Sécurité des SI ISO/CEI 27001 Zineddine Boukherou Consultant en Sécurité Informatique Lead Implementer ISO/CEI 27001
Objectifs de l’intervention Les objectifs de l’intervention : - Connaître le métier de la sécurité informatique Acquérir des connaissances pour implémenter un SMSI selon les exigences de la norme ISO/CEI 27001 Apprendre, par des exemples de cas concrets, les processus d’Implémentation des SMSI et d’Audit informatique Oct. 2016 Université de Jijel
Plan Les différents métiers de la sécurité informatique Introduction au Concept de Système d’information ISO/CEI 27001:2013 Contexte et objectifs de l’ ISO/CEI 27001:2013 Structure de la norme Présentation des clauses 4 à10 Oct. 2016 Université de Jijel
Les différents métiers de la sécurité informatique RSSI (Monsieur sécurité) Chargé de la définition et de la mise en œuvre de la politique de sécurité de l'entreprise. Le garant de la disponibilité, la sécurité (confidentialité) et l'intégrité du système d’information et des données. Intégrateur des solution de sécurité / Administrateur (Système, Réseaux) : Firewall, IDS, IPS, Antivirus, patch management, … Auditeur / Implémenteur / Risque Manager Pentester Pentest ou test d’intrusion : Simuler une attaque (black box, grey box, white box) Pentest <> De l’audit : exploitation des failles pour montrer la vulnérabilité et situer le niveau de risque Oct. 2016 Université de Jijel
Formations et Certifications CISSP (ISC)² ISO/CEI 27001: Implementer, Auditer, Lead implementer, lead auditer ISO/CEI 27005 : Risk manager SOX (Sarbanes-Oxley) Formations et certifications des éditeurs et fournisseurs de solutions (ex: Symantec, Fortinet, Cisco, …) Ethical Hacker Oct. 2016 Université de Jijel
ISO/CEI 27001:2013 Oct. 2016 Université de Jijel
Les Normes de la Famille ISO/IEC 27000 ISO/IEC 27000 Information security management systems — Overview and vocabulary ISO/IEC 27001, Information security management systems — Requirements ISO/IEC 27002, Code of practice for information security controls ISO/IEC 27003, Information security management system implementation guidance ISO/IEC 27004, Information security management — Measurement ISO/IEC 27005, Information security risk management ISO/IEC 27006, Requirements for bodies providing audit and certification of information security management systems ISO/IEC 27007, Guidelines for information security management systems auditing ISO/IEC TR 27008, Guidelines for auditors on information security controls ISO/IEC 27010, Information security management for inter-sector and inter-organizational communications ISO/IEC 27011, Information security management guidelines for telecommunications organizations based on ISO/IEC 27002 ISO/IEC 27013, Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1 ISO/IEC 27014, Governance of information security ISO/IEC TR 27015, Information security management guidelines for financial services ISO/IEC TR 27016, Information security management — Organizational economics Oct. 2016 Université de Jijel
Introduction au Concept de Système d’information L’Information Le Système d’information La sécurité de l’information Les Systèmes de Management L’Amélioration continue Le système de management de la sécurité de l’information Oct. 2016 Université de Jijel
L’information Donnée Information Connaissance Compétence Toute données porteuse de sens En informatique, une information est un élément de connaissance susceptible d’être codé pour être conservé, traité ou communiqué L’information est un actif important de l’entreprise qui nécessite une protection adéquate Oct. 2016 Université de Jijel
L’information L’information se présente sur des : Papier Stockage électronique Transmission par voie postale ou électronique Diffusion audiovisuels La diffusion orale, échange téléphonique … Oct. 2016 Université de Jijel
Le Système d’information Structure organisationnelle et personnes liées au SI Technique : Processus et Technologies (Software, hardware et équipement de télécommunication) Oct. 2016 Université de Jijel
