UNIVERSITE DE SETTAT

IT-LEARNING CAMPUS

Scurisation des informations

Pourquoi ? Comment ?
Par EL BAZ MOURAD

MOURAD EL BAZ
INFRASTRUCTURE MANAGER DANS UN ORGANISME FINANCIER
RESPONSQBLE SERVICE INFORMATIQUE AU SEIN DU MINISTERE
DE LAGRICULTURE
PROFESSUER AU SEIN DE PLUSIEURS ETABLISSEMENT
PROFESSUER ET ENCADRANT A IT-LEARNING CAMPUS DEPUIS
2006
CERTIFE : PMP-ITIL-COBIT-ISO 27002
EMAIL : elbazmourad@gmail.com

Introduction
Noubliez pas de rallumer vos portables en
sortant !!!
Tour de table :
Vos attentes
Vos questions prcises

Horaires
Matine : 09 H 00 12 H 00
Aprs-midi : 13 H 00 16 H 30
Pause vers 15 H 00

Sommaire J1
Introduction
Dfinition dun ISMS
Pourquoi mettre en uvre un ISMS
Prsentation gnrale de la norme ISO 27000
Les principales normes de scurit
Historique des normes ISO 2700X
Objectifs et contenu des normes ISO 2700X

Sommaire J1 (suite)
La norme ISO / IEC 27001 : 2005
Cadre gnral et objectif de la norme
Contenu et exigences de la norme
Mise en uvre des directives de la norme
La norme ISO / IEC 27002
Cadre gnral et objectif de la norme
Contenu et directives de la norme
Mise en uvre des directives de la norme

Sommaire J1 (suite et fin)

Conseil et mise en place dun ISMS
Conclusions
Questions

Dfinition dun ISMS

Signification :
ISMS : Information Security Management
System
OU
SMSI : Systme de Management de la
Scurit de lInformation

Dfinition dun ISMS

Un SMSI est un ensemble dlments
interactifs permettant un organisme
dtablir une politique et des objectifs en
matire de scurit de linformation,
dappliquer une politique, datteindre ces
objectifs et de contrler latteinte de ces
objectifs.
Le SMSI est tabli, document, mis en
uvre et entretenu.

Dfinition dun ISMS

Lefficacit est mesure par rapport aux
objectifs de lentit et, cette mesure
permet damliorer EN PERMANENCE le
SMSI.
Le SMSI est cohrent avec les autres
systmes de managements de lentit,
notamment avec les systmes de
management de la qualit, de la scurit
des conditions de travail, et de
lenvironnement.

Dfinition dun ISMS

Lexistence dun SMSI dans lorganisme
permet de renforcer la confiance dans le
mode de gestion de la scurit de
linformation.
Dfinition du CLUSIF

Les systmes de management

Le SMSI est cohrent avec les autres systmes de managements
de lentit
Systme de management de la qualit (SMQ) : ISO 9001 2002
Systme de management de lenvironnemental (SME) : ISO 14001

2004
Systme de management de la sant et la scurit au travail
(SMSST) : OHSAS 18001 1999
Systme de management de la scurit alimentaire (SMSA) : ISO
22000 2005
Systme de management des services informatiques des
organismes : ISO 20000 ITIL BS 15000
Systme de management de la suret pour la chane
dapprovisionnement : ISO 28000 2005
Systme de management de la scurit de linformation (SMSI) :
ISO 27001 - 2005

Lamlioration continue
Le Modle de Deming*
Le modle expos par William Edwards
DEMING se dfinit en 4 tapes rcurrentes :
1 - Plan : Trouver les solutions, planifier
2 - Do : Mettre en uvre
3 - Check : vrifier lefficacit des solutions
4 - Act : Amliorer
* appel aussi roue de Deming, cycle de Deming,
ou roue de la qualit

Pourquoi mettre en uvre une

ISMS ?
Pour protger, dans la dure, les informations et
les systmes dinformation de lentreprise.
Pour renforcer la confiance dans le systme
dinformation de lentreprise (vis--vis des clients
et des fournisseurs ou en interne)
Pour amliorer les processus et lorganisation
interne en matire de scurit informatique.
Pour obtenir une certification ISO / IEC 27001 2005

