Vous êtes sur la page 1sur 107

UNIVERSITE DE PARIS 1

Panthon-Sorbonne

U.F.R. DE MATHEMATIQUES ET DINFORMATIQUE

Scurisation des informations
Introduction
Noubliez pas de rallumer vos portables en
sortant !!!

Tour de table :
Ce qui a t acquis depuis samedi 4/12
Vos attentes
Vos questions prcises

Horaires
Matine : 10 H 00 12 H 00
Aprs-midi : 13 H 00 17 H 00
Pause vers 15 H 30
Sommaire J2
Introduction
Dfinition dun ISMS
Pourquoi mettre en uvre un ISMS

Prsentation gnrale de la norme ISO 27000
Les principales normes de scurit
Historique des normes ISO 2700X
Objectifs et contenu des normes ISO 2700X

Sommaire J2 (suite)
La norme ISO / IEC 27001 : 2005
Cadre gnral et objectif de la norme
Contenu et exigences de la norme
Mise en uvre des directives de la norme

La norme ISO / IEC 27002
Cadre gnral et objectif de la norme
Contenu et directives de la norme
Mise en uvre des directives de la norme
Sommaire J2 (suite et fin)
Conseil et mise en place dun ISMS

Conclusions

Questions
Dfinition dun ISMS
Signification :

ISMS : Information Security Management
System

OU

SMSI : Systme de Management de la
Scurit de lInformation
Dfinition dun ISMS
Un SMSI est un ensemble dlments
interactifs permettant un organisme
dtablir une politique et des objectifs en
matire de scurit de linformation,
dappliquer une politique, datteindre ces
objectifs et de contrler latteinte de ces
objectifs.

Le SMSI est tabli, document, mis en
uvre et entretenu.
Dfinition dun ISMS
Lefficacit est mesure par rapport aux
objectifs de lentit et, cette mesure
permet damliorer EN PERMANENCE le
SMSI.

Le SMSI est cohrent avec les autres
systmes de managements de lentit,
notamment avec les systmes de
management de la qualit, de la scurit
des conditions de travail, et de
lenvironnement.
Dfinition dun ISMS

Lexistence dun SMSI dans lorganisme
permet de renforcer la confiance dans le
mode de gestion de la scurit de
linformation.

Dfinition du CLUSIF
2004
Les systmes de management
Le SMSI est cohrent avec les autres systmes de managements
de lentit

Systme de management de la qualit (SMQ) : ISO 9001 2002
Systme de management de lenvironnemental (SME) : ISO 14001
2004
Systme de management de la sant et la scurit au travail
(SMSST) : OHSAS 18001 1999
Systme de management de la scurit alimentaire (SMSA) : ISO
22000 2005
Systme de management des services informatiques des
organismes : ISO 20000 ITIL BS 15000
Systme de management de la suret pour la chane
dapprovisionnement : ISO 28000 2005
Systme de management de la scurit de linformation (SMSI) :
ISO 27001 - 2005
Lamlioration continue
Le Modle de Deming*

Le modle expos par William Edwards
DEMING se dfinit en 4 tapes rcurrentes :

1 - Plan : Trouver les solutions, planifier
2 - Do : Mettre en uvre
3 - Check : vrifier lefficacit des solutions
4 - Act : Amliorer

* appel aussi roue de Deming, cycle de Deming,
ou roue de la qualit
Pourquoi mettre en uvre une
ISMS ?
Pour protger, dans la dure, les informations et
les systmes dinformation de lentreprise.

Pour renforcer la confiance dans le systme
dinformation de lentreprise (vis--vis des clients
et des fournisseurs ou en interne)

Pour amliorer les processus et lorganisation
interne en matire de scurit informatique.

Pour obtenir une certification ISO / IEC 27001 -
2005
Quelques normes relatives au SI
ISO / IEC 27001 : 2005 et ISO / IEC 17799 :
2005 (ISO 27002 - 04/2007) : ISMS
ISO / IEC 13335 1 5 : Guidelines for the
management of IT Security
ISO / IEC 15408 : Critres communs
Certification des technologies de scurit
ISO / IEC TR 14516 : 2002 lignes directrices
pour lutilisation et la gestion des services de
tiers de confiance

Quelques normes relatives au SI
ISO / IEC WD 18044 Security Incident
Management
ISO / IEC WD 18043 Guidelines for
implementation, operation and management of
Intrusion Detection System (IDS)
ISO / IEC 13569 Banking and related financial
services - information security guidelines
ISO / IEC TS 17090 (Health Informatics : public
key infrastructure)
Quelques normes relatives au SI
Cette liste appelle une rflexion :

Dans le cadre de la globalisation des
changes, linterconnexion des
systmes dinformations
ncessiterait, sans doute, une
HARMONISATION des normes
Les normes ISO 27000
Prsentation :

