Introduction la norme

ISO 27001
Eric Lachapelle
2
Introduction ISO 27001
Contenu de la prsentation
1. Famille ISO 27000
2. La norme ISO 27001 Implmentation
3. La certification
4. ISO 27001:2014?

3
1990
1995
2000
2007
2014
ISO 27006
Exigences pour
les organismes
de certification
BS7799-1
Code de bonne
pratique
BS7799-2
Schma de
certification du
SMSI
Code de bonne
pratique
(Publi par un
groupe
dentreprises)

ISO 17799
Code de bonnes
pratiques
Nouvelle
version de ISO
17799
Publication
dISO 27001
Histoire de la srie ISO 27000
Dates importantes
1998
2005
ISO
27001:2014?
4
Famille ISO 27000
V
o
c
a
b
u
l
a
i
r
e

E
x
i
g
e
n
c
e
s

G
u
i
d
e
s

g

r
a
u
x

G
u
i
d
e
s

d

i
n
d
u
s
t
r
i
e

ISO 27001
Exigences SMSI
ISO 27006
Exigences organismes
de certification
ISO 27005
Gestion du
risque
ISO 27004
Mesure
ISO 27003
Guide de mise en
uvre
ISO 27002
Code de
pratiques
ISO 27007-27008
Guides daudit
ISO 27011
Tlcommunications
ISO 27799
Sant
ISO 270XX
autres
ISO 27000
Vocabulaire

5
1. Amlioration de la scurit
2. Bonne gouvernance
3. Conformit
4. Rduction des cots
5. Marketing
AVANTAGES
Avantages dISO 27001
6
Systme de management
de la scurit de linformation
ISO 27001, clause 3.7

Partie du systme de management global, base
sur une approche du risque li l'activit, visant
tablir, mettre en uvre, exploiter, surveiller,
rexaminer, tenir jour et amliorer la scurit de
l'information
Note : Le systme de management inclut
l'organisation, les politiques, les activits de
planification, les responsabilits, les pratiques,
les procdures, les processus et les ressources
7
Lapproche processus
ISO 27001, clause 0.2
Maintenir et amliorer
le SMSI
Mettre en uvre
le SMSI
Etablir le SMSI
Surveiller et
rexaminer le SMSI


Parties
intresses








Scurit de
linformation
gre



Parties
intresses







Exigences et
attentes de
scurit de
linformation

Planifier
Contrler
Agir Dployer
8
Mise en uvre du SMSI
1.
Planifier
2.
Dployer
3.
Contrler
4.
Agir
1.1. Comprhension
de l'organisme
1.2. Analyse du
systme existant
1.3. Formalisation du
projet
1.4. Domaine
dapplication
1.5. Politiques de
scurit
1.6. Apprciation du
risque
1.7. Traitement et
acceptation du
risque
1.8. Dclaration
dapplicabilit
2.1. Structure
organisationnelle
2.2. Processus de
gestion
documentaire
2.3. Modlisation des
processus et
mesures
2.4. Politiques
spcifiques et
procdures
2.5. Formation,
sensibilisation et
communication
2.6. Mise en uvre
des processus et
mesures
2.7. Gestion des
incidents
2.8. Gestion des
oprations
3.1.Surveillance et
rexamen
3.2. Mesure et
valuation de
l'efficacit
3.3. Audit interne
3.4. Revue de
direction
4.1. Identification des
non-conformits
4.2. Traitement des
non-conformits
4.3. Amlioration
continue
9
Structure de la norme ISO 27001
Annexe A
Objectifs de scurit et mesures de scurit
Clause 4.2.1
tablissement
du SMSI
Clause 4.2.3
Surveillance
et rexamen
du SMSI
Clause 4.2.4
Mise jour
et amlioration
du SMSI
Clause 4.2.2
Mise en uvre
et fonctionnement
du SMSI
Clause 7
Revue
managriale
Clause 8
Amlioration
du SMSI
Clause 6
Audits internes
du SMSI
Clause 5
Responsabilit
de la direction
10
!"#$ & !"#$% %'()#*+", -"+$ .$/% 0#*123%
Dfinir le domaine dapplication
(primtre) et les exclusions
ISO 27001, clause 4.2.1a
Un processus
cl
Un dpartement
Lorganisme dans
son ensemble
Lorganisme et ses
parties prenantes
11
Dfinir la politique du SMSI
ISO 27001, clause 4.2.1b

