La norme ISO27002

Abdelaâli HIMI
ISO27001 Lead Auditor, Lead Implementer,
ITIL OSA 1
 Plan de la formation

 Introduction aux systèmes de management,

 Présentation d’ISO 27001 et ISO 27002
 Principes fondamentaux de la sécurité de l’information.
 Analyse de risques
 Déclaration d'applicabilité
 Les contrôles de la norme ISO27002
 Formation, sensibilisation, communication
 La gestion des incidents
 Monitoring des mesures de contrôle
 Mesure de la performance des mesures de contrôle
 Audit interne du SMSI
 Revue de direction du SMSI
 L’amélioration continue 2
 Organisation Internationale de
Normalisation (ISO)
• L'Organisation Internationale de normalisation (ISO) est
une fédération internationale organisations
normalisatrices nationales de plus de 160 pays .
• Les résultats finaux des travaux de I'ISO sont publiés en
tant que normes internationales.
• Plus de 16000 normes ont été publiées depuis 1947.

3
 Conformité légale

• Les lois applicables et les réglementations

doivent être suivies par l'organisation.
• Dans la plupart des pays, la mise en Œuvre
d'une norme ISO est une décision de
l'organisation, pas une condition légale.
• Dans tous les cas, les lois ont la priorité sur les
normes.

4
Principes ISO

n ue
ti
con
ti on mps
lio ra e te
m é ns l
A da
d e
ri t é
sécu
e la
n d
o
g esti
e de n
s t èm atio
Sy form
l’in 5
Normes en sécurité-exemples

ISO 27002 ISO 27001

Bonnes pratiques SMSI

ISO 18033 ISO 18044

Cryptographie Gestion des incidents

6
 Famille ISO 27000
Exigences pour
Guide de bonnes les SMSI Vocabulaire et
pratiques fondamentaux
ISO27001
ISO27002 ISO27000
Guide pour
Guide de l’utilisation d’ISO
ISO27003 ISO27799
mise en place 27002 dans le secteur
d’un SMSI Famille ISO de la santé
27000
ISO27007 Guide pour l’audit
ISO27004 des SMSI
Mesure d’un SMSI
ISO27005 ISO27006

Exigences pour les

Gestion des risques de
organisations
sécurité de
auditant et certifiant
l’information
les SMSI
7
 ISO 27001
• ISO 27001: Gestion de la sécurité de l'information
- Spécification pour les systèmes de management
de la sécurité de l'information
- Spécifie les exigences pour la conception, la mise en
place et la documentation des SMSI
- Spécifie les exigences pour la mise en Œuvre de
contrôles conformément aux besoins des organisations
- L'annexe A se compose de 11 sections comportant 133
contrôles de ISO 27002
- Les organisations peuvent postuler à la certification à
cette norme. 8
 Structure de la norme
Clause 8
Clause 5
Amélioration du
Responsabilité du
SMSI
management

Clause 6
Clause 7
Audits internes du
Revue du SMSI
SMSI
9
 ISO 27002
ISO/IEC 27002:2007 technologies de l'information -
Code de pratiques pour la gestion de la sécurité
de l'information JTC1/SC27/WG1
- Basée sur BS 7799-1 :2002
- A utiliser comme document de référence
- Fournit une gamme complète de contrôles de sécurité
- Basée sur les meilleures pratiques de sécurité de
l'information
- composte de 11 sections composant 133 contrôles
-Les organisations ne peuvent pas se faire certifier ISO
27002. 10
 Les domaines de ISO 27002
(annexe A de ISO 27001)
A5 La politique de sécurité

A6 L’organisation de la sécurité de l’information

A7 La gestion des actifs (Biens qui contiennent de l’information)
A8 La sécurité des ressources humaines
A9 La sécurité physique et environnementale
A 10 La gestion des communications et des opérations
A 11 Le contrôle d’accès (Logique)
L’acquisition, le développement et l’entretien des systèmes
A 12
d’information
A 13 La gestion des incidents de sécurité de l’information
A 14 La gestion de la continuité des affaires
A 15 La conformité (Légale et règlement interne) 11
 La norme ISO27002

Principes fondamentaux de la sécurité de l’information

12
 Actif

• Définition:
Tout élément représentant de la valeur pour
l'organisme (clause 3.1)

13
 L’information

• L'information est le résultat du traitement, de

la manipulation et de l'organisation des
données de manière à s'ajouter à la
connaissance du récepteur. En d'autres
termes, c'est le contexte dans lequel des
données sont acquises.

14
 Catégories d'information

• Imprimée ou écrite sur papier.

• Stockée électroniquement .
• Transmise par courrier ou par méthode
électronique.
• Exposée sur des vidéos corporatives.
• Mentionnée lors de conversations.

