Homologation SSI
Agence nationale de la Sécurité des Systèmes d’InformationBureau Assistance et Conseil
conseil.anssi[at]ssi.gouv.fr
Plan de la présentation
Introduction
1. L’adoption d’une démarche globale� Seule solution pour sécuriser les informations face aux menaces hétérogènes
2. La gestion des risques est au cœur de toute réflexion de SSI� Des normes et des outils : Guide ISO/CEI 73, ISO/CEI 31000, EBIOS…
3. Le concept de maturité permet d’adapter la SSI aux enjeux réels
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 2
� Quelques références : Guide Maturité SSI, ISO/CEI 21827…4. Vers une amélioration continue : le système de management de la SSI
� L’ISO/CEI 27001 en décrit les activités5. La SSI devait être intégrée tout le long du cycle de vie des systèmes
� Le guide GISSIP présente différentes manières d’y parvenir selon les enjeux SSI6. L’homologation, un engagement systématique
� Démarche, livrables7. Les labels SSI améliorent la confiance
� Produits, systèmes de management, systèmes d’information et personnes
Conclusion
Le contexte mondial : l’incertitude stratégique
� La mondialisation est une situation nouvelle dans laquelle la diffusion de l’informationet de la connaissance, la transformation des échanges économiques et lamodification des rapports de forces internationaux ont, d’emblée, un impact mondial.Elle crée une interaction et une interdépendance généralisées et non maîtrisées entretous les États. Elle permet à une multitude nouvelle d’acteurs non étatiques etd’individus de tirer le parti maximum des possibilités de circulation internationaleaccélérée des hommes comme des données et des biens, matériels et immatériels.[…] La mondialisation ne crée un monde ni meilleur ni plus dangereux qu’il y a deux
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 4
[…] La mondialisation ne crée un monde ni meilleur ni plus dangereux qu’il y a deuxdécennies. Elle dessine en revanche les contours d’un système internationalnettement plus instable, moins contrôlé, et donc plus inquiétant, qui appelle desréponses à la fois globales et très spécifiques.[Livre blanc « Défense et sécurité nationale »]
� Quelques effets néfastes de la conjoncture actuelle� Diffusion rapide de toutes les formes de crises� Accélération foudroyante de la circulation de l’information� Des régions entières demeurent à l’écart des bénéfices de la croissance mondiale� Évolution des formes de violence (terrorisme, guerre…)
Quelques nouvelles d’Internet…une journée parmi d’autres
� MAURITANIE - La dictature militairemauritanienne a utilisé des techniques de"cyber-guerre" pour rendre indisponible deuxsites Internet de l'opposition. Les autorités ontloué les services de plusieurs réseaux demachines zombies pour lancer ces attaques endéni de service distribué à l'encontre de cessites. Cet événement rappelle qu'au Myanmar,en Russie et en Chine, le pouvoir politique a usédes mêmes tactiques.
� FRANCE - Une enquête de police a permis desaisir plus de 2 000 fichiers vidéo à caractèrepédopornographique sur le réseau informatiqued'Air France. L'enquête a débuté en janvier 2007à la suite d'une plainte déposée par uneassociation qui avait découvert des fichierspédophiles en circulation via une sociétéfrançaise. Une perquisition effectuée au domiciled'un employé de la compagnie aérienne nationaleavait alors permis la saisie de 100 000 images de
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 5
des mêmes tactiques.[source Internet : Strategy Page]
� ÉTATS-UNIS - Un ordinateur portable contenantles informations personnelles (noms, adresseset numéros de sécurité sociale) de 97 000salariés de la société Starbucks a été dérobé le29 octobre dernier. La société aurait affiché surson site Internet cette information enrecommandant à ses employés de prendre desmesures appropriées en cas de retrait suspect.Starsbucks offre à ses employés une assistancegratuite permettant d'être immédiatement avertide toute opération financière sur leurs comptesbancaires.[source Internet : Seattle Post-Intelligencer]
avait alors permis la saisie de 100 000 images demineurs d'une capacité totale de 90 Go.[source Internet : Bakchich.info]
� RÉPUBLIQUE DU CONGO - Parution du premierlivre sur la sécurité informatique du pays : l'auteursouligne que des réseaux de cyber-attaquants deplus en plus structurés sont virtuellement ouphysiquement situés sur le continent africain. Ilrévèle aussi que par le biais de réseaux sociauxet autres moyens de communications Internetd'énormes capitaux transitent vers des paradisfiscaux.[source Internet : Categorynet]
L’évolution du contexte…
� Les systèmes informatiques évoluent…« Avant, on tentait d’empêcher les missiles de détruire les salles enfermant les machines ; on essaie maintenant d’empêcher les machines d’utiliser les missiles. »� Les systèmes informatiques changent dynamiquement, se complexifient,
s’interconnectent et changent la valeur de l’information� Les technologies évoluent (programmation orientée objet, agents intelligents…)
� La menace évolue…
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 6
� La menace évolue…� On doit considérer les menaces d’origine accidentelle et celles d’origine intentionnelle� Vulgarisation des outils d’attaques (disponibles sur Internet, manipulation simple)� Automatisation des attaques (recherche de machines, casseurs automatisés de mots
de passe, intrusion dans les systèmes…)� Une faible qualité des logiciels et produits disponibles (augmentation du nombre
d’alertes)
� Les impacts évoluent…� Sur les missions, les personnes, l’image, les tiers, la sécurité de l’État, l’environnement,
financiers, juridiques…
… a fait évoluerla sécurité de l’information
� La protection de l’information ne se limite pas à l’informatique� Biens techniques : matériels, logiciels, réseaux, supports d’informations� Biens non techniques : organisations, sites, locaux, personnels� L’information est omniprésente, extrêmement répartie et en circulation permanente
� Les problématiques sectorielles convergent (qualité, sécurité des personnes,environnement, risques opérationnels…)
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 7
� Il n’est donc plus possible de tout protéger efficacement contre tout
� C’est pourquoi il convient d’adopter des démarches et outils méthodologiques� Prendre des décisions rationnelles� Partager un vocabulaire commun� Gérer la complexité
� La gestion des risques est le seul moyen rationnel pour prendre des décisions� La mise en œuvre d’un système de management de la sécurité de l’information (ISO/CEI 27001)
repose sur la gestion des risques� L’ISO/CEI 31000 (gestion des risques au sens large) et l’ISO/CEI 27005 (application à la sécurité de
l’information) en décrivent la démarche générale� La méthode EBIOS permet de mettre en œuvre l‘ISO/CEI 27005
1. Adopter une démarche globale
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 8
globale
Sécurité des système d’information (SSI) : de quoi parle-t-on ?