Quelques normes relatives au SI

ISO / IEC 27001 : 2005 et ISO / IEC 17799 :
2005 (ISO 27002 - 04/2007) : ISMS
ISO / IEC 13335 1 5 : Guidelines for the
management of IT Security
ISO / IEC 15408 : Critres communs
Certification des technologies de scurit
ISO / IEC TR 14516 : 2002 lignes directrices
pour lutilisation et la gestion des services de
tiers de confiance

Quelques normes relatives au SI

ISO / IEC WD 18044 Security Incident
Management
ISO / IEC WD 18043 Guidelines for
implementation, operation and management of
Intrusion Detection System (IDS)
ISO / IEC 13569 Banking and related financial
services - information security guidelines
ISO / IEC TS 17090 (Health Informatics : public
key infrastructure)

Quelques normes relatives au SI

Cette liste appelle une rflexion :

Dans le cadre de la globalisation des

changes, linterconnexion des
systmes dinformations
ncessiterait, sans doute, une
HARMONISATION des normes

Les normes ISO 27000

Prsentation :
ISO 27000 : Principe et vocabulaire
ISO 27001 : Exigences pour le SMSI
ISO 27002 : Guide de bonnes pratiques
ISO 27003 : Guide dimplmentation
ISO 27004 : Mtrique et Mesure
ISO 27005 : Analyse des risques
ISO 27006 : Certification, Exigences pour laccrditation
des auditeurs
ISO 27007 : Certification, guide daudit pour lISMS
ISO 2700? : PCA - PRA

Les normes ISO 27000

Historique :
1992 : Code de bonnes pratiques
1995 : Le BSI dicte BS 7799
1998 : Le BSI dicte BS 7799 - part 2
1999 : Rvision de la BS 7799 - part 1 et 2
2000 : ISO 17799 BS 7799 - part 1 (08 et 12/2000)
2001 : Dmarrage rvision ISO 1799 2000
2002 : Publication BS 7799 - part 2
2005 : ISO 17799 Parue en juin
2005 : ISO 27001 (normalisation de la partie 2 de la BS
7799) - Parue en octobre
2007 : ISO 27006
2007 : ISO 17799 de 2005 devient ISO 27002

Les normes ISO 27000

Ltat des documents :
Publis :
ISO 27001 : Exigences pour le SMSI - 2005
ISO 27002 : Guide de bonnes pratiques - 2005
ISO 27006 : Certification, Exigences pour laccrditation

des auditeurs - 2007

ISO 27005 : Analyse des risques - 2008
ISO 27004 : Mtrique et Mesure - 2008
ISO 27000 : Principe et vocabulaire - 2009
ISO 27003 : Guide dimplmentation - 2009

Les normes ISO 27000

Ltat des documents :
Travaux en cours :
ISO 27007 : Certification, Guide de laudit du

SMSI
ISO 2700? : PCA PRA
ISO 27011 : Lignes directrices pour les tlcoms
ISO 27799 : Lignes Directrices pour la sant

Les normes ISO 27000

La certification des SI :
Elle engendre :
La mise excution systmatique de la
politique en matire de scurit de
linformation
Une gestion des risques en rapport avec
la scurit de linformation et les systmes
correspondants lchelle de lentreprise

Les normes ISO 27000

La certification engendre (2) :
La surveillance efficace et lamlioration
permanente de la scurit de linformation
Lassurance du respect des bases lgales
et contractuelles
La mise en uvre de mthodes globales
ou holistiques (y compris dans des
domaines non techniques)

Les normes ISO 27000

La certification engendre (3) :
Le dveloppement de relations de
confiance
avec
la
clientle,
les
organismes publics, ainsi que dans le
domaine de le-commerce
La garantie adquate et permanente de la
disponibilit, du caractre confidentiel et
de lintgrit

Les normes ISO 27000

La certification engendre (4) :
La

protection de lensemble des

informations, indpendamment de la
manire dont elles sont reprsentes
et/ou sauvegardes

Les normes ISO 27000

Les certificats :
Peuvent exclusivement tre attribus par
une Institution de certification accrdite
Sont reconnus au plan International
Sont valables trois ans, lissue desquels
une nouvelle certification a lieu dans un
souci de dveloppement continu
Annuellement, des vrifications de suivi
sont ralises pendant leur validit

Les normes ISO 27000

Les tapes de la vie du certificat :
Une fois ltude de faisabilit ralise
A T0 : dbut de la revue documentaire
A T + 3 6 semaines : dbut tapes 2
Si tout OK = Obtention du certificat
A T + 1 an : Audits de surveillance
Audits de surveillance T + 2 ans
A T + 3 ans Audit de renouvellement