15
 Sécurité de l'information

• Vise à protéger l'information contre une large

gamme de menaces, de manière à garantir la
continuité des transactions, à réduire le plus
possible le risque et à optimiser le retour sur
investissement ainsi que les opportunités en
termes d'activité pour l'organisme.
(ISO/IEC 17799:2005)

16
 Sécurité de l'information
• Protection de la confidentialité, de l’intégrité et
de la disponibilité de l’information ; en outre,
d’autres propriétés, telles que l’authenticité,
l’imputabilité, la non-répudiation et la fiabilité,
peuvent également être concernées.
(ISO/IEC 17799:2005)

17
 Vulnérabilité

• Faiblesse d'un actif ou d'un groupe d'actifs

susceptibles d'être l'objet d'une menace
(ISO/IEC 13335-1 :2004)

18
 Menace

• Cause potentielle d'un incident indésirable

pouvant affecter une organisation.
(ISO/IEC 13335-1 :2004)

19
 Relation entre vulnérabilité et
menace
vulnérabilités menaces
Entrepôt non protégé et non surveillé. Vol.

Interface de saisie compliquée. Erreur de saisie par le personnel.

Pas de séparation de tâches. Fraude, utilisation non autorisée d’un

système.
Données non encryptées. Vol d’information.

Utilisation de logiciels piratés. Poursuit juridique, virus.

Pas de revue des droits d’accès. Accès non autorisé par des personnes qui
ont quitté l’organisation.
Pas de procédures de copies de sauvegarde. Pertes d’informations.
20
 Risque
• C'est la combinaison de la probabilité de
survenance d'un évènement et de ses
conséquences.
(ISO/IEC Guide 73:2002)

21
 Confidentialité
• La propriété que l'information ne soit
accessible qu'aux individus, entités, ou
processus autorisés (ISO/IEC 13335-1:2004)

22
 Intégrité
• La propriété de sauvegarder l'exactitude et la
qualité des actifs.
(ISO/IEC 13335-1:2004)

23
 Disponibilité

• La propriété qu'une information soit

accessible et utilisable au moment voulu par
une entité autorisée
(ISO/IEC 13335- 1:2004)

24
 Système de management de la
sécurité de l'information (SMSI)
• Partie du système de gestion global, basée sur
une approche du risque lié à l'activité, visant à
établir, mettre en Œuvre, exploiter, surveiller,
réexaminer, tenir à jour et améliorer la
sécurité de l'information (clause 3.7)
(ISO/IEC 27001:2005)

25
Position de la Norme ISO27002
dans le SMSI

26
 Objectifs de la politique SMSI
• Objectif principal:
- Apporter à la sécurité de l'information une
orientation et un soutien de la part de la
direction, conformément aux exigences métier et
aux lois et règlements en vigueur (Clause A.5.1).
• Objectifs secondaires:
- Communiquer l'engagement de la haute direction,
- Identifier les intervenants concernés et leurs rôles
et responsabilités dans la gestion de la sécurité,
- Sensibiliser les utilisateurs aux risques,
- Enoncer les paramètres qui encadrent les mesures
de contrôles.
27
 Contenu de la politique SMSI
LOGO Type: Politique SMSI N° :
Emise par : Version 1.1 : (dernière version le Date d’ émission:
xx/xx/xxxxx
Division : IT groupe de sécurité Page : 1 de 4
Approuvée par :

1. Objet:
L’information et les processus, systèmes et réseaux qui permettent le traitement constituent des biens
importants pour la société dans la réalisation de sa mission d’affaires.
La politique de management de la sécurité a pour objectif d’assurer un niveau adéquat de sécurité en
termes de confidentialité, disponibilité et d’intégrité des actifs informationnels de la société contre
toutes les menaces dont elle pourrait être l’objet.
2. Public cible et portée
Public cible: Tous les employés de la société.
3. Enoncée
3.1 Rôle et responsablité
3.1.1 Direction
La direction est le responsable ultime dans l’établissement, la mise en œuvre, le
fonctionnement, la surveillance et le réexamen, la mise à jour et l’amélioration du SMSI.
28
 La norme ISO27002

Analyse du risque
29
ANALYSE DU
RISQUE

30
Gestion du risque
Gérer les risques du SMSI

ISO 27001:2005-clause 4.2.1

Établissement du SMSI

Haute direction ,CISO,CIO, gestionnaires des

opérations et propriétaires des principaux
processus

Détermination d’une méthode d’analyse de risque,

ateliers d’identification et d’analyse des risques ,
définir les options de traitements des risques.

Une description de la méthodologie d’appréciation

du risque, le rapport d’appréciation u risque, le
plan du traitement du risque
31
 Pré-requis

• 4.1 Exigences générales

L'organisme doit établir, mettre en œuvre,
exploiter, surveiller, réexaminer, tenir à jour et
améliorer un SMSI documenté dans le contexte
des activités commerciales d'ensemble de
l'organisme et des risques auxquels elles sont
confrontées.

32
 Les sources de risques?
Processus
d’opération
Comportements Désastre
déviants naturels

Sources combinées

Faiblesses
Technologies
humaines

Faiblesses
organisationnelles

33
Processus de gestion des risques

Enjeux, objectifs, Marco-processus, Portée, Atelier d’auto évaluation

SUIVI ET COMMINUCATION DES RISQUES 34

BS 7799-3

35
DÉFINIR LA MÉTHODE
D’ANALYSE

36
Définir la méthode d’analyse de risque
Définir la méthode d’analyse des risques

ISO 270 SMSI01:2005-clause 4.2.1

Établissement du SMSI

Haute direction ,CISO,CIO, gestionnaires des

opérations et propriétaires des principaux
processus

Détermination d’une méthode d’analyse de risque

Une description de la méthodologie d’appréciation

du risque
37
 Pré-requis
4.2.1 Établissement du SMSI
c) Définir l'approche d'appréciation du risque de
l'organisme:
- Identifier une méthodologie d'appréciation du risque adaptée au
SMSI, ainsi qu'à la sécurité de l'information identifiée de
l'organisme et aux exigences légales et réglementaires;
- Développer des critères d'acceptation des risques et identifier les
niveaux de risque acceptables. (Voir 5. 1f). La méthodologie
d'appréciation du risque choisie doit assurer que les
appréciations du risque produisent des résultats comparables et
reproductibles.
4.3. 1.d
- La documentation de SMSI doit inclure une description de la
méthodologie d'appréciation du risque.

