Téléverser un fichier

4Ème confÉrence « smsi et normes de la famille iso...

  • Home
  • Documents
  • 4ÈME CONFÉRENCE « SMSI ET NORMES DE LA FAMILLE ISO …anne-lupfer.com/.../12/2011-MagSecur-Conf27000.pdf · Actuellement les normes 27001 et 27002 sont en cours de révision, et
3
Le club 27001 est une association loi de 1901, ouverte à tous les professionnels, qui travaille sur les systèmes de management de la sécurité de l’information, et tout particulièrement sur les normes de la famille ISO 27000. Sa conférence annuelle s’est déroulée le 30 novembre dernier. 44 n°29 T ENDANCES La gestion des risques au cœur des débats 4ÈME CONFÉRENCE « SMSI ET NORMES DE LA FAMILLE ISO 27000 » > Origine des normes ISO 27000 et état des lieux La journée a commencé par un état des lieux présenté par Paul Richy, vice-président du GCSSI à AFNOR Normalisation, en matière des normes ISO 27K. L ’exposé a commencé par un rappel des origines de la norme et du rejet en 1995 d’un projet de normalisation. Toutefois, cinq ans après, un projet sur la normalisation des systèmes de management de sé- curité de l’information a été approuvé. Ensuite, nous avons vu qu’il y a deux groupes de travail au sein de l’ISO concer- nant les normes 27K : WG1, traitant des normes organi- sationnelles et WG4, spécialisé dans les futures normes techniques. Actuellement les normes 27001 et 27002 sont en cours de révision, et il y a un intérêt de plus en plus im- portant pour la participation aux réunions du SC (subcom- mitee) 27. Enfin, la France avec 19 certificats, se place dans le dernier tiers des pays ayant le plus certificats 27001. > Objectif de la certification pour Bull : la sécurité Un premier retour d’expérience a été présenté par Xavier Beulé de Bull. La certification est devenue une exigence forte dans les appels d’offres d’infogérance depuis plusieurs an- nées. Toutefois, l’objectif pour Bull Services Infogérés n’est pas seulement d’obtenir le certificat prouvant que le système de management est géré, mais aussi de renforcer le niveau de sécurité des data-centers grâce à une approche méthodi- que par les risques. Le SMSI couvre les activités infogérance de Bull Services Infogérés. Les parties prenantes sont non seulement les clients, mais aussi les directions clientèle et avant-vente de Bull. Une appréciation des risques a été réalisée en s’appuyant sur la démarche Mehari. L ’utilisation conjointe de la norme ISO 27005 a permis de compléter les risques résiduels et les plans de traitements. Une organisa- tion sécurité a été mise en place avec des correspondants opérationnels reportant au RSSI et la politique de sécurité a été formalisée. Les points clés de la réussite dans la mise en œuvre d’un SMSI sont l’engagement du management pour le projet et l’affectation de ressources nécessaires à sa mise en place. L ’important est aussi de prendre en compte l’existant et de ne pas sous-estimer les charges. > OBS : bientôt un pré-requis pour obtenir une licence « telco » ? Un deuxième retour d’expérience a été exposé par Eric Wia- trowski et Stéphane Sciacco d’Orange Business Services. La certification ISO 27001 est devenue stratégique pour un opérateur. En effet, cela va peut-être devenir un pré-requis pour obtenir une licence d’opérateur télécom dans certains pays. Deux nouveaux sites d’Orange ont été certifiés : le MSC de Dehli et le Managed IT services de Rennes. La certification a été reconduite pour le site du Caire. Les trois certifications ont des différences dans le choix de leur DdA (déclaration d’applicabilité), l’appréciation des risques et l’organisation lo- cale de la sécurité. Toutefois, une démarche de mutualisation a été réalisée sur la politique du SMSI, les DdA, les périmètres et une méthode d’appréciation des risques globale. D’ailleurs, un outil interne a été réalisé pour dérouler l’appréciation des risques. > Réflexions sur la gestion des risques Pour clore la matinée, une table ronde sur la gestion des risques, animée par Hervé Schauer (HSC), a été organisée avec Anne Lupfer auteur du livre « Gestion des risques en sécurité de l’information - Mise en œuvre de la norme ISO 27005 », publié chez Eyrolles, Olivier Corbier, contributeur à la commission Mehari du Clusif & RSSI de Docapost et Raphaël Guerand, expert conseil SSI et responsable d’EBIOS à l’ANSSI. Le débat est lancé par Hervé Schauer sur le rap- prochement des deux méthodes sur la norme 27005. Olivier Corbier rappelle qu’aujourd’hui il est indispensable pour une méthode d’être compatible 27005. Toutefois