ISO 27000 : Principe et vocabulaire
ISO 27001 : Exigences pour le SMSI
ISO 27002 : Guide de bonnes pratiques
ISO 27003 : Guide dimplmentation
ISO 27004 : Mtrique et Mesure
ISO 27005 : Analyse des risques
ISO 27006 : Certification, Exigences pour laccrditation
des auditeurs
ISO 27007 : Certification, guide daudit pour lISMS
ISO 2700? : PCA - PRA
Les normes ISO 27000
Historique :

1992 : Code de bonnes pratiques
1995 : Le BSI dicte BS 7799
1998 : Le BSI dicte BS 7799 - part 2
1999 : Rvision de la BS 7799 - part 1 et 2
2000 : ISO 17799 BS 7799 - part 1 (08 et 12/2000)
2001 : Dmarrage rvision ISO 1799 2000
2002 : Publication BS 7799 - part 2
2005 : ISO 17799 Parue en juin
2005 : ISO 27001 (normalisation de la partie 2 de la BS
7799) - Parue en octobre
2007 : ISO 27006
2007 : ISO 17799 de 2005 devient ISO 27002
Les normes ISO 27000
Ltat des documents :

Publis :

ISO 27001 : Exigences pour le SMSI - 2005
ISO 27002 : Guide de bonnes pratiques - 2005
ISO 27006 : Certification, Exigences pour laccrditation
des auditeurs - 2007
ISO 27005 : Analyse des risques - 2008
ISO 27004 : Mtrique et Mesure - 2008
ISO 27000 : Principe et vocabulaire - 2009
ISO 27003 : Guide dimplmentation - 2009
Les normes ISO 27000
Ltat des documents :

Travaux en cours :

ISO 27007 : Certification, Guide de laudit du
SMSI
ISO 2700? : PCA PRA
ISO 27011 : Lignes directrices pour les tlcoms
ISO 27799 : Lignes Directrices pour la sant
Les normes ISO 27000
La certification des SI :
Elle engendre :
La mise excution systmatique de la
politique en matire de scurit de
linformation
Une gestion des risques en rapport avec
la scurit de linformation et les systmes
correspondants lchelle de lentreprise
Les normes ISO 27000
La certification engendre (2) :
La surveillance efficace et lamlioration
permanente de la scurit de linformation
Lassurance du respect des bases lgales
et contractuelles
La mise en uvre de mthodes globales
ou holistiques (y compris dans des
domaines non techniques)
Les normes ISO 27000
La certification engendre (3) :
Le dveloppement de relations de
confiance avec la clientle, les organismes
publics, ainsi que dans le domaine de le-
commerce
La garantie adquate et permanente de la
disponibilit, du caractre confidentiel et
de lintgrit
Les normes ISO 27000
La certification engendre (4) :

La protection de lensemble des
informations, indpendamment de la
manire dont elles sont reprsentes
et/ou sauvegardes
Les normes ISO 27000
Les certificats :
Peuvent exclusivement tre attribus par
une Institution de certification accrdite
Sont reconnus au plan International
Sont valables trois ans, lissue desquels
une nouvelle certification a lieu dans un
souci de dveloppement continu
Annuellement, des vrifications de suivi
sont ralises pendant leur validit
Les normes ISO 27000
Les tapes de la vie du certificat :
Une fois ltude de faisabilit ralise
A T0 : dbut de la revue documentaire
A T + 3 6 semaines : dbut tapes 2
Si tout OK = Obtention du certificat
A T + 1 an : Audits de surveillance
Audits de surveillance T + 2 ans
A T + 3 ans Audit de renouvellement
Les normes ISO 27000
Processus de certification :

1 - Lorganisme demande tre certifi
2 - Lorganisme de certification missionne une quipe
daudit
3 - Lquipe daudit audite lorganisme demandeur
4 - Lquipe daudit rend son rapport
5 - Si rapport OK lorganisme de certification dlivre le
certificat
6 - Lorganisme certifi communique linformation la
partie prenante
7 - La partie prenante vrifie la validit du certificat auprs
de lorganisme de certification
Les normes ISO 27000
Le schma directeur de la certification :

En France, lautorit
daccrditation est :
la COFRAC
(qui accrdite les Organismes
de certification)
Les normes ISO 27000
Le schma de la certification :

Schma identique pour toutes les certifications

Une seule autorit daccrditation par pays

Un ou plusieurs organismes de certification
selon les schmas de certification
Gnralement des socits prives
Font travailler les auditeurs salaris ou indpendants
Les normes ISO 27000

