Incident lié à la sécurité de l'information
• un ou plusieurs événements intéressant la sécurité de l'information
indésirable(s) ou inattendu(s) présentant une probabilité forte de
compromettre les opérations liées à l'activité de l'organisme et de
menacer la sécurité de l'information

47 |

Incidents de sécurité
ISO/IEC TR 18044:2004
• La méthode de gestion des incidents de sécurité est comparable au
modèle PDCA
• Planifier et préparer: définir des politiques et schéma pour les
incidents de sécurité, obtenir l’implication et l’appui necessaire,
réaliser des formations de sensibilisation.
• Utiliser: Les processus clé, comment detecter et rapporter les
incident de sécurité, aprécier les évenements / incidents, décision et
réponses.
• Revoir: investigation légale ultérieure (incidents/events as
evidence), lessons learnt, identify opportunities for improvement
• Améliorer: analyser les risques de sécurité, améliorer la gestion,
mise en oeuvre des amélioration
• Cette norme fournit des exemples de formulaire (Annexe A) et un exemple
de ligne directrice pour l’appréciation des incidents de sécurité de
l’information.

48 |

24