Embed Size (px)
DESCRIPTION
Artykuł z magazynu Hakin9
Citation preview
20
FOCUS
HAKIN9 1/2009
La norme ISO/IEC 27001 publiée en octobre 2005 par l´International Organisation for Standardisation (ISO) en lien avec
l´International Electrotechnical Commission (IEC), dédiée au domaine de la sécurité de l'information. Elle concerne plus précisément la définition et la mise en place d'un Système de Management de la Sécurité de l'Information, appelé également SMSI (ISMS : Information Security Management System), selon le modèle de qualité PDCA (Plan Do Check Act) afin d'assurer une amélioration continue de la sécurité d'information.
ISO 27001 s´inspire du standard BS 7799 de l´organisme britannique de certification BSI, qui concernait la Disponibilité, la Confidentialité et I´intégrité des informations de l’organisme (appelé dans notre jargon DIC), elle comprend une approche globale de la sécurité de l´information et de l´infrastructure en garantissant la protection contre la perte, le détournement ou la falsification des informations et accès permanent aux utilisateurs autorisés. Il implique également des audits de surveillance et le suivi des performances des fournisseurs, ainsi qu´une évaluation des risques et de l´efficacité des contrôles.
L'ISO 27001 définit l'ensemble des testset contrôles à effectuer pour s'assurer du bon respect d'ISO 27002 (anciennement ISO/CEI 17799). Cette dernière est l’annexe A d’ISO 27001 est composée de 133 mesures de sécurité classées dans 11 chapîtres de sécurité. Comme pour les normes ISO 9001 et ISO 14001, il est
KARIM HAMDAOUI
CET ARTICLE EXPLIQUELa Norme ISO27001 : nouveau challenge et un guide à suivre.
CE QU'IL FAUT SAVOIRISO27001, entreprise / individu se faire certifier
possible de se faire certifier ISO 27001. Les critères de mesure concrets proposés par la normeet les 133 mesures de sécurité couvrent tous les aspects techniques, organisationnels, humainset juridiques.
Cette norme est-elle populaire ?Certains pays, comme le Japon ou le Royaume-Uni ont mis en place des schémas de certification sécurité depuis la fin des années 90. Selon l’international Register of ISMS Certificates (http://www.iso27001certificates.com), environ 4848 sociétés certifiées dans le monde. À l’heure actuelle, seule 16 sociétés dans le monde francophone sont certifiées ISO 27001 avec deux sociétés certifiés au Maroc et une dizaine en France alors que le Japon en compte déjà 2789, l’inde 427, la Grande Bretagne 378 et la Taiwan 187.
Après des débuts hésitants, les certifications qualité ISO 9000 sont entrées dans les mœurs des entreprises. Les certifications ISO 27000 prendront certainement le même chemin. ISO 27001 est surtout populaire à l'étranger, dans la francophonie, ce n’est pas le cas. Si ce certificat reste peu connu ou reconnu dans le monde francophone, ce n’est pas le cas de ceux qui veulent faire la différence, comme c’est le cas de l'Inde ou certains pays de l'Est (ex. Hongrie avec 74 certificats, république tchèque ou la Pologne) qui œuvre pour le développement de l’offshoring et d’avoir une crédibilité envers leurs partenaires. La norme certifiante ISO 27001 va conduire
Degré de difficulté
ISO 27001L’information constitue un bien stratégique pour l’entreprise. Sa maîtrise et sa protection contribuent à l’efficacité de ses actions, à la confiance accordée par ses clients, ses actionnaires et ses collaborateurs, au développement de ses activités et à sa pérennité.
21
ISO 27001
HAKIN91/2009
à un processus de sécurité ayant une forte visibilité internationale. La certification ISO 27001 peut devenir un impératif dans des appels d'offres. Au Maroc, ISO 27001 connaît un essor depuis 2008. Pour les entreprises cotées en bourse aux ETATS-UNIS, cette norme est utilisée pour mettre en œuvre un cadre de conformité à la loi Sarbanes-Oxley. Dans le secteur de la santé, elle vient répondre aux pré requis de Health Insurance Portability and Accountability Act (HIPAA).
Dans l’administration publique au Maroc, ISO 27001 et ISO 27002 est une référence de bonnes pratiques en matière de sécurité de l’information.