38
 Connaître la culture du risque dans
l'organisation
• La culture du risque englobe l'attitude de
l'organisation par rapport au risque et son
seuil de tolérance à celui-ci dans ses activités
et ses prises de décisions quotidiennes.
• Il convient de choisir une approche du risque
en fonction de la culture du risque de
l'organisation.

39
 Principales méthodologies
• EBIOS
• MEHARI
• OCTAVE
• CRAMM

40
IDENTIFIER LES
RISQUES

41
Identifier les risques

Identifier les risques du SMSI

ISO 27001:2005-clause 4.2.1 Établissement du

SMSI

Haute direction ,CISO,CIO, gestionnaires des

opérations et propriétaires des principaux
processus

Ateliers d’identification des risques

Rapport d’identification des risques

42
Clause 5.2:Identification des actifs
• Un actif est quelque chose qui a de la valeur
ou une utilité pour l'organisation, ses
processus d'affaire et leur continuité.
• Une classification possible (Annexe C)
- Données et informations
- Processus et services
- Logiciels
- Biens physiques
- Les ressources humaines

43
 Clause 5.3: Identification des
exigences légales et d'affaires
• Il faut déterminer:
- 5.3.1: les sources d'exigences
- 5.3.2: les exigences légales, réglementaires
et contractuelles
- 5,3.3: Les principes, objectifs et exigences
d'affaire de l'organisation

44
 5.3. 1: Les sources d'exigences
• Les trois sources principales:
- L'ensemble unique de menaces et vulnérabilités,
- Les exigences légales, statutaires et contractuelles,
- L'ensemble unique de principes, objectifs et
exigences internes.

45
 5.3.2: Les exigences légales,
réglementaires et contractuelles
• Les exigences de sécurité relatives à l'ensemble
des exigences statutaires, réglementaires et
contractuelles qui doivent être satisfait par
l'organisation, ses partenaires d'affaire,
contractants et fournisseurs de services
doivent être documentées dans le SMSI.

46
 5.3.3: Les principes, objectifs et
exigences d'affaire de l'organisation
• On doit tenir compte des exigences de
sécurité issues de l'interne de l'organisation
afin de supporter ses activités d'affaires et
processus.
• Ces exigences doivent aussi être documentées
dans le SMSI.

47
 Clause 5.4: Evaluation des actifs
• L'identification et l'évaluation des actifs doit être
basée sur:
- Les exigences légales, réglementaires et
contractuelles,
- Les principes, objectifs et exigences d'affaire de
l'organisation.
• La valeur doit exprimer l'impact potentiel sur les
affaires si la confidentialité, l'intégrité ou la
disponibilité, ou toute autre propriété
importante d'un actif est endommagée.
48
Clause 5.1: Echelle de valeur des actifs
• L'organisation doit identifier la valeur de ses
actifs en élaborant une échelle de valeur des
actifs. L'échelle doit correspondre aux spécificités
de l'activité de l'entreprise et s'appliquer
continuellement.
• Les échelles de valeur des actifs doivent intégrer
la confidentielles, l'intégrité et la disponibilité, ou
différentes propriétés importantes de l'actif qui
pourraient être endommagées.

49
Clause 5.5:Identification et évaluation
des menaces et vulnérabilités
• Deux étapes:
- 5.5.1: Contrôles déjà en place
- 5.5.2: Identification des menaces et vulnérabilités

50
 5.5.1: Contrôles déjà en place
• Les contrôles déjà en place doivent être
identifiés.
• Cette étape est nécessaire à l’identification
complète et l'évaluation réaliste des menaces
et vulnérabilités.
• Cette étape devrait être complétée avant le
début de l' évaluation des menaces et
vulnérabilités.

51
 5.5.2: Identification des menaces et
vulnérabilités
• Menace:
- Les menaces peuvent être d'origine accidentelle
ou délibérée.
- Les menaces peuvent être internes ou externes
à l'organisation.
- Les menaces exploitent les vulnérabilités

52
 Exemples de menaces
• Acte terroriste
• Accès non autorisé
• Mauvaise utilisation des ressources
• Virus
• Panne des services de communication
• Inondation
• Incendie
• Erreur d'utilisation
• Vandalisme

53
 5.5.2: Identification des menaces et
vulnérabilités
• Vulnérabilités: faiblesse de sécurité associée à
un actif de l'organisation.

• La vulnérabilité en elle-même ne cause pas de

dommages, elle est une condition ou un
ensemble de conditions qui permet la
réalisation d'une menace.

