Clubebios 2007-05-15 Schauer

Certification ISO 27002 Foundation
Standard de la Sécurité de
information
© 2016 Kaizen Skills - all rights reserved

Management de la sécurité des SI Kaizen Skills 2
Structure du Schéma de Qualification de l’ISO/IEC
27002
Context d’examen
Prérequis
Aucun
Type d’examen
Questions à choix multiples sur ordinateur
Exercices pratiques
Non applicable
Durée de l’examen
60 minutes
Précisions sur l’examen

Nombre de questions : 40
Note de passage : 65 % (soit 26 sur 40)

Accès à des documents/notes : non
Matériel électronique autorisé : non
Condition & Spécification de l’examen
Que faut il sécuriser?
Le système d’information
Les utilisateurs Les usages L’informatique
L’information
Kaizen Skills 3
Gouvernance des SI
Kaizen Skills 4
Importance des SI
CLIENTS EN
INTERNE
Citoyens Utilisateurs
Systèmes
d’informations
Organismes Fournisseurs
Kaizen Skills 5
Le Concept de Gouvernance
Kaizen Skills 6
Gouvernance SI
Aujourd’hui, la gouvernance informatique telle que définie par l’ITGI et l’ISACA se résume
aux 5 problématiques suivantes :
 Alignement stratégique (« IT Strategic Alignment »)

 Création de valeur (« IT Value Delivery »)
 Gestion du risque informatique (« IT Risk Management »)
 Mesure de performance (« Performance Measurement »)
 Gestion des ressources (« IT Resource Management » )
(Source : IT Governance Institute - ISACA)
La gouvernance des Systèmes d’Information est définie comme la structure des relations
et des processus visant à diriger et contrôler l’entreprise pour qu’elle atteigne ses objectifs
en générant de la valeur, tout en trouvant le bon équilibre entre les risques et les
avantages des TI et de leurs processus.
(Source : ITGI)
Kaizen Skills 7
Alignement stratégique
La question fondamentale est de savoir dans quelle mesure les investissements informatiques
d’une entreprise sont en phase avec ses objectifs stratégiques et ainsi de construire les
solutions qui fourniront la valeur attendue.
Stratégie de
l’entreprise
Fonctionnement Activités Stratégie des IT

de l’entreprise d’alignement
Fonctionnement
des IT
Kaizen Skills 8
Alignement stratégique
Cas Pratique
 Existence d’un schéma directeur du SI,
 Passage d’une logique informatique à une logique système d’information,
 Stratégie SI est intégrée dans la stratégie globale de l'entreprise
Kaizen Skills 9
Création de la valeur
Les principes de base générateurs de valeur par l’informatique sont :
• Avantages concurrentiels: Délai entre les commandes et fourniture

du service, satisfaction client, délai de livraison, productivité et
rentabilité du personnel…
• Fourniture: Dans les délais et sans dépassement de budget, de la

qualité voulue, qui apporte les bénéfices promis.
Kaizen Skills 10
Création de la valeur
Cas Pratique
Secteur Financier de
• Gains financiers Management de
l’entreprise
l'entreprise
• Délai des traitements Secteur Opérationnel de

l’entreprise
• Délai de mise en place

d’une nouvelle application Secteur Applications
informatiques Management
des SI
• Disponibilité infrastructure Infrastructure TI de l’ensemble de
• Coût par transaction
la société
Temps nécessaire pour impact sur l’entreprise Degré d’influence
Kaizen Skills 11
Gestion des risques informatiques
La gestion des risques informatiques permet de :
 S’assurer que le système de contrôle interne mis en place pour gérer les risques a
souvent la capacité de générer de la rentabilité,
 S’assurer qu’une approche transparente et proactive de la gestion du risque peut
créer un avantage concurrentiel exploitable,
 S’assurer que le fait de gérer les risques doit faire partie du fonctionnement de
l’entreprise.
« Je n’imagine aucune circonstance qui puisse provoquer le naufrage de ce navire. Je ne peux

imaginer une catastrophe vitale qui puisse affecter ce navire »
Capitaine du TITANIC, 1912
Kaizen Skills 12
Gestion des risques informatiques
Cas Pratique
• Sensibilisation des collaborateurs sur les risques potentiels des systèmes

d’information (Guide sécurité de l’information, politique sécurité de
l’information, politique de mots de passe…),
• Démarche proactive d’analyse des risques,
• La classification des actifs informationnels de l'entreprise,
• Passage d’une analyse des risques informatiques à une évaluation des
risques informationnels.
Kaizen Skills 13
Mesure de performance
Les TDB comportent des informations de gestion apportées par les parties
concernées, informations rendues efficaces par un bon système de Reporting.
Cas Pratique
• Proposition d’objectifs et d’indicateurs concrets,
• Intégration des logiques de pilotage stratégique et de pilotage opérationnel.
Kaizen Skills 14
La Gestion des Ressources Informatiques
Un critère essentiel de la performance informatique est l’investissement

optimal, l’utilisation et l’allocation des ressources informatiques (HW, SW, RH)
au service des besoins de l’entreprise.
La plus part des entreprises échoue dans l’optimisation de leurs actifs informatiques.
De plus, récemment, un challenge important est de savoir quoi, où et comment

gérer l’externalisation de certains services tout en générant la valeur ajoutée
promise à un prix acceptable.
Kaizen Skills 15
La Gestion des Ressources Informatiques
Cas Pratique
• Les responsabilités sont clairement identifiées et appliquées,
• Les méthodes et les compétences pour gérer les projets et systèmes informatiques
sont présentes,
• Existence d’une planification et d’une gestion des RH
• Les besoins en formation sont clairement identifiés,
• Considération des ressources humaines et réflexion en matière d’externalisation,

de sous-traitance ou d’internalisation
Kaizen Skills 16
Enjeux de la sécurité
Kaizen Skills 17
Les critères de la sécurité de l’information
 Confidentialité: tous les éléments liés au secret et seules les personnes

habilitées peuvent accéder aux informations stockées,
 Intégrité: tous les éléments capables de corrompre le contenu des données,
 Disponibilité: tous les éléments susceptibles d'interrompre la production :

pannes informatiques, électriques ou de télécommunications,
 Traçabilité: tous les éléments liés à l'audibilité et à la preuve des transactions :

Z a transféré la somme X à Y le jour J.
Kaizen Skills 18
Les menaces existent…
Humaine
Intentionnelle Non intentionnelle


Personnel insuffisamment qualifié

Erreur humaine
Externe Interne

Piratage

Sabotage

Vol
Matérielle Naturelle
 Panne matériel  Activitégéologique

 Coupure électrique  Conditions
 Incendie météorologiques
 Dysfonctionnement
matériel ou logiciel
Kaizen Skills 19
…et les menaces évoluent
• L’évolution des menaces est liée à la transformation des systèmes d’information

(et des réglementations).
• Elle concerne essentiellement la malveillance (menaces d’origine humaine et

intentionnelle).
• Quatre profils sont généralement définis :

► Ludique (sans profit)
► Cupide (pouvoir, argent)
► Terroriste (idéologique)
► Stratégique (économique, politique
• Quatre sources du risques:

► Interne – accidentel
► Interne – volontaire
► Externe – accidentel
► Externe – délibéré
Kaizen Skills 20
Cybercriminalité
Une activité profitable
► Plusieurs milliards de dollars de « chiffre d’affaires ».
– Selon les sources, équivalent aux revenus de la drogue.
► Janvier 2007 : 800.000 euros détournés d’une banque suédoise par des pirates russes.
► Février 2007 : 4,74 millions de dollars détournés par des pirates brésiliens.
► Une activité peu risquée
Seuls 5% des auteurs d’infraction sont arrêtés et condamnés.

► Identification difficile des personnes physiques impliquées.
Les auteurs « bénéficient » de la diversité des lois anti-cybercriminalité.

– Absence d’une législation homogène
Une activité techniquement simple

► Très souvent les outils sont disponibles gratuitement sur Internet.
► Certains groupes de pirates revendent des kits « Clefs en main ».
Kaizen Skills 21
Cybercriminalité
Motivations
Tarifs
 Cheval de Troie ou virus : 1.000 / 5.000 $ en fonction de la complexité
 Numéro de carte de crédit avec code PIN : 500 $
 Compte PayPal valide avec son mot de passe : 7 $
 Vulnérabilité dans Yahoo! Messenger : 2.000 $
 Attaque DDoS : 500 $ / 1.500 $ par jour
 Sources : Finjan, TrendMicro, WebSense, MacAfee, Symantec
Maroc ?
Kaizen Skills 22
Les techniques
 Fuite de données: La fuite d'information a partir de l'ordinateur. la fuite de données laisse la copie
originale afin de ne pas être détectée.
 Ecoute électronique : Implique l'écoute électronique de l'information transmise sur les lignes de
télécommunication
 Chevaux de Troie (Trojan): Les chevaux de Troie sont des imposteurs, ils se présentent sous la forme de
fichiers prétendument utiles qui s'avèrent en réalité être malveillants. Il est crucial de bien distinguer
les virus des chevaux de Troie, qui ne se répliquent pas. Les chevaux de Troie contiennent du code qui,
lorsqu'il est déclenché, provoque la perte ou le vol des données. Pour propager un
cheval de Troie, vous devez l'inviter sur l'ordinateur, en ouvrant par exemple une pièce jointe au
courrier électronique ou en téléchargeant et en exécutant un fichier sur Internet.
 Vers: Un ver est un programme qui peut s'auto reproduire (contrairement au cheval de Troie qui lui
n’a pas cette fonction…) et se déplacer à travers un réseau en utilisant les mécanismes réseau, sans
avoir réellement besoin d'un support physique ou logique (disque dur, programme hôte, fichier ...)
pour se propager; un ver est donc un virus réseau. (espionner l'ordinateur où il se trouve, offrir une
porte dérobée à des pirates informatiques, détruire des données sur l'ordinateur où il se trouve ou y
faire d'autres dégâts, envoyer de multiples requêtes vers un serveur Internet dans le but de le saturer
(déni de service).
Kaizen Skills 23
Les techniques
 Logiciels espions : Logiciels malveillants combines a des virus, comme des enregistreurs de touches
et des programmes d'analyse de systèmes, qui collectent de l'information potentiellement
sensible, comme des numéros de carte de crédit, de l’information bancaire, etc., et transmettent
l’information a l'auteur lorsqu'une connexion en ligne est détectée.
 Piratage Wi-Fi: Implique la réception de données sans fil d'un ordinateur portable (idéalement en
conduisant) et craquer les contrôles de chiffrement pour obtenir l'accès ou simplement écouter
électroniquement l’information qui est transférée sur les liaisons de communication sans fil.
 Talonnage: L'action de suivre une personne autorisée en franchissant une porte sécurisée ou de
s'attacher électroniquement à une liaison de télécommunication autorisée pour intercepter et
possiblement altérer les transmissions.
Kaizen Skills 24
Les techniques
 Arrondir vers le bas : Implique de retirer des petits montants d'argent (la fraction
d'arrondissement) d'une transaction informatique ou d'un compte et rediriger ce montant dans le
compte de l'auteur du crime. Puisque les montants sont petits, ils sont rarement remarques, même
si ce serait facile de détecter les irrégularités en additionnant les fractions
d'arrondissement.
 Technique Salami : Implique de couper de petits montants d'argent d'une transaction informatique
ou d'un compte. Cette technique est semblable a la technique d'arrondissement. La différence
entre la technique d'arrondissement et le saucissonnage est que dans arrondissement, le
programme arrondit à partir de la plus petite fraction. Par exemple, dans la technique
d'arrondissement, une transaction de 1 235 954,41 US serait arrondie à 1 235 954,35 US. D'un
autre coté, le saucissonnage tronque les dernières décimales du montant de la transaction, donc
1 235 954,41 US devient 1 235 954,30 US ou 1 235 954,00 US selon algorithme/la formule incorpore
dans le programme. En fait, les autres variations de la même technique sont appliquées aux taux et
pourcentages
Kaizen Skills 25
Les techniques
►
Ingénierie sociale: Le facteur humain est considéré comme le maillon le plus faible de la chaine de
sécurité de l’information. L'ingénierie sociale et l'aspect humain dans l'entrée par effraction dans
un système informatique.
Elle s'appuie sur les relations interpersonnelles et la tromperie. Les entreprises qui possèdent des
mesures préventives de sécurité techniques telles que les processus d'authentification, et le
chiffrement peuvent quand même ne pas réussir à protéger leurs systèmes d'information.
Cela peut se produire si un employé donne, sans le savoir, de l’information confidentielle (par ex.
des mots de passe et des adresses IP répondant à des questions au téléphone avec quelqu'un qu'il
ne connait pas ou en répondant à un courriel provenant d'une personne inconnue.
Kaizen Skills 26
« Deux choses sont infinies :
L’Univers et la bêtise humaine»
Albert Einstein
« Dans les révolutions, il y a deux sortes de gens:

ceux qui les font et ceux qui en profitent »
Napoléon Bonaparte
27
REFERENTIELS
Kaizen Skills 28
Introduction aux référentiels SI

La sécurité SI selon ITIL v3
Kaizen Skills 30
Périmètre et composants de la bibliothèque ITIL
5 ouvrages qui constituent le cœur de l’ITIL version 3

• Stratégie des services (Service strategy)
• Conception des services (Service design)
• Transition des services (Service transition)
• Exploitation des services (Service operation)
• Amélioration continue des services (Continual service improvement)
L’objectif est la gestion des services

Kaizen Skills 31
Processus de la gestion de la sécurité de l’information
Objectifs et buts
• Aligner la gestion de la sécurité sur les besoins de sécurité métiers et s’assurer
que la sécurité des données est effective pour tous les services produits et dans
toutes les tâches de management.

Concepts
• Confidentialité: propriété d’une information d’être protégée contre une
publication ou une interception non autorisées
• Intégrité: propriété d’une information dont l’exactitude et la complétude sont
garanties
• Disponibilité: propriété d’une information d’être disponible quand on en a
besoin
• Incident « sécurité de l’information »: toute atteinte délibérée ou accidentelle à
la confidentialité, l’intégrité ou la disponibilité de l’information ou de son
traitement
• Intimité (privacy): confidentialité + intégrité d’information appartenant à une
personne particulière (Nouvelle Loi Marocaine)

Principes
• Une politique de sécurité identifiée, définie et formalisée qui prend en compte la
stratégie, le contrôle et la régulation
• Un système d’information de la gestion de la sécurité qui contient les documents, les
guides et les procédures qui sont applicables
• Une stratégie de sécurité qui tient compte des exigences métiers
• Une structure qui gère le processus
• Une surveillance qui vérifie le respect des obligations de sécurité
• Une stratégie de communication et un plan de sécurité
• Une mise en œuvre effective de l’information et de la formation aux consignes de
sécurité et aux procédures

Le Responsable Sécurité (Security Manager)
• Fait partie de l’organisation qui fournit les services informatiques

• En tant que manager du processus, il fait appliquer les exigences des SLA en
termes de sécurité, ces exigences sont traduites en documents de règles et
en procédures
• Produit les rapports sur les incidents de sécurité
• Assure la mise à jour des informations de sécurité pour tous les items de
configuration de la CMDB
• Assure les études de risque sur la sécurité
• A un rôle transverse mais n’a pas forcément une autorité hiérarchique
• Doit être associé à la gestion des changements et faire partie du CAB

LA SECURITE SI SELON COBIT
Kaizen Skills 36
Domaines CobiT
Les domaines de COBIT
1. Planification & Organisation
2. Acquisition & Mise en Place
3. Distribution & Support
4. Surveillance

Planification et Organisation (PO)
 PO1 Définir un plan informatique stratégique

 PO2 Définir l’architecture de l’information
 PO3 Déterminer l’orientation technologique
 PO4 Définir l’organisation et les relations de travail
 PO5 Gérer l’investissement en informatique
 PO6 Communiquer les objectifs et les orientations du management
 PO7 Gérer les ressources humaines
 PO8 S’assurer de la conformité aux exigences externes
 PO9 Évaluer les risques
 PO10 Gérer les projets
 PO11 Gérer la qualité

Acquisition et Mise en Place (AMP)
 AMP1 Identifier les solutions

 AMP2 Acquérir et maintenir le logiciel d’application
 AMP3 Acquérir et maintenir l’architecture technique
 AMP4 Développer et maintenir des procédures informatiques
 AMP5 Installer et valider les systèmes
 AMP6 Gérer les modifications

Distribution et Support (DS)
 DS1 Définir les niveaux de service

 DS2 Gérer les services assurés par des tiers
 DS3 Gérer la performance et la capacité
 DS4 Assurer un service continu
 DS5 Assurer la sécurité des systèmes
 DS6 Identifier et imputer les coûts
 DS7 Sensibiliser et former les utilisateurs
 DS8 Assister et conseiller les clients
 DS9 Gérer la configuration
 DS10 Gérer les problèmes et les incidents
 DS11 Gérer les données
 DS12 Gérer les installations
 DS13 Gérer l’exploitation

Surveillance (S)
 M1 Surveiller les processus

 M2 Évaluer l’adéquation du contrôle interne
 M3 Acquérir une assurance indépendante
 M4 Disposer d’un audit indépendant

Exemple de processus Cobit: DS 5
5.1 Mesures de gestion de la sécurité
La sécurité informatique doit être gérée telle sorte que les mesures de sécurité soient en ligne avec les besoins
de l'entreprise. Ceci inclut :
 la traduction de l'évaluation du risque en plan de sécurité informatique
 la mise en place du plan de sécurité informatique
 la mise à jour du plan de sécurité informatique en fonction des évolution des configurations
 l'évaluation de l'impact des demandes de changements sur la sécurité informatique
 le pilotage de la mise en place du plan de sécurité informatique
 la mise en phase des procédures de sécurité informatique avec les autres politiques et procédures.
5. 2 Identification, authentification et accès
L'accès logique aux ressources des TI et à leur utilisation doit être limité par la mise en œuvre de
mécanismes d'identification, d'authentification et d'autorisation adéquats, assortis de règles d'accès.
De tels mécanismes doivent d'une part empêcher l'accès aux ressources informatiques par le
personnel non habilité, les connexions par le réseau commuté et les autres voies d'entrée sur le
système (réseau), d'autre part minimiser pour les utilisateurs habilités la nécessité d'employer une
multitude d'identifiants. Des procédures doivent également être mises en place afin de préserver
l'efficacité des mécanismes d'authentification et d'accès (par ex. des changements réguliers de mots
de passe).

5. 3 Sécurité d'accès en ligne aux données
Dans un environnement technologique d'accès en ligne à l'information, le management des TI doit mettre
en œuvre des procédures cohérentes avec la politique de sécurité permettant un contrôle des accès
basé sur le besoin, décrit de façon individuelle, de visualiser, d'ajouter, de modifier ou d'annuler une
donnée.
5. 4 Gestion des comptes utilisateurs

Le management doit établir des procédures pour s'assurer que les actions relevant de l'interrogation, de
l'ouverture, de la modification et de la fermeture des comptes utilisateurs sont réalisées au moment
opportun. Il faut y inclure une procédure formelle d'approbation spécifiant le nom du propriétaire des
données ou du système qui accorde les privilèges d'accès. La sécurité des accès tiers doit être définie
contractuellement et doit concerner l'administration des droits et les exigences de confidentialité. Les
contrats d'externalisation doivent traiter des risques, et des procédures et contrôles de sécurité des
systèmes et des réseaux.

5. 5 Revue des comptes utilisateurs par le management

Le management doit mettre en place un processus de contrôle périodique pour réviser et confirmer les
droits d'accès. Une comparaison périodique avec les droits enregistrés pour les ressources doit
permettre de réduire le nombre d'erreurs, de fraudes, d'utilisations inappropriées ou de modifications non
autorisées.
5. 6 Contrôle des utilisateurs sur leurs comptes

Les utilisateurs doivent pouvoir contrôler systématiquement l'activité de leur compte. Des dispositifs
d'information doivent leur permettre d'en vérifier l'activité courante et d'être alertés à temps en cas
d'utilisation anormale.

5. 7 Surveillance de la sécurité
L'administration de la sécurité des TI doit s'assurer que toute activité relative à la sécurité est tracée et
que toute tentative de violation est transmise immédiatement aux personnes concernées, en interne ou à
l'extérieur, de façon automatique, et qu'une suite y est donnée dans les temps.
5. 8 Classification des données
Le management doit mettre en œuvre des procédures pour s'assurer que toutes les données sont classifiées selon
leur sensibilité, ceci par une décision formelle et explicite du propriétaire des données selon le schéma de
classification des données. Même les données ne nécessitant aucune protection doivent faire l'objet d'une décision
formalisée pour être désignées comme telles. Les propriétaires doivent déterminer les modalités de mise à
disposition et de partage des données, et également décider si les programmes et les fichiers doivent être mis à
jour, archivés ou supprimés, et quand. La preuve de l'accord du propriétaire et de la mise à disposition des
données doit être tenue à jour. Des politiques doivent être définies pour permettre la reclassification des
informations, en fonction de l'évolution de leur niveau de confidentialité. Le schéma de classification doit
comprendre des critères de gestion des échanges d'informations entre entreprises, et concerner à la fois la sécurité
et le respect de la legislation à appliquer.

5. 9 Gestion centralisée des identifiants et des droits d'accès
Des contrôles doivent être mis en place pour s'assurer que les identifiants et les droits d'accès des
utilisateurs, au même titre que l'identité du propriétaire du système et des données, sont établis et gérés
d'une manière unique et centralisée pour obtenir une cohérence et une efficience du contrôle global des
accès.
5. 10 Rapports d'activité sur la sécurité et les violations de la sécurité

L'administration de la sécurité des TI doit s'assurer que les violations de la sécurité et toute activité
relative à la sécurité sont régulièrement enregistrées, rapportées, revues et escaladées de manière
adéquate pour identifier et résoudre les incidents mettant en cause une activité non autorisée. L'accès
logique à la comptabilité interne des ressources informatiques (sécurité et autres journaux) doit être
accordé selon le principe du privilège minimum (a besoin d'en connaître).

