SMSI Support [PDF]

Zitiervorschau

Système de management de la sécurité de l’information

Préparation à la Certification ISO 27001

Saadi Mostafa, PhD Professor of Computer Science & Cybersecurity

Objectifs  Comprendre la corrélation entre la norme ISO/CEI 27001 et la norme ISO/CEI 27002, ainsi qu’avec d’autres normes et cadres réglementaires  Maîtriser les concepts, approches, méthodes et techniques nécessaires pour mettre en œuvre et gérer efficacement un SMSI

 Savoir interpréter les exigences de la norme ISO/CEI 27001 dans un contexte spécifique de l’organisation  Savoir accompagner une organisation dans la planification, la mise en œuvre, la gestion, la surveillance et la tenue à jour du SMSI  Acquérir l’expertise nécessaire pour conseiller une organisation sur la mise en œuvre des meilleures pratiques relatives au Système de Management de la Sécurité de l’Information  Mener un Audit organisationnel et Techniques

 Mettre en place une politique de sécurité SI  Préparer la certification Lead Auditor ISO 27001 et Lead Implementer ISO 27001

Références et Sources

Documentation officielle ISO 27001/27002

Security and Privacy Management Techniques, and Protocols by Yassine Maleh

Strategic IT Governance and Performance Frameworks in Large Organizations by Yassine Maleh

ISO_IEC 27001 Information Security_The big picture by Richard Harpur

Plan Les enjeux de la sécurité SI Normes et Référentiels

Plan ISO 27000 certification: Vue Globale Mise en place d’un SMSI de A à Z La Gestion des Risques

Etude de cas et Projet • • • •

Audit de la Sécurité SI Audit Organisationnel Audit Techniques Politique de la Sécurité SI

Sécurité et Audit des applications WEB

Tableaux de bord Sécurité SI

Système de management de la sécurité de l’information

Introduction au Système d’Information et Sécurité de l’information

Information et Système d’information

Comprendre les concepts de base de l'information

Information et Système d’information

Information Un ou plusieurs éléments de données utilisés pour l'acte ou le fait d'informer.

Information et Système d’information

Comprendre les concepts de base de l'information

Information et Système d’information

Comprendre les concepts de base de l'information 



 





















Information et Système d’information

Comprendre les concepts de base de l'information 



























Information et Système d’information

Comprendre les concepts de base de l'information

Les autres types de communication exigent qu'une certaine forme de sécurité soit identifiée et au besoin, appliquée.

Information et Système d’information

Comprendre les concepts de base de l'information Comprendre la valeur des données, de la connaissance de l'information et de la sagesse

Information et Système d’information

Information et Système d’information

Comprendre les concepts de base de l'information Ce que sont les systèmes d'information et comment ils ajoutent de la valeur

Information et Système d’information

Système d’Information Un ensemble intégré de composants utilisés pour la collecte, le stockage et le traitement des données et pour la diffusion de l'information et des connaissances.

Information et Système d’information

Information et Système d’information

Information et Système d’information

People

Process

Technology

Information et Système d’information

People Employees, Business Partners, Vendors, and Customers Creators, Data Owners, Admi n istrators, and Users

Information et Système d’information

Process Policies, Procedures, Rules, Role Defin it ions, and Audit Controls Monitor, Measure, and lmprove Information Systems

Information et Système d’information

-

Technology

Information et Système d’information

Peop le UseTechnology Technology Enables People

-

Information et Système d’information

People Conceptualize

Process

Appraise & Select

Preserve

Technology Access, Use, & Reuse

INFORMATION LIFE CYCLE

Create or Receive

lngest

Store

Transform

Dispose

Qu'est-ce que la sécurité de l'information ?

Sécurité Menace

Disponibilité S Intégrité Confidentialité Traçabilité

Vulnérabilité

Sécurité

Sécurité

Sécurité

Information

Risque

Qu'est-ce que la sécurité de l'information ?

Le risque !!

Threats

Controls

reduce

Security requirements

exploit

Risk

Vulnerabilities

to

Information assets

Value

Alors, comment sécuriser nos actifs informationnels ?

Comment assurer la sécurité SI

Sécurité de l’information et cybersécurité

29

Les Normes et Standards SI

Cybersecurity & Ethicald’information Hacking Sécurité des systèmes

Cotexte et Objectives

31

Contexte

Source Kaspersky Répartition géographique des attaques* sur les systèmes d'automatisation industrielle, H1 2019* pourcentage d'ordinateurs ICS sur lesquels des objets malveillants ont été bloqués

32

Contexte

Source Kaspersky

TOP 15 des pays et territoires par pourcentage d'ordinateurs ICS sur lesquels des objets malveillants ont été bloqués