54
 Exemples de vulnérabilités
• Manque de sensibilisation à la sécurité de
l'information
• Localisation dans une zone inondable
• Absence de révision des droits d'accès
• Absence de séparation des tâches
• Absence de mises à jour des anti-virus
• Politique de codage incomplète
• Gestion défectueuse des mots de passe
• Absence de test des logiciels
55
 Exemples de relation
Menaces/vulnérabilités
• Formation insuffisante en sécurité
- Erreurs des employés de support en sécurité.
• Absence de protection physique des locaux
- vols
• Absence de procédure de validation des
données
- Information corrompue

56
 ANALYSER
ET ÉVALUER
LES RISQUES

57
Analyser les risques

Analyser les risques du SMSI

ISO 27001:2005-clause 4.2.1 Établissement du

SMSI

CISO,CIO, gestionnaires des opérations et

propriétaires des principaux processus

Ateliers d’identification des risques

Rapport d’identification des risques

58
Clause 5.6: Evaluation des menaces et
vulnérabilités
• Après avoir identifié les menaces et
vulnérabilités, il est nécessaire d'évaluer la
probabilité qu'elles se produisent ensemble et
occasionnent un risque.
• Cela inclut l'évaluation de la probabilité
d'occurrence des menaces, et de la facilité
avec laquelle les vulnérabilités peuvent être
exploitées.

59
TRAITEMENT DES
RISQUES

60
Clause 6: Traitement du risque et prise
de décision

6.1: Général
• Le risque peut être géré à travers une
combinaison de contrôles préventifs et défectifs,
de tactiques d'évitement et d'acceptation, ou par
le transferts à une autre organisation.
6.2: Prise de décision
• Une décision doit être prise sur la manière de
traiter le risque.

61
 Options de traitement
• Pour chaque risque, il convient d’identifier et
d’évaluer les options de traitement
appropriées:

62
Clause 6.4: Accepter le risque en toute
objectivité et connaissance de cause
• En cas d'absence de contrôle viable ou de
coûts de contrôles supérieurs aux coûts du
risque, une organisation peut décider de vivre
avec un risque et d'en accepter les
conséquences en cas d'occurrence.

63
 Clause 6.5: Transférer le risque

• Le transfert de risque est une option quand il

est difficile pour une organisation de réduire
le risque à un niveau acceptable ou si cela
peut être plus économique de le transférer à
une tierce partie.

64
 Clause 6.6: Eviter le risque
• L'évitement du risque décrit toute action où
les activités d'affaires ou la manière de
conduire les affaires sont changées pour
éviter la réalisation d'un risque.

65
 Augmenter le risque
• C'est la diminution des niveaux de contrôles
actuels ou une plus grande exposition à des
risques.
• Deux situations logiques:
- Augmenter son exposition au risque si
l'organisation peut profiter de plus opportunités.
- Diminuer les contrôles si les coûts dépassent les
bénéfices.

66
 Diversifier le risque
• Afin de diminuer les impacts des risques, on
peut diviser les risques en diversifiant leurs
sources.
• Par exemple: Afin de diminuer l'impact de la
non disponibilité de l'accès Internet, on peut
diversifier les modes de connexion câble, sans
fil, satellite, etc..

67
 Clause 6.3: Réduire le risque
• Pour tous les risques où l'option de réduire le
risque a été choisie, des contrôles appropriés
devraient être mis en œuvre pour réduire le
risque au niveau qui a été identifié comme
acceptable (seuil d'acceptation des risques),
ou au moins autant que possible vers ce
niveau.

68
Étapes: réduire les risques

69
Clause 4.2.1 .g: Déterminer les objectifs
des contrôles et choisir les contrôles
• Sélectionner les contrôles qui répondent aux
besoins identifiés lors de l'évaluation du risque et
du processus de traitement du risque
• Prendre en considération:
- Les critères d'acceptation du risque (4.2.1c)
- Les obligations légales, contractuelles et normalisatrices
• Les contrôles sélectionnés peuvent être tirés
directement de l'annexe A, mais non
exclusivement.
70
Clause 6.8: Le plan de traitement du risque

• Doit identifier et planifier les activités de

traitement des risques.
• Les activités doivent être classées par ordre
de priorité.
• Les ressources nécessaires doivent être
allouées au plan de traitement.

71
Exemple de plan de traitement des risques
Risque Niv de Priorité Option de Détail de Ressources Responsable Date Maintenance
risque traitement mesure début/fin nécessaire
Des utilisateurs non 6 Haute Evitement Rendre 10 h pour M.X 01-03-11 à Faire des
autorisés peuvent inaccessible reconfigurer 06-03-11 revues de
se connecter sur l’application et tester le sécurité
une application et de système périodique du
rechercher des l’extérieur système pour
fichiers sensibles s’assurer les
accès sont
contrôlés.

72
 Clause 6.7: Le risque résiduel
• Le risque résiduel doit être calculé
• S'il est supérieur au niveau de risque
acceptable (seuil d'acceptation des risque), il
doit être traité.
• La direction doit être consciente des - risques
résiduels et en accepter la responsabilité
(clause 4.2.1h de ISO27001).