La politique du SMSI doit :
1. Inclure un cadre pour fixer les objectifs et indiquer une
orientation gnrale et des principes d'action concernant la
scurit de l'information
2. Tenir compte des exigences lies l'activit et des exigences
lgales ou rglementaires, ainsi que des obligations de scurit
contractuelles
3. S'aligner sur le contexte de gestion du risque stratgique
auquel est expos l'organisme, dans lequel se drouleront
l'tablissement et la mise jour du SMSI
4. tablir les critres d'valuation future du risque
5. tre approuve par la direction

12
Note : Il faut sassurer que lvaluation
des risques produit des rsultats
comparables et reproductibles
.
Dfinir la mthode dvaluation des risques
ISO 27001, clause 4.2.1c
Dfinir
lapproche
dvaluation
des risques
Identifier
une
mthode
Dterminer les critres
dacceptation du risque
Identifier les
niveaux de
risques
acceptables
13
Identifier les risques
ISO 27001, clause 4.2.1d
! Identifier les
actifs relevant du
domaine
d'application du
SMSI, ainsi que
leurs
propritaires
! Identifier les
impacts que les
pertes de
confidentialit,
d'intgrit et de
disponibilit
peuvent avoir sur
les actifs
! Identifier les
menaces
auxquelles sont
confronts ces
actifs
! Identifier les
vulnrabilits qui
pourraient tre
exploites par
les menaces
Identifier
les actifs
Identifier
les menaces
Identifier les
vulnrabilits
Identifier
les impacts
14
Analyser et valuer les risques
ISO 27001, clause 4.2.1e
! valuer l'impact
sur l'activit de
l'organisme qui
pourrait dcouler
d'une dfaillance
de la scurit, en
tenant compte des
consquences
d'une perte de
confidentialit,
intgrit ou
disponibilit des
actifs
! Dterminer si les
risques sont
acceptables ou
ncessitent un
traitement, en
utilisant les
critres
d'acceptation des
risques tablis en
4.2.1c
! valuer la
probabilit raliste
d'une dfaillance
de scurit de
cette nature au vu
des menaces et
des vulnrabilits
prdominantes,
des impacts
associs ces
actifs et des
mesures
actuellement
mises en uvre
! Estimer les
niveaux des
risques
valuer
les impacts
Calculer la
probabilit
doccurence
Estimer les
niveaux de
risques
Dterminer si
le risque est
acceptable
15
valuation des options de traitement
ISO 27001, clause 4.2.1f
Traiter le risque
Mesures de scurit slectionnes pour diminuer
le risque
Accepter le risque
La direction dcide dassumer le risque
Transfrer le risque
Dcision de partager certains risques avec des
parties externes: assurance ou infogrance
viter le risque
Annulation ou modification dune activit ou dun
ensemble d'activits relies au risque
Traiter le
risque
Transfrer
le risque
Accepter
le risque
viter le
risque
16
133 mesures de scurit
ISO 27001, annexe A
A 5 La politique de scurit
A 6 Lorganisation de la scurit de linformation
A 7 La gestion des actifs
A 8 La scurit des ressources humaines
A 9 La scurit physique et environnementale
A 10 La gestion des communications et des oprations
A 11 Le contrle daccs
A 12 Lacquisition, le dveloppement
et lentretien des systmes dinformation
A 13 La gestion des incidents de scurit de linformation
A 14 La gestion de la continuit de lactivit
A 15 La conformit
17
Approbation des risques rsiduels
ISO 27001, clause 4.2.1h
2. Risque trait
Risque supprim par les
mesures de scurit
1. Risque rsiduel
Risque subsistant aprs
le traitement du risque
La direction doit tre
consciente des risques
rsiduels et en accepter
la responsabilit
Risque inhrent
Ensemble des risques sans
prise en compte des mesures
de scurit
2
1
18
2. Rexamen rgulier de
lefficacit du SMSI en tenant
compte des propositions et
rtroactions des parties prenantes
4. Rexamen de
lapprciation des risques
1. Surveillance et rexamen des
procdures de dtection et de
prvention des vnements
de scurit
3. valuation de
lefficacit des mesures de
scurit
6. Revue de direction et
mise jour des plans de
scurit
5. Ralisation des audits
internes
Surveillance
et rexamen
du SMSI
Surveillance et rexamen du SMSI
ISO 27001, clause 4.2.3
Note: Chacune de ces actions doit tre documente et enregistre

