Embed Size (px)
Citation preview
HERVÉ SCHAUER CONSULTANTSHERVÉ SCHAUER CONSULTANTSCabinet de Consultants en Sécurité Informatique depuis 1989Cabinet de Consultants en Sécurité Informatique depuis 1989Spécialisé sur Unix, Windows, TCP/IP et InternetSpécialisé sur Unix, Windows, TCP/IP et Internet
Béatrice JoucreauBéatrice JoucreauJulien LevrardJulien Levrard
ISO 27001:2013ISO 27001:2013Comparatif avec la version 2005Comparatif avec la version 2005
Copyright Hervé Schauer Consultants 2000-2013 – Reproduction interdite2 / 25
Sommaire
ISO 27001:2013
Comparaison des structures
Synthèse des changements de fond
Contexte de l'organisation (4)
Leadership (5)
Politique (5.2)
Planning (6)
Processus support (7)
Évaluation de la performance (9)
Amélioration (10)
Certification
Copyright Hervé Schauer Consultants 2000-2013 – Reproduction interdite3 / 25
ISO 27001:2013
Nouvelle version de la norme à paraître
Statut en cours : FDIS
Alignée sur les normes de systèmes de management
Parution prévue fin 2013
le site www.iso.ch annonce une parution en octobre
ISO 27002:2013 en cours de finalisation également
Les deux normes sont alignées
Copyright Hervé Schauer Consultants 2000-2013 – Reproduction interdite4 / 25
Ancienne structure
5Management responsibility
6Internal Audit
7Management
review
8ISMS
Improvement
Copyright Hervé Schauer Consultants 2000-2013 – Reproduction interdite5 / 25
Nouvelle structure
Pas de notion de PDCA explicite
Remplacé par une formulation du type « établir, implémenter, maintenir, améliorer »
Pas d'encouragement à l'approche processus dans l'introduction, mais approche processus de fait
Clauses 4 à 10 obligatoires
Evolution sensible de forme, organisation plus logique
Formulations plus générales
Copyright Hervé Schauer Consultants 2000-2013 – Reproduction interdite6 / 25
Comparaison des deux versionsClauses obligatoires : 4 à 8
4 Information security management system
4.2.1 Establish the ISMSScope
Policy
Risk assessment approachRisk assessmentRisk treatment
4.2.2 Implement and operate the ISMS
4.2.3 Monitor and review the ISMS
4.2.4 Maintain and improve the ISMS
4.3 Documentation requirements
Clauses obligatoires : 4 à 10
4 Context of the organization4.3 Scope
5 Leadership5.2 Policy
6 Planning6.1.1 General6.1.2 Information security risk assessment6.1.3 Information security risk treatment
7 Support● 7.5 Documented Information
●8 Operation●9 Performance evaluation
9.1 Monitoring, measurement, analysis and evaluation9.2 Internal audit 9.3 Management review
10 Improvement
Copyright Hervé Schauer Consultants 2000-2013 – Reproduction interdite7 / 25
Synthèse des changements de fond
Fondation du SMSI
Prise en compte accrue des parties prenantes
Le périmètre considère tout le contexte, y compris les exigences LRC
Leadership plus axé engagement, pilotage et management des personnes que « mise en œuvre »
La politique inclut un engagement de la direction
Processus du SMSI
Risques et opportunités projet
L’appréciation des risques est moins cadrée par la norme
Sensibilisation précisée, fait l’objet d’un paragraphe entier
Pas d’indication sur la périodicité de la revue de direction, ni de l’audit
Pas de notion d’action préventive au sens de la version 2005
Copyright Hervé Schauer Consultants 2000-2013 – Reproduction interdite8 / 25
Contexte de l’organisation (4)
Nouveau chapitre 4
Contient
Définition du contexte externe et interne (cf ISO 31 000 5.3.1)
Définition des attentes et besoins des parties prenantes, y compris les LRC
Dans l'audit interne, vérification de la conformité aux exigences propres au SMSI, et non plus vérification de la conformité aux exigences LRC
Le périmètre tient compte du contexte et des exigences des parties prenantes
Nécessité d’un SMSI selon la présente norme
Nouveautés
Mise en valeur du contexte dans un chapitre spécifique
Mise en valeur des attentes des parties prenantes
Le périmètre découle explicitement du contexte de l'organisation et des exigences auxquelles l'organisation est soumise
Il n'est plus spécifiquement indiqué de justifier les exclusions du périmètre
Copyright Hervé Schauer Consultants 2000-2013 – Reproduction interdite9 / 25
Leadership (5)
Chapitre 5 déjà existant modifié « responsabilités de la direction » -> « leadership »
Changement de registre de vocabulaire pour les responsabilités des dirigeants
S'assurer, diriger et soutenir, promouvoir, communiquer
Et non plus
Etablir, décider, déterminer, fournir, évaluer
Demande à un responsable de s'assurer
De la conformité du SMSI
De son efficacité
Rôle moteur pour l’amélioration du SMSI
Copyright Hervé Schauer Consultants 2000-2013 – Reproduction interdite10 / 25
Politique (5.2)
La direction établit la politique de sécurité, mais ne la valide plus
« Politique du SMSI » devient « politique de sécurité »
Ne contient plus les critères de risques
