BS7799-2

7/25/2019 BS7799-2

1/18

DOSSIER TECHNIQUE

MANAGEMENT DE LA SECURITE DE

LINFORMATION

UNE APPROCHE NORMATIVE : BS7799-2

Dcembre 2004

Groupe de Travail BS7799-2/SMSI

CLUB DE LA SECURITE DES SYSTEMES DINFORMATION FRANAIS

30, rue Pierre Semard, 75009 PARISTl. : +33 153 25 08 80 Fax : +33 1 53 25 08 88e-mail : [email protected] Web : http://www.clusif.asso.fr
mailto:[email protected]://www.clusif.asso.fr/http://www.clusif.asso.fr/mailto:[email protected]

7/25/2019 BS7799-2

2/18

REMERCIEMENTS

Le CLUSIF tient mettre ici l'honneur les personnes qui ont rendu possible la ralisation de ce

document, tout particulirement :

Rgis BOURDONNEC BNP Paribas - Cardif

Philippe CHAILLEY Ercom

Anne COAT Silicomp AQL

Christian GATEAU France Telecom Transpac

Stphane GEYRES Ernst & Young

Frdric HUYNH Ernst & Young

Jean ISNARD EuronextLaurent MARECHAL Silicomp - AQL

Fred MESSIKA Lynx Technologies

Batrice RENARD France Telecom

Paul RICHY France Telecom

Herv SCHAUER HSC

Isabelle WAS Deloitte

Nous remercions aussi les membres ayant particip la relecture.

Management de la SI Une approche normative - I - CLUSIF 2004

7/25/2019 BS7799-2

3/18

TABLE DES MATIRES

1. INTRODUCTION...................................................................................................................................................1

1.1 OBJECTIF DE CE DOCUMENT .............................................................................................................................1

1.2 LECTORAT........................................................................................................................................................1 1.3 TERMINOLOGIE.................................................................................................................................................1

2. SYSTME DE MANAGEMENT DE LA SCURIT DE LINFORMATION (SMSI) ................................. 2

2.1 DFINITION DUN SMSI ........................................................... ........................................................... ............. 22.2 COMMENT METTRE EN PLACE UN SMSI ?.........................................................................................................3

3. LA NORME BS7799-2:2002 .......................................................... ........................................................... ............. 4

3.1 HISTORIQUE .....................................................................................................................................................4 3.2 DESCRIPTION DE LA NORME .............................................................................................................................4

3.2.1 Primtre de la norme ........................................................ ........................................................... ............. 43.2.2 Structure de la norme ......................................................... ........................................................... ............. 5

3.3 RECONNAISSANCE INTERNATIONALE ...............................................................................................................5 3.4 BS7799-2 ET SMSI..........................................................................................................................................6 3.5 BS7799-2 ET LA GESTION DE LA SCURIT.......................................................................................................7

3.5.1 Qui est concern par la norme elle-mme ? .................................................... ........................................... 73.5.2 Qui est concern par le SMSI ? .................................................... ........................................................... ... 83.5.3 Analyse des risques............................... ........................................................... ........................................... 83.5.4 Gestion du risque...................................................... ........................................................... ....................... 83.5.5 Processus damlioration continue..................................... ........................................................... ............. 8

3.6 BS7799-2 ET QUALIT .....................................................................................................................................9 3.7 BS7799-2 ET ANALYSE DE RISQUES .................................................................................................................9

4. BS7799-2 ET CERTIFICATION.........................................................................................................................11

4.1 LA CERTIFICATION BS7799-2 DES ORGANISMES ............................................................................................11 4.2 LA CERTIFICATION LEAD AUDITOR DES PERSONNES ................................................................................12 4.3 AUTRES PRATIQUES ET NORMES DE CERTIFICATION .......................................................................................12

4.3.1 ISO9001 .......................................................... ........................................................... ............................... 124.3.2 ISO15408 ........................................................ ........................................................... ............................... 13

5. CONCLUSION......................................................................................................................................................15

Management de la SI Une approche normative - II - CLUSIF 2004

7/25/2019 BS7799-2

4/18

1. INTRODUCTION

1.1 Objectif de ce document

Lobjectif de ce document est de prsenter au lecteur, travers la norme britannique BS 7799-2:2002, une dmarche de mise en uvre dun systme de management de la scurit delinformation dans les organismes.