19
Liste des activits
Processus de certification
Mise en place
du SMSI
1. Choix de
lorganisme
de certification
3. Audit dtape 1
2. Prparation
laudit
5. Audit de
suivi (sil y a lieu)
6. Dcision de
certification
4. Audit dtape 2
(visite sur site)
Amlioration
continue et audit
de surveillance
A
v
a
n
t

l

a
u
d
i
t
A
u
d
i
t

i
n
i
t
i
a
l
S
u
i
t
e

a
u
d
i
t
Audit interne et
revue du SMSI

20
1. Choix de lorganisme de certification
Principaux critres

1. Notorit et crdibilit
2. Prsence gographique
3. Expriences dans votre industrie
4. Possibilit daudit combin
5. Qualification et exprience de lquipe daudit
6. Prix


21
Combien de temps dure un audit ?
ISO 27006, annexe C (extrait)
Nombre
demploys
Temps daudit (jour/
homme)
ISO 9001
Temps daudit
(jour/homme)
ISO 27001
1 10 2 5
26 45 4 8,5
66 85 6 11
176 275 9 14
876 1175 13 18,5
2026 2675 16 22
4351 5450 19 25
8501 10700 22 28

22
2. Prparation
du personnel
3. Audit
blanc
1. Auto-
valuation
Prparation
laudit
2. Prparation laudit de certification
Recommandations

23
3. Audit dtape 1
1. Visite des lieux
2. Entretiens avec les acteurs cls
3. Revue des documents
! Validation du domaine dapplication ainsi que des
contraintes lgales, rglementaires et contractuelles
applicables
! Vrification que les audits internes et la revue de
direction ont t raliss
! Prparation de ltape 2 de laudit
! Comprhension globale du fonctionnement du
systme de management
! valuation du design du systme de management
ainsi que des processus et mesures de scurit
relies
! Vrification que les audits internes et la revue de
direction ont t raliss
! valuation des lieux et les conditions spcifiques
des sites auditer
! Prise de contact avec le personnel de laudit
! Observation des technologies utilises
! Observation gnrale des oprations du SMSI
Note: La revue des documents est la principale activit de ltape 1

24
4. Audit dtape 2
Audit sur site
OBJECTIFS DE LAUDIT DTAPE 2

valuer que le SMSI dclar est :
Conforme toutes les exigences de ISO 27001
Effectivement en uvre dans lorganisation
En mesure de permettre lorganisation
datteindre ses objectifs de scurit

25
Recommandation de certification
Lauditeur principal peut formuler lune
des trois recommandations suivantes
quant la certification :
1. Recommandation pour la certification
2. Recommandation pour la certification sous
condition du dpt dun plan dactions
de mesures correctives
Avec une visite pralable
Sans visite pralable
3. Recommandation dfavorable




26
5. Audit de suivi
ISO 17021, clause 9.1.12-13
" Selon les conclusions de laudit, lauditeur peut
devoir raliser un audit de suivi avant que
lorganisation ne soit recommande la certification
" Vrification des plans dactions et mesures
correctives relies aux non-conformits identifies
dans le rapport daudit
Une non-conformit majeure devrait
habituellement impliquer un audit de suivi
27
Structure de la norme ISO 27001
8.
Operations
7. Support
4. Contexte
Organisationnel
6.
Planification
5.
Leadership
9. valuation de la
performance
10.
Amlioration
28
ISO 27001:2014 - 113 mesures de scurit
ISO 27001, annexe A
A 5 La politique de scurit
A 6 Lorganisation de la scurit de linformation
A 7 La scurit des ressources humaines
A 8 La gestion des actifs
A 9 Le contrle daccs
A 10 Cryptographie
A 11 La scurit physique et environnementale
A 12 La gestion des oprations
A 13 La scurit des communications
A 14 Lacquisition, le dveloppement et lentretien des systmes
A 15 Relations avec les fournisseurs
A 16 La gestion des incidents de scurit de linformation
A 17 La gestion de la continuit de lactivit
A 18 La conformit
29
QUESTIONS ?
30
eric.lachapelle@pecb.org