Système de management de la sécurité de

l’information

Préparation à la Certification ISO 27001

Saadi Mostafa, PhD

Professor of Computer Science & Cybersecurity
 Objectifs
 Comprendre la corrélation entre la norme ISO/CEI 27001 et la norme
ISO/CEI 27002, ainsi qu’avec d’autres normes et cadres
réglementaires
 Maîtriser les concepts, approches, méthodes et techniques
nécessaires pour mettre en œuvre et gérer efficacement un SMSI
 Savoir interpréter les exigences de la norme ISO/CEI 27001 dans un
contexte spécifique de l’organisation
 Savoir accompagner une organisation dans la planification, la mise
en œuvre, la gestion, la surveillance et la tenue à jour du SMSI
 Acquérir l’expertise nécessaire pour conseiller une organisation sur la
mise en œuvre des meilleures pratiques relatives au Système de
Management de la Sécurité de l’Information
 Mener un Audit organisationnel et Techniques
 Mettre en place une politique de sécurité SI
 Préparer la certification Lead Auditor ISO 27001 et Lead Implementer
ISO 27001
 Références et Sources

Strategic IT
Security and Governance and
ISO_IEC 27001
Privacy Performance
Documentation Information
Management Frameworks in
officielle ISO Security_The big
Techniques, and Large
27001/27002 picture by
Protocols by Organizations
Richard Harpur
Yassine Maleh by Yassine
Maleh
 Plan
Les enjeux de la sécurité SI

Normes et Référentiels
Plan
ISO 27000 certification: Vue Globale

Mise en place d’un SMSI de A à Z

La Gestion des Risques

Etude de cas et Projet

• Audit de la Sécurité SI
• Audit Organisationnel
• Audit Techniques
• Politique de la Sécurité SI
Sécurité et Audit des applications WEB

Tableaux de bord Sécurité SI

Système de management de la sécurité de
l’information
Introduction au Système d’Information et
Sécurité de l’information
 Information et Système d’information

Comprendre les concepts de base de

l'information
 Information et Système d’information

Information
Un ou plusieurs éléments de données utilisés pour l'acte ou le fait
d'informer.
 Information et Système d’information

Comprendre les concepts de base de

l'information
 Information et Système d’information

Comprendre les concepts de base de

l'information

 



 
 





 Information et Système d’information

Comprendre les concepts de base de

l'information

 

 

 

 

 

 

 
 Information et Système d’information

Comprendre les concepts de base de

l'information

Les autres types de communication

exigent qu'une certaine forme de
sécurité soit identifiée et au besoin,
appliquée.
 Information et Système d’information

Comprendre les concepts de base de

l'information

Comprendre la valeur des données, de la

connaissance de l'information et de la sagesse
Information et Système d’information
 Information et Système d’information

Comprendre les concepts de base de

l'information
Ce que sont les systèmes d'information et comment ils
ajoutent de la valeur
 Information et Système d’information

Système d’Information
Un ensemble intégré de composants utilisés pour la collecte, le stockage
et le traitement des données et pour la diffusion de l'information et des
connaissances.
Information et Système d’information
Information et Système d’information
 Information et Système d’information

-
People Process Technology
 Information et Système d’information

People
Employees, Business Partners, Vendors, and Customers
Creators, Data Owners, Admi n istrators, and Users
 Information et Système d’information

Process
Policies, Procedures, Rules, Role Defin it ions, and Audit Controls
Monitor, Measure, and lmprove Information Systems
Information et Système d’information

-
-
Technology
Information et Système d’information

Peop le UseTechnology

Technology Enables People

-
 Information et Système d’information

-
People Process Technology
Conceptualize Appraise & Select Preserve Access, Use, & Reuse Dispose

INFORMATION LIFE CYCLE

Create or Receive lngest Store Transform

 Qu'est-ce que la sécurité de l'information ?

Sécurité

Menace
Information

Sécurité
Sécurité
Disponibilité
S Risque
Intégrité
Confidentialité
Traçabilité

Vulnérabilité
Sécurité
Qu'est-ce que la sécurité de l'information ?
 Le risque !!

exploit
Threats Vulnerabilities

Risk Information
reduce to
Controls
assets

Security Value
requirements
 Alors, comment sécuriser
nos actifs informationnels ?
Comment assurer la sécurité SI
Sécurité de l’information et cybersécurité

29
Les Normes et Standards SI
Cybersecurity
Sécurité & Ethicald’information
des systèmes Hacking

Cotexte et Objectives

31
 Contexte

Source Kaspersky
Répartition géographique des attaques* sur les systèmes d'automatisation industrielle, H1 2019* 32
pourcentage d'ordinateurs ICS sur lesquels des objets malveillants ont été bloqués
 Contexte

Source Kaspersky

TOP 15 des pays et territoires par pourcentage d'ordinateurs ICS sur

33
lesquels des objets malveillants ont été bloqués
 Contexte

34
2019 est une grande année pour les investissements dans la cybersécurité
Opportunités en Cybersecurité

35
 Carrière en Cybersecurité
1 AR/VR Engineer 1400%
2 Gaming engineer 146%
Computer vision
3 146%
engineer
4 Search engineer 137%
Machine Learning
5 89%
engineer
6 Security engineer 49%
7 Data engineer 45%
8 Frontend engineer 45%
9 Backend engineer 17%

10 Blockchain engineer 9%

11 Full-stack engineer 5%
Source Linkedin

36
Profils IT demandés pour l’année 2020
 Les enjeux de la sécurité des SI

Sécurité des systèmes d’information

ISO/IEC 27001 Certification: Vue Globale

1ère Partie

 Pourquoi la certification ISO27001

est-elle si importante ?
 Comprendre les normes
 Faire certifier votre organisation
 Conserver votre certification
 Outils et support dont vous avez
besoin
•“… Preserves the confidentiality, integrity
and availability of information by
applying a risk management process ...”