1.2 Lectorat

Les documents du CLUSIF sont gnralement destination des RSSI et des DSI. Llargissementdu primtre lensemble de linformation (et non plus au systme dinformation) dans le cadreISO17799 ou BS7799 nous incite proposer une cible sensiblement plus large :

comme pour le document ISO 17799, tous les professionnels de la scurit delinformation,

mais aussi tous les professionnels dorganismes impliqus dans la scurit : directeursscurit, secrtaires gnraux,

les Directions Gnrales dans la mesure o lon parle de certification, ce qui impliqueune dcision et un engagement au plus haut niveau de lorganisme.

1.3 Terminologie

Pour lensemble du document, on entend par organisme : toute entit (entreprise, administration,organisation, association, etc.) ainsi que tout sous-ensemble de celle-ci (filiale, mtier,gographique, etc.).

Management de la SI Une approche normative - 1 - CLUSIF 2004

7/25/2019 BS7799-2

5/18

2. SYSTME DE MANAGEMENT DE LA SCURIT DELINFORMATION (SMSI)

2.1 Dfinition dun SMSI

Un SMSI est un ensemble dlments interactifs permettant un organisme dtablir une politiqueet des objectifs en matire de scurit de linformation, dappliquer la politique, datteindre cesobjectifs et de contrler latteinte des objectifs.

La politique de scurit de linformation donne les grandes orientations de lorganisme en matirede scurit de linformation et fixe des objectifs quantifis. Elle est officiellement formule par laDirection, qui sengage fournir les moyens ncessaires pour atteindre ces objectifs.

Elle est cohrente avec les objectifs mtier de lorganisme, et avec les besoins de ses clients etpartenaires. Elle est communique au sein de lorganisme, sa comprhension par les intervenantsinternes et externes est vrifie, elle est revue de faon priodique (en gnral annuellement) pourrester en adquation avec les objectifs globaux de lentit.

Le SMSI est tabli, document, mis en uvre et entretenu. Son efficacit est mesure par rapportaux objectifs de lentit, et cette mesure permet damliorer en permanence le SMSI.

Le SMSI est cohrent avec les autres systmes de management de lentit, notamment avec lessystmes de management de la qualit, de la scurit des conditions de travail, et delenvironnement.

Le SMSI inclut donc au minimum :

des lments documentaires (politique, description des objectifs, cartographie desprocessus impacts, des activits de scurit, et des mesures),

la description de la mthode danalyse des risques utilise,

les processus impliqus dans la mise en uvre de la scurit de linformation,

les responsabilits relatives la scurit de linformation,

les ressources ncessaires sa mise en uvre,

les activits relatives la scurit de linformation,

les enregistrements issus des activits relatives la scurit de linformation,

les (relevs de) mesures prises sur les processus,

les actions relatives lamlioration de la scurit de linformation.

Lexistence dun SMSI dans lorganisme permet de renforcer la confiance dans le mode de gestionde la scurit de linformation.


7/25/2019 BS7799-2

6/18

2.2 Comment mettre en place un SMSI ?

Ladoption dun SMSI est une dcision stratgique pour un organisme. Sa conception, sonimplmentation, et son organisation dpendent des besoins de scurit de lorganisme. Ces besoinssont eux-mmes fonction du mtier de lorganisme, des exigences de scurit (client/interne) qui enrsultent, des processus mis en place, de sa taille et de sa structure.

Pour initialiser une dmarche de SMSI, lorganisme doit :

dterminer le primtre (fonctionnel, gographique, organisationnel, etc.) concern,

identifier parmi les processus de ce primtre, ceux qui sont concerns par la scurit delinformation, et leurs risques associs,

dterminer les exigences (objectifs, rfrentiels, mthodes, etc.) ncessaires pour assurerla scurit des processus,

dfinir les mesures de scurit ncessaires pour se conformer aux exigences exprimes.