Les normes ISO 27000

Processus de certification :
1 - Lorganisme demande tre certifi
2 - Lorganisme de certification missionne une quipe
daudit
3 - Lquipe daudit audite lorganisme demandeur
4 - Lquipe daudit rend son rapport
5 - Si rapport OK lorganisme de certification dlivre le
certificat
6 - Lorganisme certifi communique linformation la
partie prenante
7 - La partie prenante vrifie la validit du certificat auprs
de lorganisme de certification

Les normes ISO 27000

Le schma directeur de la certification :

En France, lautorit
daccrditation est :
la COFRAC
(qui accrdite les Organismes
de certification)

Les normes ISO 27000

Le schma de la certification :
Schma identique pour toutes les certifications
Une seule autorit daccrditation par pays
Un ou plusieurs organismes de certification

selon les schmas de certification

Gnralement des socits prives
Font travailler les auditeurs salaris ou indpendants

Les normes ISO 27000

Prsentation
de la norme
ISO / IEC 27001
2005

ISO / IEC 27001 - 2005

Structure de la norme :
Document de 33 pages
Chapitre 0 3 : Introduction et description
gnrale de la norme
Chapitre 4 8 : Description des exigences
de la norme
Annexe A : Objectifs et points de contrle
(ISO 17799 - 2005)

ISO / IEC 27001 - 2005

Description des exigences de la norme :
Chap. 4 : Description de lISMS / PDCA
Chap. 5 : Engagement et responsabilit
du management
Chap. 6 : Audits Internes de lISMS
Chap. 7 : Rvision de lISMS par le
management
Chap. 8 : Amlioration de lISMS

ISO / IEC 27001 - 2005

Objectif et cadre gnral dutilisation :
La norme ISO 27001 a pour objectif de proposer

un modle permettant de dfinir, dimplmenter,

de maintenir, de piloter, dauditer et de faire
voluer un systme de management de la
scurit de linformation.
Ladoption de lISMS doit tre une dcision

stratgique de lorganisation

ISO / IEC 27001 - 2005

Objectif et cadre gnral dutilisation (suite) :
La dfinition et la mise en uvre de lISMS doit

tre adapt aux besoins, aux objectifs, aux

exigences de scurit, lorganisation, la taille
et la structure de lorganisation

La norme adopte le modle damlioration

continue PDCA et reprend les recommandations

dfinies

ISO / IEC 27001 - 2005

Modle PDCA appliqu aux processus
SMSI :
1 - Plan : Etablir la politique, les objectifs,
les processus et procdure du SMSI
2 - Do : Mise en uvre, dploiement et
fonctionnement du SMSI
3 - Check : Conrler, surveiller, valuer,
mesurer les performances du SMSI
4 - Act : Mise jour et amlioration du SMSI

ISO / IEC 27001 - 2005

Description des exigences de la phase plan :

Synthse des exigences

Dfinir le primtre de lISMS
Dfinir la politique de scurit de lISMS
Dfinir lapproche pour valuer les risques
Identifier les risques
Analyse et mesure des risques
Identifier et dfinir les options de traitement des risques
Dfinir les objectifs de contrle et les points de contrles dployer
Obtenir laccord de la DG sur le maintien des risques rsiduels
Obtenir laccord de la DG pour mettre en uvre et dployer lISMS
Prparer une dclaration dapplicabilit (DdA)

Soit 11 exigences

ISO / IEC 27001 - 2005

La Stratgie du SMSI (ex. de document) :
SOMMAIRE
1. Systme de management de la Scurit de linformation
1.1 Dfinition dun SMSI
1.2 Domaine dapplication
1.3 Politique et principe gnraux
1.4 Apprciation et traitement des risques
1.5 Objectifs de scurit
2. Gestion de la documentation du SMSI
3. Responsabilit de la Direction Gnrale
4. Audit interne et revue de Direction
Rfrences documentaires

Documents de rfrence
Historique des rvisions

Annexe 1 : Document dapplicabilit

Annexe 2 : Niveau de conformit au 11 dcembre 2010
Annexe 3 : Glossaire
Annexe 4 : Documents de rfrence (source dinformations)

ISO / IEC 27001 - 2005

Description des exigences de la phase do :
Synthse des actions accomplir :