Source: ISO/IEC 27001:2013 Standard section 0.1

 Famille ISO 2700X

ISO 27002 Best

Practices

ISO 27003
ISO 27000
Implementati
Definitions
on

ISO 27001 ISMS

Requirements

ISO 27006 ISO 27004

Audit rules Measures

ISO 27005
Risk
assessment
 Famille ISO 2700X

ISO/IEC 27000 présente le vocabulaire et les définitions du domaine de la

sécurité, applicables à chacune des normes ;
ISO/IEC 27001 décrit la politique de gestion de la sécurité des systèmes
d'information au sein d'une entreprise qui sert de référence pour la
certification ;
ISO/IEC 27002 est le guide des bonnes pratiques pour la sécurité du SI ;
ISO/CEI 27003 se veut un guide de mise en œuvre ;
ISO/IEC 27004 sera une nouvelle norme pour les indicateurs de pilotage et
les mesures dans le domaine de la sécurité informatique ;
ISO/IEC 27005 sera une nouvelle norme sur la gestion des risques pour la
sécurité des systèmes d'information ;
ISO/IEC 27006 résume les exigences applicables aux auditeurs externes
dans leur mission de certification ISO 27001
 ISO/IEC 27001

Que signifie "ISO/IEC 27001" ?

ISO/IEC
27 0 0 1

S p é c ific a ti o n Créé Par Relative à

Exigences exactes Internatio nal O rg an iz atio n fo r Système de gestion de la
explicitement S tand a rd i z ation (IS O ) sécurité de l'information
documenté Internatio nal E l e c tro te c hnic al et de la gestion des
114 contrôles C o m m i s s io n (IE C ) risques
14 domaines
 ISO/IEC 27001

Différences entre ISO/IEC 27001 et ISO/IEC

27002
CERTIFIED

IS O / IE C 2 7 0 0 1
Internatio nal S tan d ard

IS O / IE C 2 7 0 0 2
C o d e o f P rac tic e /
Im p l e m entation g u ida nc e
 ISO/IEC 27001

Contrôles et domaines
# Domaine Nombre de # Domaine Nombre
contrôles de
contrôles
1 Politique de Sécurité 2 8 Sécurité des opérations 14

2 Organisation de la 7 9 Sécurité des communications 7

Sécurité
3 Sécurité liées aux RH 6 10 Acquisition, développement et 13
maintenance de systèmes
4 Gestion des biens 10 11 Relations avec les fournisseurs 5

5 Contrôle d’accès 14 12 Gestion des incidents 7

liés à la sécurité de
l'information
6 Cryptographie 2 13 La continuité des activités 4
liés à la sécurité de
l'information
7 Sécurité physique et 15 14 Conformité 8
environnementale

En Total 114 contrôles

 ISO/IEC 27001

• Les 3 premiers domaines se focalisent moins sur l’aspect

technique et surtout sur l’aspect process et politique. C’est ici
qu’on parle de système de qualité/management ou bien SMSI.
Les 7 autres contrôles contient les aspects techniques. Les 4
derniers domaines sont plus orientés sur les activités de
l’organisme.
• Ne pensez pas que vous devrez être une grande organisme pour
implémenter ISO 27001.
• Des organismes avec 3 employés qui ont adopté ISO 27001.
Donc, il n’a pas une taille minimum pour que l’entreprise doit
être certifiée.
 ISO/IEC 27001

Bref historique de
l’ISO/IEC27001
1992 1996 20 0 0 20 0 5
UK G ov e rnm e nt F irst R e publis he d and S p e cifica tio n P ub lis he d
( DTI) A ud itors inte rna tio na l sta nd a rd ISO/IEC 270 0 1published
Code of practice… ISO/IEC 17799 ISO/IEC 17799 withdrawn

1995 1999 20 0 2 2 013

Britis h S ta nd a rd s Ma jo r rev is io n S p e cifica tio n Up d ate d S p e cifica tio n
Institute Accreditation & ISO/IEC 17799-2 ISO/IEC 270 0 1:20 13
B S 7799 Certification
S cheme 270 0 1 F a m ily
 ISO/IEC 27001

Comparison avec d’autres

Standards
H e althc are G overnm ent D efens e F in an c ial C ard P ay m ents
/ F DA
 ISO/IEC 27001

Que signifie être

certifié ?
• Vérification réussie par un
vérificateur indépendant
• Démontré que vous répondez
aux exigences de la norme
• Sous réserve d'audits de
C E R T IF IE D
surveillance en cours