Prsentation

de la norme

ISO / IEC 27001

2005
ISO / IEC 27001 - 2005
Structure de la norme :
Document de 33 pages
Chapitre 0 3 : Introduction et description
gnrale de la norme
Chapitre 4 8 : Description des exigences
de la norme
Annexe A : Objectifs et points de contrle
(ISO 17799 - 2005)
ISO / IEC 27001 - 2005
Description des exigences de la norme :
Chap. 4 : Description de lISMS / PDCA
Chap. 5 : Engagement et responsabilit
du management
Chap. 6 : Audits Internes de lISMS
Chap. 7 : Rvision de lISMS par le
management
Chap. 8 : Amlioration de lISMS
ISO / IEC 27001 - 2005
Objectif et cadre gnral dutilisation :

La norme ISO 27001 a pour objectif de proposer
un modle permettant de dfinir, dimplmenter,
de maintenir, de piloter, dauditer et de faire
voluer un systme de management de la
scurit de linformation.

Ladoption de lISMS doit tre une dcision
stratgique de lorganisation
ISO / IEC 27001 - 2005
Objectif et cadre gnral dutilisation (suite) :

La dfinition et la mise en uvre de lISMS doit
tre adapt aux besoins, aux objectifs, aux
exigences de scurit, lorganisation, la taille
et la structure de lorganisation

La norme adopte le modle damlioration
continue PDCA et reprend les recommandations
dfinies par lOCDE pour introduire une culture
de la scurit
ISO / IEC 27001 - 2005
Modle PDCA appliqu aux processus
SMSI :
1 - Plan : Etablir la politique, les objectifs, les
processus et procdure du SMSI
2 - Do : Mise en uvre, dploiement et
fonctionnement du SMSI
3 - Check : Conrler, surveiller, valuer,
mesurer les performances du SMSI
4 - Act : Mise jour et amlioration du SMSI
ISO / IEC 27001 - 2005
Description des exigences de la phase plan :

Synthse des exigences
Dfinir le primtre de lISMS
Dfinir la politique de scurit de lISMS
Dfinir lapproche pour valuer les risques
Identifier les risques
Analyse et mesure des risques
Identifier et dfinir les options de traitement des risques
Dfinir les objectifs de contrle et les points de contrles dployer
Obtenir laccord de la DG sur le maintien des risques rsiduels
Obtenir laccord de la DG pour mettre en uvre et dployer lISMS
Prparer une dclaration dapplicabilit (DdA)

Soit 11 exigences
ISO / IEC 27001 - 2005
La Stratgie du SMSI (ex. de document) :

SOMMAIRE

1. Systme de management de la Scurit de linformation
1.1 Dfinition dun SMSI
1.2 Domaine dapplication
1.3 Politique et principe gnraux
1.4 Apprciation et traitement des risques
1.5 Objectifs de scurit

2. Gestion de la documentation du SMSI

3. Responsabilit de la Direction Gnrale

4. Audit interne et revue de Direction

Rfrences documentaires
Documents de rfrence
Historique des rvisions

Annexe 1 : Document dapplicabilit

Annexe 2 : Niveau de conformit au 11 dcembre 2010

Annexe 3 : Glossaire

Annexe 4 : Documents de rfrence (source dinformations)
ISO / IEC 27001 - 2005
Description des exigences de la phase do :

Synthse des actions accomplir :

Dfinir un plan dactions dtaill de traitement des risques
Mettre en uvre le plan et lorganisation de traitement des risques
Dployer les mesures de protection dfinies
Dfinir les moyens de mesure de lefficacit des actions engages
Dvelopper un programme de sensibilisation et de formation
Grer les aspects oprationnels de dploiement de lISMS
Grer les ressources impliques dans lISMS
Dfinir les procdures didentification et de traitement des incidents

Soit 8 exigences
ISO / IEC 27001 - 2005
Description des exigence de la phase check :

Synthse des exigences :

Mettre en place les procdures de monitoring et de contrle des mesures
dployes
Organiser des rvisions rgulires de lISMS
Vrifier lefficacit des mesures de protection pour sassurer quelles
rpondent bien aux objectifs fixs
Faire rgulirement des analyses de risques
Faire rgulirement des audits de lISMS
Organiser rgulirement une rvision de direction de lISMS
Mettre jour le plan de scurit en tenant compte des lments et des
rsultats mis en vidence dans cette phase de contrle
Formaliser, dans un rapport, tous les vnements qui peuvent avoir un
impact sur lefficacit et les performances de lISMS

Soit 8 exigences
ISO / IEC 27001 - 2005
Description des exigences de la phase Act :

Synthse des exigences

Mettre en uvre les modifications identifies dans
lISMS
Prendre des mesures prventives et correctives
adaptes aux besoins
Communiquer les modifications prvues aux diffrents
acteurs de lISMS
Sassurer que les amliorations rpondent aux objectifs
recherchs

Soit 4 exigences
La documentation de lISMS
Exigences gnrales (4.3.1)

La documentation doit inclure toutes les
dcisions de management, garantir que les
actions soient conformes aux dcisions et aux
objectifs (traabilit), et permettre une
reproductivit des rsultats.