33

Contexte

2019 est une grande année pour les investissements dans la cybersécurité

34

Opportunités en Cybersecurité

35

Carrière en Cybersecurité 1 2

AR/VR Engineer Gaming engineer

1400% 146%

3

Computer vision engineer

146%

4

Search engineer

137%

5

Machine Learning engineer

89%

6 7 8 9

Security engineer Data engineer Frontend engineer Backend engineer

49% 45% 45% 17%

10

Blockchain engineer 9%

11

Full-stack engineer

5% Source Linkedin

Profils IT demandés pour l’année 2020

36

Les enjeux de la sécurité des SI

Sécurité des systèmes d’information

ISO/IEC 27001 Certification: Vue Globale

1ère Partie  Pourquoi la certification ISO27001 est-elle si importante ?  Comprendre les normes  Faire certifier votre organisation

 Conserver votre certification  Outils et support dont vous avez besoin

•“… Preserves the confidentiality, integrity and availability of information by applying a risk management process ...” Source: ISO/IEC 27001:2013 Standard section 0.1

Famille ISO 2700X ISO 27002 Best Practices

ISO 27003 Implementati on

ISO 27000 Definitions

ISO 27001 ISMS Requirements

ISO 27006 Audit rules

ISO 27004 Measures

ISO 27005 Risk assessment

Famille ISO 2700X ISO/IEC 27000 présente le vocabulaire et les définitions du domaine de la sécurité, applicables à chacune des normes ; ISO/IEC 27001 décrit la politique de gestion de la sécurité des systèmes d'information au sein d'une entreprise qui sert de référence pour la certification ; ISO/IEC 27002 est le guide des bonnes pratiques pour la sécurité du SI ; ISO/CEI 27003 se veut un guide de mise en œuvre ; ISO/IEC 27004 sera une nouvelle norme pour les indicateurs de pilotage et les mesures dans le domaine de la sécurité informatique ; ISO/IEC 27005 sera une nouvelle norme sur la gestion des risques pour la sécurité des systèmes d'information ; ISO/IEC 27006 résume les exigences applicables aux auditeurs externes dans leur mission de certification ISO 27001

ISO/IEC 27001

Que signifie "ISO/IEC 27001" ?

ISO/IEC 27 0 0 1

S p é c ific a ti o n Exigences exactes explicitement documenté 114 contrôles 14 domaines

Créé Par Internatio nal O rg an iz atio n fo r S tand a rd i z ation (IS O ) Internatio nal E l e c tro te c hnic al C o m m i s s io n (IE C )

Relative à Système de gestion de la sécurité de l'information et de la gestion des risques

ISO/IEC 27001 Différences entre ISO/IEC 27001 et ISO/IEC 27002 CERTIFIED

IS O / IE C 2 7 0 0 1 Internatio nal S tan d ard

IS O / IE C 2 7 0 0 2 C o d e o f P rac tic e / Im p l e m entation g u ida nc e

ISO/IEC 27001

Contrôles et domaines # Domaine

Nombre de contrôles

#

Domaine

Nombre de contrôles 14

1 Politique de Sécurité

2

8

Sécurité des opérations

2 Organisation de la Sécurité

7

9

Sécurité des communications

7

3 Sécurité liées aux RH

6

10 Acquisition, développement et maintenance de systèmes

13

4 Gestion des biens

10

11 Relations avec les fournisseurs

5

5 Contrôle d’accès

14

7

6 Cryptographie

2

7 Sécurité physique et environnementale

15

12 Gestion des incidents liés à la sécurité de l'information 13 La continuité des activités liés à la sécurité de l'information 14 Conformité

En Total 114 contrôles

4

8

ISO/IEC 27001

• Les 3 premiers domaines se focalisent moins sur l’aspect technique et surtout sur l’aspect process et politique. C’est ici qu’on parle de système de qualité/management ou bien SMSI. Les 7 autres contrôles contient les aspects techniques. Les 4 derniers domaines sont plus orientés sur les activités de l’organisme. • Ne pensez pas que vous devrez être une grande organisme pour implémenter ISO 27001. • Des organismes avec 3 employés qui ont adopté ISO 27001. Donc, il n’a pas une taille minimum pour que l’entreprise doit être certifiée.

ISO/IEC 27001

Bref historique de l’ISO/IEC27001 1992

1996

20 0 0

20 0 5

UK G ov e rnm e nt ( DTI) Code of practice…

F irst A ud itors

R e publis he d and inte rna tio na l sta nd a rd ISO/IEC 17799

S p e cifica tio n P ub lis he d ISO/IEC 270 0 1published ISO/IEC 17799 withdrawn

1995

1999

20 0 2

2 013

Britis h S ta nd a rd s Institute B S 7799

Ma jo r rev is io n Accreditation & Certification S cheme

S p e cifica tio n ISO/IEC 17799-2

Up d ate d S p e cifica tio n ISO/IEC 270 0 1:20 13 270 0 1 F a m ily

ISO/IEC 27001

Comparison avec d’autres Standards H e althc are / F DA

G overnm ent

D efens e

F in an c ial

C ard P ay m ents

ISO/IEC 27001

Que signifie être certifié ? • Vérification réussie par un vérificateur indépendant

• Démontré que vous répondez aux exigences de la norme C E R T IF IE D

• Sous réserve d'audits de surveillance en cours Utiliser un organisme de certification accrédité www.anab.org

