CLUSIF Metriques Dans 27000

7232019 CLUSIF Metriques Dans 27000

httpslidepdfcomreaderfullclusif-metriques-dans-27000 128

LES DOSSIERS TECHNIQUES

LES METRIQUES DANS LE CADRE

DE LA SERIE 27000

mai 2009

Groupe de Travail Seacuterie 27000

CLUB DE LA SECURITE DE LrsquoINFORMATION FRANCcedilAIS

30 rue Pierre Seacutemard 75009 PARIS

Teacutel +33 1 53 25 08 80 ndash Fax +33 1 53 25 08 88 ndash e-mail clusifclusifassofr Web httpwwwclusifassofr



La loi du 11 mars 1957 nautorisant aux termes des alineacuteas 2 et 3 de larticle 41 dune part que les copies ou reproductions strictementreacuteserveacutees agrave lusage priveacute du copiste et non destineacutees agrave une utilisation collective et dautre part que les analyses et les courtes citations dansun but dexemple et dillustration toute repreacutesentation ou reproduction inteacutegrale ou partielle faite sans le consentement de lauteur ou de

ayants droit ou ayants cause est illicite (alineacutea 1er de larticle 40)

Cette repreacutesentation ou reproduction par quelque proceacutedeacute que ce soit constituerait donc une contrefaccedilon sanctionneacutee par les articles 425 etsuivants du Code Peacutenal



Les meacutetriques dans le cadre de la seacuterie 27000 - I - copy CLUSIF 2009

REMERCIEMENTS

Le CLUSIF tient agrave mettre ici agrave lhonneur les personnes qui ont rendu possible la reacutealisation dece document tout particuliegraverement

Nicolas ANDREU Devoteam

Reacutegis BOURDONNEC BNP Paribas Assurance

Anne COAT SEKOIA SAS

Henri CODRON SCHINDLER

Jean-Marc DELTEIL France Telecom

Freacutedeacuteric HUYNH Ernst amp Young

Franccedilois JOLIVET Socieacuteteacute Geacuteneacuterale

Laurent MARECHAL Hapsis

Fred MESSIKA SEKOIA SAS

Geacuterard REMY Devoteam

Paul RICHY France Telecom

Herveacute SCHAUER HSC

ainsi que les personnes ayant participeacute agrave la relecture



Les meacutetriques dans le cadre de la seacuterie 27000 - II - copy CLUSIF 2009

TABLE DES MATIERES

NOTE AUX LECTEURS III

1 INTRODUCTION 4

11 OBJECTIF DE CE DOCUMENT 4 12 LECTORAT 5

2 LES METRIQUES 6

21

PANORAMA DES REFERENTIELS ET DES BONNES PRATIQUES 6 22 TERMINOLOGIE 9

23 POSITIONNEMENT DES METRIQUES DANS LE MODELE DE FONCTIONNEMENT 10 24 EacuteLEMENTS POUR LA MISE EN ŒUVRE DES INDICATEURS 11 25 EXEMPLES DrsquoINDICATEURS 12

3 LES DIFFERENTS USAGES DES INDICATEURS 14

31 EacuteVALUER 14 32 PILOTER 14 33 COMMUNIQUER 15 34 SAUTOEVALUER 15 35 CONTRIBUER A LrsquoOBTENTION DrsquoUNE CERTIFICATION 15 36 REPONDRE A UN AUDIT 15

4 LES TRAVAUX NORMATIFS EN COURS (ISOIEC 27004) 16 41 CONCEPTS DE METRIQUES 16 42 CONCEVOIR DES METRIQUES 17 43 METTRE EN PLACE DES METRIQUES 17 44 UTILISER COMMUNIQUER ET AMELIORER LES METRIQUES 18 45 AMELIORER LE PROCESSUS DE MESURE 18

5 CONCLUSION 19

ANNEXE A FICHE DESCRIPTIVE 20

MODELE DE FICHE DESCRIPTIVE DrsquoUNE MESURE 20 EXEMPLE DrsquoUTILISATION DE LA FICHE 22

ANNEXE B EXEMPLES DrsquoATTRIBUTS DE METRIQUES ETOU DrsquoINDICATEURS 24



Les meacutetriques dans le cadre de la seacuterie 27000 - III - copy CLUSIF 2009

NOTE AUX LECTEURS

La langue anglaise comprend plusieurs mots laquo control raquo laquo measure raquo laquo measurement raquo

laquo security measure raquo qui se traduisent geacuteneacuteralement en franccedilais par le mot laquo mesure raquo ilconvient donc de preacuteciser le peacuterimegravetre et la deacutefinition retenue pour chacun de ces mots dans lasuite du document afin drsquoeacuteviter les ambiguiumlteacutes de traduction Ainsi pour la suite nousutilisons les correspondances suivantes

laquo Control raquo = mesure de seacutecuriteacute doit se comprendre comme un ensemble dedispositions agrave mettre en œuvre Ce sont les laquo mesures agrave prendre raquo pour mettre en œuvreune politique de seacutecuriteacute laquo Control raquo ne se rattache donc pas directement agrave la notion demeacutetrique

laquo Measure raquo = valeur mesureacutee est deacutefini comme laquo la valeur raquo de la mesure ilsrsquoagit donc drsquoune valeur quantitative reacutesultat de la laquo mesure de la mesure de seacutecuriteacute raquo

laquo Measurement raquo = mesurage est expliciteacute dans le glossaire (cf sect22) comme eacutetant lelaquo processus de mesurage raquo il srsquoagit agrave un niveau soit eacuteleacutementaire soit plus global de lalaquo mise en œuvre de meacutetriques raquo laquo measurement raquo couvre donc la deacutefinition le choixle deacuteploiement et lrsquoeacutevaluation drsquoindicateurs

laquo Security measure raquo = mesure de seacutecuriteacute (voir la deacutefinition de laquo Control raquo)

Dans ce document le terme laquo mesure raquo employeacute seul deacutesigne le reacutesultat de lrsquoaction demesurer et ne correspond donc pas agrave laquo mesure de seacutecuriteacute raquo

___



Les meacutetriques dans le cadre de la seacuterie 27000 - 4 - copy CLUSIF 2009

1 INTRODUCTION

Lrsquoun des objectifs suivis lors de la mise en œuvre au sein drsquoun organisme drsquoune politique de

seacutecuriteacute du systegraveme drsquoinformation est drsquoapporter ou de renforcer la confiance en celui-ciCette confiance traduit lrsquoune des exigences des diffeacuterents acteurs (internautes clientsfournisseurs actionnaires hellip) ou de lrsquoorganisme lui-mecircme (entreprise administration ONGtiers de confiance ) lors drsquoune transaction commerciale du deacuteveloppement de son activiteacutepour la conservation de donneacutees numeacuteriques hellip

La notion de laquo niveau de seacutecuriteacute raquo est souvent utiliseacutee par abus de langage pourlaquo eacutetalonner raquo cette confiance Cela pour signifier que lrsquoon veut ecirctre laquo sucircr raquo de son SI ou pourlaquo garantir raquo que des mesures de seacutecuriteacute ont eacuteteacute mises en œuvre et qursquoelles permettent dereacuteduire lrsquoexposition aux risques agrave un niveau laquo acceptable raquo

Lrsquoappreacuteciation de lrsquoatteinte des objectifs de seacutecuriteacute ainsi que la pondeacuteration agrave affecter aux

diffeacuterentes theacutematiques de seacutecuriteacute (plan de continuiteacute seacutecuriteacute physique des infrastructuresgestion des identiteacutes hellip) demeurent des questions drsquoactualiteacute Il est difficile drsquoindiquer parmidiffeacuterentes mesures de seacutecuriteacute deacuteployeacutees celles qui auront le plus de valeur ajouteacutee sur leniveau de protection du systegraveme drsquoinformation

La confiance accordeacutee agrave la seacutecuriteacute du systegraveme drsquoinformation se mesure notamment parrapport agrave une politique constitueacutee par des processus et des objectifs suivant une deacutemarcheformaliseacutee pour les atteindre Le respect de ces conditions permet de se positionner dans uneperspective de maicirctrise du systegraveme de management de la seacutecuriteacute de lrsquoinformation (SMSI) oudrsquoeacutevaluation des mesures de seacutecuriteacute mises en place

La norme ISOIEC 27004 fournit une reacuteponse structureacutee et normaliseacutee pour laquo mesurer raquo la

performance drsquoun SMSI dans le cadre de lrsquoISOIEC 270012002

11 Objectif de ce document

Lors de ses preacuteceacutedents travaux sur les normes de la seacuterie 27000 le CLUSIF a deacuteveloppeacute dequelle maniegravere

la norme ISOIEC 270012005 permet le Management de la seacutecuriteacute de linformationpar une approche normative

la norme ISOIEC 270022005 fournit les mesures de seacutecuriteacute permettant de reacutepondre agrave

ses exigencesLrsquoobjectif de ce document est de preacutesenter au lecteur des concepts geacuteneacuteraux pouvant ecirctreutiliseacutes pour deacutefinir des indicateurs et une meacutetrique permettant les laquo mesurages raquo (voirdeacutefinition au sect22) du systegraveme de management de la seacutecuriteacute de lrsquoinformation

Ce document ne porte pas de jugement sur la qualiteacute de la norme Ce nrsquoest pas non plus undocument sur la meacutetrologie ou lrsquoeacutelaboration de tableaux de bord Il traite des fondamentauxsur les meacutetriques et leurs utilisations afin de mieux appreacutehender le contenu de la normeISOIEC 27004

Enfin les annexes proposeront diffeacuterents exemples de meacutetriques selon lrsquoISOIEC 27004 quipermettraient le mesurage drsquoun SMSI normeacute par lrsquoISOIEC 270012005




12 Lectorat

Les documents du CLUSIF sont geacuteneacuteralement agrave destination des RSSI et des DSI

Lrsquoeacutelargissement du peacuterimegravetre au mesurage de lrsquoensemble du SMSI nous incite agrave proposer une

cible sensiblement plus large incluant tous les professionnels de la seacutecuriteacute de lrsquoinformationmais aussi toutes les entiteacutes de controcircle permanent ou de gestion des risques

