Iso 27001 [PDF]

Zitiervorschau

 Pr. Ali Kartit

Plan 1

2

3

Introduction

SMSI

Norme ISO 27001

4

ITIL/ ISO 9000/ISO 27000

5

Usage de ISO 27001

6

Conclusion

2

Introduction

3

QU'EST-CE QU'UNE NORME ?

Introduction  Une norme est un document qui fournit des exigences, des spécifications, des directives ou caractéristiques qui peuvent être utilisées pour assurer que les matériaux, produits, processus et services sont taillés sur mesure pour leur but.

 Les normes garantissent que les produits et services sont sûrs, fiables et de bonne qualité.

27/03/2021

Norme ITIL, ISO 9000, ISO 27000 et ISO 27001

4

Une définition du système d’information

«Ensemble des ressources destinées à collecter, classifier, stocker, gérer, diffuser les informations au sein d’une organisation»

5

Le système d’information d’une organisation contient un ensemble d’actifs :

6

Les enjeux de la sécurité des S.I

7

Problématique :

8

Critères D.I.C

• Disponibilité: Propriété d'accessibilité au moment voulu des biens par les personnes autorisées

• Intégrité Propriété d'exactitude et de complétude des biens et informations

• Confidentialité: Propriété des biens de n'être accessibles qu'aux personnes autorisées

9

Besoin de sécurité : « Preuve »

Preuve: Propriété d'un bien permettant de retrouver, avec une confiance suffisante, les circonstances dans lesquelles ce bien évolue. Cette propriété englobe Notamment : • La traçabilité des actions menées • L’authentification des utilisateurs • L’imputabilité du responsable de l’action effectuée

10

.

SMSI

11

Définition Un système de gestion de la sécurité de l'information (Information security management system) est un système de management concernant la sécurité de l'information. Un SMSI désigne l'approche systémique par laquelle une organisation veille à la sécurité des informations sensibles. Construit selon un processus de management du risque, un SMSI englobe les personnes, les processus et les systèmes de TI. Cette solution peut être utile aux organisations de tous secteurs et de toutes tailles qui tiennent à la confidentialité de leurs informations. Le plus connu des SMSI est ISO/CEI 27001

12

Besoins d’un SMSI  La sécurité dépend plus des personnes que de la technologie  Les employés sont des menaces plus importantes que les personnes extérieures à l’entreprise  Le degré de sécurité dépend de trois facteurs : • le risque que vous êtes prêts à prendre • la fonctionnalité du système • le prix que vous êtes prêts à payer  La sécurité n’est pas un statut ou une image mais un processus continu.

.

13

Systèmes de management de la sécurité de l’information Le SMSI a pour buts de :

maintenir et d’améliorer la position de l’organisme de la compétitivité, de la conformité aux lois et aux règlements, de l’image de marque. protéger les actifs de l’organisme

14

Système de Management de la Sécurité de l’Information Il englobe l’ensemble des documents définissant :

les infrastructure s techniques de sécurité.

les règles et processus de sécurité

l’organisation associée à la sécurité.

15

Différence et Complémentarité

 Les normes de la famille ISO/IEC 27000 constituent un ensemble de méthodes, mesures et bonnes pratiques reconnues au niveau international dans le domaine de la sécurité de l'information.  Elles sont destinées à tout type de société, quelle que soit sa taille, son secteur d'activité ou son pays d’origine.

ISO 27000

27/03/2021

Norme ITIL, ISO 9000, ISO 27000 et ISO 27001

16

Norme ISO 27001 .

17

Vous avez un SMSI? Vous voulez certifier??

Oui!!

La norme de certification ISO 27001 – SMSI

18

Une affaire de standards

l’ISO, Organisation internationale de normalisation, «International organization for standardization»  organisation internationale, créée en 1947 ;  composée de représentants des organismes de normalisation nationaux d’environ 150 pays ;  produit des normes internationales dans les domaines industriels et commerciaux.

Différentes normes, IS, «International Standard» : ⋆ IS 9000 : consacrée à la définition d’un «système de management» : ⋆ IS 9001 : consacrée aux systèmes de management de la qualité et aux exigences associées ; ⋆ IS 14001 : consacrée aux systèmes de management de l’environnement ; ⋆ IS 27001 : consacrée aux systèmes de management de la sécurité de l’information ; ⋆ IS 19001 : directives à respecter pour la conduite de l’audit d’un système de management.

19

Relations au sein de la famille de normes du SMSI

20

• Standard publié en octobre 2005 • Remplaçant de BS7799-2 (British Standard) • Spécifications pour un SMSI (systèmes de management de la sécurité de l’information) • Fournit un schéma de certification pouvant être appliqué au SMSI • version améliorée publiée en 2013

Objectif:

Fournir un modèle pour établir, implémenter, exploiter, monitorer, contrôler, maintenir et améliorer un SMSI

21

Norme ISO 27001 o S’applique à un SMSI ; o S’appuie sur une approche par processus: exemple du PDCA, «Plan, Do, Check, Act » : o phase Plan :  définir le champ du SMSI,  identifier et évaluer les risques,  produire le document qui énumère les mesures de sécurité à appliquer ;

o phase Do :     

affecter les ressources nécessaires, rédiger la documentation, former le personnel, appliquer les mesures décidées, identifier les risques résiduels;

o phase Check :

audit et revue périodiques du SMSI, qui produisent des constats et permettent d’imaginer des corrections et des améliorations ;

o phase Act :  prendre les mesures qui permettent de réaliser les corrections et les améliorations dont l’opportunité a été mise en lumière par la phase Check,  préparer une nouvelle itération de la phase Plan

22

Les méthodes d’analyse des risques dans la Norme ISO 27001 ISO 27001 impose une analyse des risques, mais ne propose aucune méthode pour la réaliser :  Liberté de choisir une méthode pour le SMSI, à condition que : • elle soit documentée ; • elle garantisse que les évaluations réalisées avec son aide produisent des résultats comparables et reproductibles.  Un risque identifié peut être : • accepté, • transféré à un tiers (assurance, prestataire), • réduit à un niveau accepté.

