Introduction à la norme ISO 27001

Eric Lachapelle

2

Introduction à ISO 27001

Contenu de la présentation

1.  Famille ISO 27000

2.  La norme ISO 27001 – Implémentation

3.  La certification

4.  ISO 27001:2014?

3

1990 1995

2000 2007 2014

ISO 27006 Exigences pour les organismes de certification

BS7799-1 Code de bonne

pratique

BS7799-2 Schéma de

certification du SMSI

Code de bonne pratique

(Publié par un groupe

d’entreprises)

ISO 17799 Code de bonnes

pratiques

Nouvelle version de ISO

17799 Publication

d’ISO 27001

Histoire de la série ISO 27000 Dates importantes

1998 2005

ISO 27001:2014?

4

Famille ISO 27000 Vo

cabu

laire

Ex

igen

ces

Gui

des

géné

raux

G

uide

s d‘

indu

strie

ISO 27001 Exigences SMSI

ISO 27006 Exigences organismes de certification

ISO 27005 Gestion du

risque

ISO 27004 Mesure

ISO 27003 Guide de mise en

œuvre

ISO 27002 Code de

pratiques

ISO 27007-27008 Guides d‘audit

ISO 27011 Télécommunications

ISO 27799 Santé

ISO 270XX autres

ISO 27000 Vocabulaire

5

1. Amélioration de la sécurité

2. Bonne gouvernance

3. Conformité

4. Réduction des coûts

5. Marketing

AVANTAGES

Avantages d’ISO 27001

6

Système de management de la sécurité de l’information ISO 27001, clause 3.7 Partie du système de management global, basée sur une approche du risque lié à l'activité, visant à établir, mettre en œuvre, exploiter, surveiller, réexaminer, tenir à jour et améliorer la sécurité de l'information

Note : Le système de management inclut l'organisation, les politiques, les activités de

planification, les responsabilités, les pratiques, les procédures, les processus et les ressources

7

L’approche processus ISO 27001, clause 0.2

Maintenir et améliorer le SMSI

Mettre en œuvre le SMSI

Etablir le SMSI

Surveiller et réexaminer le SMSI

Parties intéressées

Sécurité de l’information

gérée

Parties

intéressées

Exigences et attentes de sécurité de l’information

Planifier

Contrôler

Agir Déployer

8

Mise en œuvre du SMSI

1. Planifier

2. Déployer

3. Contrôler

4. Agir

1.1. Compréhension de l'organisme

1.2. Analyse du système existant

1.3. Formalisation du projet

1.4. Domaine d’application

1.5. Politiques de sécurité

1.6. Appréciation du risque

1.7. Traitement et acceptation du risque

1.8. Déclaration d’applicabilité

2.1. Structure organisationnelle

2.2. Processus de gestion documentaire

2.3. Modélisation des processus et mesures

2.4. Politiques spécifiques et procédures

2.5. Formation, sensibilisation et communication

2.6. Mise en œuvre des processus et mesures

2.7. Gestion des incidents

2.8. Gestion des opérations

3.1.Surveillance et réexamen

3.2. Mesure et évaluation de l'efficacité

3.3. Audit interne

3.4. Revue de direction

4.1. Identification des non-conformités

4.2. Traitement des non-conformités

4.3. Amélioration continue

9

Structure de la norme ISO 27001

Annexe A Objectifs de sécurité et mesures de sécurité

Clause 4.2.1 Établissement

du SMSI

Clause 4.2.3 Surveillance et réexamen

du SMSI

Clause 4.2.4 Mise à jour

et amélioration du SMSI

Clause 4.2.2 Mise en œuvre

et fonctionnement du SMSI

Clause 7 Revue

managériale

Clause 8 Amélioration

du SMSI

Clause 6 Audits internes

du SMSI

Clause 5 Responsabilité de la direction

10

Note  :  Toute  exclusion  doit  être  jus1fiée  

Définir le domaine d’application (périmètre) et les exclusions ISO 27001, clause 4.2.1a

Un processus clé

Un département

L’organisme dans son ensemble

L’organisme et ses parties prenantes

11

Définir la politique du SMSI ISO 27001, clause 4.2.1b La politique du SMSI doit :