Comme tout texte lrsquoutiliteacute de la norme doit ecirctre eacutevalueacutee en fonction du contexte de mise enœuvre Ce document ayant eacuteteacute reacutedigeacute plus particuliegraverement pour un public de laquo non-initieacutes raquoafin de leur permettre de mieux appreacutehender le contenu de la norme les personnes au fait decette derniegravere nrsquoy trouveront peut ecirctre pas de deacuteveloppement nouveau




2 LES METRIQUES

21 Panorama des reacutefeacuterentiels et des bonnes pratiques

La norme ISOIEC 270022005 connue preacuteceacutedemment sous la reacutefeacuterenceISOIEC 177992005 a pour titre laquo Code of practice for information security management raquoElle met laccent sur le fait que deacutesormais linformation est une ressource essentielle delentreprise cest-agrave-dire que lrsquoinformation au mecircme titre que dautres actifs doit ecirctre prise enconsideacuteration eacutevalueacutee et proteacutegeacutee

La seacutecuriteacute de linformation vise entre autres agrave garantir la continuiteacute de lrsquoactiviteacute agrave reacuteduire lesrisques agrave optimiser le retour sur investissements ainsi que les opportuniteacutes daction pourlorganisme

Cette norme traduit une eacutevolution tendancielle des normes traitant de la seacutecuriteacute delinformation Au deacutepart il y a une quinzaine danneacutees ces normes eacutetaient plutocirct techniques etcontenaient surtout des prescriptions relatives aux systegravemes ou aux reacuteseaux informatiques

Vers le milieu des anneacutees 90 des travaux dorigine britannique ont conduit agrave eacutelaborer desdocuments dont le champ seacutetendait aux systegravemes dinformation et orienteacutes vers lesresponsabiliteacutes manageacuteriales et lorganisation des entreprises

Le plus connu de ces documents est le standard britannique BS 7799 dont la partie 1 (Code of

practice for information security management ) a servi de base agrave lISOIEC 27002

(anciennement ISOIEC 17799) et la partie 2 a servi de base agrave lISOIEC 27001 dans laquelleon trouve la notion de SMSI (Systegraveme de Management de la Seacutecuriteacute de lrsquoInformation)

Lors dune reacuteunion de lISO il a eacuteteacute deacutecideacute de regrouper les principales normes traitant duSMSI dans une laquo seacuterie ISOIEC 27000 raquo un peu comme la qualiteacute fait lobjet de la laquo seacuterieISO 9000 raquo ou lenvironnement de la laquo seacuterie ISO 14000 raquo Il est drsquoailleurs agrave noter que ces troisfamilles de normes sont coheacuterentes entre elles quant agrave lrsquoapproche manageacuteriale etorganisationnelle des thegravemes traiteacutes Il est preacutevu de disposer agrave terme des normes suivantes(liste non limitative)

ISOIEC 27000 Principles and Vocabulary

ISOIEC 27001 Information Security Management Systems ndash Requirements baseacutee surla BS 7799-2 et orienteacutee vers la certification

ISOIEC 27002 Code of practice for Information Security Management anciennementISOIEC 17799

ISOIEC 27003 ISMS Implementation

ISOIEC 27004 ISMS Measurements and metrics

ISOIEC 27005 ISMS Information security risk management

ISOIEC 27006 Information technology mdash Security techniques mdash Requirements for

bodies providing audit and certification of information security management systems




IISSOO 2277000011 SSMMSSII

IISSOO 2277000011 IISSOO 2277000022 MMeessuurreess ddee sseacuteeacuteccuurriitteacuteeacute

IISSOO 2277000000 VVooccaabbuullaaiirree

IISSOO 2277000066 CCeerrttiiffiiccaattiioonn ddee SSMMSSII

IISSOO 2277000055 GGeessttiioonn ddee rriissqquuee

IISSOO 2277000044 IInnddiiccaatteeuurrss SSMMSSII

IISSOO 2277000033 IImmpplleacuteeacutemmeennttaattiioonn

2005-2010 200

2005-2010 2008

Guidesusage facultatif

Exigencesusage obligatoire

dans la certification

2009

IISSOO 2277000077 AAuuddiitt ddee SSMMSSII

2009

2009

2010

Scheacutema 1 La seacuterie ISOIEC 27000

Bien sucircr dautres normes techniques continueront de traiter de la seacutecuriteacute des systegravemesdinformations En particulier nous pouvons mentionner

ISOIEC 27031 Specification for ICT Readiness for Business Continuity

ISOIEC 27032 Guidelines for Cybersecurity

ISOIEC 27033 de 1 agrave 8 IT network security (ex ISOIEC 18028)

ISOIEC 27034 Guidelines for Application Security

ISOIEC 27035 Information Security Incident Management

ISOIEC 18043 Selection deployment and operation of intrusion detection systems

(IDS)

Dautres reacutefeacuterentiels eux aussi en cours deacutevolution sont susceptibles decirctre utiliseacutes pourameacuteliorer la seacutecuriteacute de linformation Ils peuvent ainsi se trouver en concurrence avec tout oupartie des normes preacuteciteacutees Ils peuvent aussi introduire de nouvelles contraintes qui seront agraveprendre en compte dans leur mise en œuvre

Le plus connu est le CoBIT (Control Objectives of Information and related Technology)eacutelaboreacute par lISACA ( Information Systems Audit and Control Association) Il convienteacutegalement de mentionner les documents eacutemanant du COSO (Committee of Sponsoring

Organisations of the Treadway Commission) ou de diffeacuterents organismes gouvernementaux(NIST aux USA DTI au Royaume Uni hellip)




Scheacutema 2 La seacuterie ISOIEC 27000 et les autres reacutefeacuterentiels

De la mecircme faccedilon les lois et les regraveglements concernant la seacutecuriteacute de linformation(informations nominatives gestion de lidentiteacute reacutetention de donneacutees chiffrement hellip) sontactuellement en eacutevolution dans la plupart des pays

De nouvelles conditions de traitement de conservation ou de destruction des informations

sont ainsi agrave mettre en œuvre de faccedilon impeacuterative et de faccedilon dautant plus complexe que lesmesures de seacutecuriteacute peuvent varier dun pays agrave lautre

Des impeacuteratifs leacutegislatifs ou sectoriels peuvent aussi voir le jour et entraicircner des conseacutequencesimportantes Par exemple la loi Sarbanes-Oxley Act pour les entreprises coteacutees sur lesmarcheacutes ameacutericains la Loi sur la Seacutecuriteacute Financiegravere pour les entreprises franccedilaises Bacircle IIpour les eacutetablissements financiers ou Solvency II pour les assurances

ISO 27001Moteur de base

ISO 27004Indicateurs

CoBITGouvernance

CMMID eacute veloppements

ITIL Production

ISO 27005Appr eacuteciation des

risques

ISO 27002Bonnes pratiques ISO 27001

SAS 70

PCI - DSS

Tout autre r eacute f eacute rentielseacute curit eacute




22 Terminologie

Le terme laquo meacutetrique raquo nrsquoexiste pas dans la langue franccedilaise au sens ougrave il est utiliseacute dans ce

documentLe terme anglais laquo metrics raquo (a system of related measures that facilitates the quantification ofsome particular characteristic) est utiliseacute pour meacutetrologie parfois laquo traduit raquo par meacutetrique

Pour meacutemoire la meacutetrologie est la science qui sinteacuteresse aux cocircteacutes theacuteoriques et pratiques dela mesure dans tous les domaines de la science et de la technologie Plus speacutecifiquement lameacutetrologie touche lutilisation des uniteacutes la reacutealisation des eacutetalons les meacutethodes lestechniques et les appareils de mesure ainsi que la preacutecision obtenue

Les diffeacuterentes normes en rapport avec le sujet fournissent les deacutefinitions suivantes

Attribut proprieacuteteacute ou caracteacuteristique drsquoun objet qui peut ecirctre distingueacute quantitativementou qualitativement par des moyens humains ou automatiques [ISOIEC 159392007]

Mesurage processus drsquoobtention drsquoinformation relative agrave lrsquoefficaciteacute drsquoun SMSI et demesures de seacutecuriteacute agrave lrsquoaide drsquoune meacutethode drsquoeacutevaluation drsquoune fonction drsquoeacutevaluationdrsquoun modegravele analytique et de critegraveres de deacutecision [ISOIEC 27004]

Indicateur reacutesultat de lrsquoapplication drsquoun modegravele analytique agrave une ou plusieurs variablesen relation avec les critegraveres de deacutecision ou un besoin drsquoinformation [ISOIEC 27004]

Un indicateur est la base de lrsquoanalyse et de la prise de deacutecisionCompleacutements aux deacutefinitions proposeacutees dans ce document

Meacutetrique ensemble drsquoeacuteleacutements permettant de fournir une eacutevaluation qualitative ouquantitative repreacutesentative drsquoune situation

Indicateur donneacutee objective qui preacutesente une situation du strict point de vuequantitatif Un indicateur est pertinent srsquoil est directement relieacute agrave une zone drsquoaction (ilindique ougrave il faut agir) Les indicateurs peuvent ecirctre regroupeacutes dans un tableau de bordoutil de synthegravese et de visualisation des situations deacutecrites




23 Positionnement des meacutetriques dans le modegravele defonctionnement

La figure ci-dessous positionne les termes laquo attribut raquo laquo meacutetrique raquo et laquo indicateur raquo

Interpreacutetation

Collecte des paramegravetres etvariables mesurables

les attributs

Repreacutesentation de lareacutealiteacute du ldquo terrainrdquo(donneacutees brutes)

Repreacutesentation de la situation

Aide agrave la deacutecision

Information quantitative ou

qualitative positionneacutee surune eacutechelle de reacutefeacuterence

Indicateurs

Meacutetriques

Tableau de Bord

Systegravemes et processus meacutetiers de lrsquoentiteacute

attributs

Elaboration drsquounerepreacutesentation de la situation

Mesures eacuteleacutementaires

Agreacutegation consolidation

Traitement (calcul ou deacuteduction)

