Les référentiels de la gestion des risques et de la sécurité informatique - Thibaut de la Bouvrie - iCompetences RSI2012

7/30/2019 Les référentiels de la gestion des risques et de la sécurité informatique - Thibaut de la Bouvrie - iCompetences RSI2012

http://slidepdf.com/reader/full/les-referentiels-de-la-gestion-des-risques-et-de-la-securite-informatique 1/25

Add a

forsustainable

results

LES REFERENTIELSDE LA GESTION DES

RISQUES ET DE LASÉCURITÉ

INFORMATIQUEPanorama des référentiels et des

nouveautés

TOUS DROITS RESERVES ©ADDED



SÉMINAIRE SSI

SOMMAIRE

Introduction

Les référentiels de la gouvernance du SI

Les référentiels de la sécurité

Les référentiels du développement et de la gestion de projet

Les référentiels de la continuité

Certifications

Questions

2 TOUS DROITS RESERVES ©ADDED



INTRODUCTION

SÉMINAIRE SSI3 TOUS DROITS RESERVES ©ADDED

§ Avantdecommencer:

§ Ilnefautpastouta4endredesréféren6elsetdesnormes!

§ Unenormen’aidepasàchoisirlebonniveaudegranularitéetdedétailpourconduiredesanalysesderisques.

§ Pasdegaran6equelesprocessusserontplusefficace,pourmaîtriservosrisques!

§ Adopterlesbonnespra6quesdesnormes,cer6fiersuropportunité

§ Seullebonsens,lepragma6smeetl’exper6seassurentlaper6nencedeschoixd’implémenta6on!



INTRODUCTION


CONSTATSGENERALEMENTADMIS:

§ Absencederéféren6elsdanslesorganisa6ons

§ Lesprojetsinforma6quesontmauvaiseréputa/on:50à0%desprojetsquiintroduisentdesnouvellestechnologies(CRM,ERP,GED,KM)échouent,ouaumieuxnerépondentpasauxobjec/fsini/aux(sourceISACA).

§ 20%dedépassementdescoûtsetaumoins0%desdélaissurlesprojets.

§ Absenced'indicateursfiablesdeperformance.



INTRODUCTION


§ Aquoiçasert?

§ No6ondelangagecommun/Partage/Code

§ Arassurer

§ Afaciliterletransfert

§ Afairedubusinessnotammentavecl’étranger

§ Ex:CB,internet,etc…



INTRODUCTION


ISO 15504 - est une démarche d’évaluation des processus

BS 15000 - nouvellement ISO 20000.

BS 7799 - norme anglaise sur la sécurité des informations, nouvellement ISO 27001.ISO 17799 - norme internationale concernant la sécurité de l'information, dont le titre est Code de bonnes pratiques pour

la gestion de la sécurité d'information. Il s'agit maintenant de la norme ISO/CEI 27002.

BS7799

17799

2700120000

1550



CARTE DES REFERENTIELS

UNE ADAPTATIONNÉCESSAIRE7 TOUS DROITS RESERVES ©ADDED

Répar//ondesréféren/elsduSIpourlesentreprisesetpourlesindividus:

D é v e l o p p e m e

n t d e L o g i c i e l

s

eSCM

CMMI

PMP

PRINCE2

ISO2700XBS7799

ITIL

ISO20000

CISMCISA

COBIT

CGEIT

Cer/fica/onpourdesindividusCer/fica/onpourentreprises

SécuritéInforma6que

SixSigma

ISO9001

EFQM

Gouvernance&contrôle

M a n a g e m e n

t d

e P

r o j e t

SCRUM/AGILE

PCI-DSS

Externalisa6on

ISO22301

Ges6ondela

con6nuité

CRISC



PÉRIMÈTRE COUVERT


Périmètre couvert

CommentQuoi

Sécurité QualitéGestion des services

COBIT

ITIL ISO9000

ISO

27001

P

CI-DSS

COSO



LES RÉFÉRENTIELS DE LA GOUVERNANCE DU SI


Mes besoins :

§ Mettre en place des contrôles internes informatique

§ Auditer la fonction informatique

§ Couvrir l’ensemble des problématiques des systèmes d’information

§ Bénéficier d’un cadre global pour les processus informatiques

Réponse : COBIT : Control OBjective for Information and related Technology(ISACA)

§ Il constitue un cadre de référence des meilleures pratiques constatées dans

diverses entreprises publiques et privées et propose un découpage des différents

domaines et activités de la fonction informatique.

§ Il relie les objectifs du SI à ceux de l’entreprise afin d’évaluer la maturité de celle-ci

envers la gestion et la maîtrise de son SI : outil pour les auditeurs.



COBIT V4.1


§ COBIT (Control Objectives for Information andRelated Technology) est publié par l’ISACA. Il

constitue un cadre de référence des meilleures

pratiques constatées dans diverses entreprises

publiques et privées et propose un découpage

des différents domaines et activités de la fonctioninformatique.

§ Il relie les objectifs du SI à ceux de l’entreprise

afin d’évaluer la maturité de celle-ci envers lagestion et la maîtrise de son SI : outil pour les

auditeurs.

§ Il recense 34 processus qui couvrent 210

objectifs de contrôle regroupés en 4

domaines : Planifier et Organiser, Acquérir et

Implémenter, Délivrer et Supporter, Surveiller et

Evaluer.