5. 11 Gestion des incidents
Le management doit mettre en place un système de gestion informatisé des incidents capable d'identifier
les incidents de sécurité en créant une plate-forme centralisée avec l'expertise suffisante et équipée de
moyens de communication rapides et sécurisés. Des responsables et des procédures de gestion des
incidents doivent être mis en place pour assurer une réponse appropriée, efficace et organisée aux
incidents de sécurité.
5. 12 Procédure de revalidation
Le management doit s'assurer qu'une revalidation des sécurités (par ex. via des équipes d'inspecteurs)
est périodiquement réalisée afin d'actualiser le niveau de sécurité officiellement approuvé et le risque
résiduel accepté.

5. 13 Contrôle des contreparties

Les règles de l'entreprise doivent garantir que des contrôles sont mis en place pour vérifier l'authenticité
des contreparties dans le cadre d'échanges ou de transactions électroniques. Ceci peut être réalisé par
un échange fiable de mots de passe, de jetons ou de clefs de chiffrement.

5. 14 Autorisation des transactions
Les règles de l'entreprise doivent garantir que, lorsque cela est nécessaire, des contrôles sont mis en
place pour assurer l'authenticité des transactions et établir vis à vis du système la validité de l'identité
dont se réclame un utilisateur. Cela nécessite l'emploi de techniques de chiffrement pour signer et vérifier
les transactions.

5. 15 Non-repudiation
Les règles de l'entreprise doivent garantir que, lorsque cela est nécessaire, les transactions ne peuvent
pas être rejetées par l'autre partie, et que des contrôles sont mis en place pour assurer la non-répudiation
de l'émetteur et du récepteur, la preuve de la soumission et de la réception des transactions. Cela peut
être réalisé à l'aide de signatures électroniques, d'un horodatage ou d'un tiers de confiance, au moyen de
politiques appropriées qui prennent en compte les exigences réglementaires concernées.
5. 16 Chemin sécurisé
Les règles de l'entreprise doivent garantir que des transactions contenant des données sensibles sont
échangées uniquement en empruntant des chemins sécurisés. Les données sensibles incluent les
informations de gestion de la sécurité, les transactions de données sensibles, les mots de passes et clés
de chiffrement. A cette fin, il peut être nécessaire d'établir des canaux sécurisés utilisant le chiffrement
entre utilisateurs, entre utilisateurs et systèmes, et entre systèmes.

5. 17 Protection des fonctions de sécurité
Tous les matériels et logiciels utilisés pour la sécurité doivent en permanence être protégés contre la
falsification pour maintenir leur intégrité et contre la divulgation des clés secrètes. De plus, l'entreprise
doit rester discrète sur ses dispositifs de sécurité, mais ne doit pas fonder sa sécurité sur le fait que ce
dispositif est secret.
5. 18 Gestion des clefs de chiffrement
Le management doit définir et mettre en œuvre des procédures et protocoles à utiliser pour la génération,
la modification, la révocation, la destruction, la distribution, la certification, le stockage, l'entrée,
l'utilisation et l'archivage de clés de chiffrement afin de garantir leur protection contre toute modification
ou divulgation non autorisée. Si une clé est divulguée ou découverte, le management doit s'assurer que
cette information est diffusée à toutes les parties concernées via une Liste de Révocation Certifiée ou
une procédure équivalente.

5. 19 Prévention, détection et correction de virus
Face aux logiciels malins, tels que les virus ou les Chevaux de Troie, le management doit mettre en place
un dispositif adéquat de contrôle pour assurer prévention, détection et correction, ainsi qu'un
enregistrement des incidents et des mesures prises dans chaque cas. La direction générale et le
management des TI doivent s'assurer que des procédures existent dans l'entreprise pour protéger les
systèmes d'information des virus informatiques. Les procédures doivent inclure des moyens de détecter
les virus, de s'en protéger, et de conserver un historique des incidents et des mesures prises.
5. 20 Architectures de pare-feu (firewall) et connexions aux réseaux publics
S'il existe des connexions au réseau Internet ou à d'autres réseaux publics, des pare-feu (firewall)
doivent être mis en place pour se protéger contre tout déni de service et tout accès non autorisé aux
ressources internes, pour contrôler tous les flux applicatifs et tous les flux de gestion de l'infrastructure
dans chaque sens, et pour se protéger contre les attaques de déni de service.
5. 21 Protection des valeurs électroniques
Le management doit protéger l'intégrité permanente des cartes ou des appareils physiques similaires
utilisés pour authentifier ou stocker des données financières ou des données sensibles. Ceci doit prendre
en compte les installations, les dispositifs, les employés et les méthodes de validation utilisés dans ce
contexte.
MENACES ET RISQUES
Kaizen Skills 52
Le risque de sécurité de l’information
La potentialité qu'une menace donnée exploite

les vulnérabilités d'un actif ou d'un groupe
d'actifs et cause ainsi des désagréments à
l’organisme

Les trois composantes du risque
1. Les actifs
2. Les vulnérabilités
3. Les menaces

Les actifs
Actifs primordiaux
Processus et Activité
Information
Actifs en supports
Matériel
Logiciel, OS
Réseau
Communication
Energies

Les Vulnérabilités
Propriété intrinsèque de l’actif
Les actifs possèdent des vulnérabilités
Elle est exploitée (ou pas !)

Les Menaces
Action ou événement ayant une conséquence

négative
Origine
Motivation (humaine)
Ciblent le CIA

Les Risque de sécurité

OBJECTIFS DE L’ANALYSE DES RISQUES
 Pouvoir identifier les biens et leur valeurs.
 Pouvoir déterminer les vulnérabilités et menaces.
 Pour déterminer le risque que les menaces deviennent une réalité et
perturber le processus opérationnel.
 Pour déterminer l’équilibre entre les coûts de l’incidents et les coûts d’une
mesure de
sécurité.
Kaizen Skills 59
Analyse quantitative des risques
 Calculer une valeur de risque sur la base du niveau de la perte financière et de la

probabilité que la menace devienne un incident.
 La valeur de chaque élément dans l’ensemble des processus opérationnels est

déterminée.
 Les valeurs peuvent être composé des coûts des mesures de sécurité, ainsi que la
valeur de la propriété elle-même, y compris des éléments tels que les bâtiments, le
matériel, les logiciels, l’information et l’impact commercial.
 Le temps s’étend avant qu’une menace apparaisse. L’efficacité des mesures de
sécurité et le risque qu’une vulnérabilité sera exploité sont aussi des éléments à
prendre en considération
Kaizen Skills 60
Analyse quantitative des risques (suite)
 Basée sur des scénarios et des mises en situation.
 La probabilité qu’une menace devienne réalité sont examinées sur la base des intuitions.
 L’ analyse porte sur le processus opérationnel auquel se rapporte la menace et les mesures
de sécurité qui ont été prises.
 Conduit à une vue subjective des menace possibles.
 Des mesures sont ensuite prise pour minimiser le risque.
 Le meilleur résultat es t obtenu en effectuant l’analyse dans le cadre d’une session de groupe,
ce qui conduit à une discussion qui évite le pont de vue d’une seule personne ou d’un service
qui domine l’analyse.
 Les analyses de risques quantitatifs et qualitatifs ont chacun leurs avantages et leurs inconvénients.
Kaizen Skills 61
Types de mesures de sécurité
 Les mesures préventives visent à prévenir les incidents.
 Les mesures détectives visent à détecter les incidents.
 Le mesures répressives visent à arrêter les conséquences d’un incident.
 Les mesures correctives visent à récupérer contre les dommages provoqués.
 Les mesures d’Assurance- il est également possible d’acheter une assurance contre certains
incidents parce que, par exemple, la mise en œuvre des mesures peut être trop cher.
 Acceptation-lorsque toutes les mesures sont connues, il peut être décidé de ne pas procéder à
certaines mesures de sécurité tel que les couts qui ne sont pas en proportion avec la recette ou
parce qu’il n’y a pas de mesures appropriées possibles qui peuvent résister aux risques.
Kaizen Skills 62
Les relations entre menaces et risques
 Par exemple :
– Actif: caissier
– Menace: virus de la grippe aviaire
– Vulnérabilité: n’a pas pris le vaccin
– Probabilité: haute?
• Risque
– Absent du travail pendant plusieurs jours
– Seul avec la clé pour entrer au magasin
• Dommages: quel est l’impact sur

le business?
– Les employés et le clients ne peuvent pas rentrer au magasin
– Perte de revenue
– Le client partira chez la concurrence
Mesures :
– Ne fais rien
– Faire le double de la clé et le donner à un autre employé afin que le
magasin puisse ouvrir.
Kaizen Skills 63
Les relations entre menaces et risques
Actifs Menaces Vulnérabilités
Analyse des risques

Risques
Gestion des risques
Contre-mesures
Kaizen Skills 64
Les dégâts potentiels
• Dégâts juridiques
– A quel point serait la responsabilité juridique si l’attaque réussit?
• Dégâts sur la réputation
– A quel point serait atteinte l’image et la confiance?
• Dégâts de la productivité
– A quel point les dégâts toucheraient la productivité des utilisateurs?
Kaizen Skills 65
Probabilité d’une menace
• Détectabilité
– A quel point serait il facile de trouver la vulnérabilité ou les cibles?
• Exploitabilité
– A quel point l’attaque en termes de compétences et de ressources nécessaires
• Furtivité
– A quel point serait il difficile pour l’informatique de détecter l’attaque?
• Répétitivité
– A quel point serait il facile de répéter l’attaque avec succès après que le personnel de
sécurité ait appris à la détecter?
Kaizen Skills 66
Exemple de menaces de sécurité de l’information
• Un incendie peut éclater dans votre entreprise
• Un employé qui ne travaille pas dans le département RH à accès

aux informations de RH
• Quelqu’un se fait passer pour un employé et tente d’obtenir des

informations.
• L’entreprise est touchée par une panne de courant.
• Un pirate parvient à accéder au réseau de l’entreprise
Kaizen Skills 67
Les dégâts
 Dégâts directs:
 Dégâts directs sur le business
 Dégâts indirects:
 L’atteinte à la réputation de l’entreprise s’il y a une longue indisponibilité
Kaizen Skills 68
L’Espérance de perte
• Espérance de Perte Annuelle(Annual Loss Expectancy-ALE)
– La quantité de dégâts-exprimée en termes monétaires –qui peuvent résulter
d’un incidents en un an.
– Par exemple: Supposons qu’une moyenne de 10 ordinateurs portables
sont volés d’une société chaque année.
– L’ALE est donc la valeur de 10 ordinateurs portables (y compris les données et
les logiciels) et pas seulement un ordinateur potable.
• Espérance de Perte Unique( Single Loss Expactancy-SLE)
– Dommages causés par un incident ponctuel.
– Par exemple: Si un incident Statistiquement de produisait un fois tous les
cinq ans, l’ ALE est un cinquième du SLE.