Ne contient plus les exigences légales, réglementaires et contractuelles
Contient les objectifs de sécurité ou un cadre pour les définir
Précise un engagement de la direction
A satisfaire aux exigences applicables relatives à la sécurité
A améliorer en continu le SMSI
La politique n'est plus un document structurant du SMSI, sauf dans le cas où on y a défini le cadre pour définir les objectifs
C'est un engagement formel de la direction à atteindre des objectifs et à améliorer la sécurité, vis-à-vis
De l'organisation elle-même
Des parties prenantes concernées
Copyright Hervé Schauer Consultants 2000-2013 – Reproduction interdite11 / 25
Planning (6)
Chapitre Plan du SMSI
Chapitre fondamental pour le SMSI
6.1 Actions pour adresser les risques et les opportunités
6.1.1 Général
6.1.2 Appréciation des risques de sécurité de l'information
6.1.3 Traitement des risques de sécurité de l'information
6.2 Objectifs de sécurité de l'information et plans pour les atteindre
6.1.1 Pilotage du SMSI
6.1.2 Gestion des risques
6.1.3 Gestion des mesures de sécurité
6.2 Objectifs de sécuritéet plans
Copyright Hervé Schauer Consultants 2000-2013 – Reproduction interdite12 / 25
Pilotage SMSI (6.1.1)
Nouveau chapitre 6.1.1 sur le pilotage SMSI
Thème non abordé dans la version précédente
Prendre en compte le contexte et les exigences
Déterminer les risques et opportunités du projet SMSI qui devront être adressés pour
Assurer que le SMSI peut atteindre le résultat attendu
Limiter les effets indésirables
Atteindre une amélioration continue
Planifier des actions pour adresser risques et opportunités
Prévoir comment intégrer ces actions dans les processus du SMSI
Évaluer l'efficacité de ces actions
Copyright Hervé Schauer Consultants 2000-2013 – Reproduction interdite13 / 25
Appréciation des risques de sécurité de l'information (6.1.2)
Processus d'appréciation des risques
Plus de méthode d'appréciation des risques
Identifier les risques
The organization shall define and apply an information
security risk assessment process that […]
c) identifies the information security risks: apply the
information security risk assessment process to
identify risks […]
Le détail de comment réaliserl'appréciation des risques a disparu (actifs, menaces, vulnérabilités)
Identifier les propriétaires des risques
Analyser les risques
Pas d'indication
Copyright Hervé Schauer Consultants 2000-2013 – Reproduction interdite14 / 25
Traitement des risques de sécurité de l'information (6.1.3)
Processus de traitement des risques
Choisir les options de traitement (non indiquées)
Modifier la DdA, car l'annexe A change
Choisir les mesures de sécurité nécessaires : depuis n'importe quelle source.
Ne pas choisir les mesures de sécurité dans l'annexe A, mais comparer les mesures choisies à l'annexe A pour vérifier qu'aucune n'a été oubliée
Autorisation de mettre en place le PTR et acceptation des risques résiduels donnée par le propriétaire des risques
Traitement des risques (ISO 27000:2009 2.43)
Processus de sélection et de mise en œuvre des mesures visant à modifier le risque
L'option de maintien du risque n'est pas une option de traitement possible !
Copyright Hervé Schauer Consultants 2000-2013 – Reproduction interdite15 / 25
Objectifs de sécurité et plans pour les atteindre (6.2)
Objectifs de sécurité et plans pour les atteindre
Définir des objectifs de sécurité, en cohérence avec la politique
Les objectifs prennent en compte
Les résultats de l'appréciation des risques
Les résultats du plan de traitement des risques
Les exigences (parties prenantes, LRC...)
Objectifs de sécurité déclinés pour les fonctions et niveaux pertinents
Objectifs communiqués
Définir des plans d'action pour atteindre les objectifs
Plan d'action
Opérationnel : responsables, actions, ressources, délais, évaluation des résultats des actions
Copyright Hervé Schauer Consultants 2000-2013 – Reproduction interdite16 / 25
Liens entre les processus centraux
Auparavant, liens entre :
Objectifs du SMSI + Politique du SMSI → AdR → PTR → Mesures
Maintenant, liens entre :
Contexte
Exigences
Périmètre
AdR
PTRDdA
Objectifs
Politique
Plan d'actions opérationnel
Copyright Hervé Schauer Consultants 2000-2013 – Reproduction interdite17 / 25
Une vision possible
Exigences des parties prenantes
Objectifs de sécurité et plans pour les
atteindreContexte AdR/PTR}Périmètre
Résultat attendu grâce au SMSI= apporter de la confiance aux
parties prenantes
DdA
Copyright Hervé Schauer Consultants 2000-2013 – Reproduction interdite18 / 25
Points d'attention
Possibilité de définir des objectifs préexistants au SMSI
La DdA ne dépend que de l'AdR et du PTR
La DdA ne dépend pas des objectifs
La DdA ne contient pas les mesures de sécurité qui répondent à des objectifs définis en dehors de l'appréciation des risques
Position de l'implémenteur pour la DdA ?