Upload: vungoc

Post on 13-Sep-2018

218 views

Category:

Documents


0 download

Report

TRANSCRIPT

Page 1: 4ÈME CONFÉRENCE « SMSI ET NORMES DE LA FAMILLE ISO …anne-lupfer.com/.../12/2011-MagSecur-Conf27000.pdf · Actuellement les normes 27001 et 27002 sont en cours de révision, et

Le club 27001 est une association loi de 1901, ouverte à tous les professionnels, qui travaille sur les systèmes de management de la sécurité de l’information, et tout particulièrement sur les normes de la famille ISO 27000. Sa conférence annuelle s’est déroulée le 30 novembre dernier.

44 n°29

TENDANCES

La gestion des risquesau cœur des débats4ÈME CONFÉRENCE « SMSI ET NORMES DE LA FAMILLE ISO 27000 »

> Origine des normes ISO 27000 et état des lieux

La journée a commencé par un état des lieux présenté par Paul Richy, vice-président du GCSSI à AFNOR Normalisation, en matière des normes ISO 27K. L’exposé a commencé par un rappel des origines de la norme et du rejet en 1995 d’un projet de normalisation. Toutefois, cinq ans après, un projet sur la normalisation des systèmes de management de sé-curité de l’information a été approuvé. Ensuite, nous avons vu qu’il y a deux groupes de travail au sein de l’ISO concer-nant les normes 27K : WG1, traitant des normes organi-sationnelles et WG4, spécialisé dans les futures normes techniques. Actuellement les normes 27001 et 27002 sont en cours de révision, et il y a un intérêt de plus en plus im-portant pour la participation aux réunions du SC (subcom-mitee) 27. Enfi n, la France avec 19 certifi cats, se place dans le dernier tiers des pays ayant le plus certifi cats 27001.

> Objectif de la certifi cation pour Bull : la sécurité

Un premier retour d’expérience a été présenté par Xavier Beulé de Bull. La certification est devenue une exigence forte dans les appels d’offres d’infogérance depuis plusieurs an-nées. Toutefois, l’objectif pour Bull Services Infogérés n’est pas seulement d’obtenir le certificat prouvant que le système de management est géré, mais aussi de renforcer le niveau de sécurité des data-centers grâce à une approche méthodi-que par les risques. Le SMSI couvre les activités infogérance de Bull Services Infogérés. Les parties prenantes sont non seulement les clients, mais aussi les directions clientèle et avant-vente de Bull. Une appréciation des risques a été réalisée en s’appuyant sur la démarche Mehari. L’utilisation

conjointe de la norme ISO 27005 a permis de compléter les risques résiduels et les plans de traitements. Une organisa-tion sécurité a été mise en place avec des correspondants opérationnels reportant au RSSI et la politique de sécurité a été formalisée. Les points clés de la réussite dans la mise en œuvre d’un SMSI sont l’engagement du management pour le projet et l’affectation de ressources nécessaires à sa mise en place. L’important est aussi de prendre en compte l’existant et de ne pas sous-estimer les charges.

> OBS : bientôt un pré-requis pour obtenir une licence « telco » ?