Kaizen Skills 69
La Stratégie de risques
Nous pouvons faire face aux risques de différentes manières. Les stratégies les plus
courantes sont:
• Acceptation du risque: certains risques sont acceptés
– Cela pourrait être dû aux coûts des mesures de sécurité qui dépassent les dommages
possibles ou ne rien faire mêmes si les couts ne sont pas plus élevés que les dommages
possibles.
• Neutralisation du risque
– Les mesures de sécurité sont prises de façon à ce que les menaces ne se manifestent
plus, et s’ils le font, les dommages résultants sont minimisés.
• Evitement du risque
– Les mesures sont prises de telle sorte que la menace est neutralisée à un degré où la
menace ne conduit plus à un incident.

Kaizen Skills 70
La Famille ISO 2700X
Kaizen Skills 71
La famille ISO 27000
Kaizen Skills 72
La démarche d’implémentation d’ISO 27002
Kaizen Skills 73
Les systèmes de management
Qu’est ce qu’un système de management?
Selon la norme ISO 9000

Mesures
Techniques
Situation Politique Objectifs à

actuelle atteindre
Mesures
Organisationnelles
Kaizen Skills 74
Principaux systèmes de management
Standard Domaines
ISO9001 Qualité
ISO14001 Environnement
ISO27001 Sécurité de l’information
ISO20000 Services informatiques
ISO22000 Sécurité alimentaire
OHSAS18001 Santé/Sécurité du personnel
Kaizen Skills 75
Le modèle PDCA
Les SI fonctionnentselon un modèle en 4 temps (PDCA)
 Phase Plan
Exprimer ce que l’on va faire dans un domaine particulier (qualité, environnement,
sécurité,…)
 Phase Do
Faire ce que l’on a exprimé dans le domaine
 Phase Check
Vérifier qu’il n’y a pas d’écart entre ce que l’on a dit et ce que l’on a fait.
 Phase Act
Entreprendre les actions correctives pour régler tout écart qui aurait été constaté
précédemment
Kaizen Skills 76
La norme ISO 27001
L’ISO 27001 est imposée comme référence en matière de Systèmes de Management de la
Sécurité de l’Information (SMSI)
 Disponible sur site ISO, AFNOR, BSI…
 Les organismes visés par la norme sont de tout type (administration, entreprise commerciale,
organisation non gouvernementale)
 L’objectif général est de spécifier les exigences pour mettre en place, exploiter et améliorer un
SMSI documenté.
 La norme spécifie les exigences pour la mise en place de mesures adaptées aux besoins de
l’organisation (chaque cas est particulier)
 La norme fait en sorte que les mesures de sécurités soient déployées en fonction du contexte (ni
trop sévère, ni trop laxiste)
 La norme insiste sur le fait que la mise en place d’un SMSI et le déploiement de mesures de
sécurité appropriées doivent permettre de protéger les actifs de l’information (bien, patrimoine
informationnel, bien sensible…)
Kaizen Skills 77
Kaizen
Kaizen Skills
Skills 7079
Nombre d’entreprises certifiées ISO 27001- (Novembre 2013)
Kaizen Skills 80
Nombre d’entreprises certifiées ISO 27001- (Avril 2012)
Kaizen Skills 81
Statistique des enterprises certifiées ISO 27001- (November 2013)
Overview
Year 2006 2007 2008 2009 2010 2011 2012 2013
TOTAL 5797 7732 9246 12935 15626 17355 19620 22293
Africa 6 10 16 47 46 40 64 99
Central / South
America 18 38 72 100 117 150 203 272
North America 79 112 212 322 329 435 552 712
Europe 1064 1432 2172 3563 4800 5289 6379 7950

East Asia and 4210 5550 5807 7394 8788 9665 10422 10748
Pacific
Central and South 383 519 839 1303 1328 1497 1668 2061
Asia
Middle East 37 71 128 206 218 279 332 451
Kaizen Skills 82
La norme ISO 27001
Le noyau dur de la norme (chapitre 4) est articulé autour du modèle Plan, Do,
Check, Act.
PLAN
 Phase Plan du SMSI

DO ACT
Cette phase se décompose en 4 grandes étapes:

CHECK
 Etape 1: définir le périmètre et la politique.

Politique Périmètre
 Etape 2: apprécier les risques

Apréciation des risques
 Etape 3: traiter les risques et identifier le
risque résiduel
Traitement Risques
du risque résiduels
 Etape 4: sélectionner les mesures de
sécurité
Sélection des mesures de
sécurité + SoA
Kaizen Skills 83
La norme ISO 27001
Check,Act.
 Phase Do du SMSI
Une fois les objectifs du SMSI fixés (dans la phase Plan), il faut les mettre en œuvre.
Plusieurs actions sont à entreprendre:
 Action1: Planifier de traitement des risques

 Action2: Déployer les mesures de sécurité
 Action3: Générer les indicateurs
 Action4: Former et sensibiliser le personnel

 Action5: Gérer le SMSI au quotidien
 Action6: Détection et réaction rapide aux incidents
Kaizen Skills 84
La norme ISO 27001 (Phase Check du SMSI)
Le noyau dur de la norme (chapitre 4) est articulé autour du modèle Plan,

Do, Check, Act.
 Phase Check du SMSI

La norme impose la mise en place de moyen de contrôle est de surveiller en
permanence :
 L’efficacité du SMSI
 Sa conformité par rapport aux spécifications
Trois familles d’outils permettent à l’implémenteur de répondre à cette exigence:
 Les audits internes

 Le contrôle interne
 Les revues ( ou encore réexamen)
Kaizen Skills 85
La norme ISO 27001 (Phase Act du SMSI)
Check, Act.
 Phase Act du SMSI

Toutes les activités de contrôle réalisées lors de la phase « Check » sont susceptible de mettre en
lumière un certain nombre de dysfonctionnement
Les constats peuvent être de plusieurs ordres

 Ecarts entre le SMSI et les exigences de la norme
 Ecarts entre les spécifications du SMSI et la pratique constatée.
 Mesures de sécurité inefficaces ou insuffisamment performantes
 Risques oubliés lors de l’appréciation des risques
 Changements de contexte entraînant de nouveaux risques
 Problèmes récurrents
Kaizen Skills 86
La norme ISO 27001 (Phase Act du SMSI)
 Phase Act du SMSI : Les actions;
La norme impose d’identifier systématiquement des actions correctives, préventives ou

d’amélioration pour chacun de ces constats.
Actions correctives
Elles sont entreprises lorsqu’un incident ou un écart a été constaté. Le but est d’agir d’abord
sur les effets pour corriger l’écart, puis sur les causes pour éviter que l’écart ne se reproduise
à nouveau.
Actions préventives
Elles sont lancer lorsqu’on détecte une situation qui risque d’entraîner un écart ou un
incident si rien n’est fait. Les actions préventives consistent à agir sur les causes avant que
l’écart ne se produise.
Actions amélioration
Leur but n’est pas de corriger ni d’éviter un écart, mais d’améliorer la performance d’un
processus du SMSI
Kaizen Skills 87
Le code des bonne pratique ISO 27002
Kaizen Skills 88
La norme ISO 27002
IS0 27002: 2005 IS0 27002: 2013
11 CHAPITRES 14 CHAPITRES
39 OBJECTIFS 35 OBJECTIFS
133 MESURES 114 MESURES
Kaizen Skills 89
La norme ISO 27002
Les 14 chapitres de la norme ISO 27002
Kaizen Skills 90
Kaizen Skills 91
14 domaines de sécurité
Kaizen Skills 92
Les 35 catégories de sécurité
Kaizen Skills 93 91
Les 114 mesures
Kaizen Skills 94
5 - Politique de sécurité
• L’objectif est, pour la Direction, de:

 Exprimer formellement la stratégie de sécurité de la société
 Communiquer clairement son appui à sa mise en œuvre.
• Un document exposant la politique de sécurité doit être approuvé

• Il doit être révisé et adapté périodiquement en prenant en compte l’efficacité
de ses mesures, le coût et l’impact des contrôles sur l’activité, les effets des
évolutions technologiques.
• La sécurité est une responsabilité partagée par tous les membres de l’équipe
de direction.
• Un comité de direction multifonction doit être formé pour assurer un pilotage
clair et une visibilité élevée de l’engagement de la direction.
• Il définit les rôles et responsabilités, les méthodes et procédures, approuve et
supporte les initiatives de communication internes.

• 5.1 Orientations de la direction en matière de sécurité de l'information

o Objectif : Apporter à la sécurité de l’information une orientation et un soutien de
la part de la direction, conformément aux exigences métier et aux lois et
règlements en vigueur.
• 5.1.1 Politiques de sécurité de l'information

o Mesure: Un document de politique de sécurité de l’information doit être
approuvé par la direction, puis publié et diffusé auprès de l’ensemble des salariés
et des tiers concernés.
• 5.1.2 Revue des politiques de sécurité de l’information

o Mesure: Pour garantir la pertinence, l’adéquation et l’efficacité de la politique de
sécurité de l’information, la politique doit être réexaminée à intervalles fixés
préalablement ou en cas de changements majeurs.

Exemple de mesures de contrôle :
Il existe un document (s) de politiques de sécurité de SI
Il existe une réglementation relative à la sécurité de le SI
Il existe des procédures relatives à la sécurité de de SI
Il existe un responsable les politiques, de normes et de procédures
Il existe des mécanismes pour la communication aux utilisateurs des normes
Il existe des contrôles réguliers pour vérifier l'efficacité des politiques

6 - Organisation de la sécurité de l’information
 RSSI
 CSSI

6 - Organisation de la sécurité de l'information
1. Organisation interne
Objectif : Gérer la sécurité de l’information au sein de l’organisme.
1. Fonctions et responsabilités liées à la sécurité del'information
Mesure: L'organisation devrait définir les rôles et les responsabilités pour la sécurité de
l'information, et les affecter à des particuliers. Le cas échéant,
2. Séparation des tâches (the segregation of duties)

Mesure: les droits devraient être séparés dans les rôles et les particuliers à éviter les conflits
d'intérêt et éviter des activités inappropriées
3. Relations avec les autorités

Mesure: Il devrait y avoir des contacts avec les autorités externes pertinents (tels que les CERT
et les groupes d'intérêts spéciaux) sur les questions de sécurité de l'information.
4. Relations avec des groupes de travail spécialisés

6.1.5 La sécurité de l'information dans la gestion de projet

Sécurité de l'information devrait être une partie intégrante de la gestion de tous les types de
projets.
2. Appareils mobiles et télétravail
Objectif : Il devrait y avoir des politiques de sécurité et des contrôles pour les appareils mobiles
et le télétravail
1. Politique en matière d'appareils mobiles

Mesure: comme les ordinateurs portables, les tablettes PC, les appareils électroniques
portables, smartphones, gadgets USB et d'autres garçons jouets
2. Télétravail
Mesure: comme le télétravail, le travail de chez soi, la route des guerriers, et à distance / les
lieux de travail virtuels.