Les processus ncessaires au SMSI comprennent ceux relatifs :

aux activits de management,

la mise disposition de ressources,

la ralisation des produits/services,

aux mesures et lamlioration.

Si lorganisme dcide dexternaliser un processus ayant une incidence sur la scurit, il doit enassurer la matrise et mentionner dans le SMSI les moyens de cette matrise.


7/25/2019 BS7799-2

7/18

3. LA NORME BS7799-2:2002

3.1 Historique

Au dbut des annes 1990 de grands groupes britanniques (BT, Shell, Marks & Spencer,Nationwide Building Society, etc.) se sont rencontrs au sujet de lassurance des changescommerciaux en ligne. Lobjectif tait alors de proposer un nombre rduit de mesures cls, lies lascurisation de linformation, que toute entreprise serait mme de mettre en uvre. LeDpartement des Transports et de lIndustrie britannique (DTI) tenait ce que ces dix mesures clssoient identifies et prsentes dans une norme de gestion de la scurit de linformation, il parrainedonc la rdaction dune premire version de ce document - dans le respect des normes et standardsdu BSI (British Standards Institute).

En 1991 un projet de Code de bonnes pratiques a t ralis. Il recommandait en particulier laformalisation dune politique de scurit de linformation. Cette dernire devait intgrer auminimum 8 conditions (au niveau stratgique et oprationnel) ainsi quune condition de"conformit" et tre maintenue jour. Ceci se traduit par laugmentation du nombre deresponsables de la scurit de linformation chargs de sassurer de la conformit en accord avec la

politique de lentreprise.

En 1995, la BS 7799 prsente 10 mesures cls intgrant 100 mesures dtailles potentiellementapplicables.

En 1998, il est adjoint une partie 2 la BS 7799 dans laquelle plus de 100 mesures de scurit sontdtailles selon le principe du management de la scurit du systme dinformation (Information

Security Management System - ISMS) et fonde sur une approche de matrise des risques. Lamotivation de la partie 2 a t de mettre disposition les fondements dun schma de certificationpermettant dattester la conformit ce qui est devenu la partie 1.

La priorit a t donne lintgration des problmatiques de-business en les structurant dans lapartie 1 de la BS 7799, pour que cette norme puisse tre prsente lISO. Le nombre de mesurespasse alors 127.

La BS7799-1:1999 est reconnue aprs une rflexion au niveau international et devient alors lanorme internationale ISO / IEC 17799 en 2000.

La BS 7799-2:2002 remplace la version de 1998 de la BS7799-2 pour mieux sinspirer des autres

systmes de management dj existants tels que BS EN ISO 9001:2000 et BS EN ISO 14001:1996afin de permettre une implmentation intgre des diffrents systmes de management.

3.2 Descript ion de la norme

3.2.1 Primtre de la norme

La norme BS7799-2:2002 dfinit des exigences pour planifier, implmenter, contrler et amliorer

un SMSI. Elle sapplique tout organisme, mais aussi toute unit oprationnelle, tout dpartementau sein dune entreprise ou tout site gographique, ds lors que celui-ci a la responsabilit de laprotection de son information et donc dispose dun responsable identifi.


7/25/2019 BS7799-2

8/18

Au sein de lorganisme la norme concerne, aussi bien le systme informatique, que les aspectshumains et physiques, les processus, etc.

3.2.2 Structure de la norme

La norme1est constitue de 2 parties distinctes :

le corps du document rappelle et dfinit les concepts de SMSI, le modle de Plan, Do,Check, Act (PDCA, cf. 3.4) et insiste sur les tches et limplication du management,

les annexes (A, B, C et D) du document.