Utiliser un organisme de certification accrédité

[Link]
 ISO/IEC 27001

A va n t a g e s d ' ê t r e
certifié
Avantages de Avantages de Avantages pour les
l'orientation vers l'orientation interne ventes et le marketing
l'extérieur Confiance dans les Avantage concurrentiel
Assurance client processus Protégez votre réputation
Faciliter la vérification Alignez votre Supprime les obstacles
diligente à l'égard de la organisation sur les dans le processus de
clientèle meilleures pratiques vente
Conformité réglementaire Réduisez vos coûts
Management & Contrôle
Satisfaire les besoins
d'audit
 Principales ressources
ISO/IEC sur le Web

Tr o u ve r u n c e r t i f i c a t I S O / I E C 2 7 0 0 1

D emo en ligne
Interpréter un certificat
ISO/IEC27001
 C o m m e n t vé r i f i e r l a va l i d i t é
 Pourquoi la portée est
importante
Case Study
Globalmantics - Petite société de gestion
de brochures en ligne au service des
banques et des compagnies d'assurance

Processus d'obtention de la certification

ISO/IEC 27001 pour Globalmantics.
 Pourquoi ISO/IEC27001 est si
important
Av a n t a g e s p o u r v o t r e o r g a n i s a t i o n
Résumé Quand ISO/IEC27001 est la bonne

Suivant
• Structure de la norme
• P r e m i e r s p a s p o u r Globalmantics
Sécurité des systèmes d’information

Comprendre la structure de la norme

 Structure de la norme ISO/IEC 27001

Structure du Standard

C la us e s 1 – 3:
Définitions générales et contenu
1
IS O
27 0 0 1
2 C laus e s 4 – 10:
7 C lauses concernant votre
3 conformité obligatoire au SMSI
A n nex A –
4 114 c o ntroles sur 14 d o m aines
2 013 Conformité obligatoire
Ve rsio n

B ibliog rap hy - R eferenc e s

 Structure de la norme ISO/IEC 27001

Clauses 0 - 3
Clause # Déscription
1
1 Process and process approach
IS O
27 0 0 1
2 2 Process approach impact

3 The Plan-Do-Check-Act cycle

3

4
2 013
Ve rsio n

3 Claus es relat iv es à des déf init ions général et c ont enu du

SM SI
 Structure de la norme ISO/IEC 27001

• Les sections 1 à 3 couvriront les concepts de processus, d'approche

processus et de cycle PDCA applicables à l'ISO.
Plan, Do, Check, Act
• normes de gestion, ainsi que les définitions les plus importantes un
débutant en sécurité de l'information
• devrait savoir.
• Terms and definitions: Process, Information Security,….
• Impact du process
• PDCA
 Structure de la norme ISO/IEC 27001

Clauses 4 - 10

Clause # Déscription
1 4 Contexte de l'Organisation
IS O
5 Leadership
27 0 0 1
2 6 Planning

7 Support
3 8 Opération

9 Evaluation de Performance
4 10 Amélioration
2 013
Ve rsio n

7 Claus es relat iv es à la nat ure et au f onc t ionnem ent de v ot re

SM SI
 Structure de la norme ISO/IEC 27001

• 4- Cette clause exige que l'organisation détermine toutes les questions internes et
externes qui peuvent être pertinentes à ses objectifs opérationnels et à l'atteinte des
objectifs du SMSI lui-même.
• - Détermination de la portée du système de gestion de la sécurité de l'information
• 5- Le top management et les cadres dirigeant ayant des rôles pertinents au sein de
l'organisation doivent faire preuve d'un réel effort pour faire participer les gens à l'appui
du SMSI.
• - Le top management a la responsabilité d'établir une politique de sécurité de
l'information, qui est alignée sur les objectifs de l'organisation et fournit un cadre pour
l'établissement des objectifs de sécurité de l'information, y compris un engagement à
satisfaire aux exigences applicables et à l'amélioration continue du SGSI.
- La norme stipule qu'il incombe à la haute direction de s'assurer que les rôles, les
responsabilités et les pouvoirs sont délégués et communiqués efficacement.
 Structure de la norme ISO/IEC 27001

6. L'organisation doit planifier des mesures pour gérer les risques et les
possibilités qui s'appliquent au contexte de l'organisation.
- Les objectifs de sécurité de l'information devraient être établis et
communiqués aux niveaux et fonctions appropriés.
• 7. Support inclut la compétence des équipes, La sensibilisation, la
communication et la documentation. Une organisation doit non
seulement gérer les documents internes (par exemple, diverses
politiques, procédures, documentation de projet, etc.), mais aussi les
documents externes (par exemple, différents types de
correspondance, documentation reçue avec le matériel, etc.)
 Structure de la norme ISO/IEC 27001

8. Pour s'assurer que les risques et les possibilités sont traités

correctement (risques dans 6. Planning)
9. Evaluation de performance à travers des audits et indicateur de
suivis KPI.
10. Les résultats de l’évaluation (Etape 9), des vérifications internes et
de l'évaluation de la conformité et du rendement devraient tous servir
de base aux non-conformités et aux mesures correctives.
L'amélioration continue est un aspect clé du SMSI dans l'effort pour
atteindre et maintenir la pertinence, la pertinence et l'efficacité de la
sécurité de l'information par rapport aux objectifs de l'organisation.
 Structure de la norme ISO/IEC 27001

Congratulations !