Soit la fonder uniquement sur l'AdR et le PTR
Risque de ne pas prendre en compte des mesures de sécurité
Soit la fonder aussi sur les objectifs donnés dans la politique
Risque de non-conformité avec la norme
Copyright Hervé Schauer Consultants 2000-2013 – Reproduction interdite19 / 25
Gestion de la documentation (7)
Chapitre beaucoup plus court que dans la version 2005
Liste des documents requis non reprise car détaillée au fil de la norme
Les documents qui doivent faire partie du SMSI sont
tous ceux requis par la norme
ceux nécessaires à l'efficacité du SMSI
Mêmes documents, mais leur besoin est mieux justifié
Procédures
Requises pour pouvoir s'assurer que les processus ont été menés comme prévu
Enregistrements
Le terme n'existe plus
Remplacé par le terme de « preuve »
Copyright Hervé Schauer Consultants 2000-2013 – Reproduction interdite20 / 25
Ressources, compétences, sensibilisation, communication (7)
Ressources
Formulation beaucoup plus générale et plus courte
Compétences
Compétence des personnes qui peuvent affecter la sécurité
Pas compétence des seuls acteurs du SMSI
Sensibilisation
Sensibilisation aux sanctions applicables en cas de non respect des exigences du SMSI
Communication
Nouveau processus
Communication interne et externe (sur quoi, quand, avec qui, par qui...)
Copyright Hervé Schauer Consultants 2000-2013 – Reproduction interdite21 / 25
Évaluation de la performance (9)
Surveillance
Pas de notion d'incidents de sécurité
Toujours pas de notion explicite d'indicateurs
Surveillance des mesures de sécurité et des processus
Audit interne
Pas de vérification de la conformité aux exigences LRC, ni aux exigences de sécurité
Vérification de la conformité aux exigences propres au SMSI
Les résultats d'audit doivent être remontés au management
Pas d'indication sur le délai de mise en œuvre des actions correctives
L'auditeur n'a pas à donner son avis sur le délai de correction
Revue de direction
Rien n'indique qu'elle doive être réalisée une fois par an
Modification de forme des entrées/sorties
Copyright Hervé Schauer Consultants 2000-2013 – Reproduction interdite22 / 25
Amélioration (10)
Les termes « action préventive » et « action corrective » ont disparu
Ces actions existent toujours même si elles ne sont pas définies
Actions d'ordre préventif : éliminer les causes d'une non-conformité, qu'elle se soit déjà produite ou non
Actions d'ordre correctif : limiter les effets des non-conformités
Définition différente de l'ancienne norme
Copyright Hervé Schauer Consultants 2000-2013 – Reproduction interdite23 / 25
Certification de SMSI
Si approche clause par clause
Mise à jour difficile
Si approche processus de gestion de la sécurité
Peu de changements à apporter
Dans tous les cas
Analyse d'écart nécessaire avant d'opérer des modifications
Copyright Hervé Schauer Consultants 2000-2013 – Reproduction interdite24 / 25
Merci
Questions ?
Copyright Hervé Schauer Consultants 2000-2013 – Reproduction interdite25 / 25
Sources
slide 13: Cauliflower Romanseco, by SputnikGNU Free Documentation License http://commons.wikimedia.org/wiki/File:Cauliflower_romanesco.JPG
slide 16 : Tarako spaghetti, by OcdpLicense : http://creativecommons.org/licenses/by-sa/3.0/deed.enhttp://commons.wikimedia.org/wiki/File:Tarako_spaghetti.jpg
slide 17 : Couple, group, people, users icon, by Everaldo CoelhoLicense : http://www.gnu.org/licenses/lgpl.htmlhttps://www.iconfinder.com/icons/3503/couple_group_people_users_icon#size=128
slide 17 : Box, content, inventory icon, by Andy GongeaLicense : License: Free for commercial usehttps://www.iconfinder.com/icons/33548/box_content_inventory_icon#size=64
slide 17 : Target, value icon, by IFALicense : License: Free for commercial usehttps://www.iconfinder.com/icons/104583/target_value_icon#size=128
slide 17 : Checklist, by Oliver TwardowskiLicense : Free for commercial use (Include link to package) https://www.iconfinder.com/iconsets/flavour