Il existe des rôles et des responsabilités définis pour les personnes impliquées dans la
sécurité
Il existe un responsable chargé d'évaluer l'acquisition et les changements de SI
La Direction et les secteurs de l'Organisation prend part des sujets de sécurité
Il existe des conditions contractuelles de sécurité avec des tiers et outsourcing
Il existe des critères de sécurité dans le maniement de tierces parties
Il existe des programmes de formation en sécurité pour les employés, clients et tiers
Il existe un accord de caractère confidentiel de l'information pour ceux qu'y accède.
On révise l'organisation de la sécurité périodiquement par une entreprise externe
Kaizen Skills 101

Management de la sécurité des SI
7 - Sécurité liée aux ressources humaines
Plus de 60% des incidents proviennent de l’intérieur de l’entreprise !
L’objectif est de:
• Réduire le risque d’erreur, de vol, de fraude ou de mauvais usage des moyens de

traitement.
• Assurer que les utilisateurs sont informés des risques et menaces concernant les
informations.
• Assurer que les utilisateurs sont formés et sont équipés pour appliquer la politique de
sûreté lors de leurs activités normales.
• Minimiser les dommages en cas d’incident.
• Apprendre de ces incidents.

7.1 Avant l'embauche (ou changement de domaine d’activité)
Objectif : Garantir que les salariés, contractants et utilisateurs tiers connaissent leurs
responsabilités et qu’ils conviennent pour les fonctions qui leur sont attribuées et
réduire le risque de vol, de fraude ou de mauvais usage des équipements.
7.1.1 Sélection des candidats
Mesure: Qu’il s’agisse de postulants, de contractants ou d’utilisateurs tiers, les
vérificationsdes informations concernant tous les candidats doivent être réalisées
conformément aux lois,aux règlements et à l’étique et doivent être proportionnelles
aux exigences métier, à laclassification des informations accessibles et aux risques
identifiés.

7.1.2 Termes et conditions d'embauche
Mesure: Dans le cadre de leurs obligations contractuelles, les salariés, contractants et
utilisateurs tiers doivent se mettre d’accord sur les modalités du contrat d’embauche les liant
et le signer. Ce contrat doit définir leurs responsabilités et celles de l’organisme quant à la
sécurité de l’information.
7.2 Pendant la durée du contrat
Objectif : Veiller à ce que tous les salariés, contractants et utilisateurs tiers soient conscients
des menaces pesant sur la sécurité de l’information, de leurs responsabilités financières ou
autres, et disposent des éléments requis pour prendre en charge la politique de sécurité de
l’organisme
dans le cadre de leur activité normale et réduire le risque d’erreur humaine.
7.2.1 Responsabilités de la direction
Mesure: La direction doit demander aux salariés, contractants et utilisateurs tiers d’appliquer
les règles de sécurité conformément aux politiques et procédures établies de l’organisme.
2. Sensibilisation, apprentissage et formation à la sécurité de l’information
Mesure: L’ensemble des salariés d’un organisme et, le cas échant, les contractants et
utilisateurs tiers doivent suivre une formation adaptée sur la sensibilisation et doivent
recevoir régulièrement les mises à jour des politiques et procédures de l’organisme,
pertinentes pour leurs fonctions.
3. Processus disciplinaire
Mesure: Un processus disciplinaire formel doit être élaboré pour les salariés ayant enfreint
les règles de sécurité.

Fin ou modification du contrat
Objectif : Veiller à ce que les salariés, contractants et utilisateurs tiers quittent un organisme ou
changent de poste selon une procédure définie.
7.3 Résiliation et changement d'emploi
Responsabilités en fin de contrat
Mesure: Les responsabilités relatives aux fins ou aux modifications de contrats doivent être
clairement définies et attribuées.
Restitution des actifs

Mesure: Tous les salariés, contractants et utilisateurs tiers doivent restituer la totalité des actifs
de l’organisme qu’ils ont en leur possession à la fin de leur période d’emploi, contrat ou accord.
Retrait des droits d’accès

Mesure: Les droits d’accès de l’ensemble des salariés, contractants et utilisateurs tiers à
l’information et aux moyens de traitement de l’information doivent être supprimés à la fin de
leur période d’emploi, ou modifiés en cas de modification du contrat ou de l’accord.

On a définies responsabilités et rôles de sécurité
On prend en considération la sécurité dans la sélection et la baisse du personnel
Les conditions de confidentialité et responsabilités dans les contrats sont précisées
On distribue la formation adéquate sécurité et traitement d'actifs
Il existe un canal et des procédures claires à suivre en cas d'incident de sécurité
On reprend les données des incidents de manière détaillée
Informer les utilisateurs des vulnérabilités observées ou soupçonnées

On informe aux utilisateurs qu'ils ne doivent, sous aucune circonstance, divulguer les
vulnérabilités
Il existe un processus disciplinaire de la sécurité de l'information

8 - Gestion des actifs
L’objectif est de maintenir le niveau de protection adapté à chaque actif

d’information en accord avec la politique de sécurité.
• Tout élément d’actif important doit être répertorié et alloué à un
responsable nominatif.
• L’information doit être classifiée en fonction du besoin, de la priorité et

du degré de sa sécurité.
Les procédures de classification des informations doivent être définies et couvrir

la manipulation des informations sous forme physique aussi bien que
électronique, et pour les différentes activités de copie, stockage, transmission et
destruction.

1. Responsabilités relatives aux actifs

Objectif : Mettre en place et maintenir une protection appropriée des actifs de l’organisme.
1. Inventaire des actifs

Mesure: Tous les actifs doivent être clairement identifiés et un inventaire de
tous les actifs importants doit être réalisé et géré.
2. Propriété des actifs
Mesure: La propriété de chaque information et des moyens de traitement de l’information
doit être ‘attribuée’ à une partie définie de l’organisme.
3. Utilisation correcte des actifs
Mesure: Des règles permettant l’utilisation correcte de l’information et des actifs associés
aux moyens de traitement de l’information doivent être identifiées, documentées et mises
en œuvre.
4. Restitution des actifs
Kaizen Skills 109

2. Classification des informations
Objectif : Garantir un niveau de protection approprié aux informations.
1. Classification des informations
Mesure: Les informations doivent être classées en termes de valeur, d’exigences légales, de
sensibilité et de criticité.
2. Marquage des informations
Mesure: Un ensemble approprié de procédures pour le marquage et la manipulation de
l’information doit être élaboré et mis en œuvre conformément au plan de classification adopté
par l’organisme.
3. Manipulation des actifs
Un ensemble approprié de procédures pour t la manipulation de l’information doit être élaboré
et mis en œuvre

Il existe un inventaire des actifs mis à jour
L'Inventaire contient des actifs de données, du software, équipements et services
On dispose d'une classification de l'information selon la criticité de de cette dernière
Existe un responsable des activifs
Il existe des procédures pour classer l'information
Il existe des procédures d'étiquetage de l'information

9 - Contrôle d'accès

• gérer et contrôler l’accès aux informations
• prévenir les accès non autorisés
• assurer la protection des systèmes en réseau
• détecter les activités non autorisées
La politique de contrôle comprend notamment:

• l'enregistrement unique de chaque utilisateur,
• une procédure écrite de délivrance d'un processus d'authentification
signée du responsable hiérarchique,
• des services de déconnexion automatique en cas d'inactivité,
• une politique de révision des mots de passe

9.1 Exigences métier en matière de contrôle d'accès
Objectif : Maîtriser l’accès à l’information.

9.1.1 Politique de contrôle d’accès
Mesure: Une politique de contrôle d’accès doit être établie, documentée et
réexaminée sur la base des exigences métier et de sécurité.
. 9.1.2 Accès aux réseaux et aux services en réseau

.
Kaizen Skills 113

2. Gestion de l’accès utilisateur
Objectif : Contrôler l’accès des utilisateurs autorisés et empêcher les accès non autorisés
aux systèmes d’information.
1. Enregistrement et désinscription des utilisateurs
Mesure: Une procédure formelle d’inscription et désincription des utilisateurs
destinée à accorder et à supprimer l’accès à tous les systèmes et
services d’information doit être définie.
2. Maîtrise de la gestion des accès utilisateur
3. Gestion des privilèges d’accès
Mesure: L’attribution et l’utilisation des privilèges doivent être restreintes et contrôlées.

2. Gestion de l’accès utilisateur

4. Gestion des informations secrètes d'authentification des utilisateurs
Mesure: L’attribution de mots de passe doit être réalisée dans le cadre d’un processus formel.
5. Revue des droits d'accès utilisateur
Mesure : La direction doit réexaminer les droits d’accès utilisateurs à intervalles réguliers par
le biais d’un processus formel. examinée sur la base des exigences métier et de sécurité.
6. Suppression ou adaptation des droits d'accès

9.3 Responsabilités de l'utilisateurs

Objectif : Empêcher l’accès d’utilisateurs non habilités et la compromission ou le vol
d’informations et de moyens de traitement de l’information.
9.3.1 Utilisation d'informations secrètes d'authentification
Ouverture de sessions sécurisées

Mesure: L’accès aux systèmes d’exploitation doit être soumis à une procédure sécurisée
d’ouverture de session.
Identification et authentification de l’utilisateur

Mesure: Un identifiant unique et exclusif doit être attribué à chaque utilisateur et une
technique d’authentification doit être choisie, permettant de vérifier l’identité déclarée
par l’utilisateur.
Kaizen Skills 116

4. Contrôle de l'accès au système et aux applications

Objectif : Accès à l'information devrait être limitée conformément à la politique de contrôle
d'accès par exemple sécurisé par log-on, la gestion de mot de passe, le contrôle sur les services
publics privilégiés et un accès restreint au code source du programme.
1. Restriction d'accès à l'information

Mesure : Les utilisateurs doivent avoir uniquement accès aux services pour
lesquels ils ont spécifiquement reçu une autorisation.
2. Sécuriser les procédures de connexion
Mesure : Pour les réseaux partagés, en particulier les réseaux qui s’étendent au-delà des
limites de l’organisme, la capacité de connexion réseau des utilisateurs doit être restreinte,
conformément à la politique de contrôle d’accès et aux exigences relatives auxapplications
métier

4. Contrôle de l'accès au système et aux applications

3. Système de gestion des mots de passe
Mesure: Il doit être demandé aux utilisateurs de respecter les bonnes pratiques de sécurit lors
de la sélection et de l’utilisation de mots de passe.
4. Utilisation de programmes utilitaires à privilèges
Mesure: L’emploi des programmes utilitaires permettant de contourner les mesures d’un
système ou d’une application doit être limité et contrôlé étroitement.
5. Contrôle d’accès au code source des programmes

Il existe une politique de contrôle d'accès
Il existe une procédure formelle de registre et badge d'accès
Il est contrôlé et restreint l'assignation et l'utilisation des privilèges dans des environnements
multi-utilisateurs
Il existe une gestion des password d'utilisateurs
Il existe une révision des droits d'accès des utilisateurs
Il existe l'utilisation du password
On sécurise l'accès aux personnes non habilités
Il existe des politiques de propreté dans le poste de travail
Il existe une politique d'utilisation des services de réseau
On assure la route (path) des terminaux aux services
Il existe une authentification d'utilisateurs dans des connexions externes
Il existe une authentification des noeuds
Il existe un contrôle de la connexion de réseaux
Il existe un contrôle du routing des réseaux
Il existe une identification unique d'utilisateur et automatique de terminaux
Il existe des procédures de log-on au terminal
On a incorporé des mesures de sécurité aux ordinateurs mobiles
Le télétravail est contrôlé par l'organisation
10 - Cryptographies
10.1 Mesures cryptographiques (Controle)
Objectif : Protéger la confidentialité, l’authenticité ou l’intégrité de l’information par des moyens
cryptographiques.
Il devrait y avoir une politique sur l'utilisation du chiffrement, plus authentification et d'intégrité
des contrôles cryptographiques tels que les signatures numériques et les codes d'authentification
des messages et gestion des clés cryptographiques.
Politique d’utilisation des mesures cryptographiques
Mesure: Une politique d’utilisation des mesures cryptographiques en vue de protéger l’information
doit être élaborée et mise en œuvre.
Gestion des clés
Mesure: Une procédure de gestion des clés doit favoriser l’utilisationpar
l’organisme de techniques cryptographiques.