En dehors des chapitres introductifs de toute norme ISO (1 Champs dapplication, 2 Rfrences,3 Dfinitions), la norme aborde les thmes suivants :

la notion de SMSI au travers de lapproche processus et du modle PDCA (0) ainsique le parallle entre SMSI et les autres systmes de management (qualit,environnement) (0),

les jalons et tches cls de la dynamique dun SMSI (4), les implications et les responsabilits du management associes un SMSI (5 et 6),

lamlioration continue du SMSI (7).

Lannexe A (normative) tablit les objectifs de matrise de la scurit en reprenant les thmesdirecteurs de toutes les sections du document ISO17799. Le terme normatif signifie que cetteannexe est dapplication obligatoire pour conformit la norme BS7799-2.

Lannexe B (informative) prsente de manire gnrique les actions mettre en uvre chaquetape du cycle PDCA.

Enfin, les annexes C et D, galement informatives, prcisent respectivement les similitudes entre les

diffrents systmes de management (ISO 9001:2000, ISO 14001:1996 et BS7799-2:2002) et lesmodifications survenues sur les versions antrieures de la norme dans BS7799-2:2002.

3.3 Reconnaissance internationale

Comme le prcise le tableau ci-aprs, la date de rdaction de ce document, la norme BS7799-2:2002 est soit :

utilise directement dans sa version britannique par les organismes, sans avoir tadopte formellement par les instances de normalisation nationales,

reprise lidentique, i.e. avec un numro de norme national, comme par exemple enAustralie, en Nouvelle-Zlande ou en Afrique du Sud,

reprise au niveau national, avec adaptation, comme par exemple en Espagne, auDanemark ou en Sude.

1 Au-del de la dfinition issue dun dictionnaire, nous pouvons dfinir une norme comme tant un document derfrence issu dun consensus dacteurs du march et reconnu au niveau local, rgional, national ou international.


7/25/2019 BS7799-2

9/18

Pays2 Norme

Asie

Japon JIS X 5080:2002: Information technology Code of practice for information

security management (ISO17799)JIS Q 2001:2001 Guidelines for Development and Implementation of RiskManagement System (qui joue le role de la BS7799-2)

JIPDEC Certification (Schma de certification rglementaire)

Ocanie

Australie

Nlle Zlande

AS/NZS 7799.2:2003: Information security management - Specification forinformation security management systems

Europe

Danemark DS484-2Espagne UNE 71502: "Requisitos para la gestin de la seguridad de TI"

Norme base sur la BS7799-2:2002 comprenant des lments contextuelssupplmentaires, traitant de la protection des donnes personnelles.

Il existe un schma de certification.

Sude SS 627799.2:2003 Information security management - Specification forinformation security management systems

Il existe un schma de certification.

AfriqueAfrique duSud

SABS7799-2

A dcembre 2004, plus de 1000 certificats BS7799-2 ont t recenss travers le monde. Cenombre reprsente une augmentation de plus de 100% par rapport dbut 2003.

Leur rpartition gographique est de 47% au Japon, environ 18% en Royaume Uni, 14% dans lereste de lEurope, 17% en Asie (hors Japon), 2% pour les Amriques et 2% Pour le reste du monde.Aucun certificat na t dlivr en France.

Comme pour les normes ISO9000, ces certificats portent le plus souvent sur un sous-ensemble desdiffrents organismes. De ce fait, certains organismes peuvent dtenir plusieurs certificats. Cesdiffrents points sont dvelopps au chapitre 4.

3.4 BS7799-2 et SMSI

La BS 7799-2 a t tablie pour des managers et leurs quipes afin de fournir un modle pourmettre en place et grer un Systme de Management de la Scurit de lInformation efficace.

2 Hors Royaume-Uni.


7/25/2019 BS7799-2

10/18

La BS 7799-2 sappuie sur une approche processus pour dfinir, implmenter, mettre en fonction,matriser et amliorer lefficacit de lorganisation dun SMSI.