� Un système d’information (SI) est :� un système (combinaison d’éléments en interaction organisés pour
atteindre un ou plusieurs buts définis [ISO/IEC 15288]),� qui assure l’élaboration, le traitement, la transmission et le stockage
d’informations (renseignements ou éléments de connaissance).
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 9
� Les informations, ainsi que les processus informationnels, constituentles biens essentiels au cœur des éléments d’un SI.
� La sécurité des systèmes d’information (SSI) a pour objectif deprotéger ces biens essentiels.
� Les biens essentiels reposent sur des biens supports (réseaux,matériels, logiciels, organisations, personnes, sites).
� C’est par le biais des biens supports que la sécurité des biensessentiels peut être atteinte.
La SSI doit être considérée globalement
� L’objectif est la cohérence d’ensemble de la démarche de sécurisation dessystèmes d’information. Il convient en effet de n’oublier aucun élément pertinent,pour éviter le maillon faible qui réduirait la sécurité apportée par tous les autresmaillons, de faire prendre chacune des décisions au juste niveau.
� Il faut pour cela :� considérer tous les aspects qui peuvent avoir une influence sur la sécurité des
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 10
� considérer tous les aspects qui peuvent avoir une influence sur la sécurité dessystèmes d’information, techniques (matériels, logiciels, réseaux, etc.) et nontechniques (organisations, sites, personnes…),
� considérer toutes les origines de risques (origines humaines et naturelles, causesaccidentelles et délibérées),
� prendre en compte la SSI au plus haut niveau hiérarchique, car comme tous les autresdomaines de la sécurité, la SSI repose sur une vision stratégique, nécessite des choixd’autorité (les enjeux, les moyens humains et financiers, les risques résiduelsacceptés) et un contrôle des actions et de leur légitimité,
� responsabiliser tous les acteurs (décideurs, maîtrises d'ouvrage, maîtrises d'œuvre,utilisateurs…),
� intégrer la SSI tout le long du cycle de vie des systèmes d'information (depuis l’étuded’opportunité jusqu'à la fin de vie du système).
2. Fonder la SSI sur la gestion des risques
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 11
gestion des risques
Pourquoi gérer les risques SSI ?
� Lignes directrices de l’OCDE� Principe d’évaluation des risques� Principe de gestion de la sécurité� Principe de réévaluation
� Maîtriser les coûts� Objectivité dans les choix (balance entre ce qu’on peut perdre et le coût pour s’en
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 12
� Objectivité dans les choix (balance entre ce qu’on peut perdre et le coût pour s’enprémunir)
� Maîtriser la sécurité de ses systèmes d’information� Visibilité, cohérence et prévention
� Réglementation pour le classifié de défense� L’instruction générale interministérielle N°1300 rend la réalisation d’une analyse des
risques obligatoire pour tout système traitant des informations classifiées de défense.
Qu’est-ce qu’un risque SSI ?
Ex. 1 – USA Ex. 2 – Nouvelle-Zélande Ex. 3 – Fictif
Événements redoutés
Sources de menace
« Attaquants » « Attaquants »Un pirate expérimenté
engagé par un concurrent
Biens essentielsDonnées sur le
système de diagnostic d’un avion de chasse
Processus d’enregistrement de noms
de domaines
Informations et fonctions présentes sur le réseau
Besoins de sécurité
Confidentialité Intégrité Intégrité
Atteinte de l’image de l’ État, possibilité
Redirection de sites web Perturbation du
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 13
Risques
ImpactsÉtat, possibilité
ultérieure d’actions contre les systèmes
des avions
Redirection de sites web vers un autre, atteinte de l’image des organismes
concernés
Perturbation du fonctionnement, perte
d’avantage concurrentiel
Niveau d’impact Modéré à élevé Modéré Élevé
Scénarios de menaces
Menaces Intrusion et collecte Accès frauduleuxPiégeage du logiciel
(introduction d’un ver)
Biens supportsRéseaux des sous-
traitants
Fonctionnalités d’administration du site du bureau d’enregistrement
Réseau WiFi
VulnérabilitésPerméabilité des
réseaux des sous-traitants
Injection SQLPossibilité d’administrer
le réseau à distance
Niveau de vraisemblance
Quasiment certain (traces d‘intrusion)
Quasiment certain (vulnérabilités connues)
Important
Un cadre pour toutes les méthodes de gestion des risques SSI : l’ISO/CEI 27005
RISK ESTIMATION
ESTABLISH CONTEXT
RISK IDENTIFICATION
CA
TIO
N
AN
D R
EV
IEW
RISK ASSESSMENT
RISK ANALYSIS
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 14
RISK TREATMENT
RISK EVALUATION
RIS
K C
OM
MU
NIC
RIS
K M
ON
ITO
RIN
G A
RISK DECISION POINT 1Assessment satisfactory
END OF FIRST OR SUBSEQUENT ITERATIONS
RISK DECISION POINT 2Accept risks
Yes
No
No
Yes
RISK ACCEPTANCE
EBIOS, la méthode française permettant de mettre en œuvre l’ISO/CEI 27005
� Étude du contexte� Quel est le sujet de l’étude ?� Fixer le cadre, préparer les métriques, identifier
les biens
� Étude des besoins� Quels sont les événements redoutés ?� Identifier la valeur des biens essentiels et les
impacts en cas d’atteinte
� Étude des menaces� Comment les événements redoutés peuvent-ils
Module 1Étude ducontexte
Module 2Étude desbesoins
Module 3Étude desmenaces
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 15
� Comment les événements redoutés peuvent-ils se réaliser ?
