ISO 17799 la norme de la
scurit de l'information
Maury Infosec
Conseils en scurit de l'information
Claude Maury
�La scurit de linformation
Linformation constitue le capital
intellectuel de chaque organisation.
Cest un lment important de lactivit
de lorganisation qui ncessite une
protection adquate.
La norme ISO/CEI 17799 (International
Standard Organisation/Commission
tablit des
lignes directrices et des principes
gnraux dans la gestion de la
scurit de linformation
Electronique Internationale)
Elle a t labore par le comit
technique ISO/TC JTC 1
Janvier 2006
Claude Maury
�ISO/CEI 17799:2005
La norme ISO/CEI 17799:2005 a t publie en juin 2005
Cest un code de bonne pratique (rfrentiel) pour la
gestion de la scurit de linformation
Nouvelle numrotation en 2007: ISO/CEI 27002:2005
Cette norme contient 15 articles (chapitres):
Les 4 premiers chapitres dfinissent le cadre de la norme
Les 11 chapitres suivants composs de 39 rubriques et 133 mesures
dfinissent les objectifs de scurit et les mesures prendre
Sites web:
[Link]
[Link]
[Link]/iso/en/[Link]?CSNUMBER=39612&ICS
1=35&ICS2=40&ICS3= (pour lachat de la norme 200.-CHF)
Janvier 2006
Claude Maury
�Primtre couvert par la norme
L'information qu'elle soit sous forme crite,
parle, image, enregistre, transmise, etc..
Janvier 2006
ACTIFS D'INFORMATION
ACTIFS
D'INFORMATION
Bases
et fichiers
de donnes,
Bases
et
fichiers
de donnes,
Mthodes de fabrication,
Mthodes de
fabrication,
Procdures
d'exploitation,
Procdures
d'exploitation,
Manuels
utilisateurs,
Manuels utilisateurs,
Archives,
Archives,
etc
etc
ACTIFS PHYSIQUES
ACTIFS
PHYSIQUES
Salle
informatique,
Salle informatique,
Serveurs,
PC, imprimantes,
Serveurs,
PC, imprimantes,
scanner, etc..
scanner, etc..
Portables,
Portables,
Rseaux
locaux, PABX,
Rseaux
locaux, PABX,
etc
etc
ACTIFS APPLICATIFS
ACTIFS APPLICATIFS
Systmes
d'exploitation,
Systmes
Applicationsd'exploitation,
de mtier,
Applications
de mtier,
Progiciels et logiciels,
Progiciels et logiciels,
Utilitaires,
Utilitaires,
Outils
de dveloppement,
Outils
etc de dveloppement,
etc
FOURNITURES DE SERVICES
FOURNITURES
DE SERVICES
Services
informatiques
Servicesdeinformatiques
Services
communication
Services
de
communication
Services gnraux
(alimentation
Services
gnraux
(alimentation
lectrique, climatisation,
etc..)
lectrique,
climatisation,
etc..)
etc.
etc.
Claude Maury
�ISO/CEI 17799:2005 n'est pas:
Une norme technique oriente produit ou logiciel.
Une mthode d'analyse et de gestion de risques, de
classification de l'information et des actifs, etc.
Une mthode est un moyen d'arriver efficacement un objectif et un
rsultat dfini, c'est un outil utilis pour satisfaire une norme.
Un ISMS (Information Security Management System), systme
de gestion de la scurit de linformation.
Une certification ISO de la scurit de l'information.
La norme ISO/CEI 27001:2005 spcifications pour un ISMS permet la
certification, elle utilise la norme ISO/CEI 17799:2005 comme rfrentiel.
Janvier 2006
Claude Maury
�Domaine d'application
La norme ISO 17799 fournit des recommandations sur la
gestion de la scurit de l'information. C'est un rfrentiel
pour l'laboration des normes de scurit des organisations
et une mthode de gestion efficace de la scurit.
La norme ISO 17999 s'adresse aux responsables de la mise
en uvre ou du maintien de la scurit de l'information.