COBIT V5 - 2012


§ COBITv4.1 + Val IT + Risk IT =>

Le COBIT propose un référentiel de

gouvernance du système d'information

architecturé autour de 5 Principes :

COBIT5principes

1.Répondreaubesoindes

par/esprenantes

2.Couvrirlesprocessusdeboutenbout

3.MeXreenœuvreuncadreuniqueintégré

4.Proposeruneapprocheholis/que

5.Séparerlemanagementopéra/onnel

delagouvernance



LES RÉFÉRENTIELS DE LA SÉCURITÉ DU SI


§ Mes besoins :

§ Mettre en place un système global de management de la sécurité => ISO 27001

§ Sécuriser des données sensibles => PCI-DSS

§ Mettre en place un niveau basique de sécurité => ITIL, ISO 27001





§ ISO 27001:2005 : Système de management de la sécurité (SMSI)

Destiné à organiser le métier du RSSI

§ Le « + » de la norme ISO 27001:

§ L’alignement avec les risques

§ L’adoption de la démarche qualité (de processus de sécurité bienidentifiés, contrôle systématique des éléments mis en œuvre via leSMSI, gestion de documentation, gestion stricte des enregistrements)





§ ISO 27001:2005 : Système de management de la sécurité (SMSI)

Destiné à organiser le métier du RSSI

§ La norme ISO 27001 impose :

1) la conduite d’une analyse de risque

2) la définition d’un plan de traitement

3) Le contrôle de l’application stricte de ce plan

§ Open Source software pour ISO 27001/27005 (en anglais)….

http://esis.sourceforge.net/



ISO 27005 : GESTION DES RISQUES




CONVERGENCE ISO 2700X ET AUTRES RÉFÉRENTIELS


Quellesconvergences?

• CMMi & Processus ITIL facilient la mise en œuvre de ISO 27002 (code de bonnespra/ques)

• COBITetsonapprocheparlesrisquesaideàlamiseenplacedeladémarched’analysede

risque

• ISO20000(issudeITIL)>ISO27001(iden/quesurlapar/esécurité)• ISO9000permetd’accélérerlacer/fica/onàl’ISO27001notamment

• Démarched’améliora/oncon/nue• Revudumanagement• Ges/ondocumentaire,ges/ondescompétences,auditinterne

• Sarbannes-Oxley(ITSO)=>ISO27001(échan/llonnageiden/que,…)







LA CERTIFICATION ISO 27001 DANS LA MONDE






Les difficultés majeures rencontrées sur les audits de certification :

① La formalisation de la gestion des enregistrements et des éléments de preuves

demandent des efforts importants ! Les contrôles sont réalisés sur cette base !

② La connaissance du périmètre concerné, des principes et des règles de sécurité.

Les auditeurs vont interroger aussi bien les responsables métiers que les employés,

voire les prestataires.

③ La certification d’un SMSI n’ayant pas encore fait ses preuves. La norme autorise la

certification d’un SMSI n’ayant pas encore réalisé une boucle complète du PDCA.

Passage de la norme plus facile mais des difficultés sont à prévoir lors des audits de

renouvellement sur la partie « CHECK » et « ACT »



LES RÉFÉRENTIELS DE LA GESTION PROJET


§ PMP

§ ITIL (partie projet)

§ CMMi

§ Srcum/AGILE

§ PRINCE2



PRINCE 2 - PRINCIPES


PRINCE2 peut être appliqué quelle que soit la taille et la nature du projet oul’organisation, parce que PRINCE2 repose sur 7 principes :

① Jus/fica/oncon/nuepourl’entreprise② Leçons/réesdel’expérience③ Rôlesetresponsabilitésdéfinis④ Managementparséquences⑤ Managementparexcep/on⑥ Focalisa/onsurleproduit⑦ Adapta/onàl’environnementdeprojet



LES RÉFÉRENTIELS DE LA CONTINUITÉ


ISO 22301:2012 : Système de management de la continuité d’activité

ISO 22301 s’applique à toutes les organisations qui souhaitent:

1) établir, mettre en œuvre, maintenir et améliorer un SMCA;

2) assurer la conformité avec la politique de continuité des activités;

3) démontrer la conformité à des tiers;4) obtenir la certification / l’enregistrement de son SMCA par un organisme de

certification indépendant;

5) déposer une auto-détermination et une auto-déclaration de conformité à

cette norme internationale.



LES RÉFÉRENTIELS DE LA CONTINUITÉ


ISO 22301:2012 : Système de management de la continuité d’activité

ISO 22301 s’applique à toutes les organisations qui souhaitent:

1) établir, mettre en œuvre, maintenir et améliorer un SMCA;

2) assurer la conformité avec la politique de continuité des activités;

3)

démontrer la conformité à des tiers;4) obtenir la certification / l’enregistrement de son SMCA par un organisme de

certification indépendant;

5) déposer une auto-détermination et une auto-déclaration de conformité à

cette norme internationale.





Add a

forsustainable

results

w w w.added-consul ting.com

Theinforma/oncontainedinthefollowingpagesisintendedsolelyfortheaddressedrecipient.Therecipientagreestotreattheinforma/oncontainedinthisdocumentasconfiden/alandorproprietaryinforma/onofAdded.TherecipientalsoagreesthatthisdocumentmaycontaintradesecretsofAddedwhichwouldprovideacompe//veadvantagetoothers.Asaresult,theinforma/oncontainedinthisdocumentshallnotbedisclosed,usedorduplicated,inwholeorinpart,foranypurposeotherthantoevaluateAdded.

25

tbo@added-consul ting.com

+33.6.89. 72.66.63

Thibau t de la Bou vrie

QUESTIONS?

CONFIDENTIAL ©ADDED

Documents

Les référentiels de la gestion des risques et de la sécurité informatique - Thibaut de la Bouvrie - iCompetences RSI2012