ISO/IEC 27001

A va n t a g e s d ' ê t r e certifié Avantages de l'orientation vers l'extérieur Assurance client Faciliter la vérification diligente à l'égard de la clientèle Conformité réglementaire

Avantages de l'orientation interne Confiance dans les processus Alignez votre organisation sur les meilleures pratiques Réduisez vos coûts Management & Contrôle Satisfaire les besoins d'audit

Avantages pour les ventes et le marketing Avantage concurrentiel Protégez votre réputation Supprime les obstacles dans le processus de vente

Principales ressources ISO/IEC sur le Web Tr o u ve r u n c e r t i f i c a t I S O / I E C 2 7 0 0 1

D emo

en ligne

Interpréter un certificat ISO/IEC27001  C o m m e n t vé r i f i e r l a va l i d i t é

 Pourquoi la portée est importante

Case Study Globalmantics - Petite société de gestion de brochures en ligne au service des banques et des compagnies d'assurance Processus d'obtention de la certification ISO/IEC 27001 pour Globalmantics.

Pourquoi ISO/IEC27001 est si important Av a n t a g e s p o u r v o t r e o r g a n i s a t i o n

Résumé

Quand ISO/IEC27001 est la bonne Suivant • Structure de la norme • P r e m i e r s p a s p o u r Globalmantics

Sécurité des systèmes d’information

Comprendre la structure de la norme

Structure de la norme ISO/IEC 27001 Structure du Standard

1 IS O 27 0 0 1

2

3 2 013 Ve rsio n

4

C la us e s 1 – 3: Définitions générales et contenu

C laus e s 4 – 10: 7 C lauses concernant votre conformité obligatoire au SMSI A n nex A – 114 c o ntroles sur 14 d o m aines Conformité obligatoire B ibliog rap hy - R eferenc e s

Structure de la norme ISO/IEC 27001

Clauses 0 - 3 1 IS O 27 0 0 1

2

Clause # Déscription 1

Process and process approach

2

Process approach impact

3

The Plan-Do-Check-Act cycle

3 2 013 Ve rsio n

4

3 Claus es relat iv es à des déf init ions général et c ont enu du SM SI

Structure de la norme ISO/IEC 27001

• Les sections 1 à 3 couvriront les concepts de processus, d'approche processus et de cycle PDCA applicables à l'ISO. Plan, Do, Check, Act • normes de gestion, ainsi que les définitions les plus importantes un débutant en sécurité de l'information • devrait savoir. • Terms and definitions: Process, Information Security,…. • Impact du process • PDCA

Structure de la norme ISO/IEC 27001

Clauses 4 - 10 1 IS O 27 0 0 1

2 3

2 013 Ve rsio n

4

Clause # Déscription 4

Contexte de l'Organisation

5

Leadership

6

Planning

7

Support

8

Opération

9

Evaluation de Performance

10

Amélioration

7 Claus es relat iv es à la nat ure et au f onc t ionnem ent de v ot re SM SI

Structure de la norme ISO/IEC 27001 • 4- Cette clause exige que l'organisation détermine toutes les questions internes et externes qui peuvent être pertinentes à ses objectifs opérationnels et à l'atteinte des objectifs du SMSI lui-même.

• - Détermination de la portée du système de gestion de la sécurité de l'information • 5- Le top management et les cadres dirigeant ayant des rôles pertinents au sein de l'organisation doivent faire preuve d'un réel effort pour faire participer les gens à l'appui du SMSI.

• - Le top management a la responsabilité d'établir une politique de sécurité de l'information, qui est alignée sur les objectifs de l'organisation et fournit un cadre pour l'établissement des objectifs de sécurité de l'information, y compris un engagement à satisfaire aux exigences applicables et à l'amélioration continue du SGSI. - La norme stipule qu'il incombe à la haute direction de s'assurer que les rôles, les responsabilités et les pouvoirs sont délégués et communiqués efficacement.

Structure de la norme ISO/IEC 27001 6. L'organisation doit planifier des mesures pour gérer les risques et les possibilités qui s'appliquent au contexte de l'organisation. - Les objectifs de sécurité de l'information devraient être établis et communiqués aux niveaux et fonctions appropriés. • 7. Support inclut la compétence des équipes, La sensibilisation, la communication et la documentation. Une organisation doit non seulement gérer les documents internes (par exemple, diverses politiques, procédures, documentation de projet, etc.), mais aussi les documents externes (par exemple, différents types de correspondance, documentation reçue avec le matériel, etc.)

Structure de la norme ISO/IEC 27001 8. Pour s'assurer que les risques et les possibilités sont traités correctement (risques dans 6. Planning) 9. Evaluation de performance à travers des audits et indicateur de suivis KPI. 10. Les résultats de l’évaluation (Etape 9), des vérifications internes et de l'évaluation de la conformité et du rendement devraient tous servir de base aux non-conformités et aux mesures correctives. L'amélioration continue est un aspect clé du SMSI dans l'effort pour atteindre et maintenir la pertinence, la pertinence et l'efficacité de la sécurité de l'information par rapport aux objectifs de l'organisation.

Structure de la norme ISO/IEC 27001

Congratulations !