� Identifier les menaces et les vulnérabilités des biens supports
� Étude des risques� Quels sont les scénarios qui peuvent réellement
arriver ? De quelle manière veut-on les traiter ?� Identifier les risques et les objectifs de sécurité
� Étude des mesures de sécurité� Quelles sont les solutions à mettre en œuvre
pour traiter les risques ?� Déterminer les mesures (éventuellement sur la
base de l’ISO/CEI 27002) et suivre leur application
Module 4Étude des
risques
Module 5Étude des
mesures desécurité
L’objectif : sécuriser les systèmes d’informations
� Protéger les biens essentiels� Informations : données numériques ou non, savoir ou savoir-faire particulier� Processus informationnels : fonctions, processus métiers…
� Maîtriser les biens supports� Réseaux : réseaux informatiques, relais et supports de communication,
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 16
� Réseaux : réseaux informatiques, relais et supports de communication,protocoles
� Matériels : ordinateurs fixes et mobiles, périphériques, supportsélectroniques et papiers
� Logiciels : applications, systèmes de gestion de base de données,middleware, systèmes d’exploitation, firmware
� Organisations : organisations internes, relations avec des tiers� Personnes : personnes morales, personnes physiques� Sites : locaux, installations électriques, installations de traitement de fluides
Prendre en compte les références applicables
� La loi et la réglementation doivent être prises en compte� Codes d’éthique des métiers des technologies de l’information� Atteintes aux personnes (vie privée, protection des données nominatives, secret
professionnel, secret de la correspondance)� Atteintes aux biens (vol, escroquerie, détournements, destructions, dégradations et
détériorations, atteintes aux systèmes d’information)� Atteintes aux intérêts fondamentaux de la Nation, terrorisme et atteintes à la confiance
publique
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 17
publique� Atteintes à la propriété intellectuelle (protection du droit d’auteur, protection des bases
de données)� Dispositions relatives à la cryptologie� Dispositions relatives à la signature électronique� Autres texte nationaux et internationaux (Union européenne, Union africaine, ONU…)
� Il convient également de tenir compte des réglementations sectorielles et desrègles internes aux organismes
Respecter les besoins de sécurité
� La sécurité de l'information a pour but de protéger le patrimoineinformationnel de l'organisme. Celui-ci permet son bon fonctionnementet l'atteinte de ses objectifs.
� La valeur de ce patrimoine, dit informationnel, peut en effet êtreappréciée au regard :
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 18
� des opportunités qu'il offre quand on l'utilise correctement,� des conséquences négatives dans le cas contraire.
� Les besoins de sécurité représentent les conditions dans lesquelles lesmétiers s’exercent de manière acceptable. Ils sont généralementexprimés en termes de :� disponibilité : propriété d'accessibilité au moment voulu des biens essentiels
par les personnes autorisées� intégrité : propriété d'exactitude et de complétude des biens essentiels� confidentialité : propriété des biens essentiels de n'être accessibles qu'aux
utilisateurs autorisés
Gérer les impacts internes et externes
� Impacts sur les missions� Incapacité à fournir un service, perte de savoir-faire, changement de stratégie…
� Impacts sur la sécurité des personnes� Accident du travail, maladie professionnelle, perte de vies humaines, mise en danger…
� Impacts financiers� Perte de chiffre d'affaire, dépenses imprévues, chute de valeur en bourse, baisse de
revenus…
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 19
revenus…
� Impacts juridiques� Procès, amende, condamnation d'un dirigeant, dépôt de bilan, avenant…
� Impacts sur l’image� Publication d'un article satyrique dans la presse, perte de crédibilité vis-à-vis de clients,
mécontentement des actionnaires, perte d'avance concurrentielle, perte de notoriété…
� Impacts sur l’environnement� Pollution (chimique, bactériologique, radiologique, sonore, visuelle…) générée par
l'organisme et touchant son périmètre, son voisinage ou une zone…
� Impacts sur les tiers� Impossibilité d'assurer un service, amendements de contrats, pénalités, conséquences
sur la production ou la distribution de biens ou de services considérés comme vitaux…
Faire face à toutes les sources de menaces
� Sources humaines� Employé en fin de contrat, employé voulant se venger de son
employeur ou de ses collègues, fraudeur, employé maladroit ou inconscient…
� Militant agissant de manière idéologique ou politique, espion, terroristes, pirate passionné, casseur ou fraudeur, concurrent avec une motivation stratégique, visiteur, prestataire, personnel
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 20
une motivation stratégique, visiteur, prestataire, personnel d'entretien cupide, personnel d'entretien maladroit, personne réalisant des travaux dans le voisinage, manifestants, stagiaire agissant de manière ludique…
� Sources non humaines� Matières dangereuses, matières inflammables, eau…� Virus informatique ou autre code malveillant, nature environnante
(rivière, forêt…), météo, éléments du voisinage, temps qui s'écoule, contingence (malchance)…
Lutter contre les menaces
� Détournements d'usages� Défiguration, cybersquatting, altération de données, exploitation distante d'un réseau
sans fil, occupation de site, interception de signaux parasites (compromettants, wifi…),écoute passive, hameçonnage, divulgation involontaire, ingénierie sociale …
� Dépassements de limites de fonctionnement� Déni de service, surcharge de variables, défaillance logicielle, défaillance matérielle,
dysfonctionnement provoqué (rayonnements électromagnétiques, thermiques…),dépassement de capacités réseaux, surmenage, défaillance de la climatisation…
Val
eur
des
bien
s
Besoin de sécurité
SCAN
SOCIAL
ENGINEERING
SCRIPT
KIDDIES
Compétence
Disponibilitédes outils
DENI SERVICE
USURPATION
ATTAQUE
CRYPTO
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 21
dépassement de capacités réseaux, surmenage, défaillance de la climatisation…
� Détériorations� Bombe logique, impulsion électromagnétique, panne matérielle, assassinat, maladie,
infection, accident, décès, dégradation physique, vandalisme, catastrophe naturelle,sinistre majeur…
� Modifications� Altération d'un logiciel par modification ou ajout de code, contagion par un code
malveillant, piégeage d’un matériel, falsification d'un support papier, intégration demachines non maîtrisés, manipulation psychologique, travaux…
� Pertes de propriété� Non renouvellement de licence, perte de codes sources, disparition d'un matériel, vol
de support de données ou de document, récupération de matériels recyclés ou mis aurebut, licenciement, enlèvement, rachat de tout ou partie de l'organisme…
Réduire les vulnérabilités
� Réseaux� Possibilité de pose d'éléments additionnels, complexité du routage entre sous-réseaux,
ouverture des réseaux, liaison de télémaintenance activée en permanence…
� Matériels� Mauvaises conditions d'utilisation, fragilité des matériels, matériel facilement
démontable, matériel attractif, supports accessibles par tous, matériel transportable…
� Logiciels
FournisseurEntreprise
Nomade
Réseau Public
L.S.