La cohrence entre les mesures de protection
slectionnes, les rsultats des analyses et des
processus de traitement des risques et la
politique de lISMS doit tre clairement
dmontre.
La documentation de lISMS
La documentation de lISMS doit inclure :

La description de la politique de lISMS (4.2.1.b), et des objectifs
Le primtre de lISMS (4.2.1.a)
Les procdures et les contrles relatifs au pilotage de lISMS
La description de la mthodologie danalyse des risques (4.1.2.c)
Le rapport de lanalyse des risques (4.1.2.c) et (4.2.1.g)
Le plan de traitement des risques (4.2.2.b)
Toutes les procdures mise en uvre par lorganisation pour
assurer le dploiement, le pilotage, et le contrle des processus de
protection de linformation et les moyens utiliss pour valuer
lefficacit des actions entreprises et des mesures de protection
dployes (4.2.3.c)
Les rapports exigs par la norme (4.3.3)
La dclaration dapplicabilit
La documentation de lISMS
Suivi des documents (4.3.2) :

Les documents exigs par la norme
doivent tre protgs et contrls. Une
procdure documente (dfinie,
formalise, applique et maintenue), doit
tre tablies pour dfinir les actions de
gestion ncessaire :
La documentation de lISMS
Lapprobation des documents selon des critres de priorit adapts
Une rvision et une mise jour des documents
Un suivi des modifications des documents et du statut des
documents en vigueur
Vrifier si les documents applicables sont valables tout point de
vue
Sassurer que les documents sont lgitimes et clairement
identifiable
Sassurer que les documents sont disponibles pour les acteurs en
ayant besoin et quune classification des documents est dfinie et
applique (avec les actions adaptes leur classification)
Sassurer que les documents dorigine externes sont clairement
identifis
Sassurer que la diffusion de la documentation est contrle
Eviter lutilisation de documents obsoltes
Appliquer une identification convenable dans le cas o ils seraient
conservs
Responsabilit de la D-G
Engagement de la Direction Gnrale
(5.1) :

La Direction gnrale doit fournir les
preuves de son engagement pour
ltablissement, limplmentation, assurer
la gestion oprationnelle, piloter, rviser,
maintenir, amliorer lISMS en :
Responsabilit de la D-G
tablissant la politique de lISMS
Sassurant que les objectifs et plans de lISMS
sont dfinis
Dfinissant les rles et les responsabilits en
matire de scurit de linformation
Communiquant :
Sur limportance de satisfaire aux objectifs de scurit
et de se conformer la politique dfinie
Sur sa responsabilit au regard de la Loi
Sur la ncessit de sengager dans une dmarche
damlioration continue
Responsabilit de la D-G
Fournissant les ressources et les moyens
ncessaires pour ltablissement,
limplmentation, pour assurer la gestion
oprationnelle, piloter, rviser, maintenir et
amliorer lISMS
Dcidant des critres de traitement des risques
et des seuils dacceptabilits des risques
Sassurant que les audits internes de lISMS
sont raliss
Pilotant les rvisions de lISMS
Responsabilit de la D-G
Gestion des ressources (5.2) :

La D-G doit fournir les ressources ncessaires pour :
Ltablissement, limplmentation, assurer la gestion
oprationnelle, piloter, rviser, maintenir et amliorer
lISMS
Sassurer que les procdures de scurit de linformation
supportent les exigences mtiers
Identifier et rpondre aux exigences rglementaires,
lgales et contractuelles
Maintenir une scurit adquate par le suivi correct des
mesures dployes
Faire effectuer les rvisions, quand cela est ncessaire
et pour ragir dune manire approprie selon les
rsultats de ces rvisions
Amliorer lISMS quand cela est ncessaire
Responsabilit de la D-G
Formation, sensibilisation et comptence
(5.3) :

La Direction Gnrale doit sassurer que
tous les personnels qui ont des
responsabilits dfinies dans lISMS sont
comptentes pour assurer les tches qui
leur incombent par :

Dterminer le niveau de comptences
ncessaires pour chacun des acteurs
Responsabilit de la D-G
Prvoir la formation ou tout autre action
(embauche par exemple), pour rpondre
aux exigences de comptences
Evaluer lefficacit des dcisions prises et
des actions menes
Faire des rapports sur les formations, les
comptences, lexprience et les
qualifications des acteurs
Responsabilit de la D-G
De plus, lorganisme devra sassurer
que tous les acteurs impliqus sont
suffisamment sensibiliss sur
limportance de leur action dans la
protection de linformation et savent
comment ils doivent contribuer la
ralisation des objectifs ()
Norme ISO 27001 - 2005
Audit interne de lISMS (6) :