Les recommandations de cette norme sont slectionner et
appliquer selon les besoins du mtier et des affaires de
lorganisation et conformment aux lois et rglements en
vigueur.
Equivalence USA: NIST handbook Introduction to
computer security
[Link]
Janvier 2006
Claude Maury
�Dfinition de la scurit de linformation
La scurit de l'information, c'est la prservation de:
La Confidentialit
Le fait que l'information n'est accessible qu'aux personnes qui sont
autorises l'accder.
LIntgrit
C'est la protection de l'exactitude et de l'intgrit de l'information et des
mthodes de traitement.
La Disponibilit
Le fait que les utilisateurs autoriss ont un accs scuris l'information et
ses ressources associes.
La Traabilit
La dfinition est donne dans la norme ISO 8402 : Aptitude retrouver
lhistorique, lutilisation ou la localisation dun produit ou dun processus de
dlivrance dun service au moyen didentifications enregistres.
Janvier 2006
Claude Maury
�Articles
La norme contient 11 articles.
Ces 11 articles sont numrots par les chapitres 5 15 de la norme
N
Janvier 2006
Articles (chapitres) ISO/CEI 17799:2005
Nbre
objectifs de
scurit
Nbre
mesures
Politique de scurit
Organisation de la scurit de linformation
11
Gestion des biens
Scurit lie aux ressources humaines
Scurit physique et environnementale
13
10
Gestion de lexploitation et des tlcommunications
10
32
11
Contrle daccs
25
12
Acquisition, dveloppement et maintenance des systmes dinformation
16
13
Gestion des incidents lis la scurit de linformation
14
Continuit de lactivit
15
Conformit
10
Claude Maury
�Rubriques
Les 11 articles (chapitres) contiennent:
39 rubriques de scurit qui sont structures de la faon
suivante:
Un objectif de scurit identifiant le but atteindre
Une ou plusieurs mesure(s) pouvant tre applique en vue
datteindre lobjectif de scurit
133 mesures contenues dans les 39 rubriques qui sont
structures de la faon suivante:
Mesure: spcifie la mesure adapte lobjectif de scurit
Prconisation de mise en uvre: propose des informations dtailles
pour mettre en uvre la mesure
Information supplmentaires: prsente des complments
dinformation considrer
Janvier 2006
Claude Maury
�Exemple de structure de la norme
Objectif de scurit
Mesure
Janvier 2006
Claude Maury
�Critres de succs
Une bonne comprhension et valuation des risques encourus
Une mise en uvre qui soit compatible avec la culture de
l'entreprise
Un soutien et un engagement visible de la direction
Des comptences et des moyens pour mettre en uvre la
politique et les processus de scurit
Une prsentation et une formation approprie de la scurit
tous les responsables et employs de l'organisation
L'accs pour tous les employs aux normes et directives de
scurit de l'information
Janvier 2006
Claude Maury
�Audit de situation
Interview d~ 540 questions
bases sur les 11 chapitres de
la norme
Pas de tests in situ
chap 5
100%
90%
80%
70%
60%
50%
40%
30%
20%
10%
0%
chap 15
chap 14
Ce nest pas un jugement de
valeur ou de comptences
chap 7
chap 13
Donne une photo de ltat
actuel de la SSI par rapport
la norme
chap 8
chap 12
chap 9
chap 11
ISO 17799:2005
Janvier 2006
chap 6
Claude Maury
chap 10
Mesures existantes et prvues
Mesures existantes
�Barrires
Rsistance humaine
Atteinte la libert (cyberflics)
Frein au business
Moyens financier et humain
Culture de lentreprise
Culture du pays
Us et coutumes, lois diffrentes
Besoins du business
Moyens coercitifs disposition
Qui peut obliger?
Coupes budgtaire
Janvier 2006
Claude Maury
�Quelques liens intressants
[Link]
Questionnaire du risque en franais
[Link]
The security management index
Janvier 2006
Claude Maury