Analyse de la situationControcircle

ISMS

Objectifs

Miseen

place

Interpreacutetation Interpreacutetation Inte rpreacutetation


les attributs






Indicateurs

MeacutetriquesMeacutetriques

Tableau de Bord


attributs





Analyse de la situation










ISMS

Objectifs

Miseen

place

Miseen

place

Scheacutema 3 Repreacutesentation drsquoapregraves le document ISOIEC 27004

Exemple dans le domaine des antivirus

Nombre de postes eacutequipeacutes dun antivirus attribut

Pourcentage du nombre de postes eacutequipeacutes sur le total meacutetrique

Nombre de postes eacutequipeacutes dun antivirus dont lantivirus a eacuteteacute mis agrave jour attribut

Pourcentage de postes dont lantivirus a eacuteteacute mis agrave jour meacutetrique

A partir de lrsquoexemple ci-dessus en regroupant les deux meacutetriques nous pouvons constituer un

indicateur repreacutesentant agrave la fois le niveau de protection viral des postes de travail et lamaicirctrise du processus antiviral sur ces postes




Les indicateurs intimement lieacutes agrave la situation que nous voulons repreacutesenter peuvent ecirctre denature diffeacuterente et avoir des finaliteacutes eacutegalement diffeacuterentes

constater une situation dans le domaine que lrsquoon veut observer

mesurer leacutecart entre le niveau existant et le niveau de lrsquoobjectif deacutefini

suivre leacutevolution des domaines geacutereacutes et analyseacutes

anticiper etou deacuteclencher la mise en œuvre de plans drsquoactions de seacutecuriteacute (agrave partir dufranchissement drsquoun seuil)

communiquer agrave partir de donneacutees analyseacutees

piloter les projets

appreacutecier le respect des lois et reacuteglementations

auditer

Dans le contexte de la mise en œuvre drsquoun SMSI et du respect du principe de la Roue deDeming (cycle PDCA) les critegraveres de choix des indicateurs doivent inteacutegrer le soucidrsquoameacutelioration permanente de la seacutecuriteacute par la veacuterification de lefficaciteacute des mesures deseacutecuriteacute valideacutees et deacuteployeacutees Ainsi il est toujours souhaitable davoir en meacutemoire quelobjectif dun indicateur de seacutecuriteacute dans le SMSI est deacutevaluer lefficaciteacute des mesures deseacutecuriteacute

Dans la suite du document le choix a eacuteteacute fait drsquoillustrer uniquement les meacutethodes de mise en

œuvre drsquoindicateurs pour les SMSI En effet le suivi de lrsquoefficaciteacute de tout systegraveme demanagement est reacutealiseacute agrave partir de ces indicateurs (cf scheacutema 3)

24 Eacuteleacutements pour la mise en œuvre des indicateurs

Afin de satisfaire les objectifs assigneacutes les indicateurs doivent respecter des conditionsparticuliegraveres et ecirctre doteacutes de qualiteacutes speacutecifiques notamment

ecirctre issus des objectifs retenus dans la politique de seacutecuriteacute

ecirctre aiseacutement quantifiables (construits agrave partir drsquoinformations ou de processus geacuteneacuterantdes informations quantifiables) afin de permettre des comparaisons (entre systegravemes ouentre peacuteriodes) Il srsquoagit le plus souvent de pourcentage de taux de ratio de moyenneetou de nombres laquo bruts raquo

les informations neacutecessaires agrave lrsquoeacutelaboration de la mesure doivent ecirctre faciles agrave obteniretou collecter En effet il faut srsquoassurer que les ressources mises en œuvre pour obtenirles donneacutees ne sont pas disproportionneacutees par rapport agrave celles concourant agrave la reacutealisationdu processus mesureacute

srsquoappuyer sur des processus laquo stables raquo et aiseacutement laquo reproductibles raquo

permettre la mesure des eacutevolutions suite agrave des actions correctives

ecirctre fiables sur la dureacutee et autoriser une analyse des eacutecarts




Ces caracteacuteristiques sont regroupeacutees dans certaines deacutemarches sous lacronyme laquo SMART raquoqui signifie

Specific il correspond agrave ce qui est analyseacute et met en avant la speacutecificiteacute de lattribut

Measurable il peut ecirctre mesureacute et cette mesure est objective

Attainable il est obtenu dans des conditions satisfaisantes de coucirct et de deacutelai Repeatable sa mesure est reproductible

Time dependent la mesure deacutepend de la fenecirctre de temps utiliseacutee

Les caracteacuteristiques de la mesure deacutefinies dans lAnnexe A de lrsquoactuel projet de normeISOIEC 27004 doivent ecirctre deacutefinies pour chaque indicateur

25 Exemples drsquoindicateurs

Quelques exemples drsquoindicateurs sont donneacutes ci-apregraves La liste fournie nrsquoest pas exhaustive Ilest inteacuteressant de constater que certains indicateurs sont de nature opeacuterationnelle oustrateacutegique voire opeacuterationnelle et strateacutegique

Controcircle drsquoaccegraves

pourcentage drsquoutilisateurs dont le mot de passe respecte les principes de construction

pourcentage de systegravemes accessibles depuis lrsquoexteacuterieur et comprenant un IDS agrave jour

Controcircle des codes malveillants

nombre annuel dattaques reacuteussies par deacutefaut de mise agrave jour de la base virale

deacutelai de retour agrave la normale sur attaque virale

freacutequence de mise agrave jour de la base antivirus freacutequence drsquoeacutevaluation de la conformiteacute des politiques antivirales laquo locales raquo avec la

politique laquo globale raquo

Mise en œuvre du SMSI

pourcentage de deacuteclinaisons des principes de la politique de seacutecuriteacute de lrsquoorganisme enproceacutedures opeacuterationnelles

nombre mensuel drsquoincidents de seacutecuriteacute non reacutesolus

pourcentage de comiteacutes de pilotage de seacutecuriteacute tenus en accord avec le planning

pourcentage dactions correctives non meneacutees agrave terme

Maicirctrise des deacutepenses deacutepenses lieacutees agrave la seacutecuriteacute selon diffeacuterents critegraveres nombre dalertes dincidents etc

Formation

pourcentage du budget global de formation consacreacute agrave la seacutecuriteacute des systegravemesdrsquoinformation

pourcentage de participants en fonction de la population cible agrave des sessions relatives agravela seacutecuriteacute des systegravemes drsquoinformation

taux de freacutequentation des formations aux proceacutedures dalerte par les personnes cleacutes descellules de crise




Seacutecuriteacute des logiciels applications

nombre de correctifs de seacutecuriteacute valideacutes apregraves analyse

taux de correctifs de seacutecuriteacute valideacutes mis en œuvre dans les deacutelais preacutevus

Seacutecuriteacute reacuteseau

nombre drsquoaudits et de tests de vulneacuterabiliteacute reacutealiseacutes sur la peacuteriode

Disponibiliteacute des services

taux de disponibiliteacute DNS accegraves internet messagerie




3 LES DIFFERENTS USAGES DES INDICATEURS

31 EacutevaluerCes indicateurs peuvent ecirctre reacutepartis dans les grandes familles suivantes

Les indicateurs laquo de conformiteacute raquo deacutecrivent le niveau dexigence souhaiteacute (ou constateacute)sur une mesure de seacutecuriteacute Par exemple en ce qui concerne la mesure de seacutecuriteacutelaquo Reacutealisation de sauvegardes raquo un indicateur de conformiteacute de seacutecuriteacute peut ecirctre lafreacutequence des sauvegardes ou le ratio du nombre de bandes externaliseacutees par rapport aunombre total de bandes

Les indicateurs laquo defficaciteacute raquo deacutecrivent leacutetat du fonctionnement de la mesure deseacutecuriteacute Sur le mecircme exemple de la laquo Reacutealisation de sauvegardes raquo un nombre eacuteleveacute de

tests de restaurations deacutefectueux peut deacutemontrer un mauvais fonctionnement dessauvegardes

Les indicateurs laquo defficience raquo visent agrave rapprocher lefficaciteacute de la mesure de seacutecuriteacuteau regard de limportance des moyens mis en œuvre

32 Piloter

Toute activiteacute (production projet processus etc) implique la deacutetermination drsquoindicateurs depilotage Ces derniers permettent

drsquoappreacutecier lavancement correct du projet drsquoeacutevaluer une situation

de deacutetecter un risque

de deacuteclencher une alerte

Le choix des indicateurs peut deacutependre des objectifs de lrsquoactiviteacute (coucircts deacutelais performanceetc) mais aussi ecirctre lieacute agrave des processus transverses (management support etc)

Nous pourrons ainsi avoir les indicateurs suivants sur diffeacuterentes eacutechelles de temps anneacuteemois semaine jour

nombre de machines infecteacutees par des virus nombre de machines

nombre de messages infecteacutes par des virus nombre de messages

nombre de machines agrave jour nombre de machines

temps moyen et maximum de mise agrave jour du parc

nombre drsquoattaques virales identifieacutees bloqueacutees exeacutecuteacutees

impact de ses attaques en heures de travail perdues financier

raison des infections mise agrave jour non effectueacutee seacutecuriteacute non appliqueacutee malveillancehellip

variation du taux drsquoinfection et tentatives drsquoinfection sur les 12 derniers mois

etc




Ces indicateurs peuvent aussi ecirctre eacuteleacutementaires ou plus syntheacutetiques Par exemplelrsquoagreacutegation de certains indicateurs informatiques avec les indicateurs eacuteconomiques Lelaquo Ratio du nombre annuel drsquoaccords de confidentialiteacutes (NDA ndash Non disclosure agreement)signeacutes par rapport au nombre de prestataires preacutesents dans lrsquoorganisme raquo en est un exemple

33 Communiquer

Des indicateurs sont aussi utiliseacutes pour communiquer en interne ou en externe Leur naturesera diffeacuterente en fonction des acteurs viseacutes et de leur objectif de communication(sensibiliser faire passer des ideacutees justifierhellip)