Lorganisme doit conduire des audits internes de
lISMS intervalle rgulier pour dterminer si les
objectifs, les mesures de scurit, les processus
et les procdures de lISMS sont :
Conforme aux exigences de cette norme et aux
rglementations associes
Conforme aux exigences de scurit de
linformation
Sont effectivement implments et maintenus
Remplissent les fonctions attendues
Audit interne de lISMS (6)
Un programme daudit doit tre planifi en
prenant en compte le statut et limportance des
processus et du primtre auditer, ainsi que
les rsultats des audits prcdents. Les critres,
la porte, la frquence et les mthodes doivent
tre dfinis.

Le choix des auditeurs doit garantir lobjectivit
et limpartialit du processus daudit. Les
auditeurs ne doivent pas auditer leur propre
travail.
Audit interne de lISMS (6)
Les responsabilits et les exigences de
planification et de conduite des audits
ainsi que la prsentation des rsultats et la
rdaction des rapports doivent tre dfinis
dans une procdure documente.

Le responsable du domaine audit doit
garantir que les actions sont prises, sans
dlais excessifs, pour liminer les non-
conformits et leurs causes.
Audit interne de lISMS (6)
Le suivi des activits doit inclure la
vrification des actions prises et le
reporting des rsultats et vrifications.

La norme ISO 19011 2002 :
Guidelines for quality and/or
environmental management system
auditing peut servir de support la
bonne conduite des audits internes.
Rvision de lISMS par le management (7)
Les livrables des runions de rvision (7.3) :

Les livrables doivent inclure toutes les dcisions
et les actions relatives :
Lamlioration de lefficacit de lISMS
Les modifications concernant lvaluation des
risques et le plan de traitement des risques
Les besoins en ressources
Lamlioration des moyens de contrle de
lefficacit des actions de scurit
Rvision de lISMS par le management (7)
Les livrables doivent inclure ()

Les modifications des procdures et des actions
qui touchent la scurit de linformation pour
rpondre aux vnements internes ou externes
qui peuvent impacter lISMS, et notamment les
modifications :
Des exigences mtiers
Des exigences de scurit
Des processus affectant les processus mtiers
existants
Des exigences rglementaires et lgales
Des obligations contractuelles
Des critres et des seuils dacceptation des risques
Les normes ISO 27000

Prsentation

de la norme

ISO / IEC 27002

2005

ISO / IEC 27002 - 2005
Structure de la norme :
Document de 115 pages
Chapitre 0 3 : Introduction et description
gnrale de la norme
Chapitre 4 : Recommandations
dapprciation et de traitement des risques
Chapitre 5 15 : Bonne pratiques et
recommandations

ISO / IEC 27002 - 2005
Chapitre 5 15 : Bonnes pratiques et
recommandations :

Descriptions des objectifs et des directives
de scurit

Recommandations de mise en oeuvre
ISO / IEC 27002 - 2005
Objectif et cadre gnral dutilisation :

La prsente norme internationale tablie des
lignes directrices et des principes gnraux pour
prparer, mettre en uvre, entretenir et
amliorer la gestion de la scurit de
linformation au sein dun organisme

Les objectifs esquisss dans la prsente norme
internationale fournissent une orientation
gnrale sur les buts accepts communment
dans la gestion de la scurit de linformation
ISO / IEC 27002 - 2005
Objectif et cadre gnral dutilisation (suite) :

Les objectifs dcrits dans la prsente norme
internationale sont destins tre mis en uvre
pour rpondre aux exigences identifies par une
valuation du risque

La prsente norme internationale est prvue
comme base commune et ligne directrice
pratique pour laborer les rfrentiels de
scurit de lorganisation, mettre en uvre les
pratiques efficaces de la gestion de la scurit,
et participer au dveloppement de la confiance
entre les organismes
ISO / IEC 27002 - 2005
Politique de scurit de linformation (5) :

Objectif : Apporter la scurit de linformation une
orientation et un soutien de la part de la direction,
conformment aux exigences mtiers et aux Lois et
rglements en vigueur.

Il convient que la direction dfinisse des dispositions
gnrales claires en accord avec ses objectifs et quelle
dmontre son soutien et son engagement vis--vis de la
scurit de linformation en mettant en place et
maintenant une politique de scurit de linformation
pour tout lorganisme
ISO / IEC 27002 - 2005
Finalits de la politique de scurit :

La politique de scurit interne a pour but la
garantie des services rendus ainsi que la
protection des biens et des informations
sensibles.