Un deuxième retour d’expérience a été exposé par Eric Wia-trowski et Stéphane Sciacco d’Orange Business Services. La certification ISO 27001 est devenue stratégique pour un opérateur. En effet, cela va peut-être devenir un pré-requis pour obtenir une licence d’opérateur télécom dans certains pays. Deux nouveaux sites d’Orange ont été certifiés : le MSC de Dehli et le Managed IT services de Rennes. La certification a été reconduite pour le site du Caire. Les trois certifications ont des différences dans le choix de leur DdA (déclaration d’applicabilité), l’appréciation des risques et l’organisation lo-cale de la sécurité. Toutefois, une démarche de mutualisation a été réalisée sur la politique du SMSI, les DdA, les périmètres et une méthode d’appréciation des risques globale. D’ailleurs, un outil interne a été réalisé pour dérouler l’appréciation des risques.

> Réfl exions sur la gestion des risquesPour clore la matinée, une table ronde sur la gestion des risques, animée par Hervé Schauer (HSC), a été organisée avec Anne Lupfer auteur du livre « Gestion des risques en sécurité de l’information - Mise en œuvre de la norme ISO 27005 », publié chez Eyrolles, Olivier Corbier, contributeur à la commission Mehari du Clusif & RSSI de Docapost et Raphaël Guerand, expert conseil SSI et responsable d’EBIOS à l’ANSSI. Le débat est lancé par Hervé Schauer sur le rap-prochement des deux méthodes sur la norme 27005. Olivier Corbier rappelle qu’aujourd’hui il est indispensable pour une méthode d’être compatible 27005. Toutefois

Page 2: 4ÈME CONFÉRENCE « SMSI ET NORMES DE LA FAMILLE ISO …anne-lupfer.com/.../12/2011-MagSecur-Conf27000.pdf · Actuellement les normes 27001 et 27002 sont en cours de révision, et

45n°29

ISO 27000

Mehari ne couvre pas toute la 27005. Anne Lupfer indique que la norme 27005 est un guide méthodologique et qu’il convient au gestionnaire de risque de décrire sa démar-che en l’adaptant à son contexte et à son entreprise. En-suite, il est rappelé que la notion de scénario de la norme ISO 27005 vient des méthodes françaises et cela est plus intuitif que juste une menace exploite une vulnérabilité sur un actif. Hervé Schauer montre qu’il y a des différences ma-jeures en matière de concepts et de vocabulaire entre les méthodes dans leur version 2010 et ce qui est normalisé dans la méthode ISO 27005. Pour Olivier Corbier et Raphaël Guerand, il était impératif de garder le vocabulaire utilisé dans les précédentes versions afi n de ne pas perturber les utilisateurs actuels des méthodes. Ils indiquent que peut-être de futures versions seront plus proches de l’ISO 27005. Raphaël Guerand indique que certaines notions d’EBIOS 2010 n’apparaissent pas dans la 27005 mais il espère les voir dans une prochaine révision de l’ISO 27005. Pour sa dernière question à la table ronde, Hervé Schauer se demande quelle est la meilleure démarche entre maintenir son appréciation des risques dans le temps comme avec la 27005 ou être exhaustif. Anne Lupfer répond qu’il est impossible à maintenir dans le temps quelque chose d’ex-haustif. Pour Olivier Corbier, il est possible avec Mehari de faire une appréciation des risques avec un faible niveau de granularité puis de la refaire à un niveau plus fi n. Raphaël Guerand indique qu’il y a une différence entre l’exhaustivité et les détails. Il est possible d’être exhaustif tout en ayant un fort niveau d’abstraction.Eric Wiatrowski se demande si l’appréciation des risques n’est pas quelque chose de très, voire trop, subjectif. Les trois experts sont d’accord pour dire que la subjectivité est présente dans une appréciation, tou-tefois les méthodes et la norme sont là pour « organiser » cette subjectivité, c’est un outil d’aide à la décision. Puis, Elisabeth Manca de HSC demande s’il est envisageable de déléguer les activités d’analyse de risques à quelqu’un qui n’est pas expert. Anne Lupfer commence par répondre qu’il n’est pas envisageable de réaliser une analyse de risque seul. Il faut s’appuyer sur des correspondants risques qui seront appuyés par un chef de projet risque. Pour Raphaël Guerand, il est indispensable de communiquer sur la ges-tion des risques. Olivier Corbier conclut qu’il est indispen-sable de nommer des propriétaires d’actifs afi n de faciliter le travail du gestionnaire de risques. Enfi n, un participant dans la salle demande une évaluation de la durée d’une ap-préciation de risques. Pour les trois experts, l’appréciation des risques peut être très courte, d’une demi-journée, voire moins, à plusieurs années. Olivier Corbier fait remarquer que la durée d’appréciation du risque sera fonction des res-sources et du budget alloués. Pour conclure, un autre par-ticipant indique que, pour son organisme, une appréciation des risques a duré 300 jours/homme et la révision entre 15 et 20 jours/homme.

