Académique Documents
Professionnel Documents
Culture Documents
Cadre de contrôles
Objectifs
• Risques de cybersécurité
• Alignement avec la Stratégie • Risques de Sécurité de
d'affaires l'information
• Cadre de conformité • Risques TI
Mission de la
Gestion du
Sécurité
risque
corporative
Programme
Surveillance
de sécurité
et Reddition
corporative
Définition
• Un cadre de contrôles peut se définir comme l’ensemble des mesures à mettre en
place pour protéger les actifs informationnels d’une entreprise
Il existe plusieurs cadres de contrôles dans l’industrie sur lesquels une entreprise
peut se baser pour établir son propre cadre de contrôles en fonction des besoins
spécifiques de l’entreprise
Le rôle de la gouvernance se limite généralement à:
• La sélection du cadre de contrôles
• La modulation du cadre de contrôles en fonction du contexte d’affaires, de la
conformité, et des risques spécifiques à l’entreprise
• L’établissement des niveaux de maturité actuels et niveaux de maturité cible
• L’établissement du programme de sécurité pour atteindre les niveaux de maturité cible
• La mesure de l’efficacité des contrôles et du programme de sécurité
• En résumé, pouvoir répondre à la question: fait-on les bonnes choses ?
Cadre de contrôles
Cadres de Cadre de
contrôles Gouver-
de nance contrôle
référence s de
l’entrepris
e
Référenc
Gouvernance
e
Catalogue
ISO 27002 ISO 27001 Cadre
adapté à
NIST
Niveaux
d’implémentation
l’entrepris
(« tiers ») e
Profil de risque
FFIEC CATool
inhérent
Notion de Maturité
• Dans un cadre de contrôles, l’état d’un contrôle donnée n’est pas binaire
• Le contrôle peut être totalement absent ou totalement mis en place ou tout
autre état entre les deux
• Plusieurs échelles existent pour mesurer la maturité d’un processus. La plus
connue est sans doute de « Capability Maturity Model Integrated » (CMMI)
Performance
Processus mesuré et contrôlé 4 – Maîtrisé
Risque
Processus non répétable, non maîtrisé 1 – Initial
Normes ISO 2700X Information Security
Management System (ISMS)
Famille des normes ISO/IEC 27000 (les plus répandues)
• ISO 27000: Vue d’ensemble et vocabulaire
• ISO 27001: Spécifications formelles – Système de gestion de la Sécurité de
l’information
• ISO 27002: Code de bonnes pratiques
• ISO 27003: Guide d’implémentation
• ISO 27004: Mesures, analyse et évaluation
• ISO 27005: Gestion de risque
• ISO 27017: Techniques de sécurité – basé sur ISO 27002 pour les services infonuagiques
• ISO 27018: Techniques de sécurité – Code de bonnes pratiques pour la protection des
informations personnelles identifiables (PII) dans les services infonuagiques (Processeurs de
PII)
• ISO 27031: Techniques de sécurité – Lignes directrices pour la continuité des affaires
ISO 27001 - Annexes (ISO 27002)
1. Peut varier selon les versions – Les sections correspondent à la version 2013
https://www.iso.org/obp/ui/#iso:std:iso-iec:27002:ed-2:v1:fr
ISO 27001 - Annexes (ISO 27002)
ISO 27002 donne la liste de tous les contrôles prévus en Annexe A de 27001 avec
plus de détails pour en aider l’implémentation
ISO 27002 ne permet pas de faire la différence entre les contrôles qui sont
applicables à une organisation et ceux qui ne le sont pas
ISO 27001 est une norme de gestion qui spécifie que la sécurité doit être planifiée,
implémentée, surveillée, revue et améliorée
C’est ISO 27001 qui prescrit une analyse de risques pour identifier les contrôles
applicables et la mesure dans laquelle le contrôle doit être appliqué
La certification ISO se fait sur ISO 27001, pas ISO 27002
Opportunités de modifier le
Établissement du profil de Mesure de la maturité par
réduire le profil de risque ou
risques domaine
d’augmenter la maturité
Innovant
Avancé
T2
Intermédiaire
Niveaux de maturité par domaines
En évolution
Déterminer
profil de
De base T1
risque et
maturité des
contrôles
Déterminer
Implémenter
le niveau de
les plans
maturité
d’action
désiré
National Institute of Standards and
Technology (NIST)
NIST-800
Le National Institute of Standards and Technology (NIST) fait partie du département du
commerce des États-Unis (“US Department of Commerce”)
Les documents de la série 800 du NIST est un ensemble de normes qui doivent être suivies
par les organismes fédéraux américains en matière de sécurité informatique.
Ces normes peuvent être suivies par tout autre entité, sur une base volontaire. Elles
constituent de bonnes références pour développer les normes internes d’une organisation
National Institute of Standards and
Technology (NIST)
NIST-800-53
https://nvd.nist.gov/800-53/Rev4/
National Institute of Standards and
Technology (NIST)
• NIST 800-52: Guidelines for the Selection, Configuration, and Use of Transport Layer
Security (TLS) Implementations (Normes de configuration du TLS)
• NIST 800-130: A Framework for Designing Cryptographic Key Management Systems
(Gestion des clés de
chiffrement)
• NIST 800-97: Establishing Wireless Robust Security Networks: A Guide to IEEE 802.11i (Sécurité
du sans- fil)
• NIST 800-63 series: Digital Identity Guidelines
• https://csrc.nist.gov/publications/search?keywords-sm=800-130&sortBy-sm=relevance&viewMode-
sm=brief&ipp-sm=25&status-sm=Final&topicsMatch-sm=ANY&controlsMatch-sm=ANY
National Institute of Standards and
Technology (NIST)
Aperçu du cadre
• Liste des contrôles
(« Framework Core
»)
• Équivalent au
Catalogue de
contrôles
• Niveau
d’implémentation («
Framework
Implementation
Tiers)
• Pour prendre en
compte le contexte
d’affaires particulier
• Profil (« Framework
Profile »)
• Équivalent au Cadre
adapté pour
l’entreprise
Extrait de: This publication is available free of charge from: https://doi.org/10.6028/NIST.CSWP.04162018, page 23
National Institute of Standards and
Technology (NIST)