Elle constitue une rfrence par rapport
laquelle toute volution du systme
dinformation devra tre justifie, que ce soit
pour lintgration du lment nouveau du
systme ou pour la modification dun lment
existant
ISO / IEC 27002 - 2005
Finalits de la politique de scurit :

Llaboration de la politique de
scurit interne requiert une
connaissance parfaite de lorganisme
et de son environnement, tout autant
que de son systme dinformation.
ISO / IEC 27002 - 2005
ISO 27002 2005 article 5.1 : Politique de scurit de
linformation

Objectif : Apporter la scurit de linformation une
orientation et un soutien de la part de la direction,
conformment aux exigences mtier et aux lois et
rglements en vigueur.

Il convient que la direction dfinisse des dispositions
gnrales claires en accord avec ses objectifs et quelle
dmontre son soutien et son engagement vis--vis de la
scurit de linformation en mettant en place et
maintenant une politique de scurit de linformation
pour tout lorganisme.
ISO / IEC 27002 - 2005
Champs dapplication :

Le champ dapplication de la politique de
scurit interne dcoule de celui dcrit
dans les lignes directrices de lOCDE,
savoir :
La politique de scurit interne sapplique
tous les systmes dinformation
La politique de scurit interne sapplique
un systme existant ou dvelopper
ISO / IEC 27002 - 2005
Champs dapplication (2) :

La politique de scurit interne :
Emane de la politique gnrale de lorganisme
Est en accord avec le schma directeur
stratgique du systme dinformation
Ne doit pas tre remis en cause par les seules
volutions technologiques ou celles rsultant
dune modification de larchitecture du systme
dinformation
ISO / IEC 27002 - 2005
La politique de scurit interne :

La prennit de la politique de scurit
interne nexclut pas ladaptation
permanente des mesures de scurit qui
dcoulent de sa mise en uvre
Doit tre prise en compte au niveau de
responsabilit le plus lev*
* +++
ISO / IEC 27002 - 2005
Stratgie Gnrale de Protection de
lInformation (SGPI) :

Le document SGPI est formalis par la
direction gnrale et dmontre limplication et sa
prise de position dans la dmarche de protection
de linformation

Ce document (deux pages max), doit tre diffus
et connu par tous les salaris de lorganisme
ISO / IEC 27002 - 2005
Politique Gnrale de Protection de linformation
(PGPI) :

Le document PGPI est formalis par le RSSI
et dcrit les lignes directrices permettant de
prparer, appliquer, entretenir et amliorer la
gestion de linformation

Ce document (30 pages max.), doit tre diffus
et connu par tous les salaris de lorganisme
ISO / IEC 27002 - 2005
La Charte utilisateur :

Le document Charte utilisateur est formalis
par le RSSI et dcrit les directives dutilisation
des moyens de communication et des systmes
dinformation, ainsi que les droits et devoirs des
utilisateurs.

Ce document (20 pages max.), doit tre diffus
et connu par tous les salaris.
ISO / IEC 27002 - 2005
Les Politiques Spcifiques de Scurit (PSS) :

Les PSS sont formalises par les responsables
respectifs de domaine de scurit et
dclinent les directives oprationnelles et
fonctionnelles de scurit

Ces documents (20 pages max.), sont
destination des spcialistes des domaines ou
peuvent selon leur primtre tre diffuss
lensemble des salaris (PSSDP pour ex.)*
* Politique Spcifique de Scurit des Donnes Personnelles
ISO / IEC 27002 - 2005
Les politiques Spcifiques de Scurit (PSS) :

En la matire il existe autant de domaine que de
spcificit dans lorganisme

Principalement 4 grands domaines :
PSSDP concernant les donnes caractre
personnel
PSSI concernant la scurit informatique
PSSAL concernant larchivage lgal
PSSUI concernant lusage dInternet
ISO / IEC 27002 - 2005
Guides et Procdures dapplication :

Les guides et les procdures dapplication dcrivent
techniquement les mcanismes de scurit mettre en
uvre et les procdures dexploitation associes. Ces
documents peuvent tre complts par des manuels
oprationnels techniques (MOT)

Ces documents (20 pages max.), sont formaliss par les
spcialistes techniques des domaines et servent
conserver une trace des rgles et directives techniques
dployer
ISO / IEC 27002 - 2005
Le Schma Directeur de la Scurit de
lInformation (SDSI) :

Est compos de :

La Stratgie Gnrale de Protection de lInformation
(SGPI)
La Politique Gnrale de Protection de lInformation
(PGPI)
La Charte Utilisateur
Des Politiques Spcifiques de Scurit (PSSDP,
PSSI, PSSAL, PSSUI, )
Des Guides et Procdures dapplication,
ventuellement complt par des Manuels
Oprationnels Techniques (MOT)
Organisation de la scurit de linformation (6)
Organisation interne (6.1) :

