ISO 27001

ISO 27001Ac

tifs

Vulnérabilités

RisquesFlux accéléré

Tech

nolo

gies

Interconnexions

MenacesISO 9001

RSSISécurité

SMSI

5à7 MFQ

Cartographier, protéger

et contrôler la valeur de

l’informationLe 3 juin 2013

Ordre du jour du 5à7

Présentation co-animée par Stéphanie Buscayret (Latecoere) et Michel Tudela (Cabinet StraTime)

• Qualité et sécurité, même combat ?• Démystification des concepts clés• Contenu de la boite à outils (démarche, normes, méthodes,

etc.)• Quels sont les acteurs transverses à fédérer pour protéger

l’information ?• Le rôle clé de l’audit interne/externe• Et au quotidien … accompagner, accompagner,

accompagner !

Quelques chiffres …

• 160 disparitions par jour de matériel informatique en France

• + de 80% du trafic e-mail mondial est du spam • 1/4 des entreprises françaises ont mis en place une

politique de sécurité • Causes d'incidents de sécurité dans les entreprises:

manque de robustesse IT : 69% failles de management : 63% confidentialité mal assurée : 60% qualité des données mal assurée : 49%

(sources : sources : Gartner, Radicati Group, APWG, Canalys, Clusif, PricewaterhouseCoopers)

Qualité et sécurité, même combat ?

• Management de la qualité Passif : Produits et/ou des

services sans processus qualité, plaintes et pertes de clients, mesures correctives au coup par coup et coûteuses

Proactif : Démarche de management de la qualité pour écouter et répondre aux exigences des clients

• Management de la sécurité de l'information Passif : Ne rien faire (anti-

virus par ci et firewall par là), croiser les doigts et espérer qu'il n'y aura pas de problèmes impactant les activités

Proactif : Démarche de management de la sécurité de l'information pour assurer le bon niveau de sécurité sur les actifs, et efficacement

Les concepts clés

Actifs

Vulnérabilités

SMSI Menaces

• Actifs = Tout ce qui a de la valeur pour l'entreprise (informations, données, logiciels, etc.)

• Menace = Cause potentielle d'un incident de sécurité pouvant entraîner des dommages à un actif• Vulnérabilité = Faiblesse d'un actif pouvant être exploitée par une menace• Risque = Possibilité qu'une menace exploite la vulnérabilité d'un actif• SMSI = Système de management de la sécurité des systèmes d’informations

Contenu de la boite à outils : normes (1/5)

• Série IS0 27XXX ISO 27000 = Fondements et vocabulaire SMSI (2008) ISO 27002 = ISO17799 à partir de 2007 ISO 27003 = Guide pour la mise en place d’un SMSI (2008) ISO 27004 = Mesures et métriques pour le MSI (2007) ISO 27005 = Gestion du risque de la sécurité de l’information

(2007)

Contenu de la boite à outils : EBIOS (2/5)

• EBIOS = Expression des Besoins et Identification des Objectifs de Sécurité• Principes de base

Identification des actifs (fonctions, informations) reposant sur des entités (matériels, logiciels, réseaux, personnels, sites, organisations)

Les actifs ont des besoins de sécurité (disponibilité, confidentialité, intégrité, éventuellement, non-répudiation, traçabilité,…) plus ou moins forts (conséquences si le besoin n’est pas satisfait)

Les entités ont des vulnérabilités et sont soumis à des menaces pouvant avoir des impacts sur les actifs (risques)

Identification des objectifs permettant de contrer ces risques et traduction de ces objectifs en mesures de sécurité (exigences de sécurité)

Contenu de la boite à outils : démarche (3/5)

• Planifier Définir les objectifs, la stratégie, la politique globale de

sécurité Identifier les actifs d'informations Analyser les risques

• Implémenter Mettre en œuvre les mesures de protection Assurer la sensibilisation et la formation des personnels

Roue de

Deming

Contenu de la boite à outils : démarche (4/5)

• Contrôler Vérifier régulièrement la conformité des mesures de

protection Revoir régulièrement les niveaux de risques résiduels et

acceptés en fonction des évolutions (activités, systèmes et technologies, nouvelles menaces, etc.)

Mettre en œuvre des procédures de gestion du changement et un schéma de gestion des incidents de sécurité

• Réagir Assurer l'administration et la maintenance (préventive /

corrective) des mesures de protection mises en œuvre Identifier et implémenter les évolutions requises sur le SMSI

Roue de

Deming

Contenu de la boite à outils : méthode (5/5)

Périmètre Nom de l’actif

Type d’actif Responsable

de l’actif

Classification

de l’actif

Impact (1)

Fréquence

Gravité

Commercial

BDD clients

Actif Information

nel

Resp. Commercia

l

Confidentiel 3 1 3

Atelier 1 Logiciel GPAO

Actif logiciel Resp. Production

Entreprise 4 2 4

Atelier 2 Serveur 1 Actif physique

Resp. Production

Entreprise 3 1 3

Maintenance

Autocom Actif de service

Resp. Maintenanc

e

Entreprise 4 2 4

(1) Impact « DICA »: disponibilité, intégrité, confidentialité et auditabilité

Acteurs transverses à fédérer pour protéger l’information

La sécurité de l’information n’est pas (uniquement) l’affaire de la DSI: Evidemment, les collaborateurs de l’entreprise sont les 1ers

acteurs de la sécurité de leur information!