Vo u s a v e z p a r c o u r u t o u t e s l e s c l a u s e s d e l a
norme internationale ISO27001.
 Structure de la norme ISO/IEC 27001

Annex A –
Reference C ontrol Objec tives & C ontrols

1
IS O
27 0 0 1
2
3 C o ntrôles e t D o m a ines
4
2 013
Ve rsio n

En Total 114 contrôles

 Structure de la norme ISO/IEC 27001

Annex A –
Reference C ontrol Objec tives & C ontrols
# Domaine Nombre de # Domaine Nombre de
Contrôles Contrôle

1 Information Security Policies 2 8 Operations Security 14

2 Organization of Information Security 7 9 Communications Security 7

3 Human Resource Security 6 10 System Acquisition, Development 13

& Maintenance

4 Asset Management 10 11 Supplier Relationships 5

5 Access Control 14 12 Information Security 7

Incident Management

6 Cryptography 2 13 Information Security Aspects 4

of Business Continuity

7 Physical & Environmental Security 15 14 Compliance 8

En Total 114 contrôles

 Structure de la norme ISO/IEC 27001

‘Shall’ indicates a mandatory

requirement within the standard.
If you don’t satisfy a requirement
which has the word ‘shall’ you
don’t comply.
 Structure de la norme ISO/IEC 27001

‘… shall be available in the form of

documented information’
T here must be a document in exis tence to s atis fy
This clause, which you can demonstrate to your
auditor.
 Structure de la norme ISO/IEC 27001

Définir la portée (Scope)

L i m i t e s p o u r é t a b l i r l e c h a m p d ' a p p l i ca t io n :
 Te n i r c o m p t e d e s f a c t e u r s e xt e r n e s e t
internes
 Te n i r c o m p t e d e s p a r t i e s i n t é r e s s ée s
 Te n i r c o m p t e d e l a r e l a t i o n e n t r e l e s
a c t i vi t é s r é a l i s é es p a r vo t r e o r g a n i s at i on
e t c e l l e s d ' a u t r e s o r g a n i sa ti on s.
 Structure de la norme ISO/IEC 27001

Directives pour Définir de

la portée (Scope)
Quelques limites à considérer :
 Activités de l'entreprise
 Lieu spécifique
 Canal spécifique, p. ex. transactions en
ligne Produits / services spécifiques
 Considérations du point de vue de vos
clients

La portée doit être suffisamment large pour

être significative et utile.
 Structure de la norme ISO/IEC 27001

• La portée du SMSI fait référence aux unités d'affaires, aux

services ou aux processus opérationnels qui sont couverts par le
SMSI (c.-à-d. le programme de sécurité). Vous pouvez définir le
périmètre à n'importe quel niveau de détail. Vous pouvez avoir
une portée de certification qui est plus petite que la portée du
SMSI. Une portée de certificat plus petite pourrait aider à
accélérer le cheminement vers la certification, puis à l'étendre à
l'ensemble de la portée du SMSI.
• Un exemple d'énoncé de la portée du SMSI est : "Le SMSI
s'applique aux opérations informatiques, à l'unité d'affaires de
gestion du patrimoine et aux fonctions de l'entreprise ". Il s'agit
de l'énoncé qui figure sur votre certification IsO 27001.
DDemo
emo
Regarder le monde réel

Définition de la portée

pour un organisme
certifié
 Structure de la norme ISO/IEC 27001

Évaluation des risques

Méthodologie répétable pour

l'évaluation des risques :
 Critères d'acceptation du
risque (appétit)
 Identifier les risques
 Analyse des risques
 Évaluation des risques
 Structure de la norme ISO/IEC 27001

Statement of Applicability (SoA)

 L a l i s t e d e s m e s u r e s d e s é c u r i té
n é c e s s ai re s
 L a j u s t i f ic at io n d e l e u r i n s e r t i on
 L e f a i t q u ’ e l l es s o i e n t m i s e s e n
œ u vr e o u n o n
 L a j u s t i f ic at io n d e l ’ e xc l u s i on d e
m e s u r e s d e l ’ a n n e xe A
 Structure de la norme ISO/IEC 27001

Statement of Applicability (Exemple)

 Structure de la norme ISO/IEC 27001

Documents exigés

Docum ents obligatoires

 Procédures
 Politiques

Registres obligatoires
 Rapport d’audit interne
 Rapport des actions corrigés
 Structure de la norme ISO/IEC 27001

Documents obligatoires
# Document Clause # Document Clause

1 Scope 4.3 9 Acceptable use of Assets A8.1.3

2 Policy & Objectives 5.2 & 6.2 10 Access Control Policy A9.1.1

3 Risk Assessment 6.1.2 11 Operating Procedures A12.1.1

Methodology
4 Statement of Applicability 6.1.3.d 12 Secure system engineering A14.2.5
Principles
5 Risk Treatment plan 6.1.3.e & 13 Supplier Security Policy A15.1.1
6.2
6 Risk Assessment Report 8.2 14 Incident Management Procedure A16.1.5

7 Roles & Responsibilities A7.1.2 & 15 Information Security A17.1.2

A13.2.4 Procedures for Business
Continuity
8 Inventory of Assets A8.1.1 16 Statutory, Regulatory and A18.1.1
Contractual Requirements