Objectif : grer la scurit au sein de
lorganisme

Il convient dtablir un cadre de gestion
pour initialiser, puis contrler la mise en
uvre de la scurit de linformation au
sein de lorganisme
Organisation de la scurit de linformation (6)
Vis--vis des Tiers (6.2) :

Objectif : assurer la scurit de
linformation et des moyens de traitement
de linformation appartenant lorganisme
et consults, oprs, communiqus ou
grs par des tiers.
Gestion des Biens (7)
Responsabilits relatives aux biens (7.1) :
Objectif : Mettre en place et maintenir une
protection approprie des biens de
lorganisme : inventaire des actifs et
identifications des propritaires

Classification des informations (7.2) :
Objectif : garantir un niveau de protection
appropri aux informations
Scurit lis aux RH (8)
Avant le recrutement (8.1) :

Objectif : garantir que les salaris,
contractants et utilisateurs tiers
connaissent leurs responsabilits et quils
conviennent pour les fonctions qui leur
sont attribues de rduire le risque de vol,
de fraude ou de mauvais usage des
quipements
Scurit lis aux RH (8)
Pendant la dure du contrat (8.2) :

Objectif : veiller ce que les salaris,
contractants et utilisateurs tiers soient
conscients des menaces pesant sur la scurit
de linformation, de leurs responsabilits
financires ou autres, et de la ncessit de
disposer des lments requis pour prendre en
charge la politique de scurit de lorganisme
dans le cadre de leur activit normale et de
rduire le risque derreur humaine
Scurit lis aux RH (8)
Fin ou modification de contrat (8.3) :

Objectif : veiller ce que les salaris,
contractants et utilisateurs tiers quittent un
organisme ou changent de poste selon
une procdure dfinie
Scurit physique et environnementale (9)
Zones scurises (9.1) :

Objectif : empcher tout accs physique non
autoris, tout dommage ou intrusion dans les
locaux et les informations de lorganisme

Scurit du matriel (9.2) :

Objectif : empcher la perte, lendommagement,
le vol ou la compromission des biens et
linterruption des activits de lorganisme
Gestion de lexploitation et des
tlcommunications (10)
Procdures et responsabilits lies
lexploitation (10.1) :
Objectif : Assurer lexploitation correcte et
scurise des moyens de traitement de
linformation

Gestion de la prestation de service par un tiers
(10.2) :
Objectif : mettre en uvre et maintenir un
niveau de scurit de linformation et de service
adquat et conforme aux accords de prestation
de service par un tiers
Gestion de lexploitation et des
tlcommunications (10)
Planification et acceptation du systme
(10.3) :

Objectif : rduire le plus possible le risque
de pannes du systme.
Une planification en amont est
indispensable pour assurer la disponibilit
des capacits et ressources appropries
en vue doffrir les performances requises
pour le systme
Gestion de lexploitation et des
tlcommunications (10)
Protection contre les codes malveillants et
mobiles (10.4) :

Objectif : protger lintgrit des logiciels
et de linformation
Des prcautions sont requises pour
prvenir et dtecter lintroduction de code
malveillant et de code mobile non autoris
Gestion de lexploitation et des
tlcommunications (10)
Sauvegarde (10.5) :
Objectif : maintenir lintgrit et la disponibilit
des informations et des moyens de traitement de
linformation

Gestion de la scurit des rseaux (10.6) :

Objectif : assurer la protection des informations
sur les rseaux et la protection de linfrastructure
sur laquelle ils sappuient
Gestion de lexploitation et des
tlcommunications (10)
Manipulation des supports (10.7) :

Objectif : empcher la divulgation, la
modification, le retrait ou la destruction non
autoris(e) de biens et linterruption des activits
de lorganisme

change des informations (10.8) :

Objectif : maintenir la scurit des informations
et des logiciels changs au sein de lorganisme
et avec une entit extrieure
Gestion de lexploitation et des
tlcommunications (10)
Service de commerce lectronique (10.9) :

Objectif : assurer la scurit des services
de commerce lectronique, tout comme
leur utilisation scurise

Surveillance (10.10) :

Objectif : dtecter les traitements non
autoriss de linformation
Contrle daccs (11)
Exigences mtier relatives au contrle
daccs (11.1) :
Objectif : matriser laccs linformation

Gestion de laccs utilisateur (11.2) :
Objectif : matriser laccs utilisateur par
le biais dautorisation et empcher les
accs non autoriss aux systmes
dinformation
Contrle daccs (11)
Responsabilit des utilisateurs (11.3) :
Objectif : empcher les accs utilisateurs non
habilits et la compromission ou le vol
dinformations et de moyens de traitement de
linformation