Vo u s a v e z p a r c o u r u t o u t e s l e s c l a u s e s d e l a norme internationale ISO27001.

Structure de la norme ISO/IEC 27001 Annex A – Reference C ontrol Objec tives & C ontrols 1 IS O 27 0 0 1

2 3

2 013 Ve rsio n

C o ntrôles e t D o m a ines

4

En Total 114 contrôles

Structure de la norme ISO/IEC 27001 Annex A – Reference C ontrol Objec tives & C ontrols # Domaine

Nombre de Contrôles

#

Domaine

Nombre de Contrôle

1

Information Security Policies

2

8

Operations Security

14

2

Organization of Information Security

7

9

Communications Security

7

3

Human Resource Security

6

10

System Acquisition, Development & Maintenance

13

4

Asset Management

10

11

Supplier Relationships

5

5

Access Control

14

12

Information Security Incident Management

7

6

Cryptography

2

13

Information Security Aspects of Business Continuity

4

7

Physical & Environmental Security

15

14

Compliance

8

En Total 114 contrôles

Structure de la norme ISO/IEC 27001

‘Shall’ indicates a mandatory requirement within the standard. If you don’t satisfy a requirement which has the word ‘shall’ you don’t comply.

Structure de la norme ISO/IEC 27001

‘… shall be available in the form of documented information’ T here must be a document in exis tence to s atis fy This clause, which you can demonstrate to your auditor.

Structure de la norme ISO/IEC 27001

Définir la portée (Scope) L i m i t e s p o u r é t a b l i r l e c h a m p d ' a p p l i ca t io n :  Te n i r c o m p t e d e s f a c t e u r s e xt e r n e s e t

internes  Te n i r c o m p t e d e s p a r t i e s i n t é r e s s ée s  Te n i r c o m p t e d e l a r e l a t i o n e n t r e l e s

a c t i vi t é s r é a l i s é es p a r vo t r e o r g a n i s at i on e t c e l l e s d ' a u t r e s o r g a n i sa ti on s.

Structure de la norme ISO/IEC 27001

Directives pour Définir de la portée (Scope) Quelques limites à considérer :  Activités de l'entreprise

 Lieu spécifique  Canal spécifique, p. ex. transactions en ligne Produits / services spécifiques

 Considérations du point de vue de vos clients

La portée doit être suffisamment large pour être significative et utile.

Structure de la norme ISO/IEC 27001

• La portée du SMSI fait référence aux unités d'affaires, aux services ou aux processus opérationnels qui sont couverts par le SMSI (c.-à-d. le programme de sécurité). Vous pouvez définir le périmètre à n'importe quel niveau de détail. Vous pouvez avoir une portée de certification qui est plus petite que la portée du SMSI. Une portée de certificat plus petite pourrait aider à accélérer le cheminement vers la certification, puis à l'étendre à l'ensemble de la portée du SMSI. • Un exemple d'énoncé de la portée du SMSI est : "Le SMSI s'applique aux opérations informatiques, à l'unité d'affaires de gestion du patrimoine et aux fonctions de l'entreprise ". Il s'agit de l'énoncé qui figure sur votre certification IsO 27001.

emo DDemo Regarder le monde réel Définition de la portée

pour un organisme certifié

Structure de la norme ISO/IEC 27001 Évaluation des risques Méthodologie répétable pour l'évaluation des risques :  Critères d'acceptation du risque (appétit)  Identifier les risques  Analyse des risques  Évaluation des risques

Structure de la norme ISO/IEC 27001 Statement of Applicability (SoA)

 L a l i s t e d e s m e s u r e s d e s é c u r i té n é c e s s ai re s

 L a j u s t i f ic at io n d e l e u r i n s e r t i on  L e f a i t q u ’ e l l es s o i e n t m i s e s e n œ u vr e o u n o n

 L a j u s t i f ic at io n d e l ’ e xc l u s i on d e m e s u r e s d e l ’ a n n e xe A

Structure de la norme ISO/IEC 27001 Statement of Applicability (Exemple)

Structure de la norme ISO/IEC 27001 Documents exigés Docum ents obligatoires  Procédures  Politiques Registres obligatoires  Rapport d’audit interne  Rapport des actions corrigés

Structure de la norme ISO/IEC 27001 Documents obligatoires # Document 1 Scope

Clause 4.3

#

Document

9 Acceptable use of Assets

Clause A8.1.3 A9.1.1

2 Policy & Objectives

5.2 & 6.2

10 Access Control Policy

3 Risk Assessment Methodology

6.1.2

11 Operating Procedures

A12.1.1

4 Statement of Applicability

6.1.3.d

12 Secure system engineering Principles 13 Supplier Security Policy

A14.2.5

14 Incident Management Procedure

A16.1.5

15 Information Security Procedures for Business Continuity 16 Statutory, Regulatory and Contractual Requirements

A17.1.2

5 Risk Treatment plan

6 Risk Assessment Report 7 Roles & Responsibilities

8 Inventory of Assets

6.1.3.e & 6.2 8.2 A7.1.2 & A13.2.4 A8.1.1

16 D o cum e nts obligatoires

A15.1.1

A18.1.1

Structure de la norme ISO/IEC 27001 Rapports obligatoires #

Document

Clause

1

Training & Skills

7.2

2

Monitoring & Measurement Results

9.1

3

Internal Audit Program

9.2

4

Internal Audit Records

9.2

5

Management Review Records

9.3

6

Results of Corrective Actions

10.1

7

User activity, exceptions, security Event logs

A.12.4.2, A.12.4.3

7 Rapports obligatoires

Structure de la norme ISO/IEC 27001

D emo

Globomantics :  Définir le champ d'application (scope) de Globomantics  Définir l'énoncé d'applicabilité