Dfinir un plan dactions dtaill de traitement des risques

Mettre en uvre le plan et lorganisation de traitement des risques
Dployer les mesures de protection dfinies
Dfinir les moyens de mesure de lefficacit des actions engages
Dvelopper un programme de sensibilisation et de formation
Grer les aspects oprationnels de dploiement de lISMS
Grer les ressources impliques dans lISMS
Dfinir les procdures didentification et de traitement des incidents

Soit 8 exigences

ISO / IEC 27001 - 2005

Description des exigence de la phase check :
Synthse des exigences :
Mettre en place les procdures de monitoring et de contrle des mesures

dployes
Organiser des rvisions rgulires de lISMS
Vrifier lefficacit des mesures de protection pour sassurer quelles
rpondent bien aux objectifs fixs
Faire rgulirement des analyses de risques
Faire rgulirement des audits de lISMS
Organiser rgulirement une rvision de direction de lISMS
Mettre jour le plan de scurit en tenant compte des lments et des
rsultats mis en vidence dans cette phase de contrle
Formaliser, dans un rapport, tous les vnements qui peuvent avoir un
impact sur lefficacit et les performances de lISMS

Soit 8 exigences

ISO / IEC 27001 - 2005

Description des exigences de la phase Act :
Synthse des exigences
Mettre en uvre les modifications identifies dans
lISMS
Prendre des mesures prventives et correctives
adaptes aux besoins
Communiquer les modifications prvues aux diffrents
acteurs de lISMS
Sassurer que les amliorations rpondent aux objectifs
recherchs
Soit 4 exigences

La documentation de lISMS
Exigences gnrales (4.3.1)
La documentation doit inclure toutes les

dcisions de management, garantir que les

actions soient conformes aux dcisions et aux
objectifs (traabilit), et permettre une
reproductivit des rsultats.

La cohrence entre les mesures de protection

slectionnes, les rsultats des analyses et des

processus de traitement des risques et la
politique de lISMS doit tre clairement
dmontre.

La documentation de lISMS
La documentation de lISMS doit inclure :
La description de la politique de lISMS (4.2.1.b), et des objectifs
Le primtre de lISMS (4.2.1.a)
Les procdures et les contrles relatifs au pilotage de lISMS
La description de la mthodologie danalyse des risques (4.1.2.c)
Le rapport de lanalyse des risques (4.1.2.c) et (4.2.1.g)
Le plan de traitement des risques (4.2.2.b)
Toutes les procdures mise en uvre par lorganisation pour
assurer le dploiement, le pilotage, et le contrle des processus de
protection de linformation et les moyens utiliss pour valuer
lefficacit des actions entreprises et des mesures de protection
dployes (4.2.3.c)
Les rapports exigs par la norme (4.3.3)
La dclaration dapplicabilit

La documentation de lISMS
Suivi des documents (4.3.2) :
Les documents exigs par la norme
doivent tre protgs et contrls. Une
procdure
documente
(dfinie,
formalise, applique et maintenue), doit
tre tablies pour dfinir les actions de
gestion ncessaire :

La documentation de lISMS
Lapprobation des documents selon des critres de priorit adapts
Une rvision et une mise jour des documents
Un suivi des modifications des documents et du statut des

documents en vigueur
Vrifier si les documents applicables sont valables tout point de
vue
Sassurer que les documents sont lgitimes et clairement
identifiable
Sassurer que les documents sont disponibles pour les acteurs en
ayant besoin et quune classification des documents est dfinie et
applique (avec les actions adaptes leur classification)
Sassurer que les documents dorigine externes sont clairement
identifis
Sassurer que la diffusion de la documentation est contrle
Eviter lutilisation de documents obsoltes
Appliquer une identification convenable dans le cas o ils seraient
conservs

Responsabilit de la D-G
Engagement de la Direction Gnrale
(5.1) :
La Direction gnrale doit fournir les
preuves de son engagement pour
ltablissement, limplmentation, assurer
la gestion oprationnelle, piloter, rviser,
maintenir, amliorer lISMS en :

Responsabilit de la D-G
tablissant la politique de lISMS
Sassurant que les objectifs et plans de lISMS

sont dfinis
Dfinissant les rles et les responsabilits en
matire de scurit de linformation
Communiquant :

Sur limportance de satisfaire aux objectifs de scurit

et de se conformer la politique dfinie
Sur sa responsabilit au regard de la Loi
Sur la ncessit de sengager dans une dmarche
damlioration continue