Contrle daccs au rseau (11.4) :
Objectif : empcher les accs non autoriss
aux services disponibles sur le rseau
Contrle daccs (11)
Contrle daccs au systme dexploitation
(11.5) :
Objectif : empcher les accs non
autoriss aux systmes dexploitation

Contrle daccs aux applications et
linformation (11.6) :
Objectif : empcher les accs non
autoriss aux informations stockes dans
les applications
Contrle daccs (11)
Informatique mobile et tltravail (11.7) :

Objectif : garantir la scurit de
linformation lors de lutilisation dappareils
informatiques mobiles et dquipements
de tltravail
Il convient dassurer un niveau de
protection adapt aux risques lis ce
mode de fonctionnement
Acquisition, dveloppement et
maintenance des SI (12)

Exigence de scurit applicables aux SI (12.1) :
Objectif : veiller ce que la scurit soit partie
intgrante des SI

Bon fonctionnement des applications (12.2) :
Objectif : empcher toute erreur, perte,
modification non autorise ou tout mauvais
usage des informations dans les applications
Acquisition, dveloppement et
maintenance des SI (12)

Mesures cryptographiques (12.3) :
Objectif : protger la confidentialit,
lauthenticit ou lintgrit de linformation

Scurit des fichiers systmes (12.4) :
Objectif : garantir la scurit des fichiers
systme
Acquisition, dveloppement et
maintenance des SI (12)
Scurit en matire de dveloppement et
dassistance technique (12.5) :
Objectif : garantir la scurit du logiciel et des
informations dapplication

Gestion des vulnrabilits techniques (12.6) :
Objectif : rduire les risques lis lexploitation
des vulnrabilits techniques ayant fait lobjet
dune publication
Gestion des incidents lis la
scurit de linformation (13)
Signalement des vnements et des
failles lis la scurit de linformation
(13.1) :

Objectif : garantir que le mode de
notification des vnements et failles lis
la scurit de linformation permette la
mise en uvre dune action corrective,
dans les meilleurs dlais
Gestion des incidents lis la
scurit de linformation (13)

Gestion des amliorations et incidents lis
la scurit de linformation (13.2) :

Objectif : garantir la mise en place dune
politique cohrente et efficace pour la
gestion des incidents lis la scurit de
linformation
PCA / PRA

Gestion du plan de continuit de lactivit (14) :

Objectif : neutraliser les interruptions des
activits de lorganisme, protger les processus
mtier cruciaux des effets causs par les
principales dfaillances des systmes
dinformation ou par des sinistres et garantir une
reprise de ces processus dans les meilleurs
dlais
PCA / PRA
PCA : Plan de Continuit dActivit (Business
Continuity Plan) :

Ensemble de mesures visant assurer, selon
divers scnarios de crises, y compris face des
chocs extrmes, le maintien, le cas chant de
faon temporaire selon un mode dgrad, des
prestations de services essentielles de
lentreprise puis la reprise planifie des
activits
CRBF 02-2004
Conformit (15)
Conformit avec les exigences lgales (15.1) :
Objectif : viter toute violation des obligations
lgales, statutaires, rglementaires ou
contractuelles et des exigences de scurit

Conformit avec les politiques et normes de
scurit et conformit technique (15.2) :
Objectif : sassurer de la conformit des
systmes avec les politiques et normes de
scurit de lorganisme
Conformit (15)

Prise en compte de laudit du systme
dinformation (15.3) :

Objectif : optimiser lefficacit et rduire le
plus possible linterfrence le processus
daudit du systme dinformation
Formation SMSI

Conseil de mise en place dun

SMSI

(ISMS)

Formation SMSI
7 conseils :

1. Dsigner un Chef de projet (piloter)
2. Impliquer trs tt la Direction Gnrale et tout les
acteurs (communiquer)
3. Constituer un comit SMSI (grer)
4. Dfinir un plan projet de mise en place du SMSI
(structurer)
5. Documenter le SMSI et toutes les procdures associes
(formaliser)
6. Faire un suivi (tableau de bord) de la mise en place
(rtro planning par phase)
7. Ne pas hsiter se faire aider (consulter)
Formation SMSI



CONCLUSION
Formation SMSI
Les normes ISO 27000 constituent un
cadre gnral cohrent et complet de
protection de linformation.

Les rfrentiels et les exigences dcrivent
quoi faire mais pas comment faire .
Une expertise sur cet aspect est souvent
indispensable.
Formation SMSI
La certification nest pas obligatoire mais
peut savrer ncessaire pour limage et la
crdibilit de lentreprise vis--vis de ses
clients, fournisseurs, partenaires,
prospects, employs et/ou dirigeants.
Formation SMSI



Merci pour votre attention