Structure de la norme ISO/IEC 27001 Fournit un service de réalisation de brochures

Interface Web permettant aux utilisateurs de sélectionner une brochure

D emo

Brochures expédiées par la poste A propos de l'entreprise  25 personnes au total, une équipe informatique de 4 personnes  2 programmeurs, 1 DBA, 1 administrateur système  Souhaitent être certifiés ISO27001 car leurs clients sont de grandes entreprises de services financiers et capturent leurs données personnels (Personally Identifiable Information (PII))  Le fait d'être certifié les aidera à accroître leurs ventes, les concurrents sont certifiés.

Structure de la norme ISO/IEC 27001 Globomantics Opérations

Structure de la norme ISO/IEC 27001 Globomantics Opérations

Structure de la norme ISO/IEC 27001 Énoncé d'application (Globalmantics exemple)

Réglage de la portée (Scope) Évaluation des risques

Énoncé d'applicabilité (SoA)

Résumé Suivant - Cycle de vie de la certification

Sécurité des systèmes d’information

Cycle de vie de la certification - Obtenir votre certification

Cycle de vie de la certification ISO 27001 Map de la certification

Cycle de vie de la certification ISO 27001

L’audit À quoi s'attendre

On-site L'audit se fera dans vos locaux, et peut se faire sur plusieurs sites en fonction de votre périmètre.

Formel Réunion d'ouverture Plan d’audit Evidence/Preuve Réunion de clôture de la preuve

Sur la base d’un Echantillon L'auditeur ne peut pas couvrir toutes les parties de vos opérations dans les délais impartis.

Droit d'appel Si vous n'êtes pas d'accord avec les conclusions de l'audit, tous les organismes de certification ont un processus d'appel.

Cycle de vie de la certification ISO 27001

Les résultats de l’audit W hat c o uld the audito r fin d ?

2

1

NON-CONFORMITÉ MAJEURE Votre SMSI est fondamentalement défectueux. Certification à risque 4

3

MINEUR NONCONFORMITÉ Le SMSI est fondamentalement valable, mais certains problèmes ont été relevés

EFFORTS N O TA B L E S Félicitations et appel aux bonnes pratiques

5

POSSIBILITÉ D ' A M É L I O R AT I O N Suggestions pour améliorer votre SMSI

O B S E R V AT I O N S Les éléments identifiés par l'auditeur pourraient devenir un problème à l ' a v e n i r.

Cycle de vie de la certification ISO 27001

Stage 1 Audit E x a m e n d e l a d o c u m e n ta t i o n 1 . D o c u m e n ts o b l i g a t o i r e s 2. Objectifs fixés et en cours de réalisation 3. Le champ d'application est clairement défini 4. Politique sur la sécurité de l ' i n f o r m a ti o n 5 . L’ a u d i t i n t e r n e 6. Management Review

Cycle de vie de la certification ISO 27001

L'audit de l'étape 1 est un point de décision pour savoir si vous êtes prêt à passer à l'audit de l'étape 2.

Cycle de vie de la certification ISO 27001

Stage 2 Audit Plan d’audit 1. Audit complet de l'ensemble de la norme

2. S'assurer que vous travaillez en conformité avec la norme 3. S'assurer que vous vous conformez à la norme 4. S’assurer que toutes les constatations de l'étape 1 ont été traité 5. Constatation

Cycle de vie de la certification ISO 27001

Exemples de délais Stage 1 Audit - Normalement 1 jour

Stage 2 Audit - Normalement 2 jours

Processus complet de bout en bout - 12-18 mois (en supposant qu'il n'y a pas d'expérience ISO)

Audit C yc l e d e v i e

Résumé

Suivant

- Garder votre certification

Cycle de vie de la certification ISO 27001

Garder votre certification !

‘Surveillance audits are the audits that occur between certification audits.’

Cycle de vie de la certification ISO 27001

Audit de surveillance

Cycle de vie de la certification ISO 27001 Fréquence des audits de surveillance

Cycle de vie de la certification ISO 27001

Les audits de surveillance À quoi s'attendre

On-site L'audit se fera dans vos locaux, et peut se faire sur plusieurs sites en fonction de votre périmètre.

Formel Réunion d'ouverture Plan d’audit Evidence/Preuve Réunion de clôture de la preuve

Sur la base d’un Echantillon L'auditeur ne peut pas couvrir toutes les parties de vos opérations dans les délais impartis.