Par exemple pour communiquer autour de la lutte antivirale

nombre drsquoheures de travail perdues suite agrave une attaque virale

variation du taux drsquoinfection sur les douze derniers mois (justification du budget)

nombre drsquoattaques virales provenant drsquoun support externe

34 Sautoeacutevaluer

Cette eacutevaluation peut ecirctre reacutealiseacutee en interne par lrsquoeacutequipe en charge de la fonction comme parlrsquoeacutequipe drsquoaudit ou de controcircle interne

Elle se situe par rapport agrave un reacutefeacuterentiel interne ou externe ou par rapport agrave un objectifarbitraire ou reacutesultant drsquoune expeacuterience passeacutee et deacutejagrave mesureacutee

Les indicateurs citeacutes comme exemple dans les paragraphes preacuteceacutedents peuvent notammentservir dans le cadre drsquoune autoeacutevaluation

35 Contribuer agrave lrsquoobtention drsquoune certification

Ces indicateurs servent agrave

appreacutecier lrsquoavancement dans le processus de certification

obtenir la certification

et surtout la conserver

Sans ecirctre obligatoire pour lrsquoobtention de la certification ISOIEC 270012005 la mise enplace drsquoindicateurs simplifie grandement le cheminement vers celle-ci

36 Reacutepondre agrave un audit

Les indicateurs servent agrave informer lrsquoauditeur agrave justifier des mesures de seacutecuriteacute mises enplace et des correctifs en cours

Les indicateurs preacutesenteacutes lors drsquoaudits contribuent agrave lrsquoanalyse de risque et srsquoappreacutecient parrapport agrave un reacutefeacuterentiel externe




4 LES TRAVAUX NORMATIFS EN COURS

(ISOIEC 27004)

Ce document a eacuteteacute reacutedigeacute alors que la norme ISOIEC 27004 nrsquoeacutetait pas stabiliseacutee (versionCD) il est toutefois permis de penser que lrsquointeacuterecirct du document justifie les travaux entreprisci-apregraves sous reacuteserve de possibles eacutevolutions

Ce projet de norme au sein de la seacuterie 27000 constitue un guide [agrave usage facultatif] delaquo Mesurage et meacutetriques raquo dans le cadre drsquoun SMSI (Systegraveme de Management de la Seacutecuriteacutede lrsquoInformation) tel que deacutefini dans lrsquoISOIEC 270012005

Les domaines suivants sont abordeacutes

preacutesentation du processus de mesurage

rocircles et responsabiliteacutes

conception des indicateurs production et mise en forme des indicateurs

analyse et reporting

ameacutelioration du processus de mesurage

Une premiegravere annexe preacutesente un modegravele commenteacute drsquoune fiche drsquoindicateur (cf Annexe A)La seconde annexe preacutesente plusieurs exemples drsquoattributs de meacutetriques ou drsquoindicateurs (cfAnnexe B)

41 Concepts de meacutetriquesUn processus de mesure a pour but de veacuterifier que les objectifs de seacutecuriteacute fondeacutes notammentsur lrsquoanalyse de risque et la conformiteacute aux dispositions leacutegales et reacuteglementaires sontatteints

Il se compose de phases de collecte drsquoinformations et drsquoanalyse Par comparaison agrave descritegraveres de deacutecision ces phases permettent lrsquoobtention drsquoinformations de seacutecuriteacute etlrsquoameacutelioration continue du management de la seacutecuriteacute

Les mesures peuvent ecirctre eacuteleacutementaires ou deacuteriveacutees

une mesure eacuteleacutementaire1

est la valeur drsquoun laquo attribut raquo obtenue par une meacutethode decalcul

une mesure deacuteriveacutee est la valeur issue drsquoun traitement drsquoune ou plusieurs mesureseacuteleacutementaires

Pour chaque type de mesure (eacuteleacutementaire ou deacuteriveacutee) il convient de faire en sorte que desobjectifs de conformiteacute ou de performance soient mis en eacutevidence

Le modegravele du processus de mesure proposeacute comprend un processus de remonteacutee demesures eacuteleacutementaires et de mesures deacuteriveacutees qui contribuent agrave la fabrication drsquoindicateurslesquels seront compareacutes individuellement agrave leur critegravere de deacutecision Lrsquoefficaciteacute du systegraveme

1 Une mesure eacuteleacutementaire peut dans certains cas correspondre directement agrave un indicateur




de management srsquoappreacutecie en comparant les reacutesultats issus des mesures effectueacutees avec leursobjectifs initiaux

Dans le projet de norme les preacutecisions suivantes sont apporteacutees

les objectifs du processus de mesure sont clairement eacutetablis (eacutevaluer fournir des

donneacutees faciliter lrsquoeacutevolution communiquer) En revanche le peacuterimegravetre sur lequelsrsquoapplique ce processus ainsi que la meacutethodologie drsquoimpleacutementation restent agrave lrsquoinitiativede chacun

lrsquoimplication du management dans le processus de mesure est souligneacutee notamment surson engagement ses responsabiliteacutes et les ressources agrave mettre en œuvre

les diffeacuterents rocircles qui devraient ecirctre assigneacutes par le Management concernant leprocessus de mesure sont preacuteciseacutes le fournisseur le client le collecteur lecommunicateur le reacute-examinateur (cf deacutefinitions dans lrsquoannexe A du preacutesentdocument) Ces diffeacuterents rocircles devront faire lrsquoobjet de proceacutedures drsquohabilitationprenant en compte les contraintes de seacuteparation des tacircches et les compeacutetencestechniques neacutecessaires

42 Concevoir des meacutetriques

Des meacutetriques doivent ecirctre creacuteeacutes pour eacutevaluer lrsquoefficaciteacute du SMSI controcircler lrsquoatteinte desobjectifs identifier valider et ameacuteliorer les mesures de seacutecuriteacute speacutecifiques

Pour cela il faut pour chaque meacutetrique agrave partir drsquoune analyse de risque et de lrsquoeacutetat initial

identifier et choisir des objectifs

documenter et planifier lrsquoactiviteacute de mesurage (lrsquoannexe A du preacutesent document

preacutesente un modegravele de fiche sur ce thegraveme) en particulier concernant la meacutethode decollecte de stockage drsquoarchivage de veacuterification et drsquoanalyse des donneacutees ainsi que lamise en place du processus de mesurage

deacutefinir les principaux acteurs et les ressources neacutecessaires

srsquoassurer de la pertinence des mesurages qui devraient veacuterifier les critegraveres SMART(Specific Measurable Attainable Repeatable Time dependant)

43 Mettre en place des meacutetriques

La mise en place permanente de la collecte de la conservation et de lrsquoanalyse des donneacutees apour but drsquoassurer la compreacutehension et lrsquoameacutelioration du SMSI Ce processus doitaccompagner les eacutevolutions du SMSI

Cette rubrique dans le projet de norme constitue un guide pratique opeacuterationnel qui preacuteciseles conditions de

collecte des donneacutees (en speacutecifiant la date lrsquoheure le proprieacutetairehellip)

validation

traitement

diffusion

conservation




Il importe que les reacutesultats des indicateurs servent agrave eacutevaluer lrsquoefficaciteacute des dispositifs deseacutecuriteacute (de preacutevention deacutetection correction ou reacutecupeacuteration) en place Dans un secondtemps cette base drsquoindicateurs constitueacutee permettra de soutenir un processus de deacutecision dansle choix de nouveaux dispositifs

44 Utiliser communiquer et ameacuteliorer les meacutetriques

Lrsquoanalyse des donneacutees et leur interpreacutetation consistent agrave les rapprocher des critegraveres dedeacutecision preacutealablement deacutefinis (Annexe A)

Le but de lrsquoanalyse est de pouvoir identifier les eacutecarts entre la performance attendue et cellereacutealiseacutee Les causes de non-conformiteacute et de mauvaise performance pourront ecirctre ainsiidentifieacutees en fonction des dispositifs de seacutecuriteacute qui

ne sont pas opeacuterationnels

sont impleacutementeacutes mais ne fonctionnement pas correctement sont impleacutementeacutes fonctionnent correctement mais ne couvrent pas les menaces

estimeacutees

sont impleacutementeacutes fonctionnent correctement mais toutes les menaces ne sont pascouvertes

Les conclusions des analyses devraient ecirctre revues par toutes les parties prenantes ndash dans lesens laquo stakeholders raquo ndash pour assurer la bonne interpreacutetation de la donneacutee A cette fin lesreacutesultats des analyses devraient ecirctre suffisamment documenteacutes

La consolidation de ces reacutesultats devra intervenir dans des tableaux de bord pour unecommunication agrave qui de droit

Les mesures peuvent ecirctre utiliseacutees agrave diverses fins

eacutevaluer lrsquoefficaciteacute des dispositifs de seacutecuriteacute

critiquer les appreacuteciations et les traitements des risques

deacutemontrer les progregraves

se comparer au sein ou entre organisations

45 Ameacuteliorer le processus de mesure

Lrsquoefficaciteacute du processus de mesure doit ecirctre examineacutee peacuteriodiquement afin de lrsquoameacuteliorerNeacuteanmoins les donneacutees de base doivent faire lrsquoobjet de sauvegardes reacuteguliegraveres et peacuterennesafin de pouvoir recalculer les meacutetriques en fonction de leurs diffeacuterentes eacutevolutions

Des eacutevolutions peuvent ecirctre envisageacutees quand lrsquoorganisation introduit de nouveaux objectifsde mesure points de mesure de nouvelles meacutethodes ou fonctions de mesure

Le processus de mesure devrait ecirctre eacutevalueacute en termes drsquoutiliteacute et reacuteexamineacute agrave chaque fois quelrsquoorganisation change Il importe de srsquoassurer que les mesures reflegravetent un eacutetat agrave jour de laseacutecuriteacute et de veacuterifier que les donneacutees sous-jacentes sont encore valides Il est eacutegalementimportant de valider la pertinence des hypothegraveses

Il srsquoagit aussi drsquoeacutevaluer lrsquoutiliteacute de la mesure et le coucirct du processus de mesure afin dedeacuteterminer la pertinence de sa modification ou de sa suppression




5 CONCLUSION

LrsquoISOIEC 270012005 insiste sur lrsquoimportance de mesurer lrsquoefficaciteacute des processus du