73
 Clause 7: Activités continues de
gestion des risques
• La gestion des risques doit comme toute
partie du SMSI faire l'objet d'amélioration
continue.
• Cela inclut :
- Les actions correctives et préventives
- Les audits
- Les revues de direction
-…

74
 La norme ISO27002

Déclaration d’applicabilité
75
 DÉCLARATION
D’APPLICABILITÉ

76
Déclaration d’applicabilité
Définir les mesures de contrôle applicables

ISO 27001:2005-Clause 4.2.1.j Une

déclaration d’applicabilité doit être élaborée

CISO,CIO, haute direction, gestionnaires de

lignes d’affaires et propriétaires des
principaux processus opérationnels

Définir les mesures de contrôles applicables / non

applicables, justifier (gestion des risques)
inventaire des mesures en place

Déclaration d’applicabilité
77
 Pré requis de ISO 27001
• ISO 27001 :2005 - Clause 4.3.1.i :
La documentation du SMSI doit inclure la Déclaration
d'Applicabilité.
• ISO 27001 :2005 - Clause 4.2.1.j:
Une Déclaration d'Applicabilité doit être élaborée et inclure les
informations suivantes:
1) Les objectifs de sécurité et les mesures de sécurité proprement
dites, sélectionnés en 4.2.1g) et les raisons pour lesquelles ils
ont été sélectionnés;
2) Les objectifs de sécurité et les mesures de sécurité proprement
dites actuellement mis en œuvre [voir 4.2. 1.e)2] ;
3) L'exclusion des objectifs de sécurité et des mesures de sécurité
proprement dites spécifiés à l'Annexe A et la justification de leur
exclusion.

78
Mise en œuvre

79
 Mesures de contrôle obligatoire
Mesure de sécurité Clause de ISO 27001
A.5 politique de sécurité

A.5.1.1 Document de politique de sécurité de 4.2.1 b) Définir une politique pour le SMSI;5.1
l’information Implication de la direction
A.5.1.2 Réexamen de la politique de sécurité de 4.2.3 b) Réexaminer, mettre à jour si nécessaire et
l’information approuver de nouveau les documents;7.1 Revue de
direction du SMSI
A.6 Organisation de la sécurité de l’information

A.6 .1.1 Implication de la direction vis-à-vis de la 5. Responsabilité de la direction;7) Revue de direction

sécurité de l’information. de SMSI
A.6 .1.2 Coordination de la sécurité de l’information. 5.1 Implication de la direction

A.6 .1.3 Attribution des responsabilités en matière de 5.1 c) La définition de rôles et de responsabilités pour
sécurité de l’information. la sécurité de l’information
A.6 .1.8 Réexamen indépendant de la sécurité de 4.2.3 f) et revue de direction du SMSI
l’information .
A.7 Gestion des actifs

A.7.1.1 Inventaire des actifs. 4.2.1 d) 1) identifier les actifs

A.7.1.2 Propriété des actifs. 4.2.1 d) 1) identifier les propriétaires

A.7.2.1 Lignes directrices pour la classification. 4.2.1 d) Identifier les risques 4.2.1 e) Analyser et
évaluer les risques 80
Mesures de contrôle obligatoire (suite)
Mesure de sécurité Clause de ISO 27001
A.8 sécurité liée aux ressources humaines

A.8.1.1 Rôles et responsabilités 5..1 c) La définition de rôles et responsabilités pour la sécurité

de l’information
A.8.2.1 Responsabilités de la direction 4.2.3 a)3) Surveillance activités de sécurité confiées au
personnel
A.8.2.2 Sensibilisation, qualification et formations en matière 5.1 d) La sensibilisation de l’organisation;5.2.2 Formation,
de sécurité de l’information sensibilisation et compétence
A.10 Gestion de l’exploitation et des télécommunications

A.10 .1.1 Procédures d’exploitation documentées 4.3.1 c) Les procédures et les contrôles pour le SMSI

A.10.7.4 Sécurité de la documentation système 4.3.2 h) Diffusion maîtrisée documents

A.13 Gestion des incidents liés à la sécurité de l’information

A.13.1.1 Remontée des événements liés à la sécurité de 4.2.3 f) et revue de direction du SMSI
l’information
A.13 Gestion des incidents liées à la sécurité de l’information

A.13.1.1 remonte des événements liées à la sécurité de 4.2.2 h) Détection et réponse aux incidents; 4.2.3 a)
l’information surveillance et réexamen du SMSI
A.13.1.2 Remontée des failles de sécurité

A.13.2.1 Responsabilités et procédures

A.13.2.2 Exploitation des incidents liées à la sécurité de 81

l’information déjà survenus associés
Mesures de contrôle obligatoire (suite)
Mesure de sécurité Clause de ISO 27001

A.15 Conformité

A.15.1.1 Identification de la législation en vigueur 4.2.1 b) 2) Exigences contractuelles, réglementaires ou légales;

4.2.3 d) 6) Réexamen suite à des changements dans ces
domaines.
A.15.1.2 Droits de propriété intellectuelle (DPI)

A.15.1.3 Protection des enregistrements de l’organisme

A.15.1.4 Protection des données et confidentialité des

informations relatives à la vie privée

A.15.1.6 Réglementation relative aux mesures

cryptographiques

A.15.2 Conformité avec les politiques et normes de sécurité et 4.2.3 e) et 6. Audits internes du SMSI
conformité technique