> Audit conjoint ISO 27001 et ISO 20000-1

Après la pause déjeuner, Cesare Gallotti, consultant à Milan nous a présenté un retour d’expérience d’un audit conjoint ISO 27001 et ISO 20000-1. Pour débuter, l’exposé a porté sur la situation du marché italien en matière de sécurité de l’in-formation. Il y a 294 sites certifi és ISO 27001 par neuf orga-nismes de certifi cations. Ensuite, la loi sur la protection des données personnelles est évoquée, la loi italienne est une des plus strictes en Europe avec notamment l’obligation de chiffrer ces données. Puis Cesare Gallotti nous explique le contexte dans lequel il a réalisé un audit conjoint ISO 27001 et ISO 20000-1 : une société fi nancière. Son rapport intègre en plus de la conformité une appréciation de la maturité de chacun des processus de l’ISO 27001 et 20000-1. Puis il nous livre quelques leçons retenues de cette mission. Tout d’abord, il vaut mieux conduire la phase d’interviews de manière « bottom-up » : les opérationnels d’abord et les responsables à la fi n. L’impression de conformité qu’un utilisateur peut avoir par rapport aux normes peut être faussée car il ne faut pas se baser que sur des procédures et de nouveaux équipements et outils. Des audits réalisés avec d’autres types de référentiels comme COBIT ont des objectifs variés et créent des confusions lors des audits de certifi cation. Enfi n, le sens de mots comme continuité d’ac-tivité, incident ou changement ont un sens différent pour chaque interviewé.

Julien Levrard

Page 3: 4ÈME CONFÉRENCE « SMSI ET NORMES DE LA FAMILLE ISO …anne-lupfer.com/.../12/2011-MagSecur-Conf27000.pdf · Actuellement les normes 27001 et 27002 sont en cours de révision, et

46 n°29

TENDANCES ISO 27000

> L’exemple d’une collectivité territoriale : CG Loire Atlantique

L’exposé suivant de Nicolas Bunoust, RSSI du Conseil Géné-ral de Loire-Atlantique, a porté sur les enjeux et actions d’un SMSI dans une collectivité territoriale. Les enjeux vont être économiques dans une optique de réduction des coûts et structurels pour accompagner le changement et amener des propositions à la DSI. Les objectifs d’un SMSI sont d’atteindre un niveau de sécurité pour que les utilisateurs aient une cer-taine confiance dans le SI, accompagner les changements et respecter la loi informatique et liberté. Pour cela, un processus de revue et de décision a été mis en place, des indicateurs concernant la maturité des processus et l’efficacité des me-sures de sécurité ont été réalisés et une méthode évaluation macro du risque a été créée. Toutes ces actions devraient permettre au CG44 d’adopter le RGS plus facilement.

> La gouvernance de la sécurité comprend le du SMSI pour GDF-Suez

Après la pause, un troisième retour d’expérience, sur cette fois-ci un alignement à la norme ISO 27001, a été présenté par Thierry Perrotin du département RSSI, GDF-Suez. Le pro-jet d’implémentation du SMSI a commencé par la réalisation d’entretiens pour faire un état des lieux de l’existant concer-nant les clauses de la 27001 et des processus de la gouver-nance sécurité. Pour réduire ces écarts, 2 nouvelles activités ont été créées : le pilotage du SMSI et la gestion des incidents et de la crise. Ces nouvelles activités permettent de mieux structurer l’organisation de la sécurité et de gagner en effica-cité. La gouvernance de sécurité SI est maintenant compo-sée du SMSI ce qui a permis de renforcer la cohésion entre les différents responsables sécurité des filières.