SMSI des mesures de seacutecuriteacute mises en œuvre et du processus de mesurage lui-mecircme2

Cependant cette norme ne preacutecise pas comment mesurer cette efficaciteacute Elle se contentedrsquoindiquer qursquoune meacutethode est agrave deacutefinir

A cette fin le preacutesent document apporte un eacuteclairage aux RSSI auditeurs internes acteurs ducontrocircle permanent et managers dans la deacutefinition et la mise en œuvre des indicateurs adapteacutesagrave leurs exigences selon des processus qui devraient figurer dans la norme ISOIEC 27004

LrsquoISOIEC 27004 est un guide qui compleacutetera lrsquoISOIEC 270012005 en fournissant deslignes directrices et des conseils sur

la conception

la mise en œuvre

lrsquoanalyse et la communication des reacutesultats

lrsquoameacutelioration du processus de mesurage drsquoun SMSI

Cette future norme devrait ecirctre publieacutee prochainement La seacuterie ISOIEC 27000 a eacuteteacutecompleacuteteacutee de lrsquoISOIEC 270052008 et de lrsquoISOIEC 27003 (preacutevue en 2009) qui traitentrespectivement de la gestion du risque et de la mise en œuvre drsquoun SMSI

2 cf clauses 02c 02d 422d 423c 431g 72f et 73e




ANNEXE A FICHE DESCRIPTIVE

Modegravele de fiche descriptive drsquoune mesure

Cette fiche est inspireacutee de lrsquoISOIEC FCD 27004

Identification de la mesure

Nom de la mesure Nom de la mesure

Identifiant de la mesure Identifiant numeacuterique unique speacutecifique agrave lrsquoorganisme

Objectif de la mesureDeacutecrit lrsquoobjectif de la mesure de seacutecuriteacute agrave mettre ou deacutejagrave mise en œuvre (reacutefeacuterence agrave la mesure de

seacutecuriteacute de lrsquoannexe A de la norme ISO 27001)

Mesure de seacutecuriteacute (1)Facultatif Deacutecrit la mesure de seacutecuriteacute agrave mettre ou deacutejagrave mise en œuvre (reacutefeacuterence agrave la mesure deseacutecuriteacute de lrsquoannexe A de la norme ISO 27001)

Mesure de seacutecuriteacute (2)Facultatif Deacutecrit dautres mesures de seacutecuriteacute (agrave mettre ou deacutejagrave mise en œuvre) faisant lrsquoobjet le caseacutecheacuteant de la mecircme mesure (reacutefeacuterence aux mesures de seacutecuriteacute de lrsquoannexe A de la normeISO 27001)

Objectif de la mesure Deacutefinit le but de la mesure

Reacute examinateurPersonne ou uniteacute organisationnelle qui examine et valide que les critegraveres deacutevaluation de la mesuresont approprieacutes pour veacuterifier lefficaciteacute des mesures de seacutecuriteacute et des processus du SMSI

Objets du mesurage et attributs

Objet du mesurage

Objet qui doit ecirctre mesureacute et qui est caracteacuteriseacute par la mesurabiliteacute de ses attributs Les objets peuvent

comprendre des processus des systegravemes ou des composants de systegravemes

AttributsProprieacuteteacute ou caracteacuteristique drsquoun objet qui peut ecirctre distingueacutee quantitativement ou qualitativementpar des moyens humains ou automatiques

Speacutecification des mesures eacuteleacutementaires (pour chaque mesure eacuteleacutementaire [2hellipn])

Mesures eacuteleacutementairesUne mesure eacuteleacutementaire est deacutefinie en fonction dun attribut et de la meacutethode de mesurage speacutecifieacuteepour le quantifier (par exemple le nombre de personnel formeacute le nombre de sites le coucirct cumuleacute agravece jour) Au moment ougrave la donneacutee est collecteacutee une valeur est affecteacutee agrave une mesure eacuteleacutementaire

Meacutethodes de mesurage Suite logique drsquoopeacuterations qui permettent de quantifier un attribut selon une eacutechelle

Echelle Ensemble ordonneacute de valeurs ou de cateacutegories utiliseacutees pour la mesure eacuteleacutementaire

Speacutecification de la mesure deacuteriveacutee

Mesure deacuteriveacutee Une mesure deacuteriveacutee est la valeur issue drsquoun traitement drsquoune ou plusieurs mesures eacuteleacutementaires

Fonction de mesurageSuite logique drsquoopeacuterations qui permettent de calculer la mesure deacuteriveacutee Pour les mesures deacuteriveacutees lafonction par laquelle les mesures deacuteriveacutees fondeacutees sur des mesures eacuteleacutementaires correspondantes etla preacutecision cumulative reacutesultante sont agreacutegeacutees

Echelle Ensemble ordonneacute de valeurs ou de cateacutegories utiliseacutees pour la mesure deacuteriveacutee

Speacutecification de lrsquoindicateur

Description dindicateur etexemple

Preacutesentation dune ou plusieurs mesures (eacuteleacutementaires ou deacuteriveacutees) qui fournit une estimation ou uneeacutevaluation dattributs speacutecifieacutes reacutesultant dun modegravele analytique en ce qui concerne des besoins delinformation deacutefinis Un indicateur est souvent preacutesenteacute agrave lrsquoaide drsquoun graphique ou drsquoun diagrammeInclure un croquis de lindicateur

Modegravele analytique Algorithme ou calcul combinant une ou plusieurs mesures eacuteleacutementaires etou deacuteriveacutees avec lescritegraveres de deacutecision associeacutes




Critegravere de deacutecisionSeuil cible ou modegravele utiliseacute pour deacuteterminer la neacutecessiteacute dune action ou un compleacutement denquecircteou pour deacutecrire le niveau de confiance dans un reacutesultat donneacute

Interpreacutetation dindicateurDescription de la faccedilon dont lindicateur exemple (voir la figure exemple dans la description delindicateur) devrait ecirctre interpreacuteteacute

Effets impact Deacutefinition des effets et de lrsquoimpact issu des reacutesultats obtenus par la mesure

Causes drsquoeacutecart Deacutefinition des causes possibles agrave lrsquoorigine drsquoeacutecarts des reacutesultats

Valeurs positivesDeacuteclaration expliquant si les valeurs en laquo croissance raquo indiquent des tendances positives (bonreacutesultat) ou si les valeurs en laquo deacutecroissance raquo doivent ecirctre consideacutereacutees comme des tendancespositives

Format de restitution

Le format de la restitution devrait ecirctre preacuteciseacute et documenteacute Il deacutecrit les observations quelrsquoorganisation ou le proprieacutetaire de lrsquoinformation peut vouloir sur lrsquoenregistrement Les formats derapport deacutecriront visuellement les mesures et fourniront une explication verbale des indicateurs Ilsdevraient ecirctre personnaliseacutes en fonction du laquo client de linformation raquo (ce terme est deacutefini ci-apregraves)

Proceacutedure de collecte des donneacuteesCompleacutetez cette section pour chaque mesure eacuteleacutementaire

Freacutequence de collecte des

donneacutees

Freacutequence agrave laquelle les donneacutees sont collecteacutees

Fournisseur de lrsquoinformationPersonne ou uniteacute organisationnelle qui deacutetient lrsquoinformation pour creacuteer les mesures eacuteleacutementairesCelui qui va contribuer agrave la meacutetrique produire lrsquoinformation pour le calcul de la meacutetrique

Collecteur de lrsquoinformationPersonne ou uniteacute organisationnelle en charge de collecter enregistrer et stocker les informationsCelui qui va obtenir la meacutetrique

Outils utiliseacutes dans la collectedes donneacutees

Liste les outils utiliseacutes dans la collecte des donneacutees (par exemple un scanner de vulneacuterabiliteacute)

Conservation des donneacuteescollecteacutees

Liste les outils ougrave les donneacutees sont conserveacutees apregraves avoir eacuteteacute collecteacutees (par exemple une base dedonneacutees)

Date de collecte Date agrave laquelle la donneacutee devrait ecirctre obtenue

Proceacutedure drsquoenregistrement

des donneacuteesDeacutefinit la proceacutedure drsquoenregistrement des donneacutees (lien vers la proceacutedure correspondante)

Validiteacute de la mesure Date de reacutevision (date drsquoexpiration ou de validiteacute de renouvellement) de la mesure

Peacuteriode drsquoanalyse Deacutefinit la peacuteriode mesureacutee

Proceacutedure danalyse des donneacutees (pour chaque Indicateur)

Freacutequence de la restitutiondes donneacutees

Freacutequence agrave laquelle les donneacutees sont restitueacutees (cette freacutequence peut ecirctre infeacuterieure agrave celle decollecte)

Communicateur delrsquoinformation

Personne ou uniteacute organisationnelle responsable de lrsquoanalyse de lrsquoinformation et de la communicationdes reacutesultats des mesuresCelui qui va analyser la meacutetrique

Source drsquoinformation pour

lrsquoanalyse

Liste les sources drsquoinformation utiles pour lrsquoanalyse de reacutesultats (documents journaux entretien

etc)Outils utiliseacutes dans lrsquoanalyse Liste les outils utiliseacutes pour lrsquoanalyse (par exemple des outils statistiques)

Client de lrsquoinformationLa personne ou lrsquouniteacute organisationnelle qui demande ou requiert les mesures pour les besoins de sonactiviteacuteCelui qui va utiliser la meacutetrique

Information compleacutementaire

Conseils danalyseCompleacutementaires

Fournit des conseils compleacutementaires sur les variations de cette mesure

Consideacuterations de mise enœuvre

Liste les processus ou les exigences de mise en œuvre qui sont neacutecessaires pour la reacuteussite de la miseen œuvre




Exemple drsquoutilisation de la fiche


Nom de la mesure Revue des droits drsquoaccegraves des utilisateurs aux systegravemes et aux applications

Identifiant de la mesure R1-A1124

Objectif de la mesure de seacutecuriteacuteA1124 [270012005]

Mesure de seacutecuriteacute (1)Les managers doivent dans leur peacuterimegravetre reacuteexaminer les droits drsquoaccegraves des utilisateurs agraveintervalles reacuteguliers par le biais drsquoun processus formel