A.15.3 Prises en compte de l’audit du système d’information

82
 Type de documents
Type de documents Objectif
Politique Précise les objectifs et les orientations

Procédure Décrit les règles à appliquer

Ligne directrice Propose des recommandations pour le suivi de l’objectif

Manuel de sécurité Contient dans un même volume, les différents type de

document
Charte Définit les droits et devoirs

Narratif de processus de contrôle Décrit de façon détaillée comment réaliser un processus sous
forme de texte
Schéma de processus de contrôles Décrit de façon détaillée comment réaliser un processus sous
forme de schéma
Guide d’installation, utilisation, maintenance Précise l’utilisation et / Installation, la maintenance d’un
matériel ou logiciel
Fiche technique Dédiée à l’utilisation d’un moyen technique d’un logiciel

Enregistrement Preuve tangible d’un transaction, d’un mesure de contrôle,

d’une action

83
 La norme ISO27002

Conception des mesures de contrôle

84
DESIGN DES MESURES DE
CONTRÔLES ET
PROCÉDURES

85
Programme de gestion documentaire
Effectuer le design des mesures de contrôles à
mettre en œuvre et créer les procédures associées

ISO 27001:2005 -Clause 4.2.2 c) Mettre en œuvre

les mesures de sécurité sélectionnées

CISO, CIO, propriétaires des mesures de contrôles,

services et personnes impliqués dans la mise en
œuvre

Définir et décrire les processus liés à chaque contrôle

à mettre en œuvre ainsi qu’écrire les procédures

Documentation des processus liés aux contrôles

et procédures associées
86
 Design des mesures de contrôles
• Il faut documenter les différentes mesures de
contrôle liées au SMSI.
• Aucune méthode n'est imposée par ISO
27001.
• Il est de bonnes pratiques de documenter les
mesures de contrôle par groupe.
• La documentation doit être assez précise pour
refléter la réalité mais pas trop complexe pour
en assurer le suivi.
87
 Rédaction des procédures
• Après le design des contrôles, il est de bonnes
pratiques d’écrire une première version des
procédures avant de mettre en œuvre les
mesures sélectionnées.
• Les procédures assurent que les mesures de
contrôle élaborées seront exécutés au quotidien
selon les spécifications du design.
• On devrait impliquer les employés responsables
des opérations pour le design des mesures de
contrôles et leur validation.
88
MISE EN ŒUVRE
DES MESURES DE
CONTRÔLE

89
Les mesures de contrôle
Mettre en œuvre les mesures de sécurité
sélectionnées et approuvées dans le plan de
traitement des risques

ISO 27001:2005 -Clause 4.2.2 c) Mettre en œuvre

les mesures de sécurité sélectionnées

CISO, CIO, propriétaires des mesures de contrôles,

services IT et personnes impliqués dans la mise en
œuvre

Mettre en œuvre les mesures de contrôle afin de de

répondre aux objectifs en prenant en compte les moyens de
surveillance(monitoring) et d’évaluation de l’efficacité

Mesures de contrôle implantées et

documentées
90
 Pré-requis de ISO 27001
4.3.1.
La documentation du SMSI doit inclure:
c) les procédures et les contrôles pour le SMSI;
4.2.2.
b) Mettre en œuvre le plan de traitement du risque pour
atteindre les objectifs de sécurité identifiés, ce plan
prévoyant le mode de financement et l'affectation de
rôles et de responsabilités;
c) Mettre en œuvre les mesures de sécurité sélectionnées
en 4.2.1 g) afin de répondre aux objectifs de sécurité.