Droit d'appel Si vous n'êtes pas d'accord avec les conclusions de l'audit, tous les organismes de certification ont un processus d'appel.

Cycle de vie de la certification ISO 27001

L’audit de surveillance Échantillon et examen fondé sur des données probantes

1. Documents obligatoires. 2. Preuve de l'opération. 3 . E xa m i n e r l e s i n c i d e n t s d e sécurité. 4. Assurer le suivi des non conformités. 5. Constatations.

Cycle de vie de la certification ISO 27001

‘Re-certification A udits are audits that occur after being certified for 3 years. Re-certification audits cover all aspects of the ISO270 0 1 standard, and are similar to the initial audit undertaken to attain certification.’

Cycle de vie de la certification ISO 27001

Audit de re-certification

Cycle de vie de la certification ISO 27001

Plan d’a udit Start

1. Audit complet de l'ensemble de la norme. 2. Assurez-vous que vous travaillez conformément à la norme. 3. Assurez-vous de vous conformer à la norme. 4. Examiner les non-conformités relevées à la suite d'une vérification de surveillance. 5. Constatations.

Cycle de vie de la certification ISO 27001

‘Transition A udits apply when moving from one version of a standard to another, or from one Certification Body to another.’

Cycle de vie de la certification ISO 27001

Audit de la transition Cas d'utilisation • Lorsqu'une nouvelle norme ISO est publiée et que vous devez passer à cette norme. • Si vous passez d'un organisme de certification accrédité à un autre.

Surveillance Re-certification

Résumé

Suivant

- Outils et supports

Support d’outils de la certification ISO 27001

‘The ISO/IEC 270 0 1standard does not specify any tools that must be used for implementation.’

Support d’outils de la certification ISO 27001 Tool Spec trum File share

Templates & Toolkits

Document

Risk Management & Governance system

Cost

Manual System

To o l S o p h istic ation

Support d’outils de la certification ISO 27001 File Share Avantages 1. Facile et rapide à mettre en œuvre. 2. Tout le monde est à l'aise avec le partage de fichiers. 3. Aucun logiciel supplémentaire à acheter. Inconvénients 1. Peu de gestion de documents. 2. Pas de workflows d'approbation. 3. Non Contrôle de version.

Support d’outils de la certification ISO 27001 Templates & Toolkits Avantages 1. Génération rapide de documents. 2. De bons modèles aident à guider votre processus. 3. L'aide comprend des éléments que vous pourriez négliger. Inconvénients 1. Pas le vôtre, les politiques ne vous seront pas familarisés. 2. Peut ne pas s'harmoniser avec votre organisation.

Support d’outils de la certification ISO 27001 Document Management System Avantages 1. Contrôle automatique de la version. 2. Contrôle d'accès facile à configurer. 3. Historique complet des versions. 4. Intégration avec d'autres logiciels. 5. W orkflows pour approbation. Inconvénients 1. Pas intelligent sur le contexte des documents. 2. Plus complexe à mettre en place et à maintenir. 3. Coûts.

Support d’outils de la certification ISO 27001 Risk Management & G overnance System Avantages 1. Centralisé - version unique de la vérité. 2. Intégrer d'autres processus. 3. Facilite la formation d'une grande équipe. 4. Grande facilité de gestion pour les équipes importantes ou dispersées. Inconvénients 1. Plus cher. 2. Courbe d'apprentissage initiale abrupte. 3. Plus de temps pour être efficace.

Support d’outils de la certification ISO 27001 Support organisationnel C EO / SVP

Te am L e ad s

Ind i v idu als

• Ressources humaines • Installations • Formation • opérations informatiques • Développement de logiciels • Métier

Support d’outils de la certification ISO 27001 Options pour faire appel à des tiers :

Gap Analysis

Projet Management

Avant l'audit de l'étape 1, identifier les tâches du projet.

Accomplir le projet d'obtention de la certification

Résumé

 Choisissez des outils qui fonctionneront pour vous.  Obtenez le soutien de l'ensemble de votre organisation.  Envisagez de faire appel à des tiers pour accélérer les tâches.

Sécurité des systèmes d’information

Gestion des risques liés à la sécurité de l'information

2ème Partie  Définissez ce qu’est un risque en sécurité de l’information  Identifiez le cadre normatif de l’analyse de risques SI

 Analysez et gérez des risques SI  Analysez les risques SI  Traitez et acceptez les risques SI  Etude de cas UMB  Outils de gestion de risques

Préparation du terrain

Strategic Goa ls &

Object ives

Préparation du terrain

Préparation du terrain

Préparation du terrain

MuseLair Revenue Growth 60000000

50000000

40000000

30000000

Total

20000000

10000000

0 2009

2010

2011

2012

2013

2014

Préparation du terrain

Préparation du terrain

The Next Day

Préparation du terrain

Préparation du terrain

Résumé

Suivant - Méthodologies d’analyse des risques - Évaluation de l'actif - Définition du menace, vulnérabilité et risque - Management de risque - Tr a i t e m e n t d e r i s q u e

Classification des actifs

Asset 1

Any item owned by an organization or individual having exchange value ''