Mesure de seacutecuriteacute (2) Revue des accegraves au reacuteseau informatique

Objectif de la mesure

Mesurer le pourcentage de manager deacuteclarant avoir effectueacute des controcircles sur les droits drsquoaccegravesutilisateurs de leur peacuterimegravetre ce qui permet drsquoeacutevaluer

bull la prise de conscience des managers vis-agrave-vis des risques drsquoaccegraves non fondeacutesfrauduleux ou obsolegravetes aux SI

bull lrsquoimplication du management dans le processus de maicirctrise et de gestion du risqueinformatique

Reacute examinateur Direction des Risques


Objet du mesurage Processus de revue des droits drsquoaccegraves des utilisateurs aux systegravemes et aux applications

Attributs Attestation de reacutealisation de revue des droits drsquoaccegraves des utilisateursSpeacutecification des mesures eacuteleacutementaires (pour chaque mesure eacuteleacutementaire [2hellipn])

Mesures eacuteleacutementairesExistence drsquoune attestation de reacutealisation de revue des droits drsquoaccegraves des utilisateurs parchacun des managers

Meacutethodes de mesurageTous les trimestres les managers enverront un email standardiseacute au Deacutepartement Seacutecuriteacute desSI attestant que les accegraves des utilisateurs ont eacuteteacute revus pour leur peacuterimegravetre

Echelle Numeacuterique


Mesure deacuteriveacutee Taux drsquoattestations retourneacutees par les managers sur le trimestre eacutetudieacute

Fonction de mesurage

Taux dattestations retourneacutees par les managers sur le trimestre eacutetudieacute = (nombre dattestations

retourneacutees par les managers Total dattestations attendues dans le trimestre) 100

Echelle Ratio pourcentage


Description dindicateur et exemple Courbe montrant lrsquoindicateur sur plusieurs peacuteriodes de restitution

Modegravele analytique

Satisfaisant si gt= 90Globalement satisfaisant si 80 lt lt 90Moyennement satisfaisant si 70 lt= lt= 80Insatisfaisant si lt 70

Critegravere de deacutecision Seuil min 80

Interpreacutetation dindicateurUn reacutesultat insatisfaisant indique un manque drsquoengagement des managers dans la gestion des

risques lieacutes agrave la seacutecuriteacute des SIEffets impact Si reacutesultats insatisfaisants lrsquoindicateur est remonteacute agrave la Direction Geacuteneacuterale pour action




Causes drsquoeacutecart Les reacuteorganisations fonctionnelles de lrsquoentreprise

Valeurs positives Des valeurs croissantes indiquent des tendances positives

Format de restitution Tableau Excel standardiseacute


Freacutequence de collecte des donneacutees Trimestrielle

Fournisseur de lrsquoinformation Chaque manager

Collecteur de lrsquoinformation Le RSSI

Outils utiliseacutes dans la collecte desdonneacutees

Mail courrier

Conservation des donneacutees collecteacutees Reacutepertoire speacutecifique du disque reacuteseau

Date de collecte Pour le 15 de chaque deacutebut de trimestre

Proceacutedure drsquoenregistrement desdonneacutees

EhellipNOV08R1-A11-2-4XLS

Validiteacute de la mesure Annuelle

Peacuteriode drsquoanalyse Du 1er janvier au 31 deacutecembre de lrsquoanneacutee en cours


Freacutequence de la restitution desdonneacutees

Trimestrielle

Communicateur de lrsquoinformation Le RSSI

Source drsquoinformation pour lrsquoanalyse Rapports drsquoentretiens

Outils utiliseacutes dans lrsquoanalyse Excel

Client de lrsquoinformation Direction des Risques


Conseils danalyse Compleacutementaires NA

Consideacuterations de mise en œuvre NA




ANNEXE B EXEMPLES DrsquoATTRIBUTS DE

METRIQUES ET OU DrsquoINDICATEURS

Lrsquoobjet de cette annexe est drsquoapporter au lecteur un deacutebut de reacuteflexion sur la mise en œuvredrsquoindicateurs Elle fournit une liste non exhaustive drsquoattributs de meacutetriques etou drsquoindicateurs Ceseacuteleacutements de reacuteflexions sont agrave adapter au contexte de lrsquoorganisme et du peacuterimegravetre du SMSI

Pour illustrer ces exemples seuls les articles 8 laquo Seacutecuriteacute lieacutee aux ressources humaines raquo 9 laquo Seacutecuriteacutephysique et environnementale raquo et 15 laquo Conformiteacute raquo de lrsquoannexe A de lrsquoISOIEC 270022005 ont eacuteteacuteretenus

Mesures de seacutecuriteacute delrsquoISOIEC 27001 (annexe a)

Attributs meacutetriques etou indicateurs

A8 Seacutecuriteacute lieacutee aux ressources humaines

A81 Avant le recrutement

A811 Rocircles et responsabiliteacutes Taux (granulomeacutetrie) de rocircles ayant un impact sur la seacutecuriteacute

A812 Seacutelection Taux de dossiers ayant fait lrsquoobjet drsquoune veacuterification des documents fournis par lecandidat

A813 Conditions drsquoembauche Preacutesence des regravegles de seacutecuriteacute dans le contrat de travail ou dans le regraveglementinteacuterieur

A82 Pendant la dureacutee du contrat

A821 Responsabiliteacutes de la direction Existence dun plan de communication sur la seacutecuriteacute

A822 Sensibilisation qualification et formations

en matiegravere de seacutecuriteacute de lrsquoinformation

Nombre de personnes formeacutees an

A823 Processus disciplinaire Nombre annuel de sanctions disciplinairesPerte annuelle due agrave des pratiques agrave risque

A83 Fin ou modification du contrat

A831 Responsabiliteacutes en fin de contrat Existence drsquoune proceacutedure de gestion des fins de contrat

A832 Restitution des actifs Coucirct des biens non rendus en fin de mission

A833 Retrait des droits drsquoaccegraves Taux de retraits des droits hors deacutelai

A9 Seacutecuriteacute physique et environnementale

A91 Zones seacutecuriseacutees

A911 Peacuterimegravetre de seacutecuriteacute physique Nombre dactifs sensibles localiseacutes dans des zones non seacutecuriseacutees

A912 Controcircles physiques des accegraves Nombre dintrusions physiques identifieacutees (y compris les deacutepassements dhoraires depersonnes autoriseacutees)

A913 Seacutecurisation des bureaux des salles et deseacutequipements

Nombre annuel de disparition de biens informatiques dans les locaux

A914 Protection contre les menaces exteacuterieures etenvironnementales

Nombre de non conformiteacutes constateacutees lors des visites des organismes de controcircle

A915 Travail dans les zones seacutecuriseacutees Nombre drsquoeacutecarts constateacutes par rapport aux consignes de seacutecuriteacute applicables envigueur






A916 Zones drsquoaccegraves public de livraison et dechargement

Nombre dintrusions vols dans des aires de livraison

A92 Seacutecuriteacute du mateacuterielA921 Choix de lrsquoemplacement et protection dumateacuteriel

Nombre deacutequipements localiseacutes dans des zones dont la seacutecuriteacute nest pas coheacuterenteavec leur sensibiliteacute

A922 Services geacuteneacuteraux Dureacutee mensuelle cumuleacutee dindisponibiliteacute des eacutenergies (eacutelectriciteacute climatisationeau)

A923 Seacutecuriteacute du cacircblage Nombre annuel daccidents dorigine eacutelectrique

Reacutealisation de controcircle annuel de conformiteacute par des organismes indeacutependants

A924 Maintenance du mateacuteriel Taux deacutequipements sensibles couverts par un contrat de maintenance adapteacute ethonoreacute

A925 Seacutecuriteacute du mateacuteriel hors des locaux Nombre deacutequipements mobiles disparus pendant un deacuteplacement

A926 Mise au rebut ou recyclage seacutecuriseacute(e) dumateacuteriel

Nombre de destruction des donneacutees ou des eacutequipements sensibles

A927 Sortie dun actif Nombre de tentatives de sortie sans autorisation Nombre de demandes drsquoautorisation deacutelivreacutees

A15 Conformiteacute

A151 Conformiteacute aux exigences leacutegales

A1511 Identification de la leacutegislation en vigueur Charge annuelle de la veille reacuteglementaire

A1512 Droits de proprieacuteteacute intellectuelle (DPI) Nombre de non-conformiteacutes sur les licences

A1513 Protection des enregistrements delrsquoorganisme

Nombre de non-conformiteacutes constateacutees

A1514 Protection des d neacutees et confidentialiteacute desinformations relatives agrave la vie priveacutee

Nombre annuel de non conformiteacutes dans le traitement des donneacutees personnelles(diffusions indues refus de diffusion hellip)

A1515 Mesure preacuteventive agrave lrsquoeacutegard du mauvaisusage des moyens de traitement de lrsquoinformation

Nombre drsquoeacutequipements deacutetecteacutes comme non-conformes

A1516 Reacuteglementation relative aux mesurescryptographiques

Charge annuelle de la veille reacuteglementaire speacutecifique

A152 Conformiteacute avec les politiques et normes de seacutecuriteacute et conformiteacute technique

A1521 Conformiteacute avec les politiques et lesnormes de seacutecuriteacute


A1522 Veacuterification de la conformiteacute technique Nombre de non conformiteacutes identifieacutees lors daudits techniquesNombre de non-conformiteacutes aboutissant dans des actions dameacutelioration

A153 Prises en compte de laudit du systegraveme dinformation

A1531 Controcircles de lrsquoaudit du systegravemedrsquoinformation

Taux de reacutealisation du programme drsquoaudit

A1532 Protection des outils drsquoaudit du systegravemedrsquoinformation

Nombre drsquoincidents lieacutes agrave lrsquoutilisation non-autoriseacutee



983116 991257 983109 983123 983120 983122 983113 983124 983108 983109 983116 991257 983241 983107 983112 983105 983118 983111 983109

