bsides algiers - normes iso 2700x - badis remli

Les normes ISO 2700X Une pierre angulaire pour la

sécurité de l’information…

Programme

• Introduction

• Un peu d’histoire

• Famille ISO/IEC 2700x

• Roue de Deming

• ISO 27000… ISO 27007

• Conclusion

2

Introduction Les normes partout et pour tous …

4

Les normes partout et pour tous …

• Référentiels pour notre activité professionnelle, mais aussi dans la vie personnelle.

• Dans les produits que nous consommons et les services dont nous bénéficions.

• Une aide non négligeable pour tout utilisateur

5

Norme et normalisation

La normalisation a pour objet de fournir des documents de référence, comportant des solutions à des problèmes techniques et commerciaux concernant les produits, biens et services qui se posent de façon répétée

Une norme désigne un état habituellement répandu ou moyen considéré le plus souvent comme une règle à suivre. C’est l’ensemble de caractéristiques décrivant un objet, un être, qui peut être virtuel ou non.

Norme et normalisation

• Types de normes :

Les normes de bases, de portée générale, de terminologie, d’essai, de produit, de processus, de service, d’interface ou encore portant sur des données.

• Catégories des normes :

« Normes internationales », les « Normes européennes », et les « Normes nationales »

• Doit être approuvée par un organisme reconnu.

6

Un peu d’histoire Les normes à travers le temps

Les normes à travers le temps

BSI (British Standard Institut)

1901

ASA (American Standard Association) 1928

AFNOR (Association Française de NORmalisation) 1926

ISA (International Standard Association) 1930

ISO (International Standard Organisation) 1946

Ex AESC

(American

Engineering

Standards

Committee)

1918

23 Fev 1947

International Standard Organisation

9

Cette organisation a pour missions : • L’élaboration de normes applicables; • La promotion du développement de la standardisation

et activités annexes. • Le développement des coopérations dans les sphères

des différentes activités.

A ce jour, face à la mondialisation des échanges, à l’évolution des besoin métiers et à la diversification des menaces, l’ISO demeure un des organismes de normalisation les plus avancés dans le domaine de la sécurité de l’information.

La Famille ISO 2700x Pour la sécurité de l’information

Quelques conventions …

• La dénomination officielle des normes est du type

« ISO/IEC numéro de la norme : année de dernière

version ».

• ISO/IEC (Commission Electrotechnique Internationale)

Ex: ISO/IEC 27001 : 2005

• On adoptera une appellation plus commune :

« ISO 27001 » et pour généraliser « ISO 2700x »

11

Où est la sécurité de l’information ?

• JTC 1 (Joint Technical Committee) : instance traitant spécifiquement le domaine des TI (Technologie de l’Information).

• JTC 1 est subdivisé en 17 SC (Sous Comités).

• JTC1/SC27 traite « IT Security Techniques » et est composé de 5 WG « Working Group ».

WG1 et les normes ISO 2700x

13

ISO 27000

Overview and

vocabulary ISO 27007

Auditor guidelines

ISO 27006

Accreditations bodies

ISO 27005

Risk management

ISO 27004

Measurment

ISO 27003

Implementation guidance

ISO 27002

Code of practice

ISO 27001

ISMS requirements

ISO 2700X

La roue de Deming Le cercle de base

Roue de Deming : Concept PDCA

15

P

D

C

A

Plan , Planifier

Do , Développer

Check, Contrôler

Act, Agir

(Adjust) (Ajuster)

Ce que l’on va faire

De faire ce que l’on a dit

De contrôler ce que l’on a fait

De corriger et d’améliorer dans le

temps

De la 27000 à la 27007 Toute une famille

ISO 27000

• Cette première norme définit les fondamentaux et le vocabulaire propres à la série.

• Elle rendit obsolète la première partie d’ISO 13335, traitant des concepts et modèles relatifs à la gestion de la sécurité des TI.

• A noter également que, suite aux résolutions d’une réunion plénière du SC27 tenue en Afrique du Sud (novembre 2006), il a été décidé de rendre disponible la norme ISO 27000 à titre gratuit.