10 - Cryptographies
Il existe une politique de Cryptographie

Il existe une procédure de Gestion des clés

11 - Sécurité physique et environnementale

• Prévenir les accès non autorisés, les dommages et les interférences sur
les informations, les activités et les locaux de l’organisation.
• Prévenir la compromission ou le vol d’information ou de moyens de
traitement.

11.1 Zones sécurisées

Objectif : Empêcher tout accès physique non autorisé, tout dommage ou intrusion dans les
locaux ou portant sur les informations de l’organisme.
Périmètre de sécurité physique

Mesure: Les zones contenant des informations et des moyens de traitement de l’information
doivent être protégées par des périmètres de sécurité (obstacles tels que des murs, des
portes avec un contrôle d’accès par cartes, ou des bureaux de réception avec personnel
d’accueil).
Contrôles physiques des accès
Mesure: Les zones sécurisées doivent être protégées par des contrôles à l’entrée adéquats
pour s’assurer que seul le personnel habilité est admis.
Sécurisation des bureaux, des salles et des équipements
Mesure: Des mesures de sécurité physique doivent être conçues et appliquées pour les
bureaux, les salles et les équipements.
Kaizen Skills 123

Protection contre les menaces extérieures et environnementales

Mesure: Des mesures de protection physique contre les dommages causés par les
incendies, les inondations, les tremblements de terre, les explosions, les troubles civils et
autres formes de catastrophes naturelles ou de sinistres provoqués par l’homme, doivent
être conçues et appliquées.
Travail dans les zones sécurisées

Mesure: Des mesures de protection physique et des directives pour le travail
en zone sécurisée doivent être conçues et appliquées.
Zones d’accès public, de livraison et de chargement

Mesure: Les points d’accès tels que les zones de livraison/chargement et les
autres points par lesquels des personnes non habilitées peuvent pénétrer dans les locaux
doivent être contrôlés. Les points d’accès doivent également, si possible, être isolés des
moyens de traitement de l’information, de façon à éviter les accès non autorisés.

Kaizen Skills 124
11.2 Matériels
Objectif : Empêcher la perte, l’endommagement, le vol ou la compromission des actifs et
l’interruption des activités de l’organisme.
Choix de l’emplacement et protection du matériel
Mesure: Le matériel doit être situé et protégé de manière à réduire les risques de menaces
et de dangers environnementaux et les possibilités d’accès non autorisé.
Services généraux
Mesure : Le matériel doit être protégé des coupures de courant et autres perturbations
dues à une défaillance des services généraux.
Sécurité du câblage
Mesure: Les câbles électriques ou de télécommunications transportant des données
doivent être protégés contre toute interception d’information ou dommage.
Maintenance du matériel
Mesure: Le matériel doit être entretenu correctement pour garantir sa disponibilité
permanente et son intégrité.
Kaizen Skills 125

Sécurité du matériel hors des locaux

Mesure: La sécurité doit être appliquée au matériel utilisé hors des locaux de l’organisme
en tenant compte des différents risques associés au travail hors site.
Mise au rebut ou recyclage sécurisé(e) du matériel

Mesure: Tout le matériel contenant des supports de stockage doit être vérifié pour
s’assurer que toute donnée sensible a bien été supprimée et que tout logiciel sous licence
a bien été désinstallé ou écrasé de façon sécurisée, avant sa mise au rebut.
Sortie d'un actif

Mesure: Un matériel, des informations ou des logiciels ne doivent pas être sortis des
locaux de l’organisme sans autorisation préalable.


Il existe un périmètre de sécurité physique (séparation, porte avec clé).
Il existe des contrôles d'entrée pour être protégés face à l'accès de personnel non autorisé
Un secteur sûr doit être fermée, isolée et protégée d'eentos de naturels
Dans les secteurs sûrs il existe des contrôles additionnels au personnel propre et étranger
Les secteurs réception et expédition sont isolés des secteurs de de SI
La situation des équipements est d'une telle manière pour diminuer des accès inutiles.
Il existe des protections face à des jugements dans l'alimentation électrique
Il existe une sécurité dans le câblage face à des dommages et à des interceptions
On assure la disponibilité et l'intégrité de tous les équipements
Il existe un certain type de sécurité pour les équipements éloignés ou situés extérieurement
On inclut la sécurité dans des équipes mobiles

nagement de la sécur s SI
Kaizen Skills 127
92
12 - Sécurité de l’exploitation

• Assurer une exploitation correcte et sûre des moyens de traitement.
• Minimiser les risques de pannes et leur impact.
• Assurer l’intégrité et la disponibilités des informations, des
traitements et des communications.
• Prévenir les dommages aux actifs et les interruptions de service.
• Prévenir les pertes, les modifications et les mauvaises utilisations
d’informations échangées entre organisations.

12 - Sécurité liée à l'exploitation
12.1 Procédures et responsabilités liées à l’exploitation
Mesure: Les procédures d’exploitation doivent être documentées, tenues à jour et disponibles
pour tous les utilisateurs concernés.
Management des modifications
Mesure: Les changements apportés aux systèmes et moyens de traitement de l’information
doivent être contrôlés.
Séparation des tâches
Mesure: Les tâches et les domaines de responsabilité doivent être séparés pour réduire les
occasions de modification ou de mauvais usage non autorisé(e) ou involontaire des actifs de
l’organisme.
Séparation des équipements de développement, d'essai et d’exploitation
Mesure: Les équipements de développement, d'essai et d’exploitation doivent être séparés
pour réduire les risques d’accès ou de changements non autorisés da ns le système
d’information en exploitation
Kaizen Skills 129
12.2 Protection contre les logiciels malveillants
Objectif : Protéger l’intégrité des logiciels et de l’information.
Mesures contre les codes malveillants
Mesure: Des mesures de détection, de prévention et de recouvrement pour se protéger des
codes malveillants ainsique des procédures appropriéesde sensibilisation des utilisateurs
doivent être mises en œuvre.
Mesures contre le code mobile

Mesure: Lorsque l’utilisation de code mobile est autorisée, la configuration doit garantir que
le code mobile fonctionne selon une politique de sécurité clairement définie et tout code
mobile non autorisé doit être bloqué.
Kaizen Skills 130

12.3 Sauvegarde
Objectif : Maintenir l’intégrité et la disponibilité des informations et des moyens de
traitement de l’information.
Sauvegarde des informations
Mesure: Des copies de sauvegarde des informationset logiciels doivent être réalisées et
soumises régulièrement à essai conformément à la politique de sauvegarde convenue.
Kaizen Skills 131

12.4 Journalisation et surveillance
Objectif : Détecter les traitements non autorisés de l’information.
Journaux d’audit
Mesure: Les journaux d’audit, qui enregistrent les activités des utilisateurs, les exceptions et
les événements liés à la sécurité doivent être produits et conservés pendant une période
préalablement définie afin de faciliter les investigations ultérieures et la surveillance du
contrôle d’accès.
Surveillance de l’exploitation du système

Mesure: Des procédures permettant de surveiller l’utilisation des moyens de
traitement de l’information doivent être établies et les résultats des activités de surveillance
doivent être réexaminés périodiquement.
Protection des informations journalisées

Mesure: Les équipements de journalisation et les informations journalisées
doivent être protégés contre le sabotage et les accès non autorisés.

Kaizen Skills 132
Journal administrateur et journal des opérations

Mesure: Les activités de l’administrateur système et de l’opérateur système
doivent être journalisées.
Rapports d’anomalies
Mesure: Les éventuels défauts doivent être journalisés et analysés et les mesures
appropriées doivent être prises.
Synchronisation des horloges

Mesure: Les horloges des différents systèmes de traitement de l’information d’un organisme
ou d’un domaine de sécurité doivent être synchronisées à l’aide d’une source de temps
précise et préalablement définie.

12.4 Journalisation et surveillance
Journal administrateur et journal des opérations

Mesure: Les activités de l’administrateur système et de l’opérateur système
doivent être journalisées.
Rapports d’anomalies
Mesure: Les éventuels défauts doivent être journalisés et analysés et les mesures
appropriées doivent être prises.
Synchronisation des horloges

Mesure: Les horloges des différents systèmes de traitement de l’information d’un organisme
ou d’un domaine de sécurité doivent être synchronisées à l’aide d’une source de temps
précise et préalablement définie.
Kaizen Skills 134

5. Maîtrise des logiciels en exploitation

Les activités des utilisateurs du système et administrateur / opérateur, les exceptions, les défauts et
les événements de sécurité de l'information doivent être enregistrés et protégés. Horloges doivent
être synchronisées.
6. Gestion des vulnérabilités techniques

L'installation du logiciel sur les systèmes opérationnels doit être contrôlée.
Mesure relative aux vulnérabilités techniques

Mesure: Toute information concernant toute vulnérabilité technique des systèmes
d’information en exploitation doit être obtenue à temps, l’exposition de l’organisme
aux dites vulnérabilités doit être évaluée et les actions appropriées doivent être
entreprises pour traiter le risque associé.
7. 7 Considérations sur l’audit du système d’information

Vulnérabilités techniques devraient être corrigées, et il devrait y avoir des règles de l'installation du
logiciel lieu de gouverner par les utilisateurs.
Kaizen Skills 135

13 - Sécurité des communications
13.1 Management de la sécurité des réseaux
Objectif : Assurer la protection des informations sur les réseaux et la protection de

l’infrastructure sur laquelle elles s’appuient.
Mesures sur les réseaux

Mesure: Les réseaux doivent être gérés et contrôlés de manière adéquate pour qu’ils soient
protégés des menaces et pour maintenir la sécurité des systèmes et des applications utilisant
le réseau, notamment les informations en transit.
Sécurité des services réseau

Mesure: Pour tous les services réseau, les fonctions réseau, les niveaux de service et les
exigences de gestion doivent être identifiés et intégrés dans tout accord sur les services
réseau, qu’ils soient fournis en interne ou en externe.