La dmarche du British Standard suit le Modle PDCA (Plan-Do-Check-Act), connu galementsous le nom de Roue de Deming (cf. ISO9001:2000) qui sapplique ainsi tout SMSI.Lapproche processus met laccent sur limportance des points suivants :

PLAN DO

CHECKACT

PLAN DO

CHECKACT

P (comprhension) : Une bonne comprhension des besoins en matire de scurit delinformation au regard du business, et la ncessit dlaborer une politique et desobjectifs en matire de scurit de linformation Etablissement du SMSI

D (politique) : Les contrles en phase dimplmentation et de fonctionnement dans un

contexte de management de lensemble des risques de lorganisation Mise en uvredes processus,

C (surveillance) : La surveillance et la rvision des performances et de lefficacit duSMSI,

A (amlioration) : Lamlioration permanente du systme de management, base surdes mesures objectives.

3.5 BS7799-2 et la gestion de la scurit

Diffrents acteurs sont concerns par la BS 7799-2:2002. Chacun deux trouvera dans la lecture dece document les informations sur son rle en fonction des tapes de mise en uvre dun SMSI :

analyse des risques,

management du risque,

processus damlioration continu.

3.5.1 Qui est concern par la norme elle-mme ?

Toute personne concerne par une dmarche de SMSI et/ou certification sont directement concernspar cette norme.


7/25/2019 BS7799-2

11/18

3.5.2 Qui est concern par le SMSI ?

Acteur Rle / Intrt Etape

Propritaires desinformations, Responsables

mtiers

Dfinissent les exigences de scurit des informationsdont ils sont les propritaires.

P

Responsable de lanalyse derisques

Identifie de manire exhaustive les actifs sensibles delentreprise, les menaces pesant sur ces actifs et lesvulnrabilits quelles pourraient exploiter.

P / C

RSSI Propose des mesures de scurit P

TousMettent en uvre des mesures de scurit

Participent lamlioration du SMSI

D

A

Direction Gnrale

Lance la dmarche PDCA

Valide le traitement du risque P

Contrle Interne Audite la dmarche, les mesures mises en place C

3.5.3 Analyse des risques

Les exigences de scurit (Disponibilit, Intgrit, Confidentialit, Preuve) sont dfinies par lespropritaires des informations.

Le responsable de lanalyse des risques partir de lidentification exhaustive des actifs sensibles de

lentreprise, des menaces pesant sur ces derniers et des vulnrabilits quelles pourraient exploiter,value les risques.

3.5.4 Gestion du risque

Le RSSI est le principal acteur qui sadresse ce document. Il devra :

dfinir la dmarche suivre (description des tapes ncessaires) pour tablir son SMSI,

proposer les mesures de scurit mettre en place a priori (issus de la BS ou non).

La Direction Gnrale a pour attribution principale :

daffecter les ressources humaines et financires ncessaires la mise en uvre desmesures et ventuellement daccepter certains risques pour lentreprise,

de valider et sengager sur les objectifs de la politique de scurit.

Les diffrentes structures de lentreprise devront mettre en place les mesures valides par laDirection Gnrale.

3.5.5 Processus damlioration continue

Le Contrle Interne ou Audita en charge la conduite de missions daudit interne de la gestion de la

politique de scurit dploye. Le document prcise les modalits (la priodicit, les objets et laqualit) de ces audits du SMSI.


7/25/2019 BS7799-2

12/18

3.6 BS7799-2 et qualit

La norme dispose dun hritage affich, expos ds le paragraphe dintroduction, aveclapproche qualit. Cette problmatique est omniprsente dans tout le document.

Ce fort lien est illustr notamment par les deux points suivants :

alignement de la BS 7799-2:2002 avec la norme ISO 9001:2000 pour tre compatibleavec dautres systmes de management,

utilisation de lapproche processus, lment fondamental de management de la qualitdans lISO 900n:2000, et du modle dit PDCA .

Par ailleurs, le contenu du texte de la BS 7799-2:2002 est, en ce qui concerne la protection delinformation, en grande partie une dclinaison de lISO 9001:2000.

Enfin, lannexe C fournit les correspondances, chapitre par chapitre de BS7799-2:2002 avec lISO9001:2000, ainsi que lISO 14001:1996 pour les thmatiques communes.