Classification des actifs

Classification des actifs

Real Estate

Inventory

Supplies

Equipment

Headquarters (Chicago)

Artists CDs

Blank CDs & DVDs

Mixing Consoles

MuseLair Studios (Nashville)

Posters

Jewel Cases

Amplifiers

Distribution Center (GA)

T-Shirts

Poster Board

Speakers

Distribution Center (IL)

Baseball Caps

Shrink Wrap

Microphones

Distribution Center (TX)

Wrist Bands

Shipping Boxes

Outboard Effects

Distribution Center (CA)

Gift Cards

Packing Tape

Computers

Classification des actifs

Not all assets have the same requirements for Confidentiality, Integrity & Availability

Classification des actifs

Garantir la fiabilité de l'information grâce à la sécurité

LOW

MEDIUM

HIGH

Protection Level

Protection Level

Protection Level

Classification des actifs

Exemple de schéma de classification Restricted

Private

Public

Unauthorized Unauthorized Unauthorized disclosure, alteration or disclosure, alteration or disclosure, alteration or destruction would destruction could destruction could result in little to no risk. cause a significant level result in a moderate of risk. level of risk. http://www.cmu.edu/iso/governance/guidelines/data-classification.html#calculations

Management de risque Threat The potent ial cause of an unwanted incident which may result in harm to a person, a system or an organization. Vulnerability The weakness of an asset or group of assets that can be exploited by one or more threats. Risk

The combination of a threat, the probability it will occur and the consequence if it does occur.

Threat + Probability = RISK

Management de risque Identifiez les menaces Type de menaces

Exemples

Dommage physique

Feu Dégât d’eau

Désastre naturel

Phénomène climatique Inondation

Perte de services essentiels

Panne du système de climatisation Panne électrique

Perturbations dues à des rayonnement

Rayonnements électromagnétiques Rayonnements thermiques

Compromission d’information

Vol de supports ou de documents Données provenant de source non fiable

Défaillance technique

Panne de matériel Dysfonctionnement d’un logiciel

Actions non autorisées

Utilisation non autorisée du matériel Reproduction frauduleuse de logiciel

Compromission des fonctions

Usurpation de droit

Management de risque Identifiez les vulnérabilités Type de vulnérabilité

Exemples

Matériel informatique

Maintenance insuffisante Stockage non protégé

Logiciel

Attribution erronée de droit d’accès Interface utilisateur compliquée

Réseau

Architecture réseau non sécurisée Point de défaillance unique

Personnel

Formation insuffisante Absence de personnel

Site (lieu)

Réseau électrique instable Site situé en zone inondable

Structure organisationnelle

Absence d’audits réguliers Absence de procédure d’accès au ressources

Management de risque

Risk Management The continual process of identifying risks and reducing those risks to an acceptable level.

Management de risque

Management de risque Processus continu

Identification du risque

Réduire les vulnérabilités et réduire les risques

Management de risque

Facteurs d'évaluation des risques Coût de la sécurité

Valeur et priorité

Probabilité de préjudice

Management de risque

Activités d'évaluation des risques

Quantify

Prioritize

Traitement de risque

Traitement de risque

Accepter le risque Accepter consciemment et objectivement les risques, à condition qu'ils répondent clairement à la politique et aux critères d'acceptation des risques de l'organisation.

Traitement de risque

Réduire le risque Appliquer des contrôles appropriés pour réduire les risques.

•11 .11 .11

Traitement de risque

Eviter le risque Ne pas permettre que des actions qui entraîneraient des risques se produisent.

Traitement de risque

Transférer le risque Transfert des risques associés à d'autres parties, par exemple des assureurs ou des fournisseurs. lnsurance Policy

Résumé

- Méthodologies d’analyse des risques - Évaluation de l'actif - Définition du menace, vulnérabilité et risque - Management de risque - Tr a i t e m e n t d e r i s q u e Suivant - Catégories des menaces - Identification des dommages - Calcul de la perte

Catégorisation des menaces

CATÉGORIES DE MENACES • MENACES HUMAINES

• MENACES NON HUMAINES

Catégorisation des menaces

OOPS!

••

lnten t io nal

Uninten t io na1

Catégorisation des menaces

Contrôles de la menace humaine :  L'éducation  La for Formation et sensibilisation à la sécurité  Conditions d'emploi  Code de bonne pratique

Catégorisation des menaces

Natural Threats

Environmental Threats

Social/PoliticalThreats

Identification des dommages

DIRECT DAMAGE

INDIRECTDAMAGE

0

Calcul de la perte

Estimation de perte unique: Single Loss Expectancy (SLE):

SLE est la perte monétaire attendue à la suite d'un seul incident sur un bien. SLE est liée à la gestion et à l'évaluation des risques

Single loss Expectancy

AVx EF= SLE Asset Value (AV) x Exposure Factor (EF) = SLE

Calcul de la perte

La valeur de l'actif # 1 est de 1,000.00 $. L'impact d'un risque spécifique réduira de deux tiers l'impact de l'actif. Par conséquent, le facteur d'exposition est de .66

Single Loss Expectanc y

L'espérance de perte unique est exprimée comme suit $ 1,000.00 Valeurde l’actif

X

Facteur d'exposition

.66

=

$66.000

Single Loss Expectancy

Calcul de la perte

Espérance de perte annuelle: Annua l Lass Expecta ncy (ALE) ALE est la perte monétaire annuelle attendue de la survenance d'un seul incident sur un bien. L’espérance de perte annuelle est liée à la gestion et à l'évaluation des risques.