La sécurité de l’information Le volume de l’informations ne cesse d’augmenter et cette accélération est favorisée par les systèmes informatiques et la dématérialisation Les entreprises sont structurées en réseaux internes avec des connexions à des réseaux externes. De ce fait, leurs systèmes sont accessibles de l’extérieur pour leurs fournisseurs, Partenaires, clients, administrations,…. L’accessibilité par l’exterieur entraine la vulnérabilité. Des risque tel que le vol d’information, l’usurpation d’identité, l’intrusion et l’utilisation des ressources ou même la mise hors service des sytèmes de ressources informatiques sont donc bien présents La sécurité de l’information et l’un des cinq risques majeurs recensés pour l’entreprise La sécurité de l’information est un processus dont l’objectif et de protéger les données. Elle s’applique à tous les aspect de la sûreté, de la garantie et de la protection d’un information, quelle que soit sa forme. Oct. 2016 Université de Jijel
La sécurité de l’information La sécurité de l’information vise à protéger l’information contre une large gamme de menaces pour: Garantir la continuité de l’activité Maintenir la rentabilité de l’organisme Optimiser les retour sur investissement ROI Maintenir l’image de marque … La SI est assurée par la mise en œuvre des mesures adaptées regroupant des règles, des processus, des procédures des structures organisationnelles, des fonctions matérielles et logicielles. Oct. 2016 Université de Jijel
La sécurité de l’information Les menaces : Fraude Espionnage Attaque par déni de service Catastrophe naturelle Sabotage , vandalisme … Oct. 2016 Université de Jijel
La sécurité de l’information Les Critères fondamentaux de la sécurité de l’information sont: La confidentialité : la propriété selon laquelle l’information n’est pas divulguée à des personnes, entités ou processus non autorisés. L’intégrité : Propriété de l’exactitude et de la complétude des actifs. La disponibilité: la propriété d’être accessible et utilisable à la demande d’une entité. Non répudiation (traçabilité ou preuve): garantir la traçabilité pour tout contrôle ou administration de la preuve. Oct. 2016 Université de Jijel
Les Systèmes de Management Cadre de référence des lignes directrices, politique, procédures, processus et ressources associées visant à assurer la réalisation des objectifs d’une organisation. Plusieurs référentiels se basent sur le concept de système de management tel que : ISO 9001 la qualité ISO 14001 l’environnement ISO 20000 les services informatiques (fournisseurs de services) ISO 22000 sécurité alimentaire ISO 27001 sécurité de l’information OHSAS 18001 santé et sécurité de la personne Oct. 2016 Université de Jijel
L’Amélioration continue ISO 27001:2013 chap.10.2 « L’organisation doit continuellement améliorer la pertinence, l’adéquation et l’efficacité du système de management de la sécurité de l’information » La méthode d’amélioration continue n’est plus imposée contrairement à la version précédente 27001:2005 où le modèle imposé était le PDCA (shewhart ou deming) Oct. 2016 Université de Jijel
L’Amélioration continue Le modèle PDCA se caractérise : par son aspect cyclique et par le fait qu’il s’applique à l’échelle globale mais également les processus. Plan : préparer, définir, planifier (ce que l’on va réaliser) Do : Développer, réaliser, mettre en œuvre Check : contrôler, vérifier, rechercher l’écart entre ce qui a été planifié et ce qui a été réalisé Act : agir, ajuster, réagir pour régler tout écart constaté précédemment Oct. 2016 Université de Jijel
Le système de management de la sécurité de l’information Le SMSI est un système de management qui s’applique à la sécurité de l’information Le SMSI est destiné à choisir les mesures de sécurité pour assurer la protection des biens sensibles d’une entreprise dans un périmètre défini. Le SMSI est compatible avec d’autres systèmes de management. Oct. 2016 Université de Jijel