91
Mise en œuvre

92
 La norme ISO27002

Les mesures de contrôle

93
A.5.1 . Politique de sécurité de
l'information

94
A.6.1. Organisation de la l'information
sécurité de l'information.

95
A.6.1. Organisation de la sécurité de
l'information (suite)

96
A.6.2. Tiers

97
A.7.1. Responsabilités relatives aux
actifs

98
A.7.2. Classification des informations

99
A.8.1. Avant le recrutement

100
A.8.2. Pendant la durée du contrat

101
A.8.3. Fin ou modification du contrat

102
A.9.1. Zones sécurisées

103
A.9, 1. Zones sécurisées (suite)

104
A.9.2. Sécurité du matériel

105
A.9.2. Sécurité du matériel (suite)

106
A.10.1. Procédures et responsabilités
liées à l'exploitation

107
A.10.2. Gestion de la prestation de
Service conclus avec un tiers

108
A.10.3. Planification et acceptation du
système

109
A.10.4. Protection contre les codes
malveillant et mobile

110
A.10.5. Sauvegarde

111
A.10.6. Gestion de la sécurité des
réseaux

112
A.10.7. Manipulation des supports

113
A. 10. 8. Échange des informations

114
A.1O.9. Services de commerce
électronique

115
A.10.10. Surveillance

116
A.10. 10. Surveillance (suite)

117
A. 11.1. Exigences métier relatives au
contrôle d'accès

118
A.11 .2. Gestion des accès des
utilisateurs

119
A.11.3. Responsabilités de l'utilisateur

120
A.11.4. Contrôle d'accès réseau

121
A.11.4. Contrôle d'accès réseau (suite)

122
A.11.5. Contrôle d'accès au système
d'exploitation

123
A.11 .5. Contrôle d'accès au système
d'exploitation (suite)

124
 A.11 .6. Contrôle d'accès aux
applications et à l’information

125
A.11.7. Informatique mobile et
télétravail

126
A.12.1 Exigences de sécurité applicables
aux systèmes d'information

127
A.12.2. Bon fonctionnement des
applications

128
A.12.3. Mesures cryptographiques

129
A.12.4 Sécurité des fichiers système

130
 A.12.5. Sécurité en matière de
développement et d'assistance technique

131
A.12.6. Gestion des vulnérabilités
techniques

132
A.13.1 Remontée des événements et
des failles de sécurité

133
A.13.1 Gestion des incidents de
sécurité de l’information

134
A.14.1.Gestion de la continuité d'un
aspect de la sécurité

135
A.15.1. conformité aux exigences
légales

136
A.15.1 . Conformité aux exigences
légales (suite)

137
A.15.2.Conformité: politiques, normes
et conformité technique

138
A.15.3. Prises en compte de l'audit du
système d'information

139
 La norme ISO27002

Formation, sensibilisation, communication

140
 FORMATION
SENSIBILISATION ET
COMMUNICATION

141
Formation, sensibilisation et
communication
Former, sensibiliser et informer l’organisation à la
sécurité de l’information

ISO 27001:2005 -Clause 5.2.2 Formation ,

sensibilisation et compétence

CISO, CIO, Responsable ressources humaines,

responsable des communication interne

Définir un plan de formation, sensibilisation et de

communication pour l’ensemble des employés

Programme de formation, de sensibilisation et

de communication
142
 Pré-requis de ISO 27001
4.2.2.
e) Mettre en Œuvre des programmes de formation et de sensibilisation
(voir 5.2.2);
4.2.4.
c) Informer toutes les parties prenantes des actions et améliorations,
avec un niveau de détail approprié aux circonstances et, le cas
échéant, convenir de la méthode à adopter;
5.1.
d) la sensibilisation de l'organisme à l'importance de satisfaire aux
exigences relatives à la sécurité de l'information et de respecter la
politique en matière de sécurité de l'information, à ses responsabilités
au titre de la loi et à la nécessité d'une amélioration continue.

143
Composantes d'un programme de
sensibilisation et de formation
Toutes les parties
prenantes ( employés,
partenaires, entreprise)

Professionnels
(utilisateurs impliqués
dans le processus)

Spécialistes(experts
dédiés à la sécurité de
l’information)

144
 Le programme
Le programme de formation et de sensibilisation
permet de:
• Sensibiliser aux enjeux;
• Assurer une cohérence dans les pratiques de
sécurité de l’information;
• Apporter une contribution à la diffusion et
l’implémentation des politique, directives et
procédures.
Un employé non sensibilisé ou non formé représente
un risque potentiel
145
 Messages de sensibilisation
Les principales thématiques :
• L'utilisation du cryptage
• L'usage du mot de passé
• La sécurité des ordinateurs
• La protection contre les virus potables et des PDA
• Politique de sécurité • Les utilisations au travail de
• Le bon usage d'internet logiciels/systèmes d'ordre privé
• Les risques associés aux E-mail • Les patchs
(spam, exécutables,…) • Le respect de la propriété
• La sauvegarde et le stockage intellectuelle
des données • Les problèmes liés au contrôle
• Gestion des incidents de d'accès
sécurité • Rôle et responsabilité individuelle

146
 La norme ISO27002

La gestion des incidents

147
LA GESTION DES
INCIDENTS

148
La gestion des incidents
Minimiser les dommages dû aux incidents de
sécurité

ISO 27001:2005 -Clause 4.2.2 h) Mettre en œuvre

les procédures permettant de détecter et de
répondre aux incidents de sécurité

CISO, Help desk, techniciens et propriétaires des

actifs informationnels, processus et opérations
stratégiques

Mettre en œuvre les moyens de détection des incidents, de

formation adéquate, de communication des incidents, de
gestion d’apprentissage par expérience

Processus de gestion des incidents et

documentation associée
149
 Pré-requis ISO 27001
4.2.2.
h) Mettre en Œuvre les procédures et les autres mesures permettant de
détecter rapidement et de répondre tout aussi rapidement aux incidents
de sécurité (voir 4.2.3).

4.2.3. Surveillance et réexamen du SMSI

L'organisme doit effectuer les tâches suivantes:
a) Exécuter les procédures de surveillance et de réexamen, ainsi que les
autres mesures afin de:
1) Détecter rapidement les erreurs dans les résultats des traitements;
2) Identifier rapidement les failles et les incidents de sécurité;
4) Faciliter la détection des événements de sécurité, et par conséquent, de
prévenir les incidents de sécurité par l'utilisation d'indicateurs;
5) Déterminer si les actions entreprises pour résoudre une faille de sécurité se
sont révélées efficaces.

150
Définition de l'incident de sécurité
• Un incident lié à la sécurité de l'information
est indiqué par un ou plusieurs événement(s)
de sécurité de l'information indésirable(s) ou
inattendu(s) présentant une probabilité forte
de compromettre les opérations liées à
l'activité de l'organisme et de menacer la
sécurité de l'information.