Une deuxième table ronde a été organisée afin de débattre du maintien de la certifica-tion ISO 27001 dans la durée avec Murielle Foucaud de la Banque de France et Stépha-ne Sciacco d’Orange Business Services. Gé-rôme Billois de Solucom, l’animateur la table ronde, a lancé le débat en demandant aux participants de décrire le contexte de leurs certifications. Murielle Foucaud rappelle que la Banque de France est certifiée ISO 27001 depuis 2009 et qu’un audit de surveillance a eu lieu en 2010. Stéphane Sciacco indique que le site de Rennes est certifié ISO 27001 depuis 2010. Les deux organismes ont une culture de la certification avec notamment les normes ISO 9001 et ISO 20000-1. Ensui-te, Gérôme Billois leur demande s’ils ont res-senti ce que l’on appelle le « syndrome de la 2eme année », à savoir un relâchement après la certification. Pour les deux experts,

il faut pérenniser les postes internes concernant le SMSI et conserver l’appui de la direction.Puis une question leur a été posée sur le futur de leur cer-tification : vers un agrandissement ou un changement du périmètre. En ce qui concerne la Banque de France, il y a un besoin de reconnaissance au niveau européen pour être hé-bergeur de données de la banque centrale, les audits internes vont être mutualisés et il y a une réflexion pour une possible certification ISO 20000-1. Pour OBS, un nouveau site va être certifié en 2011 et il va y avoir un besoin de certification pour les activités de « cloud computing ». Enfin, pour conclure, Gérôme Billois leur demande quel conseil ils peuvent donner concernant la certification. Une des clés de la réussite est de nommer un chef de projet qui connaît parfaitement le péri-mètre. Il faut aussi essayer de ne rien inventer, rester au plus près des employés afin de faciliter l’adhésion au SMSI.

> La certifi cation pour les jeux en ligne avec Betclic

Pour clore les débats, Benoit Bécart, responsable du SMSI de la société Betclic, a rappelé le contexte particulier des opé-rateurs de jeux en ligne. En effet, le SI repose fortement sur internet y compris en interne. La certifi cation ISO 27001 est un véritable atout pour Betclic puisqu’elle permet d’obtenir de manière plus aisée les licences dans différents pays. Le périmètre du SMSI couvre l’ensemble des activités métiers, trois sites opérationnels et deux datacenters. Le projet a commencé durant l’été 2008 et l’audit de certifi cation a eu lieu au cours du premier semestre 2010, juste avant le dépôt du dossier pour l’ARJEL. Le SMSI a donc permis de formaliser les processus mais aussi améliorer la sécurité de la plate-forme de jeu. Bertrand Fournier et Julien Levrard (Hervé Schauer Consultants)

Bertrand Fournier


8715350 Questionnaire Gestion de La Securite ISO 27002

Management de la sécurité de l'information - · PDF filePartie II – Implémenter un SMSI 158 Structure de la norme Comme toutes les normes de ce type, l’ISO 27005 est structurée

Guide audit sec(vfinale)-mai 2014-27002-2013

NORMES et DEVELOPPEMENT DURABLE NORMES et DEVELOPPEMENT DURABLE

Réseau & Sécurité| Fiche Produit Le décisionnel … · indicateurs clés de performance. Vous pouvez facilement rechercher, corréler et analyser ... Bâle II, ISO 27002, ou COBIT

SMSI DOCUMENT DE RÉFÉRENCE PARTIE II: PROJET DE PLAN D

CESAG - BIBLIOTHEQUE Mémoire de fin d’étudebibliotheque.cesag.sn/gestion/documents_numeriques/M0196MPACG1… · ... Domaines de la norme ISO 27002: ... Processus de la gestion

Un plan d’action pour les infrastructures au Burundi · d’abord, il propose au gouvernement, à la ... SINELAC Sociétéinternationaled’électricitédespaysdesGrandsLacs SMSI