16 D o cum e nts obligatoires

 Structure de la norme ISO/IEC 27001

Rapports obligatoires
# Document Clause

1 Training & Skills 7.2

2 Monitoring & Measurement Results 9.1

3 Internal Audit Program 9.2

4 Internal Audit Records 9.2

5 Management Review Records 9.3

6 Results of Corrective Actions 10.1

7 User activity, exceptions, security Event A.12.4.2, A.12.4.3

logs

7 Rapports obligatoires
 Structure de la norme ISO/IEC 27001

D emo Globomantics :
 Définir le champ d'application
(scope) de Globomantics
 Définir l'énoncé d'applicabilité
 Structure de la norme ISO/IEC 27001

Fournit un service de réalisation de brochures

Interface Web permettant aux utilisateurs de
sélectionner une brochure
Brochures expédiées par la poste
D emo A propos de l'entreprise
 25 personnes au total, une équipe informatique
de 4 personnes
 2 programmeurs, 1 DBA, 1 administrateur
système
 Souhaitent être certifiés ISO27001 car leurs
clients sont de grandes entreprises de services
financiers et capturent leurs données
personnels (Personally Identifiable Information
(PII))
 Le fait d'être certifié les aidera à accroître leurs
ventes, les concurrents sont certifiés.
 Structure de la norme ISO/IEC 27001

Globomantics Opérations
 Structure de la norme ISO/IEC 27001

Globomantics Opérations
 Structure de la norme ISO/IEC 27001

Énoncé d'application (Globalmantics exemple)

 Réglage de la portée (Scope)
Évaluation des risques
Énoncé d'applicabilité (SoA)
Résumé
Suivant
- Cycle de vie de la certification
Sécurité des systèmes d’information

Cycle de vie de la certification - Obtenir votre

certification
 Cycle de vie de la certification ISO 27001

Map de la certification
 Cycle de vie de la certification ISO 27001

L’audit
À quoi s'attendre

Sur la base
On-site Droit d'appel
d’un
L'audit se fera Formel Si vous n'êtes
Echantillon
dans vos Réunion pas d'accord
L'auditeur ne
locaux, et peut d'ouverture avec les
peut pas
se faire sur Plan d’audit conclusions de
couvrir toutes
plusieurs sites Evidence/Preuve l'audit, tous les
les parties de
en fonction de Réunion de organismes de
vos opérations
votre périmètre. clôture de la certification ont
dans les délais
preuve un processus
impartis.
d'appel.
 Cycle de vie de la certification ISO 27001

Les résultats de l’audit

W hat c o uld the audito r fin d ?

1 2 3
NON-CONFORMITÉ MINEUR NON- POSSIBILITÉ
MAJEURE CONFORMITÉ D ' A M É L I O R AT I O N
Votre SMSI est Le SMSI est Suggestions pour
fondamentalement fondamentalement améliorer votre
défectueux. valable, mais certains SMSI
Certification à risque problèmes ont été relevés
4 5
EFFORTS O B S E R V AT I O N S
N O TA B L E S Les éléments
Félicitations et identifiés par
appel aux bonnes l'auditeur
pratiques pourraient devenir
un problème à
l ' a v e n i r.
 Cycle de vie de la certification ISO 27001

Stage 1 Audit

E x a m e n d e l a d o c u m e n ta t i o n

1 . D o c u m e n ts o b l i g a t o i r e s
2. Objectifs fixés et en cours de
réalisation
3. Le champ d'application est
clairement défini
4. Politique sur la sécurité de
l ' i n f o r m a ti o n
5 . L’ a u d i t i n t e r n e
6. Management Review
Cycle de vie de la certification ISO 27001

L'audit de l'étape 1 est un point de

décision pour savoir si vous êtes prêt
à passer à l'audit de l'étape 2.
 Cycle de vie de la certification ISO 27001

Stage 2 Audit
Plan d’audit

1. Audit complet de l'ensemble de la norme

2. S'assurer que vous travaillez en conformité
avec la norme
3. S'assurer que vous vous conformez à la
norme
4. S’assurer que toutes les constatations de
l'étape 1 ont été traité
5. Constatation
 Cycle de vie de la certification ISO 27001

Exemples de délais

Stage 1 Audit
- Normalement 1 jour

Stage 2 Audit
- Normalement 2 jours

Processus complet de bout

en bout
- 12-18 mois
(en supposant qu'il n'y a pas
d'expérience ISO)
 Audit
C yc l e d e v i e

Résumé Suivant
- Garder votre certification
 Cycle de vie de la certification ISO 27001

Garder votre certification !