Jusqu'à quel point les entreprises s’intéressentà cette norme ?Nous ne pouvons pas répondre exhaustivement mais de plus en plus d’entreprise s'intéresse à cette norme, dans le monde francophone nous sommes en retard mais cela devrait s'arranger au fil des mois, même pour le moment, les entreprises ne jugent pas encore la certification ISO 27001 comme une priorité absolue. Actuellement, bon nombre d'entreprises remettent à plat leur politique de sécurité de l'information ou réalisent des audits sécurité et d’ici quelques années, la très grande majorité des Responsables Sécurité de l'information (RSI ou RSSI) l'auront alignée sur le principe de la norme ISO 27001. Certains iront même jusqu'à viser la certification. La mise en place du SMSI au sein des organismes leur permettront tout d’abord de corriger des failles dans la sécurité de l’information pouvant provoquer une escalade de pertes financières et désorganiser leurs opérations.
Cette certification va tout à fait dans le sens de la volonté des entreprises en apportant une fiabilité optimale aux clients, investisseurs, collaborateurs et partenaires. Si elle ne révolutionne pas fondamentalement les processus internes et permis de les rationaliser significativement. ISO 27001 étant compatible avec d´autres normes que la majorité des entreprises appliquent déjà, comme ISO 9000 et ISO 14000, ces entreprises peuvent développer un système de gestion intégrant efficacement les exigences de chaque référentiel de
gestion ISO et donc d´offrir un service de premier ordre aux parties intéressées (clients, collaborateurs, fournisseurs, ...). En outre, ISO 27001 permet de développer la compétitivité des entreprises sur le marché, qui connaît une forte demande pour les services informatiques et l´infogérance. Cette nouvelle certification aide à placer les entreprises en position de force pour saisir les opportunités sur le marché.
Quel est son intérêt ?Les entreprises certifies ISO 27001 montre qu’elle a appréhendent la dimension mondiale du problème de la sécurité de l’information. Les entreprises doivent être conscientes de la nécessité de protéger
et de sécuriser leur capital informationnel de celui de leurs clients, partenaires, collaborateurs...
Cette certification ISO 27001 est un moyen essentiel pour que les entreprises prouvent leur implication dans ce domaine.
Cette norme est destinées à tout organisme, parce qu’on peut bien certifier un grand compte qu'une petite, moyenne ou micro entreprise. L’important est d’arrêter le scope de la certification qui peut être une filiale, un site, un processus (une unité organisationnelle par exemple). La mise en œuvre de solutions de sécurité peut engendrer des économies substantielles et contribuer à améliorer la productivité de l'entreprise.
Figura 1. Voici la démarche proposée par l'ISO 27005
Établissement du contexte (échelles des dysfonctionnements,
critères acceptation, niveaux de gravité)
Appéciationrisques
acceptables
Non
Oui
Non
Oui
Risques résiduels
acceptable
Synthèse du processus de management des risques
(selon ISO 27005)
Su
rv
eil
lan
ce
et
ré
es
til
at
ion
de
s r
isq
ue
s
Co
mm
un
ica
tio
n r
ela
tiv
e a
ux
ris
qu
es
Identification des risques (identification des actifs, menaces,
vulnérabilités et des impacts)
Estimation des risques (gravité des risques résultants
démarche qualitative ou quantitative)
Évaluation des risques(classification de risques
par niveau d'acceptabilité)
Traitement des risques(sélection des mesures de sécurité
ou évitement, transfert,...)
Acceptation du portefeuilledes risques résiduels
FOCUS
22 HAKIN9 1/2009
ISO 27001
23
Les thèmes abordés par l'ISO 27001ISO27001 adopte le modèle de processus Planifier-Déployer-Contrôler-Agir (PDCA) Planifier-Déployer-Contrôler-Agir (PDCA) Planifier-Déployer-Contrôler-Agirou roue de Deming qui est appliqué à la structure de tous les processus d’un SMSI. Ce dernier utilise comme élément d'entrée les exigences relatives à la sécurité de l'information et les attentes des parties intéressées (Client, partenaire, fournisseur, collaborateur, investisseur), par les actions et processus nécessaires, les résultats de sécurité de l’information satisfont ces exigences et ces attentes.
Management du système de sécurité :
• Planifier (établissement du SMSI): Établir la politique, les objectifs, les processus et les procédures du SMSI relatives à la gestion du risque et à l'amélioration de la sécurité de l'information de manière à fournir des résultats conformes aux politiques et aux objectifs globaux de l'organisme.
• Déployer (mise en œuvre et fonctionnement du SMSI): Mettre en œuvre et exploiter la politique, les mesures, les processus et les procédures du SMSI.
• Contrôler (surveillance et réexamen du SMSI): Évaluer et, le cas échéant, mesurer les performances des processus par rapport à la politique, aux objectifs et à l'expérience pratique et rendre compte des résultats à la direction pour réexamen.
• Agir (mise à jour et amélioration du SMSI): Entreprendre les actions correctives et préventives, sur la base des résultats de l'audit interne du SMSI
et de la revue de direction, ou d'autres informations pertinentes, pour une amélioration continue dudit système.