Web
DNS
Filiale
Partenaire
Client
ClientServeurspublics
INTERNET
INTRANET
EXTRANET
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 22
� Logiciels� Mots de passe simples à observer (forme sur un clavier, mot de passe court), logiciels
obsolètes, possibilité d'utiliser une porte dérobée dans le système d'exploitation…
� Organisations� Organisation instable ou inadaptée, contrats peu clairs, clauses contractuelles
incomplètes, règles de sécurité inapplicables, consignes non respectées…
� Personnes� Instabilité financière, actionnariat instable, personnel manipulable, prééminence d’une
catégorie de personnel, manque de formation, manque de motivation…
� Sites� Proximité d’activités industrielles à risque, mauvais dimensionnement des ressources,
facilité de pénétrer dans les locaux, agencement des locaux inapproprié…
Faire émerger les risques réels
� Si l’ordinateur portable d’un employé est volé alors qu’il ne contient aucuneinformation confidentielle, alors il n’y a pas de risque.
� En revanche, s’il contient des informations confidentielles et que leurcompromission pourrait faire perdre des clients ou nuire gravement à l’image deson organisme, alors le risque existe et son niveau d’impact est important.
� Par ailleurs, si on estime que des concurrents ou des opposants à l’organismesont prêts à employer ce genre de méthode et s’en donneront les moyens, et
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 23
sont prêts à employer ce genre de méthode et s’en donneront les moyens, etqu’en plus les employés font preuve d’inattention, alors le niveau devraisemblance est important.
� Il est illusoire et coûteux de se protéger contre tous les risques imaginables.� Mais il est dangereux de ne pas identifier les risques auxquels on est confronté.� C’est pourquoi il convient de faire émerger les risques et d’estimer leur niveau.� Cela permettra de les hiérarchiser et de faire des choix objectivement.
Choisir les options de traitement
� Réduire les risques� Action sur les vulnérabilités (prévention) et/ou les impacts
(récupération, compensation) et/ou les sources de menaces(dissuasion) et/ou les menaces (protection, détection)
� Transférer les risques
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 24
� Transférer les risques� Partage des pertes avec autrui (assurance, certification…)
� Éviter les risques� Changement de situation pour que le risque n’existe plus (choix
techniques, réduction du périmètre…)
� Prendre les risques� Acceptation des pertes dans le cas où des sinistres arrivent
Déterminer les mesures de sécurité
� Les mesures de sécurité, destinées à traiter les risques, peuvent être :� créées de toute pièce,� créées à partir de meilleures pratiques adaptées,� choisies directement parmi les meilleures pratiques.
� Un exemple de catalogues de meilleures pratiques : l’ISO/CEI 27002[…]5. Politique de sécurité
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 25
5. Politique de sécurité6. Organisation de la sécurité de l’information7. Gestion des biens8. Sécurité des ressources humaines9. Sécurité physique et environnementale10. Gestion des communications et opérations11. Contrôle d’accès12. Acquisition, développement et maintenance des systèmes d’information13. Gestion des incidents de sécurité de l’information14. Gestion de la continuité d’activités15. Conformité
� Les mesures de sécurité sont également destinées à prendre en compte les références applicables
Accepter les risques résiduels
� Les risques résiduels sont issus :� de risques insuffisamment réduits,� de menaces écartées,� de mesures de sécurité induisant de nouveaux risques…
� Il convient de mettre en évidence les risques résiduels afin de vérifier
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 26
� Il convient de mettre en évidence les risques résiduels afin de vérifierque le niveau des risques est acceptable.
� Dans le cas contraire, il convient de revoir le traitement de ces risquesen tentant de les réduire, de les transférer ou de les éviter davantage.
� Cette acceptation des risques prendre généralement la forme d’unehomologation de sécurité :� déclaration, par une autorité dite d’homologation, que le sujet considéré est
apte à traiter des biens au niveau des besoins de sécurité exprimé,conformément aux objectifs de sécurité visés, et qu’elle accepte les risquesrésiduels induits.
Globalité
La défense doit être globale, ce qui signifie qu’el le englobe toutes les dimensions du système d’information :a) aspects organisationnels ;
b) aspects techniques ;
c) aspects mise en œuvre.
Coordination
La défense doit être coordonnée, ce qui signifie qu e les moyens mis en place agissent :a) grâce à une capacité d’alerte et de diffusion ;
b) à la suite d’une corrélation des incidents.
La défense doit être dynamique, ce qui signifie que le SI dispose d’une politique de sécurité identifi ant : a) une capacité de réaction ;
Appliquer des principesde défense en profondeur
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 27
Dynamismea) une capacité de réaction ;
b) une planification des actions ;
c) une échelle de gravité.
Suffisance
La défense doit être suffisante, ce qui signifie qu e chaque moyen de protection (organisationnel ou technique) doit bénéficier :a) d’une protection propre ;
b) d’un moyen de détection ;
c) de procédures de réaction.
Complétude
La défense doit être complète, ce qui signifie que :a) les biens à protéger sont protégés en fonction de leur criticité ;
b) que chaque est protégé par au minimum trois lignes de défense ;
c) le retour d’expérience est formalisé.
Démonstration
La défense doit être démontrée, ce qui signifie que :a) la défense est qualifiée ;
b) il existe une stratégie d’homologation ;
c) l’homologation adhère au cycle de vie du système d’information.
Résultats d’une analyse de risques
EBIOS
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 28
Cahier des chargesFEROS PP Cible
Négociation & arbitrage Responsabiliser les acteurs
TDBSSISDSSI
Plan d’action
Note de stratégiePSSI
Exemples de niveaux de détails selon la finalité
Analyse de risques PP/Cible FEROS PSSISchéma directeur
Étude du contexte Détaillé Détaillé Moyen Détaillé
Expression des besoins Détaillé Détaillé Moyen Faible
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 29
Expression des besoins de sécurité
Détaillé Détaillé Moyen Faible
Étude des menacesDétaillé Détaillé
Moyen à détaillé
Faible
Identification des objectifs de sécurité
Détaillé Détaillé Faible Faible
Détermination des exigences de sécurité
Détaillé Aucun Faible Optionnel
3. Adapter la SSI selon les enjeux
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 30
enjeux
L’ISO/IEC 21827définit 5 niveaux de maturité SSI cumulatifs
1. Pratique informelle : pratiques de base mises en œuvre de manière informelle et réactive à l'initiative de ceux quiestiment en avoir besoin.� Des actions sont réalisées en employant des pratiques de base.