13 - Sécurité des communications
13.2 Transfert de l'information
Objectif : Mettre en œuvre et maintenir un niveau de sécurité de l’information et de service

adéquat et conforme aux accords de prestation de service conclus avec un tiers.
Prestation de service
Mesure: Il doit être assuré que les mesures de sécurité, les définitions du service et les
niveaux de prestation prévus dans l’accord de prestation de service tiers sont mis en
œuvre, appliqués et tenus à jour par le tiers.
Surveillance et examen des services tiers

Mesure: Les services, rapports et enregistrements fournis par les tiers doivent être
régulièrement contrôlés et réexaminés, et des audits doivent être régulièrement réalisés.
Gestion des modifications dans les services tiers

Mesure: Les changements effectués dans la prestation de service, comprenant le maintien
et l’amélioration des politiques, procédures et mesures existant en matière de sécurité de
l’information, doivent être gérés en tenant compte de la criticité des systèmes et processus
de gestion concernés et de la réévaluation du risque.
Kaizen Skills 137
Exemple de mesures de contrôle
Toutes les procédures opérationnelles identifiées dans la politique de sécurité doivent être documentées
Les responsabilités sont établies pour contrôler les changements dans des équipes
Les responsabilités sont établies pour assurer une réponse rapide, ordonnée et effective face à des incidents de
sécurité
Il existe une certaine méthode pour réduire la mauvaise utilisation accidentelle ou délibérée des Systèmes
Il existe une séparation des environnements développement et production
Il existe des fournisseurs externes pour la gestion des Systèmes d'Information
Il existe un Plan de Capacité pour assurer l'adéquate capacité de processus et de stockage
Il existe des critères d'acceptation de de nouveaux SI, y compris des mises à jour et des nouvelles versions
Contrôles contre software virus, spyware et autres malware
Effectuer des copies de backup de l'information essentielle pour l'affaire
Ils existent un log pour les activités effectuées par les opérateurs et les administrateurs
Ils existent logs des jugements détectés
Il existe une trace d'audit
Il existe un certain contrôle dans les réseaux
On établi des contrôles pour effectuer la gestion des moyens informatiques. (bandes, des disques, amovibles, rapports
imprimés)
Élimination du matériel informatique. Ils peuvent disposer d'information sensible
Il existe une sécurité de la documentation des SI
Il existe des accords pour échange d'information et software
Il existe des mesures de sécurité des moyens dans les transits
Il existe des mesures de sécurité dans le commerce électronique.
Ils ont été établis et ont implanté des mesures pour protéger le caractère confidentiel et l'intégrité d'information publiée
Il existe des mesures de sécurité dans les transactions en ligne
On contrôle les activités en rapport à la sécurité

14 - Acquisition, développement et maintenance des systèmes d’information
• Assurer que la sécurité est incluse dès la phase de conception.

• Prévenir la perte, la modification ou la mauvaise utilisation des informations
dans les systèmes.
• Protéger la confidentialité, l’intégrité et la disponibilité des informations.
• Assurer que les projets et les activités de maintenance sont conduits de
manière sûre.
• Maintenir la sécurité des systèmes d’application, tant pour le logiciel que
pour les données.

14.1 Exigences de sécurité applicables aux systèmes d’information
Objectif : Veiller à ce que la sécurité fasse partie intégrante des systèmes d’information.
Exigences en matière de contrôle de sécurité doivent être analysés et précisés, y compris les
applications Web et les transactions
Analyse et spécification des exigences de sécurité
Mesure: Les exigences métier relatives aux nouveaux systèmes d’information ou les
améliorations apportées aux systèmes d’information existants doivent spécifier les exigences de
sécurité.
Mesure relative aux logiciels en exploitation

Mesure: Des procédures doivent être mises en place pour contrôler l’installation du logiciel
sur les systèmes en exploitation.

14,2 sécurité dans les processus de développement et de soutien

Objectif : Veiller à ce que la sécurité fasse partie intégrante des systèmes d’information.
Acceptation du système
Mesure: Les critères d’acceptation doivent être fixés pour les nouveaux systèmes
d’information, les nouvelles versions et les mises à niveau, et les tests adaptés du (des)
système(s) doivent être réalisés au moment du développement et préalablement à leur
acceptation.
Validation des données en sortie
Mesure: Les données de sortie d’une applicationdoivent être validées pour assurer que le
traitement des informations stockées est correct et adapté aux circonstances.
Protection des données système d’essai

Mesure: Les données d’essai doivent être sélectionnées avec soin, protégées et contrôlées.
Contrôle d’accès au code source du programme
Mesure: L’accès au code source du programme doit être restreint.

14.3 Données de test
Objectif : Garantir la sécurité du logiciel et des informations d’application.

Mesure relative au traitement interne
Mesure: Des contrôles de validation doivent être inclus dans les applications afin de détecter les
éventuelles altérations de l’information dues à des erreurs de traitement ou des actes délibérés.
Procédures de contrôle des modifications
Mesure: La mise en oeuvre des modifications doit être contrôlée par le biais
de procédures formelles.


On assure que la sécurité est implantée dans les SI
Il existe une sécurité dans les applications
Il existe des procédés cryptographiques.
Il existe une sécurité dans les fichiers des systèmes
Il existe une sécurité dans les processus de développement, de test et de support
Il existe des contrôles de sécurité pour les résultats des systèmes
Il existe une politique dans les changements des OS.
On contrôle les vulnérabilités des équipements

15 - Relations avec les fournisseurs
15,1 sécurité de l'information dans les relations avec les fournisseurs
Objectif : Il devrait y avoir des politiques, procédures, sensibilisation, etc. pour protéger les informations de
l'organisation qui est accessible à Intégrateurs et d'autres fournisseurs externes tout au long de la chaîne
d'approvisionnement, convenu dans les contrats ou conventions.
Prestation de service
Mesure: Il doit être assuré que les mesures de sécurité, les définitions du service et les
niveaux de prestation prévus dans l’accord de prestation de service tiers sont mis en
œuvre, appliqués et tenus à jour par le tiers.
Surveillance et examen des services tiers

Mesure: Les services, rapports et enregistrements fournis par les tiers doivent être
régulièrement contrôlés et réexaminés, et des audits doivent être régulièrement réalisés.
Gestion des modifications dans les services tiers

Mesure: Les changements effectués dans la prestation de service, comprenant le maintien
et l’amélioration des politiques, procédures et mesures existant en matière de sécurité de
l’information, doivent être gérés en tenant compte de la criticité des systèmes et processus
de gestion concernés et de la réévaluation du risque.

16 - Gestion des incidents liés à la sécurité de l'information
• Assurer que les incidents de sécurité sont enregistrés, résolus et qu’un

reporting adéquat est mis en place (ITIL).

16.1 Gestion des incidents liés à la sécurité de l’information et améliorations
Objectif : Garantir la mise en place d’une approche cohérente et efficace pour la gestion des
incidents liés à la sécurité de l’information.
Responsabilités et procédures
Mesure: Des responsabilités et des procédures doivent être établies,permettant de garantir une
réponse rapide, efficace et pertinente en cas d’incident lié à la sécurité de l’information.
Exploitation des incidents liés à la sécurité de l’information déjà survenus

Mesure: Des mécanismes doivent être mis en place, permettant de quantifier et surveiller les
différents types d’incidents liés à la sécurité de l’information ainsi que leur volume et les coûts
associés.
Collecte de preuves
Mesure: Lorsqu’une action en justice civile ou pénale est engagée contre une personne physique ou
un organisme, à la suite d’un incident lié à la sécurité de l’information, les éléments de preuve
doivent être recueillis, conservés et présentés conformément aux dispositions légales relatives à la
présentationde preuves régissant la ou les juridiction(s) compétente(s).

On communique les événements de sécurité
On communique les faiblesses de la sécurité
Il existe les responsabilités définies avant un incident.
Il existe une procédure formelle de réponse
Il existe une gestion d'incidents

17 Aspects de la sécurité de l’information dans la gestion de la continuité de
l’activité
L’objectif est de développer la capacité à répondre rapidement aux interruptions

des activités critiques de l’organisation, résultant de pannes, d’incident, de
sinistre ou de catastrophe.
• Une analyse de risques à partir de divers scénarii de sinistre et une évaluation de

la criticité des applications, permet d'établir différents plans de poursuite des
opérations depuis le mode dégradé en cas de dysfonctionnements mineurs
jusqu'à la reprise dans un local distant en cas de sinistre grave (incendie, attentat,
grève, etc…).

17 Aspects de la sécurité de l’information dans la gestion de la continuité de
l’activité
17.1 Continuité de la sécurité de l’information
Objectif : Empêcher les interruptions des activités de l’organisme, protéger les processus
métier cruciaux des effets causés par les défaillances majeures des systèmes
d’information ou par des sinistres et garantir une reprise de ces processus dans les
meilleurs délais.
Intégration de la sécurité de l’information dans le processus de gestion du plan de

continuité de l’activité
Mesure: Un processus de continuité de l’activité dans l’ensemble de l’organisme doit être
élaboré et géré, qui satisfait aux exigences en matière de sécurité de l’information
requises pour la continuité de l’activité de l’organisme.
Continuité de l’activité et appréciation du risque

Mesure: Les événements pouvant être à l’origine d’interruptions des processus métier
doivent être identifiés, tout comme la probabilité et l’impact de telles interruptions et
leurs conséquences pour la sécurité de l’information.

Kaizen Skills 149
Gestion de la continuité de l’activité
Élaboration et mise en oeuvre des plans de continuité intégrant la sécurité de l’information

Mesure: Des plans doivent être élaborés et mis en oeuvre pour maintenir ou restaurer
l’exploitation et assurer la disponibilité des informations au niveau et dans les délais requis
suite à une interruption ou une panne affectant les processus métier cruciaux.
Cadre de la planification de la continuité de l’activité
Mesure: Un cadre unique pour les plans de continuité de l’activité doit être géré afin de
garantir la cohérence de l’ensemble des plans, de satisfaire de manière constante aux
exigences en matière de sécurité de l’information et d’identifier les priorités en matière de
mise à l’essai et de maintenance.
Mise à l’essai, gestion et réévaluation constante des plans de continuité de l’activité
Mesure: Les plans de continuité de l’activité doivent être testés et mis à jour
17.2 Redondances
Installations informatiques devraient avoir une redondance suffisante pour satisfaire les
exigences de disponibilité.

Il existe des processus pour la gestion de la continuité.
Il existe un plan de continuité d'affaire et d'analyse d'impact
Il existe une conception, une redaction et une implantation de plans de continuité
Il existe un cadre de planification pour la continuité de l'affaire

Il existe un test, un maintien et une ré-évaluation des plans de continuité des
affaires.

18 . Conformité
La conformité se décline en 3 volets:
1. Le respect des lois et réglementations: licences logiciels, propriété

intellectuelle, règles de manipulation des fichiers contenant des informations
touchant la confidentialité des personnes,
2. La conformité des procédures en place au regard de la politique de sécurité
de l'organisation, c'est à dire quels dispositifs ont été mis en place pour
assurer les objectifs décrits par la Direction Générale
3. L'efficacité des dispositifs de traçabilité et de suivi des procédures en place,
notamment les journaux d'activités, les pistes d'audit, les enregistrements de
transaction.