Une organisation qui demande la certification doit se soumettre obligatoirement à toutes les clauses (4 à 8 ) et déclarer les contrôles applicables dans la Dda (Déclaration d'applicabilité) ou SOA (Statement of applicability).
ISO27002 est l'Annexe A de la norme ISO 27001, elle contient une liste complète d'objectifs de sécurité et des mesures de sécurité qui se sont révélés communément appropriés aux organismes. Les utilisateurs de la présente Norme internationale doivent se reporter à l'Annexe A comme point de départ de sélection des mesures de sécurité, afin de s'assurer qu'aucune option importante de sécurité n'est négligée.
ISO27002 : Objectifs de contrôleet contrôlesRévisée en 2005, ISO 17799 est un guide de bonnes pratiques pour le management de la sécurité de l’information. En 2007, elle devient ISO 27002 afin d’être intégrée à la famille ISO 27000. Cette Norme internationale établit des lignes directrices et des principes généraux pour préparer, mettre en œuvre, entretenir et améliorer la gestion de la sécurité de l’information au sein d’un organisme. Les objectifs tracés dans la présente Norme internationale fournissent une orientation générale sur les buts acceptés communément dans la gestion de la sécurité de l’information.
Les objectifs et mesures décrits dans la Norme ISO27002 sont destinés à être
mis en œuvre pour répondre aux exigences identifiées par une évaluation du risque selon différente méthode (ISO27005*, Octave, Ebios, Mehari, …). La présente Norme internationale est prévue comme base commune et ligne directrice pratique pour élaborer les référentiels de sécurité de l’organisation, mettre en œuvre les pratiques efficaces de la gestion de la sécurité, et participer au développement de la confiance dans les activités entre organismes. Voir Tableau 1
Au moins 25 mesures de contrôle de l’annexe A ont un caractère obligatoire car elles sont liées avec les clauses 4 a 8 de la norme ISO 27001 qui sont des pré-requis de la norme. Par exemple, une organisation ne peut pas exclure la mise en œuvre d’un programme de sensibilisation et indiquer la clause A.8.2.2. non applicable car la clause 5.2.2. précise que la sensibilisation est une exigence obligatoire.
ISO27005 ISO (International Standard Organisation) a publié, le 4 juin 2008, la première norme de gestion des risques de la Sécurité des Systèmes d'Information : l'ISO 27005:2008.
La norme ISO 27005 propose une méthodologie de gestion de risques conforme à la norme ISO 27001, tout en étant utilisable de manière indépendante. Elle applique à la gestion des risques le cycle d'amélioration continue PDCA (Plan, Do, Check, Act) utilisé dans toutes les normes de systèmes de management.
La norme ISO 27005 est un guide expliquant la démarche de gestion des risques pesant sur les Systèmes d'Information. Des méthodes de gestion des risques existent dans chaque pays; nous pouvons citer EBIOS de la DCSSI, MEHARI et MARION du CLUSIF pour la France ou encore CRAMM pour l'Angleterre. L'ISO 27005 est en réalité une synthèse de synthèse de synthèsetoutes ces méthodes.
L'ISO 27005 n'est pas une méthode, mais celle-ci décrit les grandes étapes classiques de la gestion des risques des Systèmes d'Information. En l'occurrence, elle définit :
• L'identification et la classification des actifs,
• L'identification des menaces potentielles,
Tableau 1. Onze sections de la Norme ISO27002
A 5 La politique de sécurité
A 6 L’organisation de la sécurité de l’information
A 7 La gestion des actifs
A 8 La sécurité des ressources humaines
A 9 La sécurité physique et environnementale
A 10 La gestion des communications et des opérations
A 11 Le contrôle d’accès
A 12 L’acquisition, le développement et l’entretien des systèmes d’information
A 13 La gestion des incidents de sécurité de l’information
A 14 La gestion de la continuité des affaires
A 15 La conformité
FOCUS
22
ISO 27001
23 HAKIN91/2009
• Leurs probabilités de survenance, • L'évaluation de la gravité des risques en
fonction des valeurs des actifs, • Le choix de traitement des risques...
Préparation à l'examen ISO27001Les participants sont évalués de deux manières :
• Une évaluation en continu qui prend en compte les résultats des exercices et des devoirs.
• Un examen final (à l’écrit).
Les étudiants doivent réussir chacun les éléments du cours.
Pour réussir, un étudiant doit réussir l'évaluation continue et l'examen final,et compléter tous les modules du cours.