2. Pratique répétable et suivie : pratiques de base mises en œuvre de façon planifiée et suivie, avec un supportrelatif de l'organisme.� Les actions sont planifiées.� Les actions sont réalisées par une personne qui possède des compétences en SSI.� Certaines pratiques sont formalisées, ce qui permet la duplication et la réutilisation (éventuellement par une autre personne).� Des mesures qualitatives sont réalisées (indicateurs simples sur les résultats).� Les autorités compétentes sont tenues informées des mesures effectuées.
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 31
� Les autorités compétentes sont tenues informées des mesures effectuées.
3. Processus défini : mise en œuvre d'un processus décrit, adapté à l'organisme, généralisé et bien compris.� Les actions sont réalisées conformément à un processus défini, standardisé et formalisé.� Les personnes réalisant les actions possèdent les compétences appropriées au processus.� L’organisme soutien le processus et accorde les ressources, les moyens et la formation nécessaires à son fonctionnement. Le processus est
bien compris autant par le management que par les exécutants.
4. Processus contrôlé : le processus est coordonné et contrôlé (indicateurs) pour corriger les défauts constatés.� Le processus est coordonné dans tout le périmètre choisi et pour chaque exécution.� Des mesures quantitatives sont régulièrement effectuées (en termes de performance).� Les mesures effectuées (indicateurs qualitatifs et quantitatifs) sont analysées.� Des améliorations sont apportées au processus à partir de l'analyse des mesures effectuées.
5. Processus continuellement optimisé : l'amélioration des processus est dynamique, institutionnalisée et tientcompte de l'évolution du contexte.� Le processus est adapté de façon dynamique à la situation.� L'analyse des mesures effectuées est définie, standardisée et formalisée.� L'analyse des mesures effectuées est définie, standardisée et formalisée.� L'amélioration du processus est définie, standardisée et formalisée.� Les évolutions du processus sont journalisées.
� La SSI doit être gérée en adéquation par rapport aux véritables enjeuxSSI du(des) SMSI. En effet, des enjeux faibles ne requièrent pas degérer la SSI de manière aussi rigoureuse que lorsqu'ils sont élevés.
� La démarche consiste à :� déterminer le niveau adéquat du SMSI
Maturité du SMSI
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 32
� déterminer le niveau adéquat du SMSI� déterminer le niveau effectif des processus� améliorer les processus
Première itération de la progression de la maturité
0 1 2 3 4 5
Définir la stratégie SSI
Gérer les risques SSI
Gérer les règles SSI
Superviser la SSI
Concevoir les mesures SSI
Réaliser les mesures SSI
Exploiter les mesures SSI
Niveau adéquat
Géré en dehors du périmètre considéré
Seconde itération de la progression de la maturité
0 1 2 3 4 5
Définir la stratégie SSI
Gérer les risques SSI
Gérer les règles SSI
Superviser la SSI
Concevoir les mesures SSI
Réaliser les mesures SSI
Exploiter les mesures SSI
Niveau adéquat
Géré en dehors du périmètre considéré
Troisième itération de la progression de la maturit é
0 1 2 3 4 5
Définir la stratégie SSI
Gérer les risques SSI
Gérer les règles SSI
Superviser la SSI
Concevoir les mesures SSI
Réaliser les mesures SSI
Exploiter les mesures SSI
Niveau adéquat
Géré en dehors du périmètre considéré
4. Viser une amélioration continue par la mise en place d’un SMSI
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 33
par la mise en place d’un SMSI
Qu’est-ce qu’un système de management ?
� Selon l’ISO/CEI 9000, un système de management est :
� un ensemble d'éléments corrélés ou interactifs
� permettant d'établir une politique et des objectifs
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 34
� permettant d'établir une politique et des objectifs
� et d'atteindre ces objectifs.
Différents systèmes de management
� Le système de management d'un organisme peut inclure différents systèmes demanagement.
� Les différentes normes de systèmes de management sont très similaires :� elles sont basées sur les mêmes principes,� elles sont structurées quasiment à l'identique,� elles utilisent une terminologie relativement commune,
elles reposent sur les lignes directrices pour la justification et l'élaboration de normes de
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 35
� elles reposent sur les lignes directrices pour la justification et l'élaboration de normes desystèmes de management (Guide ISO/CEI 72).
� Elles se distinguent et se complètent par leur objet et leur objectif :
Domaine Norme Objet Objectif
Qualité ISO/CEI 9001 Produit Satisfaction des clients
Environnement ISO/CEI 14001Communauté environnante
Protection de l'environnement
Sécurité des personnesOHSAS 18001ILO-OSH 2001
IndividuProtection en matière
d'hygiène, santé et sécurité
Sécurité de l’information ISO/CEI 27001Informations et processus
informationnelsProtection du patrimoine
informationnel
Qu’est-ce qu’un système de management de la sécurité de l’information (SMSI) ?
� Le système de management de la sécurité de l'information (SMSI) est :� un ensemble d'éléments corrélés ou interactifs� permettant d'établir une politique et des objectifs en matière de sécurité de
l'information� et d'atteindre ces objectifs.
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 36
� Les éléments de ce système sont :� ses ressources (humaines, financières, temporelles),� ses moyens (ensemble des types de biens supports de l'information :
réseaux, matériels, logiciels, organisations, sites, personnels).
� Le SMSI apporte un cadre pour la gestion de la sécurité del'information.
� Il constitue un moyen de gérer la sécurité de l'information de manièreglobale, systématique, systémique, complète et cohérente.
Le SMSI est un moyen de gouvernance
� La gouvernance de la sécurité de l’information est la manière dont lesystème de management de la sécurité de l'information (SMSI) estdirigé et contrôlé
� La gouvernance de la sécurité de l'information apportecoordination et cohérence aux activités du SMSI. Ainsi, ellestructure et hiérarchise ses activités :
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 37
structure et hiérarchise ses activités :� elle active tous les processus de sécurité de l'information,� elle alimente et s’aligne sur les processus de pilotage de l'organisme pour
s'assurer de la cohérence et de la coordination nécessaires entre le SMSIet le reste des activités de l'organisme,
� elle prend appui sur les processus de support de l'organisme afin de fournir,de manière efficace et efficiente, tous les moyens et ressources dont lasécurité de l'information a besoin au moment approprié.
