29

" Audit d'un Système de Management de la Sécurité des SI ".

Pascal WACKENTHALER RICOH Industrie France

30

Plan de l ’intervention:

- Démarche de certification Groupe

- Périmètre de certification RIF

- Grandes étapes du projet

- Points clefs du succès

- Difficultés rencontrées

- Bénéfices pour RIF

31

Démarche de certification Groupe

Le Groupe Ricoh a identifié un certain nombre de sites de production et d ’entités commerciales entrant dans le domaine d ’application de la certification ISMS unifiée.

En janvier 2003, Mr Sakurai, Président de Ricoh Co., Ltd a introduit la politique sécurité de Groupe.

Une démarche globale qui est pilotée par la « Corporate Social Responsibility » Division au Japon.

Se doter d ’un système afin de faire face aux risques liés aux technologies de l ’information:

- vol d ’informations

- usurpation d ’identité

- intrusions et utilisation de ressources systèmes

- mise hors service des systèmes et ressources informatiques

32

Périmètre de certification RIF

Le Système de Management de la Sécurité de l ’Information s ’applique à l ’ensemble des activités de Ricoh Industrie France:

- fabrication d ’équipements bureautiques (photocopieurs numériques)

- fabrication de consommables (rouleaux de fusion, toner, cartouches de toner et activités de recyclage)

- Conception, fabrication et ventes de produits thermosensibles (papiers et films)

-1200 personnes

La norme ISO27001 (anciennement BS7799) consiste en un ensemble de mesures visant à adopter, sur un périmètre bien défini, les bonnes pratiques en matière de management de la sécurité.

Les mesures à mettre en place sont à la fois techniques et organisationnelles. L ’accent est le plus souvent mis sur le côté organisationnel.

33

BS 7799-2

L ’ISO 27001 fait partie d ’une nouvelle famille de normes créée en 2005 sur le modèle des normes ISO 9000 ou ISO 14000.

L ’ISO 27001 résulte de l ’évolution internationale de la norme anglaise BS 7799-2.

Cette norme décrit les exigences en matière de système de gestion de la sécurité de l ’information (ISMS), dans le respect du modèle PDCA.

********************BS7799-2 = 127 « control points »ISO 27001 = 133 « control points »

34

BS 7799-2 et ISO 27001

L ’ISO 27001 fait partie d ’une nouvelle famille de normes créée en 2005 sur le modèle des normes ISO 9000 ou ISO 14000.

L ’ISO 27001 résulte de l ’évolution internationale de la norme anglaise BS 7799-2.

Cette norme décrit les exigences en matière de système de gestion de la sécurité de l ’information (ISMS), dans le respect du modèle PDCA.

********************

BS7799-2 = 127 « control points »

ISO 27001 = 133 « control points »

35

BS 7799-2 et ISO 27001

Les 4 étapes de PDCA:

PLANPLAN (élaborer/préparer): Définition du périmètre et des personnes concernées, de la politique de sécurité, des objectifs, des processus et des procédures.

Création de la structure de pilotage, définition du rôle des acteurs, planification des actions, définition des indicateurs de succès et des critères de performances de la politique de sécurité, par rapport aux objectifs et aux expériences pratiques.Élaboration du plan d ’actions.

DODO (faire/appliquer):

Mise en œuvre du plan d ’action, de la politique de sécurité, de l ’ISMS, des contrôles, des processus et des procédures.

CHECKCHECK (vérifier/contrôler):

Mesure des progrès réalisés / indicateurs choisis.

Évaluation et description des résultats pour la gestion des révisions.

ACTACT (agir/réagir):

Réalisation des AC/AP visant à l ’amélioration constante du système de gestion de la sécurité de l ’information.