‘Surveillance audits are the

audits that occur between
certification audits.’
 Cycle de vie de la certification ISO 27001

Audit de surveillance
 Cycle de vie de la certification ISO 27001

Fréquence des audits de surveillance

 Cycle de vie de la certification ISO 27001

Les audits de surveillance

À quoi s'attendre

Sur la base
On-site Droit d'appel
d’un
L'audit se fera Formel Si vous n'êtes
Echantillon
dans vos Réunion pas d'accord
L'auditeur ne
locaux, et peut d'ouverture avec les
peut pas
se faire sur Plan d’audit conclusions de
couvrir toutes
plusieurs sites Evidence/Preuve l'audit, tous les
les parties de
en fonction de Réunion de organismes de
vos opérations
votre périmètre. clôture de la certification ont
dans les délais
preuve un processus
impartis.
d'appel.
 Cycle de vie de la certification ISO 27001

L’audit de surveillance

Échantillon et examen fondé

sur des données probantes

1. Documents obligatoires.
2. Preuve de l'opération.
3 . E xa m i n e r l e s i n c i d e n t s d e
sécurité.
4. Assurer le suivi des non -
conformités.
5. Constatations.
Cycle de vie de la certification ISO 27001

‘Re-certification A udits are audits

that occur after being certified for 3
years. Re-certification audits cover
all aspects of the ISO270 0 1
standard, and are similar to the initial
audit undertaken to attain
certification.’
 Cycle de vie de la certification ISO 27001

Audit de re-certification
Cycle de vie de la certification ISO 27001

Plan d’a udit

Start
1. Audit complet de l'ensemble de la
norme.
2. Assurez-vous que vous travaillez
conformément à la norme.
3. Assurez-vous de vous conformer à la
norme.
4. Examiner les non-conformités relevées à
la suite d'une vérification de surveillance.
5. Constatations.
Cycle de vie de la certification ISO 27001

‘Transition A udits apply when

moving from one version of a
standard to another, or from one
Certification Body to another.’
 Cycle de vie de la certification ISO 27001

Audit de la transition

Cas d'utilisation

• Lorsqu'une nouvelle norme

ISO est publiée et que vous
devez passer à cette norme.

• Si vous passez d'un

organisme de certification
accrédité à un autre.
 Surveillance
Re-certification

Résumé Suivant
- Outils et supports
Support d’outils de la certification ISO 27001

‘The ISO/IEC 270 0 1standard does

not specify any tools that must
be used for implementation.’
 Support d’outils de la certification ISO 27001

Tool Spec trum

Manual System File share Templates & Document Risk Management &
Toolkits Governance system

Cost
To o l S o p h istic ation
 Support d’outils de la certification ISO 27001

File Share

Avantages
1. Facile et rapide à mettre en œuvre.
2. Tout le monde est à l'aise avec le
partage de fichiers.
3. Aucun logiciel supplémentaire à
acheter.

Inconvénients
1. Peu de gestion de documents.
2. Pas de workflows d'approbation.
3. Non Contrôle de version.
 Support d’outils de la certification ISO 27001

Templates & Toolkits

Avantages
1. Génération rapide de documents.
2. De bons modèles aident à guider votre
processus.
3. L'aide comprend des éléments que
vous pourriez négliger.

Inconvénients
1. Pas le vôtre, les politiques ne vous
seront pas familarisés.
2. Peut ne pas s'harmoniser avec votre
organisation.
 Support d’outils de la certification ISO 27001

Document Management System

Avantages
1. Contrôle automatique de la version.
2. Contrôle d'accès facile à configurer.
3. Historique complet des versions.
4. Intégration avec d'autres logiciels.
5. W orkflows pour approbation.

Inconvénients
1. Pas intelligent sur le contexte des
documents.
2. Plus complexe à mettre en place et à
maintenir.
3. Coûts.
 Support d’outils de la certification ISO 27001

Risk Management & G overnance System

Avantages
1. Centralisé - version unique de la vérité.
2. Intégrer d'autres processus.
3. Facilite la formation d'une grande
équipe.
4. Grande facilité de gestion pour les
équipes importantes ou dispersées.

Inconvénients
1. Plus cher.
2. Courbe d'apprentissage initiale abrupte.
3. Plus de temps pour être efficace.
 Support d’outils de la certification ISO 27001

Support organisationnel

C EO / SVP
• Ressources
humaines
Te am L e ad s • Installations
• Formation
Ind i v idu als
• opérations
informatiques
• Développement de
logiciels
• Métier
 Support d’outils de la certification ISO 27001

Options pour faire appel à des tiers :

Gap Analysis Projet Management

Avant l'audit de l'étape 1, Accomplir le projet

identifier les tâches du projet. d'obtention de la certification
  Choisissez des outils qui fonctionneront
pour vous.
Résumé
 Obtenez le soutien de l'ensemble de
votre organisation.
 Envisagez de faire appel à des tiers
pour accélérer les tâches.
Sécurité des systèmes d’information

Gestion des risques liés à la sécurité de

l'information
2ème Partie

 Définissez ce qu’est un risque en

sécurité de l’information
 Identifiez le cadre normatif de
l’analyse de risques SI
 Analysez et gérez des risques SI
 Analysez les risques SI
 Traitez et acceptez les risques SI
 Etude de cas UMB
 Outils de gestion de risques
Préparation du terrain

Strategic Goa ls &

Object ives
Préparation du terrain
Préparation du terrain
 Préparation du terrain

MuseLair Revenue Growth

60000000

50000000

40000000

30000000
Total

20000000

10000000

0
2009 2010 2011 2012 2013 2014
Préparation du terrain
Préparation du terrain

The Next Day

Préparation du terrain
 Préparation du terrain

Résumé Suivant
- Méthodologies d’analyse des
risques
- Évaluation de l'actif
- Définition du menace,
vulnérabilité et risque
- Management de risque
- Tr a i t e m e n t d e r i s q u e
 Classification des actifs