CLUB DE LA SEacuteCURITEacute DE LINFORMATION FRANCcedilAIS

30 rue Pierre Seacutemard

75009 Paris

01 53 25 08 80

clusifclusifassofr

Teacuteleacutechargez les productions du CLUSIF sur

wwwclusifassofr



La loi du 11 mars 1957 nautorisant aux termes des alineacuteas 2 et 3 de larticle 41 dune part que les copies ou reproductions strictementreacuteserveacutees agrave lusage priveacute du copiste et non destineacutees agrave une utilisation collective et dautre part que les analyses et les courtes citations dansun but dexemple et dillustration toute repreacutesentation ou reproduction inteacutegrale ou partielle faite sans le consentement de lauteur ou de

ayants droit ou ayants cause est illicite (alineacutea 1er de larticle 40)

Cette repreacutesentation ou reproduction par quelque proceacutedeacute que ce soit constituerait donc une contrefaccedilon sanctionneacutee par les articles 425 etsuivants du Code Peacutenal




REMERCIEMENTS


















TABLE DES MATIERES


1 INTRODUCTION 4


2 LES METRIQUES 6

21






5 CONCLUSION 19







NOTE AUX LECTEURS








___




1 INTRODUCTION



















12 Lectorat








2 LES METRIQUES




























2005-2010 200

2005-2010 2008




2009


2009

2009

2010









(IDS)














CoBITGouvernance


ITIL Production


risques


SAS 70

PCI - DSS





22 Terminologie
















Interpreacutetation


les attributs






Indicateurs

Meacutetriques

Tableau de Bord


attributs






ISMS

Objectifs

Miseen

place



les attributs






Indicateurs


Tableau de Bord


attributs















ISMS

Objectifs

Miseen

place

Miseen

place


















piloter les projets


auditer





































Formation























32 Piloter















etc





33 Communiquer























(ISOIEC 27004)








































validation

traitement

diffusion

conservation










estimeacutees

















5 CONCLUSION






la conception

la mise en œuvre





















Objet du mesurage




























donneacutees



















lrsquoanalyse






















































Mail courrier









Trimestrielle


























































A15 Conformiteacute























983116 991257 983109 983123 983120 983122 983113 983124 983108 983109 983116 991257 983241 983107 983112 983105 983118 983111 983109



75009 Paris

01 53 25 08 80

clusifclusifassofr


wwwclusifassofr




REMERCIEMENTS


















TABLE DES MATIERES


1 INTRODUCTION 4


2 LES METRIQUES 6

21






5 CONCLUSION 19







NOTE AUX LECTEURS








___




1 INTRODUCTION



















12 Lectorat








2 LES METRIQUES




























2005-2010 200

2005-2010 2008




2009


2009

2009

2010









(IDS)














CoBITGouvernance


ITIL Production


risques


SAS 70

PCI - DSS





22 Terminologie
















Interpreacutetation


les attributs






Indicateurs

Meacutetriques

Tableau de Bord


attributs






ISMS

Objectifs

Miseen

place



les attributs






Indicateurs


Tableau de Bord


attributs















ISMS

Objectifs

Miseen

place

Miseen

place


















piloter les projets


auditer





































Formation























32 Piloter















etc





33 Communiquer























(ISOIEC 27004)








































validation

traitement

diffusion

conservation










estimeacutees

















5 CONCLUSION






la conception

la mise en œuvre





















Objet du mesurage




























donneacutees



















lrsquoanalyse






















































Mail courrier









Trimestrielle


























































A15 Conformiteacute























983116 991257 983109 983123 983120 983122 983113 983124 983108 983109 983116 991257 983241 983107 983112 983105 983118 983111 983109



75009 Paris

01 53 25 08 80

clusifclusifassofr


wwwclusifassofr




TABLE DES MATIERES


1 INTRODUCTION 4


2 LES METRIQUES 6

21






5 CONCLUSION 19







NOTE AUX LECTEURS








___




1 INTRODUCTION



















12 Lectorat








2 LES METRIQUES




























2005-2010 200

2005-2010 2008




2009


2009

2009

2010









(IDS)














CoBITGouvernance


ITIL Production


risques


SAS 70

PCI - DSS





22 Terminologie
















Interpreacutetation


les attributs






Indicateurs

Meacutetriques

Tableau de Bord


attributs






ISMS

Objectifs

Miseen

place



les attributs






Indicateurs


Tableau de Bord


attributs















ISMS

Objectifs

Miseen

place

Miseen

place


















piloter les projets


auditer





































Formation























32 Piloter















etc





33 Communiquer























(ISOIEC 27004)








































validation

traitement

diffusion

conservation










estimeacutees

















5 CONCLUSION






la conception

la mise en œuvre





















Objet du mesurage




























donneacutees



















lrsquoanalyse






















































Mail courrier









Trimestrielle


























































A15 Conformiteacute























983116 991257 983109 983123 983120 983122 983113 983124 983108 983109 983116 991257 983241 983107 983112 983105 983118 983111 983109



75009 Paris

01 53 25 08 80

clusifclusifassofr


wwwclusifassofr




NOTE AUX LECTEURS








___




1 INTRODUCTION



















12 Lectorat








2 LES METRIQUES




























2005-2010 200

2005-2010 2008




2009


2009

2009

2010









(IDS)














CoBITGouvernance


ITIL Production


risques


SAS 70

PCI - DSS





22 Terminologie
















Interpreacutetation


les attributs






Indicateurs

Meacutetriques

Tableau de Bord


attributs






ISMS

Objectifs

Miseen

place



les attributs






Indicateurs


Tableau de Bord


attributs















ISMS

Objectifs

Miseen

place

Miseen

place


















piloter les projets


auditer





































Formation























32 Piloter















etc





33 Communiquer























(ISOIEC 27004)








































validation

traitement

diffusion

conservation










estimeacutees

















5 CONCLUSION






la conception

la mise en œuvre





















Objet du mesurage




























donneacutees



















lrsquoanalyse






















































Mail courrier









Trimestrielle


























































A15 Conformiteacute























983116 991257 983109 983123 983120 983122 983113 983124 983108 983109 983116 991257 983241 983107 983112 983105 983118 983111 983109



75009 Paris

01 53 25 08 80

clusifclusifassofr


wwwclusifassofr




1 INTRODUCTION



















12 Lectorat








2 LES METRIQUES




























2005-2010 200

2005-2010 2008




2009


2009

2009

2010









(IDS)














CoBITGouvernance


ITIL Production


risques


SAS 70

PCI - DSS





22 Terminologie
















Interpreacutetation


les attributs






Indicateurs

Meacutetriques

Tableau de Bord


attributs






ISMS

Objectifs

Miseen

place



les attributs






Indicateurs


Tableau de Bord


attributs















ISMS

Objectifs

Miseen

place

Miseen

place


















piloter les projets


auditer





































Formation























32 Piloter















etc





33 Communiquer























(ISOIEC 27004)








































validation

traitement

diffusion

conservation










estimeacutees

















5 CONCLUSION






la conception

la mise en œuvre





















Objet du mesurage




























donneacutees



















lrsquoanalyse






















































Mail courrier









Trimestrielle


























































A15 Conformiteacute























983116 991257 983109 983123 983120 983122 983113 983124 983108 983109 983116 991257 983241 983107 983112 983105 983118 983111 983109



75009 Paris

01 53 25 08 80

clusifclusifassofr


wwwclusifassofr




12 Lectorat








2 LES METRIQUES




























2005-2010 200

2005-2010 2008




2009


2009

2009

2010









(IDS)














CoBITGouvernance


ITIL Production


risques


SAS 70

PCI - DSS





22 Terminologie
















Interpreacutetation


les attributs






Indicateurs

Meacutetriques

Tableau de Bord


attributs






ISMS

Objectifs

Miseen

place



les attributs






Indicateurs


Tableau de Bord


attributs















ISMS

Objectifs

Miseen

place

Miseen

place


















piloter les projets


auditer





































Formation























32 Piloter















etc





33 Communiquer























(ISOIEC 27004)








































validation

traitement

diffusion

conservation










estimeacutees

















5 CONCLUSION






la conception

la mise en œuvre





















Objet du mesurage




























donneacutees



















lrsquoanalyse






















































Mail courrier









Trimestrielle


























































A15 Conformiteacute























983116 991257 983109 983123 983120 983122 983113 983124 983108 983109 983116 991257 983241 983107 983112 983105 983118 983111 983109



75009 Paris

01 53 25 08 80

clusifclusifassofr


wwwclusifassofr




2 LES METRIQUES




























2005-2010 200

2005-2010 2008




2009


2009

2009

2010









(IDS)














CoBITGouvernance


ITIL Production


risques


SAS 70

PCI - DSS





22 Terminologie
















Interpreacutetation


les attributs






Indicateurs

Meacutetriques

Tableau de Bord


attributs






ISMS

Objectifs

Miseen

place



les attributs






Indicateurs


Tableau de Bord


attributs















ISMS

Objectifs

Miseen

place

Miseen

place


















piloter les projets


auditer





































Formation























32 Piloter















etc





33 Communiquer























(ISOIEC 27004)








































validation

traitement

diffusion

conservation










estimeacutees

















5 CONCLUSION






la conception

la mise en œuvre





















Objet du mesurage




























donneacutees



















lrsquoanalyse






















































Mail courrier









Trimestrielle


























































A15 Conformiteacute























983116 991257 983109 983123 983120 983122 983113 983124 983108 983109 983116 991257 983241 983107 983112 983105 983118 983111 983109



75009 Paris

01 53 25 08 80

clusifclusifassofr


wwwclusifassofr











2005-2010 200

2005-2010 2008




2009


2009

2009

2010









(IDS)














CoBITGouvernance


ITIL Production


risques


SAS 70

PCI - DSS





22 Terminologie
















Interpreacutetation


les attributs






Indicateurs

Meacutetriques

Tableau de Bord


attributs






ISMS

Objectifs

Miseen

place



les attributs






Indicateurs


Tableau de Bord


attributs















ISMS

Objectifs

Miseen

place

Miseen

place


















piloter les projets


auditer





































Formation























32 Piloter















etc





33 Communiquer























(ISOIEC 27004)








































validation

traitement

diffusion

conservation










estimeacutees

















5 CONCLUSION






la conception

la mise en œuvre





















Objet du mesurage




























donneacutees



















lrsquoanalyse






















































Mail courrier









Trimestrielle


























































A15 Conformiteacute























983116 991257 983109 983123 983120 983122 983113 983124 983108 983109 983116 991257 983241 983107 983112 983105 983118 983111 983109