1.  Inclure un cadre pour fixer les objectifs et indiquer une orientation générale et des principes d'action concernant la sécurité de l'information

2.  Tenir compte des exigences liées à l'activité et des exigences légales ou réglementaires, ainsi que des obligations de sécurité contractuelles

3.  S'aligner sur le contexte de gestion du risque stratégique auquel est exposé l'organisme, dans lequel se dérouleront l'établissement et la mise à jour du SMSI

4.  Établir les critères d'évaluation future du risque 5.  Être approuvée par la direction

12

Note : Il faut s’assurer que l’évaluation des risques produit des résultats

comparables et reproductibles

.

Définir la méthode d’évaluation des risques

ISO 27001, clause 4.2.1c

Définir l’approche

d’évaluation des risques

Identifier une méthode

Déterminer les critères d’acceptation du risque

Identifier les niveaux de risques acceptables

13

Identifier les risques ISO 27001, clause 4.2.1d

§  Identifier les actifs relevant du

domaine d'application du SMSI, ainsi que

leurs propriétaires

§  Identifier les impacts que les

pertes de confidentialité, d'intégrité et de

disponibilité peuvent avoir sur

les actifs

§  Identifier les menaces

auxquelles sont confrontés ces

actifs

§  Identifier les vulnérabilités qui pourraient être exploitées par les menaces

Identifier les actifs

Identifier les menaces

Identifier les vulnérabilités

Identifier les impacts

14

Analyser et évaluer les risques ISO 27001, clause 4.2.1e

§  Évaluer l'impact sur l'activité de l'organisme qui

pourrait découler d'une défaillance de la sécurité, en

tenant compte des conséquences d'une perte de confidentialité,

intégrité ou disponibilité des

actifs

§  Déterminer si les risques sont

acceptables ou nécessitent un traitement, en

utilisant les critères

d'acceptation des risques établis en

4.2.1c

§  Évaluer la probabilité réaliste d'une défaillance

de sécurité de cette nature au vu des menaces et

des vulnérabilités prédominantes,

des impacts associés à ces

actifs et des mesures

actuellement mises en œuvre

§  Estimer les niveaux des

risques

Évaluer les impacts

Calculer la probabilité d’occurence

Estimer les niveaux de

risques

Déterminer si le risque est acceptable

15

Évaluation des options de traitement ISO 27001, clause 4.2.1f

Traiter le risque Mesures de sécurité sélectionnées pour diminuer

le risque

Accepter le risque La direction décide d’assumer le risque

Transférer le risque Décision de partager certains risques avec des

parties externes: assurance ou infogérance

Éviter le risque Annulation ou modification d’une activité ou d’un

ensemble d'activités reliées au risque

Traiter le risque

Transférer le risque

Accepter le risque

Éviter le risque

16

133 mesures de sécurité ISO 27001, annexe A

A 5 La politique de sécurité A 6 L’organisation de la sécurité de l’information A 7 La gestion des actifs A 8 La sécurité des ressources humaines A 9 La sécurité physique et environnementale A 10 La gestion des communications et des opérations A 11 Le contrôle d’accès A 12 L’acquisition, le développement

et l’entretien des systèmes d’information A 13 La gestion des incidents de sécurité de l’information A 14 La gestion de la continuité de l’activité A 15 La conformité

17

Approbation des risques résiduels ISO 27001, clause 4.2.1h

2. Risque traité Risque supprimé par les

mesures de sécurité

1. Risque résiduel Risque subsistant après le traitement du risque

La direction doit être consciente des risques résiduels et en accepter la responsabilité

Risque inhérent Ensemble des risques sans

prise en compte des mesures de sécurité

2

1

18

2. Réexamen régulier de l’efficacité du SMSI en tenant compte des propositions et rétroactions des parties prenantes

4. Réexamen de l’appréciation des risques

1. Surveillance et réexamen des procédures de détection et de prévention des événements de sécurité

3. Évaluation de l’efficacité des mesures de sécurité

6. Revue de direction et mise à jour des plans de sécurité

5. Réalisation des audits internes

Surveillance et réexamen

du SMSI

Surveillance et réexamen du SMSI ISO 27001, clause 4.2.3

Note: Chacune de ces actions doit être documentée et enregistrée

19

Liste des activités Processus de certification

Mise en place du SMSI

1. Choix de l’organisme

de certification

3. Audit d’étape 1 2. Préparation à l’audit

5. Audit de suivi (s’il y a lieu)

6. Décision de certification

4. Audit d’étape 2 (visite sur site)

Amélioration continue et audit de surveillance

Avan

t l’a

udit

Aud

it in

itial

Suite

à l’