Responsabilit de la D-G
Fournissant

les ressources et les moyens

ncessaires
pour
ltablissement,
limplmentation, pour assurer la
gestion
oprationnelle, piloter, rviser, maintenir et
amliorer lISMS
Dcidant des critres de traitement des risques
et des seuils dacceptabilits des risques
Sassurant que les audits internes de lISMS
sont raliss
Pilotant les rvisions de lISMS

Responsabilit de la D-G
Gestion des ressources (5.2) :
La D-G doit fournir les ressources ncessaires pour :
Ltablissement, limplmentation, assurer la gestion

oprationnelle, piloter, rviser, maintenir et amliorer

lISMS
Sassurer que les procdures de scurit de linformation
supportent les exigences mtiers
Identifier et rpondre aux exigences rglementaires,
lgales et contractuelles
Maintenir une scurit adquate par le suivi correct des
mesures dployes
Faire effectuer les rvisions, quand cela est ncessaire
et pour ragir dune manire approprie selon les
rsultats de ces rvisions
Amliorer lISMS quand cela est ncessaire

Responsabilit de la D-G
Formation, sensibilisation et comptence
(5.3) :
La Direction Gnrale doit sassurer que
tous les personnels qui ont des
responsabilits dfinies dans lISMS sont
comptentes pour assurer les tches qui
leur incombent par :
Dterminer le niveau de comptences

ncessaires pour chacun des acteurs

Responsabilit de la D-G
Prvoir la formation ou tout autre action

(embauche par exemple), pour rpondre

aux exigences de comptences
Evaluer lefficacit des dcisions prises et
des actions menes
Faire des rapports sur les formations, les
comptences, lexprience et les
qualifications des acteurs

Responsabilit de la D-G
De plus, lorganisme devra sassurer
que tous les acteurs impliqus sont
suffisamment sensibiliss sur
limportance de leur action dans la
protection de linformation et savent
comment ils doivent contribuer la
ralisation des objectifs ()

Norme ISO 27001 - 2005

Audit interne de lISMS (6) :
Lorganisme doit conduire des audits internes de
lISMS intervalle rgulier pour dterminer si les
objectifs, les mesures de scurit, les processus
et les procdures de lISMS sont :
Conforme aux exigences de cette norme et aux
rglementations associes
Conforme aux exigences de scurit de
linformation
Sont effectivement implments et maintenus
Remplissent les fonctions attendues

Audit interne de lISMS (6)

Un programme daudit doit tre planifi en
prenant en compte le statut et limportance des
processus et du primtre auditer, ainsi que
les rsultats des audits prcdents. Les critres,
la porte, la frquence et les mthodes doivent
tre dfinis.
Le choix des auditeurs doit garantir lobjectivit
et limpartialit du processus daudit. Les
auditeurs ne doivent pas auditer leur propre
travail.

Audit interne de lISMS (6)

Les responsabilits et les exigences de
planification et de conduite des audits
ainsi que la prsentation des rsultats et
la rdaction des rapports doivent tre
dfinis dans une procdure documente.
Le responsable du domaine audit doit
garantir que les actions sont prises, sans
dlais excessifs, pour liminer les nonconformits et leurs causes.

Audit interne de lISMS (6)

Le suivi des activits doit inclure la
vrification des actions prises et le
reporting des rsultats et vrifications.
La norme ISO 19011 2002 :
Guidelines for quality and/or
environmental management system
auditing peut servir de support la
bonne conduite des audits internes.

Rvision de lISMS par le management (7)

Les livrables des runions de rvision (7.3) :
Les livrables doivent inclure toutes les dcisions
et les actions relatives :
Lamlioration de lefficacit de lISMS
Les modifications concernant lvaluation des
risques et le plan de traitement des risques
Les besoins en ressources
Lamlioration des moyens de contrle de
lefficacit des actions de scurit

Rvision de lISMS par le management (7)

Les livrables doivent inclure ()
Les modifications des procdures et des actions

qui touchent la scurit de linformation pour

rpondre aux vnements internes ou externes
qui peuvent impacter lISMS, et notamment les
modifications :
Des exigences mtiers
Des exigences de scurit
Des processus affectant les processus mtiers
existants
Des exigences rglementaires et lgales
Des obligations contractuelles
Des critres et des seuils dacceptation des risques