Les étudiants doivent manifester des niveaux de performance acceptables dans l’étude des objectifs présentés au cours. On jugera leur performance sur la base des exercices et des résultats des devoirs, des discussions, de leur participation et de leur rétroaction.
Pour ISO 27001 Lead Auditor, les participants seront évalués selon trois unités de compétences:
• Sécurité de l’information (IS)• Techniques d’audits (AU)• Techniques d’auditeur principal (TL)
Pour ISO 27001 Lead Implementer, Les participants seront évalués selon trois domaines de compétences :
• Sécurité de l’information (IS)• Amélioration des organisations (OI)• Conseil a la direction (MC)
Le certificat delivré est valide pour 3 ans à partir du dernier jour de la formation. Ce délai ne tient pas compte de la date de l’examen final et permet à l’étudiant de se faire enregistrer en tant qu’auditeur certifié auprès du RABQSA ou IRCA.
En cas d’échec au passage de l’examen ou de l’évaluation continue (mais ayant satisfait la condition de présence), l’étudiant recevra une attestation de présence. Cette attestation n’est pas acceptée par l'organisme de certification d'auditeur (IRCA, RABQSA).
En cas d’échec, un étudiant peut se réinscrire à un examen, sans fraist. De plus, il peut se réinscrire gratuitement à une deuxième séance de formation du même cours.
Conditions d'éthique et d'expérienceLa certification RABQSA ou IRCA peut aider à maximiser le potentiel de carrière et à atteindre les objectifs professionnels. Si un certifié postule pour un emploi, la certification fournit la preuve de la compétence et des qualifications.
La certification RABQSA ou IRCA est la reconnaissance formelle des compétences personnelles dans l’amélioration de la performance des organisations en termes d’efficacité, d’efficience et de compétitivité.
D’après les enquêtes annuelles de salaire publiées par le magazine Quality Progress, les auditeurs certifiés de systèmes de management ont un salaire moyen considérablement plus élevé que leurs homologues non certifiés. Un accord bilatéral avec l’IRCA, Londres, Milwaukeeet Sydney, 1 juin 2006
l’IRCA et la RABQSA International ont signés un accord bilatéral qui permet la reconnaissance mutuelle de leurs certifications de formations. Les deux organismes s’engagent à effectuer une série d’évaluations qui permettra l’identification des formations qui pourront être certifiées et acceptées par les deux organismes. Ces formations et celles à venir seront ajoutées à une liste de certificats acceptés mutuellement qui sera rendu public. ISO27001 est reconnu mutuellement .
Une amélioration professionnelle continue est une exigence de l’IRCA et du RABQSA, cela est nécessaire pour garder la certification.
CPE Continual Professional Educationest une amélioration continuelle des compétences, des connaissances et des capacités en audit.
L’auditeur doit démontrer qu’il a suivi au moins 45 heures de CPE lors des 3 dernières années. Les heures de CPE doivent se rapporter à l’audit et au SMSI.
Différentes façons de faire existent :
• Recherches• Rédaction d’articles
• Participation à des forums et à des associations professionnelles
• Formations
Les auditeurs doivent respecter les principes fondamentaux suivants :
L'indépendance :
• C’est la base de l'impartialité et de l'objectivité de l'audit ainsi que des conclusions de l’audit. L'indépendance est la liberté face à l'interférence. C'est l'assurance de l'impartialité et de l’objectivité de l’audit. Quand les auditeurs sont indépendants, ils devraient donner des jugements impartiaux. L'indépendance des auditeurs est également garantie par l‘indépendance de l’organisme certificateur, non par l'audité, et le respect du code de conduite de l’IRCA ou du RABQSA (révélation de tous rapports avec l'audité, non acception de cadeaux…).
Indépendance d’esprit :
• L'état d’esprit qui permet l'expression d'une conclusion sans qu’elle soit affectée par des influences pouvant compromettre le jugement professionnel. Cet état d’esprit permet à un individu d'agir avec l'intégrité, l'objectivité et le scepticisme professionnel.
L’apparence d’indépendance :
• Eviter toute action (fait ou circonstance) qui serait perçue par une tierce partie raisonnable et informée (ayant connaissance de toute l’information appropriée) comme un manque d’intégrité, d’objectivité ou de scepticisme professionnel de la part d’une organisation ou d’un de ses membres.
ConclusionLa mise en œuvre du SMSI engendrera des économies substantielles et contribueraà améliorer la productivité de l'entreprise.
Karim HamdaouiDirecteur Général du Cabinet LMPS ConsultingExpert en sécurité de l’information (ISO 27001 Lead Auditor IRCA : 01194481, ISO 27001 Lead Implementer & ISO 20000 Lead Implementer). L'auteur peut être contacté à l'adresse : [email protected]