audi

t

Audit interne et revue du SMSI

20

1. Choix de l’organisme de certification Principaux critères 1.  Notoriété et crédibilité

2.  Présence géographique

3.  Expériences dans votre industrie

4.  Possibilité d’audit combiné

5.  Qualification et expérience de l’équipe d’audit

6.  Prix

21

Combien de temps dure un audit ?

ISO 27006, annexe C (extrait)

Nombre d’employés

Temps d’audit (jour/homme)

ISO 9001

Temps d’audit (jour/homme)

ISO 27001 1 à 10 2 5

26 à 45 4 8,5

66 à 85 6 11

176 à 275 9 14

876 à 1175 13 18,5

2026 à 2675 16 22

4351 à 5450 19 25

8501 à 10700 22 28

22

2. Préparation du personnel

3. Audit à blanc

1. Auto-évaluation

Préparation à l’audit

2. Préparation à l’audit de certification Recommandations

23

3. Audit d’étape 1

1. Visite des lieux

2. Entretiens avec les acteurs clés

3. Revue des documents

§  Validation du domaine d’application ainsi que des contraintes légales, réglementaires et contractuelles

applicables §  Vérification que les audits internes et la revue de

direction ont été réalisés §  Préparation de l’étape 2 de l’audit

§  Compréhension globale du fonctionnement du système de management

§  Évaluation du design du système de management ainsi que des processus et mesures de sécurité

reliées §  Vérification que les audits internes et la revue de

direction ont été réalisés

§  Évaluation des lieux et les conditions spécifiques des sites à auditer

§  Prise de contact avec le personnel de l’audité §  Observation des technologies utilisées

§  Observation générale des opérations du SMSI

Note: La revue des documents est la principale activité de l’étape 1

24

4. Audit d’étape 2 Audit sur site

OBJECTIFS DE L’AUDIT D’ÉTAPE 2

Évaluer que le SMSI déclaré est : –  Conforme à toutes les exigences de ISO 27001

–  Effectivement en œuvre dans l’organisation –  En mesure de permettre à l’organisation

d’atteindre ses objectifs de sécurité

25

Recommandation de certification

L’auditeur principal peut formuler l’une des trois recommandations suivantes quant à la certification :

1.  Recommandation pour la certification 2.  Recommandation pour la certification sous

condition du dépôt d’un plan d’actions de mesures correctives

–  Avec une visite préalable –  Sans visite préalable

3.  Recommandation défavorable

26

5. Audit de suivi ISO 17021, clause 9.1.12-13

l  Selon les conclusions de l’audit, l’auditeur peut devoir réaliser un audit de suivi avant que l’organisation ne soit recommandée à la certification

l  Vérification des plans d’actions et mesures correctives reliées aux non-conformités identifiées dans le rapport d’audit

Une non-conformité majeure devrait habituellement impliquer un audit de suivi

27

Structure de la norme ISO 27001

8. Operations

7. Support

4. Contexte Organisationnel

6. Planification

5. Leadership

9. Évaluation de la performance 10.

Amélioration

28

ISO 27001:2014 - 113 mesures de sécurité

ISO 27001, annexe A A 5 La politique de sécurité A 6 L’organisation de la sécurité de l’information A 7 La sécurité des ressources humaines A 8 La gestion des actifs A 9 Le contrôle d’accès A 10 Cryptographie A 11 La sécurité physique et environnementale A 12 La gestion des opérations A 13 La sécurité des communications A 14 L’acquisition, le développement et l’entretien des systèmes

A 15 Relations avec les fournisseurs A 16 La gestion des incidents de sécurité de l’information A 17 La gestion de la continuité de l’activité A 18 La conformité

29

QUESTIONS ?

30

eric.lachapelle@pecb.org