36

Grandes étapes du projet

-Constitution de l ’équipe projet (novembre 2004)

- Kick off du projet en décembre 2004[ Objectif imposé: certification ISMS pour décembre 2005 ]

-E-learning pour l ’ensemble de l ’encadrement

-Inventaire des actifs informationnels importants via des réunions avec chaque chef de service et directeur de département orchestrées par 4 binômes (572 assets) [ 47 réunions de ~ 2h00 soit ~ 280 h de janvier à mars 2005 ]

- Concertation entre les membres de l ’équipe projet afin d ’harmoniser, de standardiser le classement (High, Medium, Low) des actifs informationnels identifiés

- Saisie des actifs dans l ’outil d ’évaluation des risques transfert de connaissances / l ’outil, préparation de la méthodologie (modes opératoires)

- Création de scénarii (menace+vulnérabilité->risque), évaluation des risquesdétermination du niveau de risque accepté

[ ~80% du temps de l ’équipe projet de mi-mars à fin août 2005]

37

Grandes étapes du projet

- Saisie des actifs dans l ’outil d ’évaluation des risques

transfert de connaissances / l ’outil

préparation de la méthodologie (modes opératoires)

création de scénarii (menace+vulnérabilité->risque)

évaluation des risques

détermination du niveau de risque accepté

[ ~80% du temps de l ’équipe projet de mi-mars à fin août 2005]

38

Grandes étapes du projet

39

Grandes étapes du projet

- Formation de l ’ensemble des personnes de l ’entreprise par 2 personnes au cours de séminaires (un séminaire = 50 personnes) avec remise d ’un triptyque ISMS

[ 2h00 x ~ 30 réunions de fin août à octobre 2005 ]

- Formulation d ’un plan de traitement des risques global (qui fait quoi et comment), puis décliné par service

- Ecriture des procédures[ de juin à mi septembre 2005 ]

- Formation des premiers auditeurs internes par BSI[ 2 jours fin août 2005 ]

40

Grandes étapes du projet

- phase 1 des audits internes (113 AM + 1 NC)[ de mi septembre à fin octobre 2005 ]

18

17

1210

9

7

65

6.2.15.1.19.1.112.1.49.5.57.3.19.8.110.3.2

6.2.1 Information Security education and training5.1.1 Inventory of Assets9.1.1 Access control policy12.1.4 Protection of personal information

41

Grandes étapes du projet

- Audit documentaire par BSI (27 et 28 octobre 2005) 1 issue 1 observation 3 opportunités

- campagne annuelle de revue des droits d ’accès aux systèmes d ’information et des logiciels installés

[ d ’octobre à décembre 2005 ]

- Tenue de la Revue de Direction ISMS (08.11.2005)

- Actualisation de la documentation (SoA, procédures, plan de traitement des risques, planning des audits, …)

- Phase 2 des audits internes (249 AM + 9 NC)[ de novembre à fin mars 2006 ]

42

Grandes étapes du projet

- Audit initial par 2 auditeurs BSI [ 5 jours en décembre 2005 ] 1 issue 10 observations

26 opportunités

- Détermination des objectifs ISMS 2006

- Gestion du changement: passage d ’une organisation projet à une organisation matricielle

- Élaboration du plan d ’actions ISMS pour 2006

- Formation N°2 pour les autres auditeurs internes [ 2 jours en février 2006 ]

---> RIF dispose à ce jour d ’une équipe forte de 30 auditeurs internes qualifiés QSE et ISMS, à laquelle il faut rajouter 8 « contrôleurs internes » spécifiques pour SOX.

43

Grandes étapes du projet

- Exemples d ’écarts: 1 issue (contrôle d ’accès)

2 observations importantes:- conformité réglementaire- complétude du cycle PDCA

observations:- manque d ’enregistrements des formations

- pas d ’encryption sur les informations stockées sur le disque dur des laptops

- interprétation des documents ISMS opportunités

- définir la procédure de communication de crise- gestion et mentions dans les contrats de prestations- gestion des clés- protection des informations stockées dans des armoires

44

- Réalisation du plan d’action ISMS 2006 1 issue revue des assets

analyse et traitement des risques (intégration des nouveaux points de contrôle)

Revue de la documentation

...