L’ISO/CEI 27001 décrit un SMSI
� Mise en œuvre de la démarche ISO/CEI 27001� L’ISO/CEI 27001 spécifie un SMSI / Information Security Management
System (ISMS), structuré en 4 étapes :
1. Planifier : définir le cadre du SMSI, apprécier et spécifier le traitementdes risques SSI
2. Mettre en œuvre : implémenter et maintenir les mesures
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 38
2. Mettre en œuvre : implémenter et maintenir les mesures
3. Vérifier : vérifier que les mesures fonctionnent conformément à l’étapePlanifier et identifier les améliorations possibles du SMSI
4. Améliorer : mettre en œuvre les améliorations identifiées pour le SMSI
� Positionnement par rapport aux mesures de l’ISO/CEI 27002� Catalogue de meilleures pratiques regroupant 39 objectifs de sécurité (buts
à atteindre), décomposés en 133 mesures de sécurité (explications sur lesactivités permettant d’y parvenir) et relatifs à 11 domaines
Les tâches à réaliser selon l’ISO/CEI 27001
Planifier� Définir le périmètre� Définir l'approche d'appréciation des risques SSI� Identifier les risques SSI� Analyser et évaluer les risques SSI� Identifier et évaluer les options pour traiter les risques SSI� Sélectionner les objectifs et mesures de sécurité pour traiter
les risques SSI� Obtenir la validation des risques résiduels� Obtenir l'autorisation de mettre en œuvre et d'exploiter le
SGSSI
Améliorer� Mettre en œuvre les améliorations identifiées
pour le SGSSI� Prendre les mesures correctives et préventives
appropriées� Communiquer les résultats et actions, consulter
les parties prenantes� S'assurer que les révisions réalisent leurs
objectifs prévus
Vérifier
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 39
� Définir la politique de sécurité� Préparer une déclaration d’applicabilité
Mettre en œuvre� Formuler un plan de traitement des risques SSI� Mettre en œuvre le plan de traitement des risques SSI� Mettre en œuvre les mesures de sécurité� Définir comment mesurer l'efficacité des mesures de sécurité� Mettre en œuvre les programmes de sensibilisation et de
formation� Gérer les opérations� Gérer les ressources� Mettre en œuvre les procédures et autres mesures pour
détecter et réagir face aux incidents de sécurité
Vérifier� Exécuter les procédures de vérification et autres
mesures� Vérifier régulièrement la performance du SGSSI� Mesurer l'efficacité des mesures de sécurité� Vérifier régulièrement l'appréciation des risques,
ainsi que le niveau du risque résiduel et durisque acceptable
� Mener des audits internes réguliers du SGSSI� Vérifier régulièrement le management du SGSSI� Mettre à jour les plans de sécurité pour prendre
en compte les résultats des actions précédentes� Enregistrer les actions et événements pouvant
impacter la performance du SGSSI
Vers une intégrationdes systèmes de management ?
� Les systèmes de management peuvent être :� totalement séparés,� partiellement intégrés,� totalement intégrés.
� L’intégration des systèmes de management permet :
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 40
� L’intégration des systèmes de management permet :� une simplification (documentation, audits),� une économie (non répétition des procédures),� une exhaustivité (pas d’oubli de procédures),� une cohérence (une même logique).
� Les difficultés rencontrées :� un investissement conséquent,� nécessite de « remettre à plat les différents systèmes ».
6. Intégrer la SSI dans le cycle de vie des systèmes
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 41
des systèmes
La méthode GISSIP
� GISSIP permet une intégration de la SSI structurée, complète etadaptée aux enjeux de sécurité de chaque SI.
� La méthode aide à déterminer les actions SSI à entreprendre etles documents à produire tout au long du cycle de vie des SI, etce, en fonction du niveau de maturité SSI adéquat.
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 42
ce, en fonction du niveau de maturité SSI adéquat.
� L’approche est à considérer avec souplesse afin de l’appliqueren cohérence avec les pratiques et outils de chaque organisme.
� Il convient de réévaluer régulièrement les enjeux de sécurité, etdonc le niveau de maturité SSI adéquat pour vérifier que lesactions entreprises apportent bien le niveau de confiance le plusapproprié.
Actions SSI par étape et par niveau de maturité
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 43
Livrables par étape et par niveau de maturité
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 44
7. Une démarche d’homologation systématique
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 45
systématique
Qu’est ce qu’une homologation de sécurité?
� Il s’agit de déclarer, au vu du dossier d’homologation, que lesystème d’information considéré est apte à traiter des informationsd’un niveau de sensibilité ou de classification donné. (IGIn°1300/SGDN/PSE/SSD du 25 août 2003)
� Cette déclaration est faite par l’autorité d’homologation qui peut
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 46
� Cette déclaration est faite par l’autorité d’homologation qui peuts’appuyer sur une commission d’homologation.(IGI n°1300)
� La DCSSI participe à la commission d’homologation pour les SItraitant des informations classifiées de défense. (Rapport sur la doctrine SSI)
Pourquoi homologuer ?
� Pour garantir la protection des informations conformément à la réglementation.« Tout système d’information traitant des informations classifiées doit faire l’objet d’unedécision d’emploi formelle. Cette décision s’appuie sur l’homologation de sécurité » (IGIn°1300)
� Tout système d’information doit faire l’objet d’une homologation de sécurité par uneautorité d’homologation désignée par l’autorité administrative (RGS)
� Pour être en mesure d’apporter la preuve que l’on a respecté la loi :� pour la protection des informations classifiées de défense
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 47
� pour la protection des informations classifiées de défense� pour la protection des informations nominatives
� Pour attester de son niveau de sécurité vis-à-vis de ses partenaires(Organismes tiers, clients, OTAN, UE…).
� Pour mettre en place un SMSI, obtenir une vision cohérente en termes� de place de la SSI dans le système d’information,� de coûts et de priorités,� des responsabilités.
Quand homologuer ?
Homologation
PSSIRéférentiel de règles et meilleures pratiques
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 48
Valeurs stratégiques
Objectifs de sécurité
Enjeux de sécurité
Besoins utilisateurs
Fil conducteur de la confiance
RÉALISATION
ÉTUDE D’OPPORTUNITÉÉTUDE D’OPPORTUNITÉ EXPLOITATION
EXPLOITATION
V V
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 49
RÉALISATIONRÉALISATION
CONCEPTION DÉTAILLÉECONCEPTION DÉTAILLÉECONCEPTION GÉNÉRALE
CONCEPTION GÉNÉRALE
ÉTUDE DE FAISABILITÉÉTUDE DE FAISABILITÉ
Suivi du cycle
Validation
IncrémentationLot1 à Lot n
Version successivesV1 à Vn
V
V
V
Sur quelle base homologuer ?