Il faut nanmoins noter que ces deux premires normes sont structures diffremment :

la structure de la BS 7799-2:2002 est base sur le modle de Deming (PDCA) et delanalyse des risques,

la structure de lISO 9001:2000 est une description plus complte de lensemble desprocessus impactant la qualit du produit.

Si certains thmes de lISO 9001 sont repris dans la BS 7799-2, dautres sont :

traits de manire trs succincte, comme le paragraphe sur les audits internes, la revuede direction, etc.

traits de manire indirecte. Par exemple, le paragraphe 6.2 ( Management desressources humaines ) de lISO 9001:2000 est rapproch du paragraphe 5.2.2 de laBS 7799-2:2002 ( Training, awareness and competency ) quoique plus rducteur,

non cits, comme le contenu du chapitre 7 de lISO 9001:2000 ( Ralisation duproduit ), peine voqu par le biais des "actions" dans le paragraphe sur lanalyse desrisques ou le paragraphe 6.3 de lISO 9001:2000 ( Infrastructure ).

3.7 BS7799-2 et analyse de risques

Lanalyse de risques joue un rle essentiel tout au long de la vie du SMSI, aussi bien lors de sadfinition (leplandu modle PDCA), que lors de sa maintenance et de son amlioration (le checkdu PDCA). En effet, la norme stipule quune analyse de risques doit tre intgre dans le processusdtablissement du SMSI. Idalement cela peut tre ralis ds la phase de dmarrage, afin de luifournir de la matire premire ltablissement des besoins et des mesures de scurit mettre enuvre. Une approche mthodique est recommande, toute mesure devant avoir un justificatif formel(i.e., crit et argument) partir des risques identifis.

Les objectifs du SMSI sont alors fixs en vue de ramener les risques identifis un niveauacceptable pour lorganisme.

Lanalyse de risques intervient de nouveau en phase de supervision et de rvision du SMSI (laphase check). Cette tape est ncessaire pour garantir la prennit du SMSI et son adquation faceaux volutions de lorganisme, aux changements dordres rglementaires, lgaux et techniques, et


7/25/2019 BS7799-2

13/18

des nouvelles menaces identifies. Cette tape, planifie, est loccasion dadapter les procdures quiont t mises en place dans le SMSI en fonction des risques, quils soient initiaux ou nouveaux, etde leur niveau dacceptation.

Aucune mthode danalyse de risques nest prconise dans la BS7799-2. Toute mthode,suffisamment prouve, peut tre utilise condition quelle soit bien adapte au SMSI en cours dedfinition, lorganisme et au contexte dutilisation (application, type de rsultat attendu,spcificit du domaine, compatibilit avec le rfrentiel de lentit, etc.).

Les mthodes les plus connues en France sont EBIOS (DCSSI) et MEHARI (Clusif).

Chacune possde sa propre base de connaissance (vulnrabilits, mthodes dattaques, exigences descurit, etc.), qui peut ne pas traiter tous les thmes cits dans la BS7799-2.


7/25/2019 BS7799-2

14/18

4. BS7799-2 ET CERTIFICATION

4.1 La certif ication BS7799-2 des organismes

Une des motivations des utilisateurs de la BS7799-2 est dobtenir une certification sur uneorganisation, un service ou une entit, afin de pouvoir notamment en faire tat. La certification negarantit pas un niveau de scurit, elle atteste de lapplication dune dmarche de management de lascurit de linformation selon la norme BS7799-2.

La validit dun certificat BS7799-2 est de trois ans, sous rserves dune surveillance au minimumannuelle effectue par lorganisme certificateur sur un chantillon de processus.

Si des non-conformits majeures par rapport la dmarche BS7799-2 sont constates, lacertification BS7799-2 nest pas accorde (ou immdiatement supprime, dans le cas dun audit de

surveillance). Si des non-conformits mineures sont constates, elles sont rapportes dans le rapportdaudit. Lentit est tenue dans un dlai rapide de prsenter un plan des actions correctives, dontlexcution sera vrifie lors du prochain audit de surveillance.