[ISO/CEI TR 18044:2004]

151
 Gestion des incidents
• Chaque gestionnaire doit communiquer à ses
employés la marche à suivre et les
comportements à adopter lors de la détection
d'un incident ou d'un dysfonctionnement de
sécurité.
• ISO 27001 n'impose pas un processus des
incidents précis sur la gestion.

152
 La norme ISO27002

Monitoring des mesures de contrôle

153
MONITORING DES
MESURES DE
CONTRÔLE

154
Surveillance des mesures de contrôle
S’assurer du bon fonctionnement du SMSI

ISO 27001:2005 -Clause 4.3.1.g) S’assurer du

fonctionnement des processus de sécurité de
l’information

Les employés impliqués dans la création de la

manipulation de l’information plus
particulièrement, les superviseurs de 1e niveau

Mise en œuvre de contrôle automatisés pour les

mesures de contrôle technique et revues
opérationnelles des mesures de contrôle
organisationnelles
Enregistrement des activités de monitoring et
rapports de surveillance
155
 Pré-requis de ISO 27001
4.3.1
g) Les procédures documentées dont a besoin l'organisme pour
s'assurer de la planification, du fonctionnement et du contrôle
effectifs de ses processus de sécurité de l'information et pour
spécifier comment évaluer l'efficacité des mesures appliquées [voir
4.2.3c];
4.2.3
c) Evaluer l'efficacité des mesures afin de vérifier que les exigences de
sécurité ont été satisfaites;
h) Consigner les actions et les événements qui pourraient avoir un
impact sur l'efficacité ou les performances du SMSI (voir 4.3.3).
5.1
e) la fourniture de ressources suffisantes pour l'établissement, la mise
en Œuvre, le fonctionnement, la surveillance et le réexamen, la
mise à jour et l'amélioration du SMSI (voir 5.2.1);

156
 Surveillance VS mesure des contrôles
• Surveillance
C'est l'opération qui consiste à suivre
méticuleusement le fonctionnement du SMSI et
ses processus de contrôles en temps réel.
• Mesure
Mesure qui a pour objectif d'obtenir des
informations sur l'efficacité du SMSI et des
contrôles, l'atteinte de leurs objectifs et la
réussite des processus du SMSI, en utilisant une
méthode mesurable, un modèle reproductible, et
des critères de décision.
157
Annexe A

158
 Surveillance des contrôles
• Il existe plusieurs méthodologies et outils:

159
 Examen des journaux
• Il convient d'établir des procédures permettant
de surveiller l'utilisation des moyens de
traitement de l'information et de réexaminer
périodiquement les résultats des activités de
surveillance.

ISO 27002: 10.10.2.

160
 Protection des journaux
• Il convient de protéger les équipements de
journalisation et les informations journalisées
contre le sabotage et les accès non autorisés.

ISO 27002: 10.10.3

161
 Conservation des journaux
• Il convient que les rapports d'audit, qui
enregistrent les activités des utilisateurs, les
exceptions et les événements liés à la sécurité
soient produits et conservés pendant une
période préalablement définie afin de faciliter
les investigations ultérieures et la surveillance
du contrôle d'accès.

ISO 27002: 10.10.1.

162
 La norme ISO27002

Mesure de la performance des mesures de contrôle

163
 INDICATEURS ET
TABLEAUX DE BORD

164
Mesure de la performance des mesures de
contrôle
Évaluer l’efficacité du SMSI

ISO 27001:2005 -Clause 4.2.3 c) Évaluer

l’efficacité des mesures

CISO,CIO, haute direction, gestionnaire TI,

responsable sécurité de l’information

Déterminer les mesures de la performance significatives

pour l’organisation et assurer le recueil des données
utiles et leur traitement pour obtenir une information
fiable et lisible

Tableau de bord et indicateurs de la

performance du SMSI
165
 Pré-requis de ISO 27001
4.3.1
g) les procédures documentées dont a besoin l'organisme pour s'assurer
de la planification, du fonctionnement et du contrôle effectifs de ses
processus de sécurité de l'information et pour spécifier comment
évaluer l'efficacité des mesures appliquées [voir 4.2.3c)];
4.2.3
c) d'évaluer l'efficacité des mesures afin de vérifier que les exigences de
sécurité ont été satisfaites;
h) consigner les actions et les événements qui pourraient avoir un impact
sur l'efficacité ou les performances du SMSI (voir 4.3.3).
5.1
e) la fourniture des ressources suffisantes pour l'établissement, la mise
en Œuvre, le fonctionnement, la surveillance et le réexamen, la mise à
jour et l'amélioration du SMSI (voir 5.2.1).

166
 Exemples d’indicateurs
Réf . ISO/IEC 27001 Sujet Métriques potentiels

clause 10.5 Backup • Pourcentage d’opérations de backup

réussies
• Pourcentage de test de backup
réalisés avec succès
Clause 12.3 cryptographie Pourcentage de systèmes contenant
des données sensibles et critiques ou
un mécanisme cryptographique a été
implémenté et est fonctionnel.
Clause 11.1 Contrôle d’accès Pourcentage d’actifs informationnels
dont les propriétaire sont
formellement identifiés

167
 Bonne chance pour
la certification
ISO27002

[email protected]
168