FEROSQuelles sont mes intentions ?
PSSIComment les appliquer ?
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 50
PSSIComment les appliquer ?
AUDITSComment vérifier mes choix ?
Quels sont les risques résiduels ? Cible
Le dossier de Sécurité
� Élément de décision pour l’autorité d’homologation� Le contenu dépend du niveau de maturité du système !
� Contenu type d’un dossier de sécurité pour un système d’un haut niveau de maturité� Stratégie d’homologation, note de stratégie SSI� Fiche d’expression rationnelle d’objectif de sécurité (FEROS)
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 51
� Fiche d’expression rationnelle d’objectif de sécurité (FEROS)� Cible de sécurité du système� Politique de sécurité du système (PSSI)
� Procédures d’exploitation de sécurité (PES)
� Certificat d’évaluation des produits de sécurité intégrés� Rapport technique d’évaluation� Cible de sécurité produit
� Résultats d’audit� Liste des risques résiduels
Stratégie d’homologation – Encadrement de la démarche
� Présentation du système� Identification du périmètre d’homologation
�Encadrement de la démarche SSI du projet� Présentation du processus d’homologation� Identification des acteurs et des responsabilités� Rappel des différents étapes et jalons de validation
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 52
� Rappel des différents étapes et jalons de validation� Description des différents livrables attendus� Référencement des textes applicables
� Expression des enjeux, des besoins SSI et du mode d’exploitation de sécurité
� Implication au plus tôt des acteurs SSI permettant� une Intégration de la SSI dans le projet / SMSI� de prendre en compte les contraintes opérationnelles� d’éviter les retards, écueils
FEROS - Expression de la maîtrise d’ouvrage
� Cahier des charges SSI de la maîtrise d’ouvrage� Besoins de sécurité du système� Contraintes auxquelles il est soumis� Menaces contre lesquelles il doit se prémunir� Objectifs de sécurité de haut niveau� Risques résiduels
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 53
� Document approuvé par l'autorité responsable
� Obligatoire pour les systèmes traitant des informations classifiées
Cible de sécurité - La réponse de la maîtrise d’œuvre
� Identifie sans ambiguïté le périmètre sur lequel porte l’homologation
� Réponse de la MOE aux objectifs de sécurité identifiés dans la FEROS� Lien entre les objectifs de la maîtrise d’ouvrage et les exigences de sécurité de
la maîtrise d’œuvre
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 54
� Liste les exigences de sécurité organisationnelles et techniques
� Justifie le niveau de couverture des objectifs de sécurité par les exigences de sécurité� Identifie les risques résiduels� Garantie une traçabilité
� Permet de suivre l’homologation tout au long du cycle de vie du SI
PSSI – Traduction de la stratégie de sécurité de l’organisme
� Document de référence SSI applicable à l'ensemble des acteurs de l’organisme
� Différentes formes en fonctions des interlocuteurs� Directives� Procédures� Codes de conduite� Règles organisationnelles et techniques
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 55
� Règles organisationnelles et techniques
� La PSSI inclut� les éléments stratégiques
� périmètre du SI, les enjeux liés et orientations stratégiques, aspects légaux réglementaires
� les principes de sécurité par domaine : organisationnel, mise en œuvre, technique
� Complétée par un(s) politique(s) d’application comme les procédures d’exploitationde la sécurité
� Processus similaire à la démarche nationale
� Dossier de sécurité semblable• énoncé des impératifs de sécurité (SRS)
• applicables à un ensemble d'interconnexions (CSRS)
Dossier de sécurité – OTAN / UE / coalitions
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 56
• applicables à un ensemble d'interconnexions (CSRS)• propres à un système (SSRS)• applicables à une interconnexion de systèmes (SISRS)• énoncé des impératifs de sécurité électronique (SEISRS)
• procédures d'exploitation de sécurité (SecOPS)• rapport d’audit
� SGDN, ANS pour les systèmes traitant des informations classifiées non nationales
Les étapes de l’homologation
� Identifier l’autorité d’homologation
� Obtenir une validation opérationelle des utilisateurs
� Monter une commission d’homologation
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 57
� Bâtir le référentiel d’homologation et le valider
� Auditer le système en fonction du référentiel
� Mettre en avant les risques résiduels
� Homologuer le système au regard des risques résiduels
Les conditions du succès - Avant l’étude
� Impliquer l’organisme� La démarche doit être portée par la direction
� Motivation de l’ensemble acteurs de l’organisme� Sensibiliser l’organisme aux intérêts de la démarche� Définir un chef de projet
� Mise en place d’une stratégie d’homologation� Application cohérente avec le niveau de maturité SSI de l’organisme
� Identifier le niveau de sécurité de l’organisme
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 58
� Identifier le niveau de sécurité de l’organisme� Identifier le niveau de sensibilité nécessaire� Réponse adéquate
� Identifier l’autorité d’homologation� Création d’une commission d’homologation� Création d’un comité de pilotage
� groupe de suivi et de pilotage� Nommer une équipe d’audit� Constituer un dossier de sécurité
� Définir les livrables� Définir le périmètre de l’étude
� Sensibiliser les acteurs sur la démarche, les concepts, le vocabulaire…
Les conditions du succès – Pendant l’étude (1/2)
� A chaque activité� Constituer un groupe de travail
� Identifier les bons acteurs� Nommer un leader
• Arriver à un consensus ou trancher
� Sensibiliser les acteurs� Rappeler l’objectif de l’activité� Présenter les concepts, le vocabulaire� S’assurer que l’ensemble des acteurs est une vision commune de la problématique
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 59
� S’assurer que l’ensemble des acteurs est une vision commune de la problématique� Demande une justification
• Facilite l’argumentation• Permet de garder une traçabilité
� Collecter les informations� Réalisation d’interviews� Documents existants sur l’organisme, le projet� Documentation EBIOS
• Base de connaissances• Guide / Meilleures pratiques
� Être force de proposition� Présenter des exemples pour lancer les discussions� Synthétiser les informations récoltées pour validation au groupe de travail
� Suivi et validation par le comité de pilotage
Les conditions du succès – Pendant l’étude (2/2)
� Distinguer l’analyse de risques et les livrables
� Adapter les livrables aux destinataires� Sous la forme d’un tableau ou texte� Exhaustif ou sous la forme d’une synthèse� Favoriser les schémas (UML, MERISE…)� Intégrer les documents existants
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 60
� Intégrer les documents existants� S’adapter au vocabulaire de l’organisme� Nomenclature explicite
� Libellé court et description
� Validation de chaque étape par la commission d’homologation� Éviter les retours en arrière� Impliquer la direction tout au long de la réalisation du dossier de sécurité� Facilite l’homologation
Les produits de sécuritépeuvent être labellisés
� Les produits de sécurité peuvent faire l'objet d'une évaluation de sécuritédébouchant sur une attestation de sécurité établie par la DCSSI :� une certification en vertu du décret n°2002-535 du 18 avril 2 002 (selon
l’ISO/CEI 15408) ;� une certification de sécurité de premier niveau (CSPN) ;� une qualification (au niveau standard, renforcé ou élevé) ;
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 62
� une qualification (au niveau standard, renforcé ou élevé) ;� un agrément ou caution (jugeant de l’aptitude à assurer la protection
d'informations classifiées de défense ou d'informations sensibles nonclassifiées de défense).