Asset
1
Any item owned by an organization or individual
having exchange value ''
Classification des actifs
 Classification des actifs

Real Estate Inventory Supplies Equipment

Headquarters (Chicago) Artists CDs Blank CDs & DVDs Mixing Consoles
MuseLair Studios (Nashville) Posters Jewel Cases Amplifiers
Distribution Center (GA) T-Shirts Poster Board Speakers
Distribution Center (IL) Baseball Caps Shrink Wrap Microphones
Distribution Center (TX) Wrist Bands Shipping Boxes Outboard Effects
Distribution Center (CA) Gift Cards Packing Tape Computers
Classification des actifs
Not all assets have the same
requirements for
Confidentiality, Integrity &
Availability
 Classification des actifs

Garantir la fiabilité de l'information grâce

à la sécurité

LOW MEDIUM HIGH

Protection Protection Protection

Level Level Level
 Classification des actifs

Exemple de schéma de
classification

Restricted Private Public

Unauthorized Unauthorized Unauthorized

disclosure, alteration or disclosure, alteration or disclosure, alteration or
destruction could destruction could destruction would
cause a significant level result in a moderate result in little to no risk.
of risk. level of risk.
[Link]
 Management de risque

Threat
The potent ial cause of an unwanted incident which may result
in harm to a person, a system or an organization.
Vulnerability
The weakness of an asset or group of assets that can be exploited by
one or more threats.

Risk
The combination of a threat, the probability it will occur and
the consequence if it does occur.

Threat + Probability = RISK

 Management de risque

Identifiez les menaces

Type de menaces Exemples
Dommage physique Feu
Dégât d’eau
Désastre naturel Phénomène climatique
Inondation
Perte de services essentiels Panne du système de climatisation
Panne électrique
Perturbations dues à des rayonnement Rayonnements électromagnétiques
Rayonnements thermiques
Compromission d’information Vol de supports ou de documents
Données provenant de source non fiable
Défaillance technique Panne de matériel
Dysfonctionnement d’un logiciel
Actions non autorisées Utilisation non autorisée du matériel
Reproduction frauduleuse de logiciel
Compromission des fonctions Usurpation de droit
 Management de risque

Identifiez les vulnérabilités

Type de vulnérabilité Exemples
Matériel informatique Maintenance insuffisante
Stockage non protégé
Logiciel Attribution erronée de droit d’accès
Interface utilisateur compliquée
Réseau Architecture réseau non sécurisée
Point de défaillance unique
Personnel Formation insuffisante
Absence de personnel
Site (lieu) Réseau électrique instable
Site situé en zone inondable
Structure organisationnelle Absence d’audits réguliers
Absence de procédure d’accès au ressources
 Management de risque

Risk Management
The continual process of identifying risks and
reducing those risks to an acceptable level.
 Management de risque

Management de risque

Processus Identification Réduire les vulnérabilités

continu du risque et réduire les risques
 Management de risque

Facteurs d'évaluation des

risques

Coût de la sécurité Valeur et priorité Probabilité de préjudice

 Management de risque

Activités d'évaluation des

risques

Quantify Prioritize
Traitement de risque
 Traitement de risque

Accepter le risque
Accepter consciemment et objectivement les risques,
à condition qu'ils répondent clairement à la politique
et aux critères d'acceptation des risques de
l'organisation.
 Traitement de risque

Réduire le risque
Appliquer des contrôles appropriés pour réduire les
risques.

•11 .11 .11

 Traitement de risque

Eviter le risque
Ne pas permettre que des actions qui entraîneraient
des risques se produisent.
 Traitement de risque

Transférer le risque
Transfert des risques associés à d'autres parties, par exemple
des assureurs ou des fournisseurs.

lnsurance Policy
 - Méthodologies d’analyse des
risques
- Évaluation de l'actif
- Définition du menace,
vulnérabilité et risque
Résumé
- Management de risque
- Tr a i t e m e n t d e r i s q u e

Suivant
- Catégories des menaces
- Identification des dommages
- Calcul de la perte
Catégorisation des menaces

CATÉGORIES DE
MENACES

• MENACES
HUMAINES

• MENACES NON
HUMAINES
 Catégorisation des menaces

OOPS!

••

lnten t io nal Uninten t io na1

 Catégorisation des menaces

Contrôles de la menace
humaine :

 L'éducation
 La for Formation et sensibilisation
à la sécurité
 Conditions d'emploi
 Code de bonne pratique
 Catégorisation des menaces

Natural Threats Environmental Threats Social/PoliticalThreats

 Identification des dommages

DIRECT DAMAGE INDIRECTDAMAGE

0
 Calcul de la perte

Estimation de perte unique: Single Loss Expectancy (SLE):

SLE est la perte monétaire attendue à la suite d'un seul incident
sur un bien. SLE est liée à la gestion et à l'évaluation des
risques

Single loss AVx EF= SLE

Expectancy Asset Value (AV) x Exposure Factor (EF) = SLE
 Calcul de la perte

La valeur de l'actif # 1 est de 1,000.00

$. L'impact d'un risque spécifique
réduira de deux tiers l'impact de l'actif.
Par conséquent, le facteur d'exposition
Single Loss est de .66
Expectanc y
L'espérance de perte unique est
exprimée comme suit
$ 1,000.00 X .66 = $66.000

Valeurde Facteur Single Loss

l’actif d'exposition Expectancy
 Calcul de la perte

Espérance de perte annuelle: Annua l

Lass Expecta ncy (ALE)
ALE est la perte monétaire annuelle attendue de la survenance d'un
seul incident sur un bien. L’espérance de perte annuelle est liée à la
gestion et à l'évaluation des risques.