23

Evolutions de la version ISO 27001:2013

24

.

Chapitres ISO 27001

25

4. Contexte de l’organisation

6 Plan 7 10 Act

Ressources humaines et compétences, communication (interne & externe), gestion de la documentation (sécurité et SMSI),

9 Check

8 Do

5. Leadership

 Changement de registre de

vocabulaire pour les responsabilités des dirigeants :  S'assurer, diriger et soutenir, promouvoir, communiquer.  Etablir, décider, déterminer, fournir, évaluer.

 Demande à un responsable de s'assurer  De la conformité du SMSI.  De son efficacité.

 Rôle moteur pour l’amélioration du SMSI.

Méthode intégrée et complète d’évaluation et de management des risques

La méthode MEHARI «Method for Harmonized Analysis of Risk»

Visant à sécuriser les systèmes d’information d’une entreprise ou d’une organisation Développée, diffusée et mise à jour par le club professionnel CLUSIF depuis 1996 Mise à jour en 2010 pour respecter les lignes directrices de la norme ISO 27005 utilisable dans le cadre d’un système de gestion de la sécurité de l’information de la norme ISO 27001

28

MÉthode Harmonisée d’Analyse des RIsques

29

Ressources, compétences, sensibilisation, communication  Ressources.  Compétences :  Compétence des personnes qui peuvent affecter la sécurité.  Sensibilisation :  Sensibilisation aux sanctions applicables en cas de non respect des exigences du SMSI.  Communication :  Communication interne et externe (sur quoi, quand, avec qui, par qui...).

Gestion de la documentation :

La phase do :  La planification et le contrôle des processus Opérationnel  Réaliser des évaluations des risques pour la sécurité de l'information pendant des intervalles planifiés  la mise en œuvre de la sécurité de l'information et réaliser un rapport concernant le plan de traitement des risques

La phase Contrôle : 1.

Les audits internes qui vérifient la conformité et l’efficacité du système de management. Ces audits sont ponctuels et planifiés.

2.

Le contrôle interne qui consiste à s’assurer en permanence que les processus fonctionnent normalement.

3.

Les revues de direction

(ou réexamens) qui garantissent

l’adéquation du SMSI avec son environnement.

La phase Agir : 1.

Actions correctives : agir sur les effets pour corriger les écarts puis sur les causes pour éviter que les incidents ne se reproduisent

2.

Actions préventives : l’incident ne se produise

3.

Actions d’amélioration : améliorer la performance d’un processus du SMSI.

agir sur les causes avant que

• La certification n’est pas obligatoire • Confiance des parties prenantes incitent à avoir un SMSI certifié

1- Visites des lieux

-Évaluation des lieux et les conditions spécifique des sites à auditer -Prise de contact avec le personnel de l’audité -Observation des technologies utilisées - Observation générale des opérations du SMSI

2- Entretien avec les acteurs clés

-Validation du domaine d¡¦application ainsi que des contraintes légales, réglementaires et contractuelles applicables -Vérification que les audits internes et la revue de direction ont été réalisés - Préparation de l’étape 2 de l’audit

3- Revue des documents

-Compréhension globale du fonctionnement du système de management -Evaluation du design du système de management ainsi que des processus et mesures de sécurité reliées -Vérification que les audits internes et la revue de direction ont été réalises

Évaluer que le SMSI déclaré est :

Conforme à toutes les exigences de ISO 27001.

Effectivement en œuvre dans l’organisation. En mesure de permettre à l’organisation d’atteindre ses objectifs de sécurité

 Les non-conformités relevées lors de l’audit initial  L’état d’avancement des activités planifiées  L’utilisation de la marque de l’organisation

Audit de suivi

certificatrice.

Audit de renouvellement

 La fiabilité du SMSI. Vérification des plans d’actions et mesures

Audit de Surveillance

Il porte sur les non-conformités du dernier audit de surveillance ainsi

correctives reliées aux non-

que sur la revue des rapports des

conformités identifiées

audits de surveillance précédents

dans le rapport d’audit.

et la revue des performances du SMSI sur la période.

.

Usage de ISO 27001 41

La marocaine des jeux et des sports (MDJS) a été la 1ère entreprise marocaine à opter pour cette certification.

Maroc Telecom a obtenu la première certification ISO 27001:2005 en 2010. Ensuite ISO 27001:2013 En 2015 et renouvelée en 2017

En 2014 La Bourse de Casablanca est devenue la 1ère bourse en Afrique et l'une des premières dans le monde à certifier son SMSI par ISO 27001 et renouvelé en 2017

Devient le premier groupe industriel privé du Maroc à certifier la gestion de la sécurité de son système d’information conformément à 27001:2013.

Utilisation de ISO 27001

43

 Meilleure maîtrise des risques

Conclusion

 Une description pratique de la mise en œuvre  Utilisation d’ISO 27001 avec autres standards

44

Merci pour votre attention!