17

ISO 27001 est …

• Une norme correspond à la révision de la norme BS 7799-2. Elle a été publiée en octobre 2005.

• Destinée à tout type de société

• Elle a pour but de décrire un objectif à atteindre et non la manière concrète d'y arriver,

• Est à la base de la certification d’un SMSI ( System Management Security of Information) à l’instar de ces homologues ISO 9001 pour la qualité et ISO 14001 pour l’environnement.

• Une norme élaborée pour fournir un modèle d'établissement, de mise en œuvre, de fonctionnement, de surveillance, de réexamen, de mise à jour et d'amélioration d'un SMSI.

18

ISO 27001

Plan

Etablir un SMSI

Act

Maintenir et améliorer le SMSI

Check

Controller et réviser le SMSI

Do

Implanter et exploiter le SMSI

19

•Définition du périmètre,

des enjeux, méthode

d’analyse de risques

•Mesures de sécurité à

mettre en place

•Plan de traitement de risque

•Sensibilisation et

communication

•Gestion des ressources

•Déployer les mesures de

sécurité

•Archivage des incidents

•Audits internes

•Révision de l’analyse de

risque

•Mesure de l’efficacité du

SMSI.

Actions correctives

Actions préventives

Actions d’amélioration

ISO 27002

• La norme ISO 27002 est un ensemble de 133 mesures (best practices), destinées à être utilisées par tous ceux qui sont responsables de la mise en place ou du maintien d'un SMSI.

• Mesures sont issues de principes de sécurité.

• Principes sont regroupés en 11 domaines.

20

ISO 27002

21

Politique de

sécurité de

l’information Organisation

de la

sécurité

Gestion

des actifs

Sécurité

liée aux

RH

Sécurité

physique et

environ-

nementale

Contrôle

d’accès

Exploitation

et gestion

des com

Gestion de

la continuité

d’activité

Conformité Gestion

des

incidents

Acquisition

développement

et maintenance

des SI

• 11 domaines

• 39 principes de

sécurité

• 133 règles de

sécurité

ISO 27003

• La norme ISO 27003 a pour objectif de fournir un guide d’aide à l’implémentation des exigences d’un SMSI.

• Cette norme est plus particulièrement orientée sur l’utilisation du cycle PDCA.

• Elle définit les différentes exigences requises à chaque étape du cycle notamment de la phase de cadrage au déploiement du SMSI.

22

ISO 27004

• Cette norme a pour but d’aider les organisations à mesurer et à rapporter l’efficacité de l’implémentation de leur SGSI.

• Guidelines pour mettre en place des indicateurs d’efficacité et de niveau de sécurité : Dashboard (Tableau de bord de la sécurité des SI)

• Méthode de la mesure

• Mesures de base

• Indicateurs

• Critères de décision

• Résultats de mesure

23

ISO 27005

• Comment conduire l'appréciation des risques et le traitement des risques.

24

Traitement

du

risque

Etablissement

du contexte

Surveillance

et réexamen

du risque

Acceptation

du risque

Appréciation

des

risques

Communica-

tion du

risque

ISO 27005

25

Utilisable de manière autonome.

Pour entreprise soumise à de fréquents

changements

Méthodologies d’analyse de risque conforme à

l’ISO 27005 (MEHARI, EBIOS).

ISO 27006 & ISO 27007

• L’ISO 27006 a pour but de de fournir les pré-requis pour les organismes d'audit et de certification afin de les guider sur les exigences nécessaires à atteindre pour être accrédités en tant qu’organisme de certification d’un SMSI.

• L’ ISO 27007 propose les lignes directrices composant un guide spécifique pour les audits d’SMSI , notamment en support à l’ISO 27006.

26

Conclusion

• Sans véritable soutien à partir du haut un échec

• Sans mise en œuvre correcte - un fardeau

• Avec un support complet, la mise en œuvre correcte et engagement continu - un avantage majeur

27

28 http://w

ww

.iso27001cert

ific

ate

s.c

om

/

MERCI badis.remli@gmail.com

« Le monde revient toujours à la norme. Le problème est de savoir à la norme de qui. »

D’après Stanislaw Jerzy Lec (philosophe polonais)