� Catalogues :� Certificats : http://www.ssi.gouv.fr/fr/confiance/certificats.html� CSPN : http://www.ssi.gouv.fr/fr/confiance/certif-cspn.html� Qualifications : http://www.ssi.gouv.fr/fr/politique_produit/catalogue/index.html
Les SMSI peuvent être certifiés
� La certification selon l’ISO/CEI 27001 atteste de la mise enplace effective du système de management de la sécurité del’information au sein d’un organisme, d’un site ou d’unprocessus (prise en compte de la SSI et amélioration continue)
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 63
� Elle est attribuée par un tiers certificateur sur la base du rapportd’un auditeur (certifié ISO 27001 Lead Auditor)
� La certification de SMSI est en croissance (1000 certificats en2004, 2000 certificats en 2006), mais elle n’est beaucouputilisée que dans certains pays (notamment au Japon, maiségalement au Royaume-Uni, en Inde…)
Que signifie une certification ISO/CEI 27001 ?
� La certification ISO/CEI 27001 porte sur un ISMS, qui peut correspondre à :� un organisme entier,� une sous-partie de l’organisme (un service, un ou plusieurs processus…).
� Elle assure, par une démonstration indépendante, que le SMSI est :� conforme aux exigences spécifiées,� capable de réaliser de manière fiable la politique et les objectifs qu'il a déclarés,� mis en œuvre de manière efficace.
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 64
� mis en œuvre de manière efficace.
� Elle peut être préparée (mise en œuvre du SMSI) en interne ou avec l’aide deprestataires (ex. : ISO/CEI 27001 Lead Implementor).
� Un audit est réalisé (selon l’ISO/CEI 19011) par un auditeur certifié (ISO/CEI27001 Lead Auditor).
� Un organisme de certification, accrédité par une autorité d’accréditation (selonl’ISO/CEI 17021 et l’ISO/CEI 27006), évalue les résultats d’audit pour délivrer uncertificat reconnu dans les pays liés à l’IAF (International Accreditation Forum).
� Des audits de surveillance ou de contrôle ont lieu au maximum une fois par an.� Un audit de renouvellement de certification a lieu tous les trois ans.
Motivations des organismes pour la certification d’un système de management
� Améliorer l’efficacité globale de l’entreprise� Améliorer l’image de l’entreprise� Répondre à une obligation client� Prévenir ou remédier à certains dysfonctionnements� Aller eu devant des exigences réglementaires
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 65
� Aller eu devant des exigences réglementaires� Se différencier des concurrents� Répondre à une volonté du groupe� Faire un bilan de ce qui se faisait dans l’entreprise� Acquérir des méthodes de travail qui n’existaient pas� Parer aux contestations sociales et économiques
[Rapport d’étude AFAQ / AFNOR de mai 2005sur les certifications qualité, sécurité des personnes et environnement]
Les systèmes peuvent être homologués
� L’homologation de sécurité d’un SI est la déclaration parl’autorité d’homologation, conformément à une noted'orientations SSI et au vu du dossier de sécurité, que le SIconsidéré est apte à traiter des informations au niveau debesoins de sécurité exprimé conformément aux objectifs desécurité, et que les risques de sécurité résiduels sont acceptés
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 66
sécurité, et que les risques de sécurité résiduels sont acceptéset maîtrisés
� Cette décision se fait dans le cadre de la commissiond'homologation
� Elle peut être provisoire, définitive ou bien un refus� L’homologation de sécurité reste valide tant que le SI opère
dans les conditions approuvées par l’autorité d’homologation.� Elle traduit donc l’acceptation par l’autorité d’homologation d’un
niveau de risque résiduel qualifié et quantifié en termes deconfidentialité, d’intégrité, de disponibilité…
Les personnes peuvent être certifiées
� Exemples de certifications orientées « management / conseil / audit »� CISM (Certified Information Security Manager, ISACA / AFAI)� CISA (Certified Information System Auditor , ISACA / AFAI)� CISSP (Certified Information System Security Professional, ISC2)� ISO/CEI 27001 Lead Auditor (BSI anglais, LSTI…)� ProCSSI (Professionnel Certifié de la Sécurité des Systèmes d’Information, INSECA)� EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité, en cours)
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 67
� EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité, en cours)� …
� Exemples de certifications orientées « technique »� CEH (Certified Ethical Hacker , EC-Council)� CHFI (Computer Hacking Forensics Investigator, EC-Council)� SCNP (Security Certified Network Professional, Ascendant Learning)� SCNA (Security Certified Network Architect, Ascendant Learning)� OPSA (OSSTMM Professional Security Analyst, ISECOM)� OPST (OSSTMM Professional Security Tester, ISECOM)� OPSE (OSSTMM Professional Security Expert, ISECOM)� Certifications GIAC (Global Information Assurance Certifications, SANS)� …
CONCLUSION
� Les grands principes peuvent se résumer ainsi :� Adopter une démarche globale� Viser une amélioration continue� Adapter la SSI selon les enjeux� Formaliser une politique SSI� Fonder la SSI sur la gestion des risques
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 69
� Fonder la SSI sur la gestion des risques� Intégrer la SSI dans le cycle de vie des systèmes� Utiliser des labels SSI� Mener une homologation systématique
� L’outillage pour mettre en œuvre ces principes est disponiblesur le site de la DCSSI (http://www.ssi.gouv.fr) dans la partieméthodologie