Vous êtes sur la page 1sur 15

Norme ISO 27001 Dmarche globale et cohrente?

Confrence IDC Risk Management 2008 Paris, 7 fvrier 2008

<Alexandre.Fernandez-Toro@hsc.fr>

Alexandre Fernandez-Toro

La srie ISO 2700x


ISO 27002

Bonnes pratiques

ISO 27000
Dfinitions

ISO 27003
Implmentation

ISO 27001

ISO 27006
Rgles daudit

ISO 27004
Indicateurs

Apprciation des risques


2
Copyright Herv Schauer Consultants 2008 - Reproduction Interdite

ISO 27005

ISO 27005
Les mthodes dapprciation des risques sont nombreuses
EBIOS MEHARI CRAMM ISO 13335-3 BS 7799-3 Octave Mthodes maison Etc.

Copyright Herv Schauer Consultants 2008 - Reproduction Interdite

ISO 27005
LISO 27005 na pas rinvent la roue Principales tapes de lISO 27005
Inventaire des actifs Valorisation des actifs Identification des menaces Identification des vulnrabilits Probabilit doccurrence Niveau de risque Traitement du risque
Acceptation / Refus / Transfert / Rduction

Risque rsiduel

Processus itratif
4
Copyright Herv Schauer Consultants 2008 - Reproduction Interdite

ISO 27005
Annexes : trs pragmatiques
Inventaire des actifs
Deux niveaux : primaire et secondaire

Liste des menaces


Influence de la DCSSI ?

Exemples de vulnrabilits Exemples dapprciation des risques

Copyright Herv Schauer Consultants 2008 - Reproduction Interdite

ISO 27005
Pourquoi adopter lISO 27005 ?
Parce quelle reprend le meilleur des mthodes dapprciation des risques. Parce quelle est conforme aux exigences de lISO 27001
Et pour cause

A cause de lISO de ISO 27005

Copyright Herv Schauer Consultants 2008 - Reproduction Interdite

La srie ISO 2700x


ISO 27002

Bonnes pratiques

ISO 27000
Dfinitions

ISO 27003
Implmentation

ISO 27001

ISO 27006
Rgles daudit

ISO 27004
Indicateurs

Apprciation des risques


7
Copyright Herv Schauer Consultants 2008 - Reproduction Interdite

ISO 27005

Rappels sur lISO 27001


Norme prcisant les exigences pour
La mise en place Lexploitation Lamlioration

dun SMSI. Clauses 4 8


Obligatoires Pas dexceptions permises

Mesures de scurit de lannexe A


Slection en fonction du traitement du risque
8
Copyright Herv Schauer Consultants 2008 - Reproduction Interdite

ISO 27001 modle PDCA


Attentes et exigences en terme de scurit Partenaires Fournisseurs Clients Pouvoirs publics Services
9

Modle PDCA : Plan-Do-Check-Act

Scurit effective fournie Partenaires Fournisseurs

Planification
Plan

Action
Do

Correction
Act

Clients Pouvoirs publics Services

Vrification
Check
Copyright Herv Schauer Consultants 2008 - Reproduction Interdite

ISO 27001
Implmentation ISO 27001 Une ide reue
Faire une apprciation des risques Faire de la documentation

En fait
Dfinir un primtre et une politique Procder une apprciation des risques Mettre en place des mesures de scurit Rendre conforme lexistant au modle PDCA Grer la documentation Faire des audits internes Faire du suivi dactions

10

Copyright Herv Schauer Consultants 2008 - Reproduction Interdite

ISO 27001
ISO 27001 et conformit Sarbanes Oxley SAS 70 PCI-DSS Politiques de scurit groupe Autres rfrentiels sectoriels Points communs Politique Matrise des risques Actions correctives et prventives Formalisation de procdures Gestion des incidents Audits rguliers (audits internes et audits externes) Indicateurs de conformit et defficacit
11
Copyright Herv Schauer Consultants 2008 - Reproduction Interdite

ISO 27001
ISO 27001 et autres mthodologies ITIL CMMI CoBIT Etc.

12

Copyright Herv Schauer Consultants 2008 - Reproduction Interdite

ISO 27001
ISO 27001 et autres certifications ISO 9001 ISO 20000

Un mot dordre : mutualiser autant que possible


Ne jamais refaire deux fois le mme travail Identifier le plus en amont possible les opportunits de mutualisation Ce qui a t fait pour un rfrentiel doit tre rutilis pour lautre

13

Copyright Herv Schauer Consultants 2008 - Reproduction Interdite

Conclusion
Bonnes pratiques

ISO 27002

ISO 27001

Apprciation des disques

ISO 27005 ITIL

SAS 70

Production

ISO 27001
Moteur de base

Dveloppements

CMMI

PCI-DSS

Gouvernance

CoBIT

ISO 27004
Indicateurs
14

Tout autre rfrentiel scurit

Copyright Herv Schauer Consultants 2008 - Reproduction Interdite

Alexandre.Fernandez-Toro@hsc.fr

15

Copyright Herv Schauer Consultants 2008 - Reproduction Interdite

Vous aimerez peut-être aussi