Parce que la sécurité repose sur les comportements des salariés, la Direction des Ressources Humaines est un partenaire naturel,

Parce qu’elle engage contractuellement des Tiers, la Direction des Affaires Juridiques est forcément impliquée ,

Parce que les prestataires et partenaires sont acteurs de la sécurité de l’information de l’entreprise, la Direction des Achats est concernée,

Parce que l’information doit aussi être protégée contre les risques « physiques », la Direction des Services Généraux est un partenaire quotidien.

Sécuritéinformation

SineQuaNone

A minima

Le rôle clé de l’audit interne/externe

• L’audit interne permet de : Confronter formellement les processus aux exigences de la norme. Vérifier l’intégration des processus métiers (méthodologie associée

dans la conduite de projets, se poser les bonnes questions à chaque affaire, etc.).

Conserver un historique formalisé de la prise en compte de la sécurité sur les affaires/projets.

• L’audit externe atteste : Du caractère indépendant de vos contrôles internes, des risques

d’exploitation, de la maîtrise des processus opérationnels, des exigences de continuité des activités.

Souligner les points d’amélioration à envisager. Prouver aux clients que la sécurité de leurs informations est

fondamentale. Attester de l'engagement de l'équipe dirigeante quant à la sécurité

des informations.

Et au quotidien … accompagner, accompagner, accompagner !!

Parce que nul n’est sensé ignorer la loi (et les sanctions encourues en cas de violation)

Parce que les risques ne sont pas connus de tous…

Parce que l’adhésion de chacun est indispensable à la sécurité de tous

Communiquer sur les droits et devoirs issus de la Charte informatique de l’entreprise

Illustrer les situations à risques selon le contexte du métier

Positionner chaque acteur dans la chaîne de protection de l’information

les “Y” sont parmi nous …

• 70% des jeunes employés admettent ne pas respecter les politiques de sécurité informatique (étude Cisco 2012)

• Férus de BYOD (Bring Your OwnDevice)

• Des utilisateurs avertis … impression de maîtriser le SI …

Indépendant+ Instantané+ Mobile + Impatient

Quelle tactique ?

Des utilisateurs qui ne respectent pas les règles s’ils ne les comprennent pas • La soif de connaissance des Y est une opportunité pour

communiquer encore et encore

Les utilisateurs 2.0 passent facilement d’un sujet à l’autre• Faire simple et original (tweet, réseaux sociaux, serious

games, etc.)Des utilisateurs connectés• Innover en évoluant sur leur terrain (apprendre en

s’amusant pour les toucher directement et de les intéresser à la sécurité)

Exemples d’indicateurs de sécurité de l’informationMaîtrise du risque lié à l’hébergement de l’information

Activité / Activity: Gestion des salles informatiques/ IT rooms’ management KPI: Evaluation des risques liés à la localisation des ressources serveurs / Assessment of servers’ location risk level

Sites

sociét

é FR

Sites

sociét

é Mon

de

Sites

filiale

FR

Sites

filiale M

onde

Contr

ats ex

terna

lisés

01234

23

12

4

Salles auditéesAudit planifiésEnvironnements non audités

2

3

21

Résultats des audits des sites société

Conforme sans réserveConforme avec réserveSoumis à correction d'anomalieNon conforme

3

1

Résultats des audits de sites gérés par un Tiers

Conforme sans réserve

Conforme avec réserve

Soumis à correction d'anomalie

Non conforme

23

Personnel auditeur

Formé A former

Bilan du programme d’audit des environnements IT physiques

Métriques fictives données à titre d’illustrationExample based on fictive data

2

Analyse / analysis• Les valeurs comprises entre 100 et 75 sont pleinement conformes aux exigences de sécurité• Les valeurs comprises entre 75 et 60 indiquent les points d’amélioration prioritaires• Les valeurs en deçà de 60 identifient les zones de risques intolérables devant faire l’objet de plan d’action à court terme.

Status

Activité / Activity: Risques liés au SI, maîtrise des risques physiques et environnementauxObjectif /Objective : Evaluer l’efficacité et la complétude des dispositifs de protection

KPI : Maîtrise du risque physique et environnemental par site géographique

Autorité/ Accountable : IT operations manager/ [Name]Mise à jour / Updated : [date] / [Nom] / [Name]

NIV_SECURITE_DATACENTERS

Mesure d’exposition aux risques physiques et environnementauxExposure level to physical and environmental risks

Nombre de salles intégrées dans le périmètre: 5Nombre total de salles sur le site: 1

66,50 0,00 0,00

Périmètre des métriques: XX salles informatiques, site de [nom du site]

coeffNb Salles

conformes mars 2013

Métrique mars 2013

Nb Salles conformes avril 2013

Métrique avril 2013

Nb Salles conformes mai 2013

Métrique mai 2013

Nb Salles conformes juin 2013

DETECTION INCENDIE70,00 0,00 0,00

EXTINCTION INCENDIE70,00 0,00 0,00

DETECTION DEGAT DES EAUX/ CONTRÔLE HYGROMETRIQUE20,00 0,00 0,00

CLIMATISATION70,00 0,00 0,00

SECOURS ELECTRIQUE69,00 0,00 0,00

CONTRÔLE ACCES PHYSIQUE100,00 0,00 0,00

Typologie des locaux exclus du périmètre : local brassage télécom non sécuriséIndice Mars

base 100Indice Avril

base 100Indice Mai base 100


Zoom…


Documents

ISO 27001