Normes officielles, normes pratiques et stratégies des

Cloud Bureautique - Accueil · entreprises de normaliser leurs choix de fournisseur, en créant questionnaire ... Tandis que l’Iso 27002 n’est ... domaine de la sécurité sont

Association Femmes & TIC SMSI - Le 16 novembre 2005 Les TICs dans lédification de la société inclusive: Lexpérience Tunisienne Anissa Masmoudi Lajimi Ingénieur

Appliquer les normes du travail - Commission des normes de

Normes architecturales Normes techniques Coûts et Impacts

NORMES et DEVELOPPEMENT DURABLE NORMES et DEVELOPPEMENT DURABLE STI2D

Daniel Prado Secrétaire exécutif du Réseau Maaya [email protected] Multilinguisme et cyberespace UNESCO – SMSI +10 Paris, 26/02/2013

Secrétariat exécutif du SMSI - ITU

I. Le corpus de normes « IFRS » Normes applicables

Risques et Analyse de Risquespeople.rennes.inria.fr/Jean.Quilbeuf/pdf/analyse_de...SMSI, notamment en matière de gestion des risques •ISO 27005: –Transpose le cadre générique

Centre Africain d’Etudes Supérieures en Gestionbibliotheque.cesag.sn/gestion/documents_numeriques/M0534AUDIT15… · ... QUESTIONNAIRE DE PRISE DE CONNAISSANCE DU SMSI ... 2.1.2.1

Informatique de santé - eyrolles.com · cÉdriccartau stÉphanedevise yves-marieherniou iso 27001 et 27002 • implÉmentation • audit • certification • implÉmentation •

ISO 27002 // Référentiels de la santéclub-27001.fr/attachments/article/172/Mise en parallèle 27002... · Certification des comptes (DGOS)

ETRS 701 Sécurité des réseauxflorent.lorne.free.fr/pdf/M1TR/ETRS701/Transparents Cours ETRS 70… · sécurité de l'information (SMSI) : plus générique. La fonction de (RSSI

SMSI 2005 - APC

Respecter les bonnes pratiques de l'ISO 27002 - UTC · La norme ISO/CEI 27002 est un guide de bonne pratique qui donne des indications pour: Définir des exigences en matière de

Normes bibliographiques. Adaptation française des normes de l'APA

NORMES PRODUIT NORMES DE MISE EN ŒUVRE NORMES TRANSVERSES

Fracture linguistique et cyberspace Daniel Prado Secrétaire exécutif du Réseau Maaya [email protected] UNESCO – SMSI +10 Paris, 27/02/2013

La sécurité de l’information : et les managers dans ... · La sécurité de l’information : une question de gestion des risques Le SMSI et les normes ISO 2700X Le pilotage de

Relations entre les normes de gestion des documents d ...€¦ · Description& ∞ Présentelaplanification%du%SMSI%depuis% lelancementduprojetparlaDirectionde% l’organisme,ladéfinitiondesobjectifs,la%

Orange Cyberdefense · SMSI-A10 Pilotage et gestion d’incidents de sécurité ..... 24 ADN RSSI Cursus Responsable de Sécurité du SI

Culture numérique - download2.cerimes.frdownload2.cerimes.fr/canalu/documents/culture.num.rique.12.soci.t... · Un enjeu international 2003-2005 : SMSI Sommet mondial sur la société

La distinction des normes juridiques et des normes morales ... · La distinction des normes juridiques et des normes morales: un point de vue constructiviste Frédéric.rouVière*

Guide sauvegarde V0.3 - esante.gouv.fr, le portail de l ...esante.gouv.fr/sites/default/files/PGSSIS_Guide_pratique_regles... · • la norme ISO/CEI 27002 - « Code de bonnes pratiques

NORMES ET MODALITES DÉVALUATION Normes et modalités Politique dévaluation du MELS Normes et modalités de la CSA Normes et modalités de léquipe école

M2 Miage SMSI / analyse de risque - damien.ploix.free.frdamien.ploix.free.fr/SSI/M2 SSI 02 SMSI.pdf · Mesure et analyse du risque Positionnement du SMSI Sé uité des Systèmes d’Infomation