L’ISO27001 à nécessité un compréhension des modifications liées à la nouvelle norme.

Hormis l’intégration de ces modifications, le schéma reste identique à la norme BS7799.

Grandes étapes du projet

45

BS 7799-2 et ISO 27001

BS7799-2:

- information security management system

- management responsibility

- management review of the ISMS

- ISMS improvement

- Annexe A: points de contrôles et objectifs

ISO27001:

- information security management system

- general requirements

- establishing and managing the ISMS

- documentation requirements

- management responsibility

- management commitment

- resource management

- internal ISMS audits

- management review of the ISMS

- general

- review input

- review output

- ISMS improvement

- continual improvement

- corrective and preventive actions

- Annexe A: points de contrôles et objectifs

46

Durant l’année fiscale 2006, l’équipe d’auditeurs interne :

A réalisée 58 audits ISMS A enregistrée 17 NC et 53 AM A interviewée 129 personnes.

Mise en place, dans les audits internes, d’un fil rouge sur :

7.2.2 : Classification et identification des actifs informationnels 11.3.3 : politique de bureau et écran dégagés

Audit de suivi N°1 avec passage à la norme ISO27001 ….en février 2007.

Différences entre l’audit réalisé en 2005 et celui réalisé en 2006- 5 jour, 1 auditeur- Revue documentaire- Revue des issues et strong observation du dernier audit- Revue du plan d’action- Revue des audits internes- Personnes interviewées- …

Résultats : 2 issues / 3 observations importantes / observations / opportunités

Audit de suivi N°1 avec passage à la norme ISO 27001

47

Points clefs du succès

- Bonne connaissance de la norme

- Impulsion, implication du Top Management et affectation des ressources nécessaires

- Affectation des rôles et responsabilités dès le début du projet

- Avoir l ’art d ’accompagner des changements importants dans les pratiques

- démarche de changement itérative avec les managers

48

Difficultés rencontrées

-Temps alloué très (trop) court

-Connaissances perfectibles de la norme

-Utilisation imposée d ’un outil d ’évaluation des risques

-Difficultés pour identifier et décrypter les textes de droit français et de droit communautaire

-Passer d ’un management basé sur la confiance réciproque à une approche moins permissive en matière de sécurité de l ’information

49

Bénéfices pour RIF

Bénéfices en tant qu ’entreprise:

-aide RIF à comprendre que son « business environment » change et qu ’il est vital de protéger tous les actifs informationnels

-vulgarise les notions de « risques potentiels », de « vulnérabilités » et engage tout le monde à prendre des actions

-sentiment de fierté, d ’appartenance suite aux résultats de l ’audit (2e entreprise en France)

-- donner aux managers une vision « risques » supplémentaire

50

Bénéfices pour RIF

Impacts sur l ’organisation:

-permet d ’avoir un langage commun et une compréhension univoque des concepts de l ’ISMS

-mise en place d ’approches communes avec un très fort déploiement au détriment de pratiques isolées incertaines

- focalise les énergies vers un objectif commun ---> notion de challenge

51

Bénéfices pour RIF

Impacts sur le personnel:

-les mentalités ont évolué au sujet de la sécurité de l ’information: chacun sait qu ’il est un maillon de la chaîne

-chacun a intégré des notions basiques et est plus sensible à la préservation de la sécurité de l ’information

-encore un « défi » relevé, on attend la suite !

52

… et ce qu ’il reste à faire

-développer une approche unique d ’évaluation des risques (Q, S, E, ISMS, …)

-intégrer la gestion des risques à l ’approche processus (vision « risques » aux propriétaires)

-rationaliser, améliorer, simplifier les pratiques ISMS pour une meilleure application

-déterminer les indicateurs de performances liés aux points de contrôle

-évaluer la performance globale du système de management de la sécurité de l ’information

53

Je suis à votre disposition pour répondre à vos questions,

maintenant,ou ultérieurement: pascal.wackenthaler@ricoh-

industrie.fr