75009 Paris

01 53 25 08 80

clusifclusifassofr


wwwclusifassofr











CoBITGouvernance


ITIL Production


risques


SAS 70

PCI - DSS





22 Terminologie
















Interpreacutetation


les attributs






Indicateurs

Meacutetriques

Tableau de Bord


attributs






ISMS

Objectifs

Miseen

place



les attributs






Indicateurs


Tableau de Bord


attributs















ISMS

Objectifs

Miseen

place

Miseen

place


















piloter les projets


auditer





































Formation























32 Piloter















etc





33 Communiquer























(ISOIEC 27004)








































validation

traitement

diffusion

conservation










estimeacutees

















5 CONCLUSION






la conception

la mise en œuvre





















Objet du mesurage




























donneacutees



















lrsquoanalyse






















































Mail courrier









Trimestrielle


























































A15 Conformiteacute























983116 991257 983109 983123 983120 983122 983113 983124 983108 983109 983116 991257 983241 983107 983112 983105 983118 983111 983109



75009 Paris

01 53 25 08 80

clusifclusifassofr


wwwclusifassofr




22 Terminologie
















Interpreacutetation


les attributs






Indicateurs

Meacutetriques

Tableau de Bord


attributs






ISMS

Objectifs

Miseen

place



les attributs






Indicateurs


Tableau de Bord


attributs















ISMS

Objectifs

Miseen

place

Miseen

place


















piloter les projets


auditer





































Formation























32 Piloter















etc





33 Communiquer























(ISOIEC 27004)








































validation

traitement

diffusion

conservation










estimeacutees

















5 CONCLUSION






la conception

la mise en œuvre





















Objet du mesurage




























donneacutees



















lrsquoanalyse






















































Mail courrier









Trimestrielle


























































A15 Conformiteacute























983116 991257 983109 983123 983120 983122 983113 983124 983108 983109 983116 991257 983241 983107 983112 983105 983118 983111 983109



75009 Paris

01 53 25 08 80

clusifclusifassofr


wwwclusifassofr






Interpreacutetation


les attributs






Indicateurs

Meacutetriques

Tableau de Bord


attributs






ISMS

Objectifs

Miseen

place



les attributs






Indicateurs


Tableau de Bord


attributs















ISMS

Objectifs

Miseen

place

Miseen

place


















piloter les projets


auditer





































Formation























32 Piloter















etc





33 Communiquer























(ISOIEC 27004)








































validation

traitement

diffusion

conservation










estimeacutees

















5 CONCLUSION






la conception

la mise en œuvre





















Objet du mesurage




























donneacutees



















lrsquoanalyse






















































Mail courrier









Trimestrielle


























































A15 Conformiteacute























983116 991257 983109 983123 983120 983122 983113 983124 983108 983109 983116 991257 983241 983107 983112 983105 983118 983111 983109



75009 Paris

01 53 25 08 80

clusifclusifassofr


wwwclusifassofr










piloter les projets


auditer





































Formation























32 Piloter















etc





33 Communiquer























(ISOIEC 27004)








































validation

traitement

diffusion

conservation










estimeacutees

















5 CONCLUSION






la conception

la mise en œuvre





















Objet du mesurage




























donneacutees



















lrsquoanalyse






















































Mail courrier









Trimestrielle


























































A15 Conformiteacute























983116 991257 983109 983123 983120 983122 983113 983124 983108 983109 983116 991257 983241 983107 983112 983105 983118 983111 983109



75009 Paris

01 53 25 08 80

clusifclusifassofr


wwwclusifassofr


























Formation























32 Piloter















etc





33 Communiquer























(ISOIEC 27004)








































validation

traitement

diffusion

conservation










estimeacutees

















5 CONCLUSION






la conception

la mise en œuvre





















Objet du mesurage




























donneacutees



















lrsquoanalyse






















































Mail courrier









Trimestrielle


























































A15 Conformiteacute























983116 991257 983109 983123 983120 983122 983113 983124 983108 983109 983116 991257 983241 983107 983112 983105 983118 983111 983109



75009 Paris

01 53 25 08 80

clusifclusifassofr


wwwclusifassofr




















32 Piloter















etc





33 Communiquer























(ISOIEC 27004)








































validation

traitement

diffusion

conservation










estimeacutees

















5 CONCLUSION






la conception

la mise en œuvre





















Objet du mesurage




























donneacutees



















lrsquoanalyse






















































Mail courrier









Trimestrielle


























































A15 Conformiteacute























983116 991257 983109 983123 983120 983122 983113 983124 983108 983109 983116 991257 983241 983107 983112 983105 983118 983111 983109



75009 Paris

01 53 25 08 80

clusifclusifassofr


wwwclusifassofr










32 Piloter















etc





33 Communiquer























(ISOIEC 27004)








































validation

traitement

diffusion

conservation










estimeacutees

















5 CONCLUSION






la conception

la mise en œuvre





















Objet du mesurage




























donneacutees



















lrsquoanalyse






















































Mail courrier









Trimestrielle


























































A15 Conformiteacute























983116 991257 983109 983123 983120 983122 983113 983124 983108 983109 983116 991257 983241 983107 983112 983105 983118 983111 983109



75009 Paris

01 53 25 08 80

clusifclusifassofr


wwwclusifassofr





33 Communiquer























(ISOIEC 27004)








































validation

traitement

diffusion

conservation










estimeacutees

















5 CONCLUSION






la conception

la mise en œuvre





















Objet du mesurage




























donneacutees



















lrsquoanalyse






















































Mail courrier









Trimestrielle


























































A15 Conformiteacute























983116 991257 983109 983123 983120 983122 983113 983124 983108 983109 983116 991257 983241 983107 983112 983105 983118 983111 983109



75009 Paris

01 53 25 08 80

clusifclusifassofr


wwwclusifassofr





(ISOIEC 27004)








































validation

traitement

diffusion

conservation










estimeacutees

















5 CONCLUSION






la conception

la mise en œuvre





















Objet du mesurage




























donneacutees



















lrsquoanalyse






















































Mail courrier









Trimestrielle


























































A15 Conformiteacute























983116 991257 983109 983123 983120 983122 983113 983124 983108 983109 983116 991257 983241 983107 983112 983105 983118 983111 983109



75009 Paris

01 53 25 08 80

clusifclusifassofr


wwwclusifassofr






















validation

traitement

diffusion

conservation










estimeacutees

















5 CONCLUSION






la conception

la mise en œuvre





















Objet du mesurage




























donneacutees



















lrsquoanalyse






















































Mail courrier









Trimestrielle


























































A15 Conformiteacute























983116 991257 983109 983123 983120 983122 983113 983124 983108 983109 983116 991257 983241 983107 983112 983105 983118 983111 983109



75009 Paris

01 53 25 08 80

clusifclusifassofr


wwwclusifassofr










estimeacutees

















5 CONCLUSION






la conception

la mise en œuvre





















Objet du mesurage




























donneacutees



















lrsquoanalyse






















































Mail courrier









Trimestrielle


























































A15 Conformiteacute























983116 991257 983109 983123 983120 983122 983113 983124 983108 983109 983116 991257 983241 983107 983112 983105 983118 983111 983109



75009 Paris

01 53 25 08 80

clusifclusifassofr


wwwclusifassofr




5 CONCLUSION






la conception

la mise en œuvre





















Objet du mesurage




























donneacutees



















lrsquoanalyse






















































Mail courrier









Trimestrielle


























































A15 Conformiteacute























983116 991257 983109 983123 983120 983122 983113 983124 983108 983109 983116 991257 983241 983107 983112 983105 983118 983111 983109



75009 Paris

01 53 25 08 80

clusifclusifassofr


wwwclusifassofr

















Objet du mesurage




























donneacutees



















lrsquoanalyse






















































Mail courrier









Trimestrielle


























































A15 Conformiteacute























983116 991257 983109 983123 983120 983122 983113 983124 983108 983109 983116 991257 983241 983107 983112 983105 983118 983111 983109



75009 Paris

01 53 25 08 80

clusifclusifassofr


wwwclusifassofr













donneacutees



















lrsquoanalyse






















































Mail courrier









Trimestrielle


























































A15 Conformiteacute























983116 991257 983109 983123 983120 983122 983113 983124 983108 983109 983116 991257 983241 983107 983112 983105 983118 983111 983109



75009 Paris

01 53 25 08 80

clusifclusifassofr


wwwclusifassofr














































Mail courrier









Trimestrielle


























































A15 Conformiteacute























983116 991257 983109 983123 983120 983122 983113 983124 983108 983109 983116 991257 983241 983107 983112 983105 983118 983111 983109



75009 Paris

01 53 25 08 80

clusifclusifassofr


wwwclusifassofr












Mail courrier









Trimestrielle


























































A15 Conformiteacute























983116 991257 983109 983123 983120 983122 983113 983124 983108 983109 983116 991257 983241 983107 983112 983105 983118 983111 983109



75009 Paris

01 53 25 08 80

clusifclusifassofr


wwwclusifassofr



















































A15 Conformiteacute























983116 991257 983109 983123 983120 983122 983113 983124 983108 983109 983116 991257 983241 983107 983112 983105 983118 983111 983109



75009 Paris

01 53 25 08 80

clusifclusifassofr


wwwclusifassofr


















A15 Conformiteacute























983116 991257 983109 983123 983120 983122 983113 983124 983108 983109 983116 991257 983241 983107 983112 983105 983118 983111 983109



75009 Paris

01 53 25 08 80

clusifclusifassofr


wwwclusifassofr



983116 991257 983109 983123 983120 983122 983113 983124 983108 983109 983116 991257 983241 983107 983112 983105 983118 983111 983109



75009 Paris

01 53 25 08 80

clusifclusifassofr


wwwclusifassofr

Documents

CLUSIF Metriques Dans 27000