(ALE) est le produit du taux annuel d'occurrence

An nual Loss (ARO) et de l'espérance de perte unique (SLE).
Expectancy C'est mathématiquement exprimé comme :
SLE x ARO = ALE
 Calcul de la perte

Valeur de l’actif = $ 100,000.00

Exposure Factor = 25% or .25
An nual Loss
Expectancy Single Loss Expectancy = $25,000.00
Annual Rate of Occurrence (ARO) = 3
$25,000.00 X 3 = $75,000.00

Ann ual
Sing le Loss Annual Loss
Rate of
Expectancy Expecta ncy
Occurrence
 Calcul de la perte

Exercice:
EXERCISE SHEET
Asset Value Exposure Single Loss Annual Rate Annual Loss
Factor Expectancy of Occurance, Expectancy

$40,000.00 0.05 2

$100,000.00 0.08 4

$22,000.00 1 1

$1,300,000.00 0.04 5

.$650,000.00 0.055 6

AV X EF = SLE X ARO = ALE

 Calcul de la perte

Exercice (réponse):
ANSWER SHEET
Asset Value Exposure Single Loss Annual Rate Annual Loss
Factor Expectancy of Occurance Expectancy

$40,000.00 0.05 $2,000.00 2 $4,000.00

$100,000.00 0.08 $8,000.00 4 $32,000.00

$22,000.00 1 $22,000.00 1 $22,000.00

$1,300,000.00 0.04 $52,000.00 5 $260,000.00

$650,000.00 0.055 $35,750.00 6 .$214,50ü.OO

AV X EF = SLE X ARO = ALE

 - Catégories des menaces
- Identification des dommages
- Calcul de la perte

Résumé Suivant
- Analyse de risque
Analyse de risque
Analyse de risque
Analyse de risque

Risk Acceptance Criteria

Analyse de risque

 Cherche à évaluer numériquement

les probabilités des conséquences
potentielles du risque
 Calcul des probabilités numériques
sur les conséquences possibles
 Principalement basé sur l'analyse
des données pour déterminer le
risque financier
 Analyse de risque

QUALITATIVEANALYSIS
 utilise des mots ou des couleurs pour
identifier et évaluer les risques
• Mots (critique, élevé, moyen, faible)
• Couleurs (rouge, orange, jaune,
vert)

 Présente une description écrite du

Risk Levels risque
 Principalement basé sur l'opinion
 Analyse de risque

Analyse quantitative des

risques

Composiit Risk lndex Examples

Impact (Scale 1
-10) Probrability (Scale 1
-5) Composit Risk Index
7 2 14
8 4 32
3 1 3
5 3 15
1 5 5
 Analyse de risque

Analyse qualitative des

risques
 Analyse de risque

Statement Qualitative Quantitative

1 There, is a fi&%, lik!elihood that this threiat will impa et

ou11 00 mpa ny
1 1
X
2 This thre,at shouId be cla s:sif ied as Re-d
X
3 The, imp\act of this [Link] w·ill be 111Critica l11 to1 ,our
X
1

business
4 One third of the incidents willcaus1e 493, of all damage
X
s 1 believe that this threat i:s signiif icanit enough to cause,
re,a l damage X
 Stratégies et Mesures des risques

Stratégies de minimisation
des risques
 Stratégies et Mesures des risques

Stratégies de minimisation
des risques

 Des mesures proactives qui réduisent le

risque en protégeant l'intégrité des
systèmes et des données
• Sauvegardes sur bande
• Système redondant
• Systèmes d'extinction d'incendie
• Conditionneurs d'énergie
 Stratégies et Mesures des risques

Stratégies de minimisation
des risques

 Mesures proactives prises pour protéger

l'environnement contre les menaces
• Campagnes de sensibilisation aux
menaces
• Amélioration continue des processus
• L'évolution des techniques de
prévention
 Stratégies et Mesures des risques

Stratégies de minimisation
des risques
 Mesures proactives prises pour surveiller
l'environnement, anticiper les menaces
et identifier les infractions
• Détection d'intrusion
• Logiciel antivirus
• Caméras vidéo
• Détecteurs de fumée
 Stratégies et Mesures des risques

Stratégies de minimisation
des risques
 Mesures proactives ou réactives prises
pour réprimer l'environnement afin de
désactiver le thrat
• Pare-feu
• Blocage du signal
• Verrouillage de compte
• Agents de sécurité
 Stratégies et Mesures des risques

Stratégies de minimisation
des risques
 Mesures réactives prises pour réparer
tout dommage causé par une atteinte à la
sécurité ou pour atténuer l'impact des
atteintes à la sécurité
• Restauration des données
• Points de restauration du système
d'exploitation
• Plans de continuité des opérations
• Plans de reprise après sinistre