De notre comprhension, un organisme de certification ne peut pas assister lentit dans sadmarche de prparation la certification.

Dans le cadre de la certification BS7799-2, le schma de certification est le suivant :

Autorit daccrditation(COFRAC, UKAS, etc.)

Organismes accrdits(organismes certificateurs)

Organisme certifi

Clients, partenaires, etc.

Accrdite sur la base de EN45012 + EA-7/03

valuent puis certifient le SMSI sur la base de la BS7799-2 et les documentsfournis par lentit (politique de scurit, plan de traitement des risques, etc.)

Utilise le certificat pour dmontrer ses partenaires, clients, etc., saconformit une dmarche de management de la scurit de linformation.

Autorit daccrditation(COFRAC, UKAS, etc.)

Organismes accrdits(organismes certificateurs)

Organisme certifi

Clients, partenaires, etc.

Accrdite sur la base de EN45012 + EA-7/03

valuent puis certifient le SMSI sur la base de la BS7799-2 et les documentsfournis par lentit (politique de scurit, plan de traitement des risques, etc.)

Utilise le certificat pour dmontrer ses partenaires, clients, etc., saconformit une dmarche de management de la scurit de linformation.


7/25/2019 BS7799-2

15/18

A ce jour, il nexiste pas de certificateur franais. Nanmoins, il est possible pour un organismefranais de se faire certifier par un certificateur (franais ou tranger) accrdit lui-mme par uneautorit dun autre pays europen.

Des organismes franais ont envisag dentamer une dmarche en vue dune certification, mais laplupart se sont interrompus, notamment faute dun certificateur franais.

4.2 La certi fication Lead Auditor des personnes

Dans le cadre de ses activits para-normatives, le BSI organise depuis plusieurs annes, diffrentscycles de formation autour de la norme BS7799-2. Un de ces cycles de formation appel BS7799Lead Auditor permet aux participants, majoritairement des auditeurs internes ou externes,daborder les notions de base des principes daudit gnral de scurit, de lanalyse et dumanagement des risques et de lapproche de la certification BS7799-2. Elle permet de participer un examen final des connaissances, dont la russite est sanctionne par lattribution de lacertification BS7799 Lead Auditor .

Il nexiste pas de liste exhaustive de personnes certifies BS7799 Lead Auditor . Des organismesproposent des listes dindividus certifis construites partir de critres supplmentaires (diplmesacadmiques, annes dexpriences professionnelles, audits raliss, cotisation, etc.).

Selon notre comprhension :

la certification BS7799 Lead Auditor apporte la garantie que lauditeur a suivi etcompris la formation et a russi lexamen,

il nest pas ncessaire (ni suffisant) dtre qualifi BS7799 Lead Auditor pourpouvoir participer lquipe de certification dun SMSI selon la BS7799-2. En effet, il

nest fait mention daucune obligation de qualification officielle du personnel decertification dans les normes EA7/03.

A la date de rdaction de ce document, dautres socits que le BSI sont habilites dispenser lecours et lexamen du BS7799 Lead Auditor .

4.3 Autres pratiques et normes de certif ication

4.3.1 ISO9001

Il faut distinguer la certification d'organisations (ex. ISO 9001, ISO 14001, OHSAS 180013), de lacertification de produits ou systmes (ex. ISO 15408). Pour rester dans la perspective globale de cedocument, nous parlerons dans ce paragraphe, titre d'exemple, de l'audit de certification ISO9001:2000 des Systmes de Management de la Qualit.