An nual Loss Expectancy

(ALE) est le produit du taux annuel d'occurrence (ARO) et de l'espérance de perte unique (SLE). C'est mathématiquement exprimé comme : SLE x ARO = ALE

Calcul de la perte

Valeur de l’actif = $ 100,000.00

An nual Loss Expectancy

Exposure Factor = 25% or .25 Single Loss Expectancy = $25,000.00 Annual Rate of Occurrence (ARO) = 3 $25,000.00 X 3 = $75,000.00 Ann ual

Sing le Loss

Expectancy

Rate of Occurrence

Annual Loss

Expecta ncy

Calcul de la perte

Exercice: EXERCISE SHEET Asset Value

Exposure Factor

Single Loss

Annual Rate Annual Loss

Expectancy

of Occurance, Expectancy

$40,000.00

0.05

2

$100,000.00

0.08

4

$22,000.00

1

1

$1,300,000.00

0.04

5

.$650,000.00

0.055

6

AV

X

EF

=

SLE

X

ARO

=

ALE

Calcul de la perte

Exercice (réponse): ANSWER SHEET Asset Value

Exposure

Single Loss

Annual Rate

Factor

Expectancy

of Occurance Expectancy

$40,000.00

0.05

$2,000.00

2

$4,000.00

$100,000.00

0.08

$8,000.00

4

$32,000.00

$22,000.00

1

$22,000.00

1

$22,000.00

$1,300,000.00

0.04

$52,000.00

5

$260,000.00

$650,000.00

0.055

$35,750.00

6

.$214,50ü.OO

AV

X

EF

=

SLE

X

ARO

Annual Loss

=

ALE

- Catégories des menaces - Identification des dommages - Calcul de la perte

Résumé

Suivant - Analyse de risque

Analyse de risque

Analyse de risque

Analyse de risque Risk Acceptance Criteria

Analyse de risque

 Cherche à évaluer numériquement les probabilités des conséquences potentielles du risque  Calcul des probabilités numériques sur les conséquences possibles  Principalement basé sur l'analyse des données pour déterminer le risque financier

Analyse de risque

QUALITATIVEANALYSIS

Risk Levels

 utilise des mots ou des couleurs pour identifier et évaluer les risques • Mots (critique, élevé, moyen, faible) • Couleurs (rouge, orange, jaune, vert)

 Présente une description écrite du risque  Principalement basé sur l'opinion

Analyse de risque

Analyse quantitative des risques Composiit Risk lndex Examples Impact (Scale 1 -10)

Probrability (Scale 1 -5)

Composit Risk Index

7

2

14

8

4

32

3

1

3

5

3

15

1

5

5

Analyse de risque

Analyse qualitative des risques

Analyse de risque Statement

Qualitative

1 There, is a fi&%, lik!elihood that this threiat will impa et

ou11 00 mpa ny 2 This thre,at shouId be cla s:sif ied as Re-d 1

1

business 4

X

1

3 The, imp\act of this th11e.at w·ill be 111Critica l11 to1 ,our

X X

One third of the incidents willcaus1e 493, of all damage

s 1 believe that this threat i:s signiif icanit enough to cause, re,a l damage

Quantitative

X

X

Stratégies et Mesures des risques

Stratégies de minimisation des risques

Stratégies et Mesures des risques

Stratégies de minimisation des risques  Des mesures proactives qui réduisent le risque en protégeant l'intégrité des systèmes et des données • Sauvegardes sur bande

• Système redondant • Systèmes d'extinction d'incendie • Conditionneurs d'énergie

Stratégies et Mesures des risques

Stratégies de minimisation des risques  Mesures proactives prises pour protéger l'environnement contre les menaces • Campagnes de sensibilisation aux menaces

• Amélioration continue des processus • L'évolution des techniques de prévention

Stratégies et Mesures des risques

Stratégies de minimisation des risques  Mesures proactives prises pour surveiller l'environnement, anticiper les menaces et identifier les infractions • Détection d'intrusion • Logiciel antivirus • Caméras vidéo

• Détecteurs de fumée

Stratégies et Mesures des risques

Stratégies de minimisation des risques  Mesures proactives ou réactives prises pour réprimer l'environnement afin de désactiver le thrat • Pare-feu • Blocage du signal • Verrouillage de compte • Agents de sécurité

Stratégies et Mesures des risques

Stratégies de minimisation des risques  Mesures réactives prises pour réparer tout dommage causé par une atteinte à la sécurité ou pour atténuer l'impact des atteintes à la sécurité

• Restauration des données • Points de restauration du système d'exploitation

• Plans de continuité des opérations • Plans de reprise après sinistre