Présentation de la norme ISO/CEI 27001:2013 Contexte et objectifs de l’ ISO/CEI 27001:2013 Structure de la norme Présentation des chapitres 4,5,6,8,9 et 10 (PDCA) Présentation du chapitre 7 Oct. 2016 Université de Jijel
Contexte et objectifs de l’ ISO/CEI 27001:2013 Les normes de la famille ISO/CEI 27000 se placent dans deux groupes : Normes formulant des exigences : 27001 Normes émettant des recommandations :27002,27005, 27007, 27008. Ces normes sont des guides de bonnes pratiques pour assister l’implémentation ou l’audit du SMSI: Appréciation des risques Génération des indicateurs Implémentation des mesures de sécurité appropriées Audit Oct. 2016 Université de Jijel
Contexte et objectifs de l’ ISO/CEI 27001:2013 L’objectif général de la norme est de « spécifier les exigences relatives à l’établissement, à la mise en œuvre, à la mise à jour et à l’amélioration continue d’un SMSI » ISO/CEI 27001:2013 clause 1 Le déploiement des mesures de sécurité adaptées à l’organisation ( petite ou grande entreprise, commerciale, gouv., Administration, OMG,…)permet de protéger les actifs et donc d’apporter de la confiance aux parties prenantes. Oct. 2016 Université de Jijel
Structure de l’ ISO/CEI 27001:2013 Contexte de l’organisation 4 Leadership 5 Planification 6 Plan Amélioration 10 Act Support 7 Fonctionnement 8 DO Evaluation des performances 9 Check Oct. 2016 Université de Jijel
Structure de l’ ISO/CEI 27001:2013 l’ ISO/CEI 27001:2013 est décomposée en 7 chapitres principaux (4 à 10) obligatoires pour prétendre à une conformité à la norme. Chapitre 4: Contexte de l’organisation Périmètre du SMSI et domaine d’application Chapitre 5: Leadership Engagement de la direction et définition des responsabilités vis-à-vis du SMSI Chapitre 6: Planification Management des risques et définition des mesures de sécurité Oct. 2016 Université de Jijel
Structure de l’ ISO/CEI 27001:2013 Chapitre 7 : Ressources Ressources humaines et compétences, communication et gestion de la documentation Chapitre 8 : Fonctionnement Contrôle opérationnel, appréciation et traitement des risques Chapitre 9 : Evaluation des performances Audit interne, revue de direction, surveillance, mesures Chapitre 10 : Amélioration Traitement des non-conformités, actions correctives, amélioration continue Oct. 2016 Université de Jijel
Chapitre 4 à 6 L’établissement du SMSI (phase Plan): Périmètre Politique de sécurité de l’information Appréciation des risques Traitement des risques Mesures de sécurité et déclaration d’applicabilité Oct. 2016 Université de Jijel
Périmètre du SMSI Le périmètre de le domaine d’application doit: Tenir compte du contexte de l’entreprise Répondre aux attentes des parties prenantes Il est disponible sous forme d’information documentée, clair, il liste des sites, des entité organisationnelle, des activité concerné par le SMSI, les technologies utilisées,… Oct. 2016 Université de Jijel
Périmètre du SMSI Stratégies de définition : le périmètre peut être Orienté site Orienté entreprise Orienté service Alignement avec d’autre système de management Stratégie progressive (site Filiale Groupe) Oct. 2016 Université de Jijel
La politique de sécurité Elle doit être établie par la direction ; Contenir les objectifs de sécurité ; Inclure un engagement de la direction pour répondre aux exigences relatives à la sécurité ; Et pour améliorer en continu le SMSI La politique est disponible sous forme d’information documentée, diffusée au sein de l’entreprise, à disposition des parties intéressées Oct. 2016 Université de Jijel
Procédure de gestion du risque Elle doit Compléter en amont la méthode d’analyse du risque; définir tous les aspects organisationnels relatifs à la gestion du risque; Définir les responsabilités Définir les niveaux de risque acceptable Oct. 2016 Université de Jijel