18. Conformité
18.1 Conformité aux obligations légales et réglementaires.
Objectif : Eviter toute violation des obligations légales, statutaires, réglementaires ou
contractuelles et des exigences de sécurit
18.1.2 Droits de propriété intellectuelle
1. Identification de la législation et des exigences contractuelles applicables
Mesure :Pour chaque système d’information et pour l’organisme, toutes les exigences légales,
réglementaires et contractuelles en vigueur doivent être définies, documentées et mises à jour,
ainsi que la procédure utilisée par l’organisme pour satisfaire à ces exigences.
2. Droits de propriété intellectuelle
Mesure: Des procédures appropriées doivent être mises en œuvre, visant à garantir la
conformité avec les exigences légales, réglementaires et contractuelles concernant l’utilisation
du matériel pouvant être soumis à des droits de propriété intellectuelle et l’utilisation des
logiciels propriétaires.
3. Protection des enregistrements

Mesure: Les enregistrements importants doivent être protégés contre la perte, destruction et
falsification conformément aux exigences légales, réglementaires et aux exigences métier.

18. Conformité
4. Protection de la vie privée et protection des données à caractère personnel

Mesure: La protection et la confidentialité des données doivent être garanties, telles que
l’exigent la législation ou les réglementations applicables, et les clauses contractuelles le cas
échéant.
Mesure préventive à l’égard du mauvais usage des moyens de traitement de
l’information
Mesure: Les utilisateurs doivent être dissuadés de toute utilisation de moyens de traitement
de l’information à des fins illégales.
5. Réglementation relative aux mesures cryptographiques

Mesure: Des mesures cryptographiques doivent être prises conformément
aux accords, lois et réglementations applicables.

18. Conformité
2. Revue de la sécurité de l’information
Objectif : S’assurer de la conformité des systèmes avec les politiques et normes de sécurité de
l’organisme.
1. Revue indépendante de la sécurité de l’information
Mesure: Les arrangements de sécurité de l'information de l'organisation doivent être examinées
indépendamment (audité) et signalés à la direction
2. Conformité avec les politiques et les normes de sécurité
Mesure: Les responsables doivent s’assurer de l’exécution correcte de l’ensemble des
procédures de sécurité placées sous leur responsabilité en vue de garantir leur conformité
avec les politiques et normes de sécurité.
3. Examen de la conformité technique.
Mesure: La conformité des systèmes d’information avec les normes relatives
à la mise en oeuvre de la sécurité doit être vérifiée régulièrement.

18. Conformité
Prises en compte de l'audit du système d'information

Objectif : Optimiser l’efficacité et réduire le plus possible l’interférence avec le/du processus
d’audit du système d’information.
Contrôles de l’audit du système d’information

Mesure: Les exigences d’audit et les activités impliquant des contrôles des systèmes en
exploitation doivent être planifiées de manière précise et doivent être le résultat d’un accord
afin de réduire le plus possible le risque de perturbations des processus métier.
Protection des outils d’audit du système d’information

Mesure: L’accès aux outils d’audit du système d’information doit être protégé
afin d’empêcher tous mauvais usage ou compromission éventuels.

18. Conformité
On prend en considération la concordence avec la législation des SI
Il existe la garantie de la propriété intellectuelle
Il existe des registres de l'organisation
Il existe une révision de la politique de sécurité et de la conformité technique
Il existe une reconsidération des audits des SI

La réglementation liée à la sécurité
de l’information
Kaizen Skills 158

Loi n°09-08
La loi n° 09-08 sur la protection des personnes physiques à l'égard du traitement des données à
caractère personnel est une loi qui introduit, pour la première fois, dans le paysage juridique
marocain, un ensemble de dispositions légales dont l'interprétation ne peut se faire que par rapport à
un principe énoncé dans son article premier selon lequel : " L'informatique est au service du
citoyen et évolue dans le cadre de la coopération internationale. Elle ne doit pas porter
atteinte à l'identité, aux droits et aux libertés collectives ou individuelles de
l'Homme. Elle ne doit pas constituer un moyen de divulguer des secrets de la vie privée des
citoyens. ".
C'est dire que ce qui est visé par cette nouvelle législation c'est la protection de l'identité, des
droits et des libertés individuelles et collectives ainsi que de la vie privée, contre toutes les
atteintes susceptibles de les affecter par l'usage de l'informatique.
Un emprisonnementde 3 mois à 1 an et/ou une amendede 20.000 à 200.000 dirhams :

Extrait de la loi
Collecter des donnéespar un moyen frauduleux,déloyal ou illicite

Mettreen œuvreun traitementà des fins autres que celles déclaréesou autorisées;
Soumettreles donnéesà un traitementultérieur incompatibleavec les finalités déclaréesou
autorisées;
Amendede 10.000 à 100.000 dirhams
Mettreen œuvreun fichier de donnéesà caractèrepersonnelsans déclarationou autorisation
Continuerson activité de traitementde donnéesà caractèrepersonnelmalgré le retraitdu
récépisséde la déclarationou de l'autorisation
Kaizen Skills 159
Loi n°O7-03
La loi 07-03 complétant le code pénal en ce qui concerne les infractions relatives aux systèmes de traitement
automatisé des données a été publiée au BO n° 5184 du 5 février 2004.
Désormais, il y a dans le code pénal un chapitre qui traite de l’atteinte aux systèmes de traitement
automatisé des données et qui définit certaines infractions notamment :
 Le fait d’accéder, frauduleusement, dans tout ou partie d’un système de traitement automatisé de
données ;
 Le fait d’entraver ou de fausser intentionnellement le fonctionnement d’un système de traitement
automatisé de données ;
 Le fait d’introduire frauduleusement des données dans un système de traitement automatisé des
données ou de détériorer ou de supprimer ou de modifier frauduleusement les données qu’il contient;
 Le faux ou la falsification de documents informatisés quelle que soit leur forme, de nature à causer un
préjudice à autrui ;
 Participation à une association formée ou à une entente établie en vue de la préparation, concrétisée
par un ou plusieurs faits matériels ;
Le fait, pour toute personne, de fabriquer, d’acquérir, de détenir, de céder, d’offrir ou de mettre à
disposition des équipements, instruments, programmes informatiques ou toutes données, conçus
ou spécialement adaptés pour commettre les dites infractions.
Kaizen Skills 160

Loi n°53-05
La loi 53-05 tend à fixer le régime juridique applicable à l’échange de données par voie électronique, à
l’équivalence des documents établis sur papier et sur support électronique, à la signature électronique et à
la cryptographie, s’est attachée à modifier et/ou à compléter certaines dispositions du droit existant et à
prévoir de nouvelles dispositions quand la matière est nouvelle.
Le but escompté est de favoriser ce qui suit:
 Accueillir le contrat électronique parmi les autres contrats par correspondance» ou contrats conclus à
distance
 Introduire la preuve de l’existence de l’obligation
 Préciser dans quelles conditions la signature électronique peut être sécurisée pour attester de l’identité
du signataire
 Sécuriser le contenu de l’acte signé
 Se conformer aux exigences prévues par les recommandations des organismes internationaux et aux
directives européennes qui prévoient la signature électronique sécurisée
 L’intégrité et la confidentialité des données sont assurées par l’utilisation des moyens de cryptographie
Kaizen Skills 161

Merci pour votre attention
© 2016 Kaizen Skills - all rights reserved

Clubebios 2007-05-15 Schauer

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Clubebios 2007-05-15 Schauer

Transféré par

Droits d'auteur :

Formats disponibles

Certification ISO 27002 Foundation

© 2016 Kaizen Skills - all rights reserved

Précisions sur l’examen

Note de passage : 65 % (soit 26 sur 40)

Les utilisateurs Les usages L’informatique

 Alignement stratégique (« IT Strategic Alignment »)

(Source : IT Governance Institute - ISACA)

Fonctionnement Activités Stratégie des IT

 Existence d’un schéma directeur du SI,

 Passage d’une logique informatique à une logique système d’information,

 Stratégie SI est intégrée dans la stratégie globale de l'entreprise

Les principes de base générateurs de valeur par l’informatique sont :

• Avantages concurrentiels: Délai entre les commandes et fourniture

• Fourniture: Dans les délais et sans dépassement de budget, de la

• Délai des traitements Secteur Opérationnel de

• Délai de mise en place

Temps nécessaire pour impact sur l’entreprise Degré d’influence

« Je n’imagine aucune circonstance qui puisse provoquer le naufrage de ce navire. Je ne peux

• Sensibilisation des collaborateurs sur les risques potentiels des systèmes

• Proposition d’objectifs et d’indicateurs concrets,

• Intégration des logiques de pilotage stratégique et de pilotage opérationnel.

Un critère essentiel de la performance informatique est l’investissement

De plus, récemment, un challenge important est de savoir quoi, où et comment

• Les responsabilités sont clairement identifiées et appliquées,

• Existence d’une planification et d’une gestion des RH

• Les besoins en formation sont clairement identifiés,

• Considération des ressources humaines et réflexion en matière d’externalisation,

 Confidentialité: tous les éléments liés au secret et seules les personnes

 Intégrité: tous les éléments capables de corrompre le contenu des données,

 Disponibilité: tous les éléments susceptibles d'interrompre la production :

 Traçabilité: tous les éléments liés à l'audibilité et à la preuve des transactions :

Intentionnelle Non intentionnelle

 Panne matériel  Activitégéologique

• L’évolution des menaces est liée à la transformation des systèmes d’information

• Elle concerne essentiellement la malveillance (menaces d’origine humaine et

• Quatre profils sont généralement définis :

• Quatre sources du risques:

Seuls 5% des auteurs d’infraction sont arrêtés et condamnés.

Les auteurs « bénéficient » de la diversité des lois anti-cybercriminalité.

Une activité techniquement simple

« Dans les révolutions, il y a deux sortes de gens:

Management de la sécurité des SI Kaizen Skills 29

5 ouvrages qui constituent le cœur de l’ITIL version 3

L’objectif est la gestion des services

Management de la sécurité des SI Kaizen Skills 32

Management de la sécurité des SI Kaizen Skills 33

Management de la sécurité des SI Kaizen Skills 34

Le Responsable Sécurité (Security Manager)

• Fait partie de l’organisation qui fournit les services informatiques

Management de la sécurité des SI Kaizen Skills 35

Les domaines de COBIT

1. Planification & Organisation

2. Acquisition & Mise en Place

3. Distribution & Support

Management de la sécurité des SI Kaizen Skills 37

 PO1 Définir un plan informatique stratégique

Management de la sécurité des SI Kaizen Skills 38

 AMP1 Identifier les solutions

Management de la sécurité des SI Kaizen Skills 39

 DS1 Définir les niveaux de service

Management de la sécurité des SI Kaizen Skills 40

 M1 Surveiller les processus

Management de la sécurité des SI Kaizen Skills 41

5.1 Mesures de gestion de la sécurité