L'audit de certification selon l'ISO 9001 se droule en plusieurs tapes, qui sont :

La dfinition du primtre de l'audit et sa planification,

3OHSAS 18001 : Certification Sant et Scurit au Travail


7/25/2019 BS7799-2

16/18

La phase d'audit proprement dite, avec l'examen du systme de management de laqualit, et les diffrents entretiens, dont les entretiens avec la direction.Cette phase se droule gnralement sur quelques jours, mais la dure et le nombred'auditeurs et d'intervenants internes peuvent varier selon la taille de l'organisation, et le

primtre de l'audit. Elle se conclut par une premire runion de restitution " chaud"avec la direction, qui permet d'claircir des ambiguts ou des remarques issues des

entretiens. Elle se termine par l'mission, dans des dlais brefs (une deux semaines), du rapport

d'audit, qui rcapitule les conformits et les atouts de l'organisation par rapport sesobjectifs et la norme, mais aussi les remarques, voire les non-conformits, qui

justifient la conclusion :

d'attribution ou non du certificat lors de l'audit initial,

de renouvellement ou de retrait du certificat, dans le cadre d'un audit derenouvellement.

Les audits se droulent conformment aux recommandations de la norme ISO 19011 Lignesdirectrices pour l'audit des systmes de management de la qualit et/ou de management

environnemental. Elle requiert notamment l'indpendance entre l'organisme effectuant l'audit decertification de l'organisation et l'organisation, donc, ventuellement, l'entreprise accompagnantl'organisation dans sa dmarche de certification.

Le certificat est valide pour une dure maximale de 3 ans, et fait l'objet d'audits annuels de suivi,puis, au bout de 3 ans, d'un audit de renouvellement.

Durant cette priode, l'organisme ayant attribu le certificat surveille l'emploi qui en est fait parl'organisation, et peut sanctionner, par exemple, des annonces abusives sur des extensions de

primtre imaginaires, sanctions pouvant aller jusqu'au retrait immdiat du certificat hors audit.

L'organisme certificateur doit avoir t accrdit par le COFRAC pour la norme considre.

4.3.2 ISO15408

La certification selon les Critres Communs ( CC ou encore ISO15408 ) concerne lesproduits et systmes informatiques (pas ncessairement des produits et systmes de scuritinformatique).

A la diffrence des autres certifications, un produit est certifi ISO15408 par rapport un niveaudassurance( tort aussi appel niveau de scurit ) de EAL1 (le plus faible) EAL7 (le pluslev). Ces diffrents niveaux impliquent une tude plus ou moins approfondie de la cible

dvaluation (Target Of Evaluation, TOE) qui dlimite le primtre du produit qui est valu.

Le schma de certification ISO15408 diffre des certifications traditionnelles puisquil nexistequun seul organisme de certification gouvernemental : la DCSSI, en France. De mme, leslaboratoires dvaluation (CESTI) sont accrdits par le COFRAC, et doivent tre aussi agrs parla DCSSI.

Ainsi, un organisme souhaitant faire valuer un produit (ou systme) doit :

dterminer sa cible dvaluation (TOE), qui inclut le niveau dassurance,

la faire valider par la DCSSI,

choisir un laboratoire dvaluation agr, faire valuer son produit.


7/25/2019 BS7799-2

17/18

A lissue de lvaluation, le dossier dvaluation est transmis la DCSSI, qui mettra le cas chantle certificat correspondant.

La certification dun produit ou dun systme est un investissement long terme puisque leprocessus dvaluation peut prendre plusieurs mois.

De mme, tout changement significatif de la cible dvaluation ncessite une r-valuation delensemble.


7/25/2019 BS7799-2

18/18

5. CONCLUSION

La norme BS7799-2 a rencontr une large audience et adhsion dans diffrents pays. Il estvraisemblable qu'elle servira de base de travail une prochaine norme internationale de type ISO.

Jusqu' prsent il manquait une dmarche structure de mise en uvre d'une politique de scuritau quotidien. La BS7799-2 comble ce vide et permet des organismes de structurer la gestion deleur scurit.

Si on se rfre aux donnes publiques, il apparat l'vidence une trs forte croissance en termes denombre de certificats dlivrs sur un an. Toutefois on constate que l'Europe continentale etl'Amrique du Nord sont en retard par rapport la Grande Bretagne et l'Asie sur ce point.

Management de la SI Une approche normative 15 CLUSIF 2004

Documents

BS7799-2