Les référentiels usuels dans les systèmes d’informationdoc-standarmedia.afnor.fr/etudes/20070315_ComputerAssociates_Stan... · CobiT, ITIL et ISO 27001 -CobiT aide à définir

Les référentiels usuels dans les systèmes d’information

-Yves LE ROUX CISM, CISSP, ITIL-Technology [email protected]

-Membre du SMC de l’ISACA

© 2005 Computer Associates International, Inc. (CA). All trademarks, trade names, services marks and logos referenced herein belong to their respective companies.

Les Standards/Normes

Métiers

Gestion des Services Gestion des Applications

Infrastructure

DSI

ISO 27000

Six Sigma

Benchmark

ISO 9000

ITILCMMCOBIT

TCO

SNIA

ScoreCardValIT

COSO


Positionnement des Referentiels


Positionnement des Référentiels


COSO

COmmittee of Sponsoring Organizations

of the Treadway Commission


Cadre du COSO

http://www.coso.org/Publications/ERM/COSO_ERM_Execu

tiveSummary_french.pdf

Cadre de référence pour la gestion des risques de

l’entreprise (Enterprise Risk Management Framework)

-Identifier les événements potentiels pouvant affecter

l’organisation,

-Maîtriser les risques afin qu’ils soient dans les limites

du « Risk Appetite (appétence au risque)» de

l’organisation,

-Fournir une assurance raisonnable quant à la

réalisation des objectifs de l’organisation.


Objectifs du COSO

4 catégories d’objectifs:

-Stratégique: objectifs stratégiques servant la

mission de l’organisation

-Opérationnel: objectifs visant l’utilisation efficace

et efficiente des ressources

-Reporting: objectifs liés à la fiabilité du reporting

-Conformité: objectifs de conformité aux lois et

aux réglementations en vigueur


Eléments du COSO

-8 éléments:

-Environnement interne

-Fixation des objectifs

-Identification des événements

-Evaluation des risques

-Traitement des risques

-Activités de contrôle

-Information et communication

-Pilotage


Le cube COSO

- Les quatre grandes catégories d’

objectifs: stratégiques,

opérationnels, reporting et

conformité sont représentées par

les colonnes,

- les huit éléments du management

des risques par les lignes

- et les unités de l’organisation par

la troisième dimension.


COBIT

Control Objectives for

Information and related Technology


Cobit et la Gouvernance des SI

- La première version de

COBIT a été publiée par

l’ISACA en 1994,

- COBIT est devenu un

standard de fait de la

gouvernance des TI

- La version V4 est sortie en

2006

- Definit 5 domaines de la

gouvernance

Alignement

Alignement

strat

stratéégique

gique Valeur

Valeurajoutajoutééee

Gestion des Gestion des ressourcesressources

Ma

Maîî

tris

e de

s tr

ise

des

risqu

esris

ques

Mesure de la

Mesure de la

performance

performance

Gouvernance Gouvernance des TIdes TI

Alignement

Alignement

strat

stratéégique

gique Valeur

Valeurajoutajoutééee

Gestion des Gestion des ressourcesressources

Ma

Maîî

tris

e de

s tr

ise

des

risqu

esris

ques

Mesure de la

Mesure de la

performance

performance

Gouvernance des TI

http://www.isaca.org/


Les Composants de Cobit


Relations entre composants Cobit


Les 34 Processus et les domaines

P=Primary enabler S=Secondary enabler


Mesurer l’atteinte des objectifs

-Une fois les objectifs métiers, informatiques,

processus et activités définis, il faut s’assurer

qu’ils seront atteints

-COBIT propose à cet effet deux catégories

d’indicateurs

-Les indicateurs clés d’objectifs (ICO) mesurent à

chaque niveau (métier, informatique, processus,

activité) ce qui doit être réalisé

-Les indicateurs clés de performance (ICP)

mesurent le niveau de performance atteint

-A un niveau donné, il y a un lien important de

cause à effet entre ICP et ICO


Les niveaux de maturité

- Initial : Les facteurs de réussite des projets ne sont pas

identifiés, la réussite ne peut donc être répétée (par dérision,

ce niveau est aussi nommé héroïque ou chaotique).

- Piloté : Les projets sont pilotés individuellement et leurs

succès sont répétables.

- Standardisé : Les processus de pilotage des projets sont mis

en place au niveau de l'organisation par l'intermédiaire de

normes, procédures, outils et méthodes.

-Quantifié : La réussite des projets est quantifiée. Les causes

d'écart peuvent être analysées.

-Optimisé : La démarche d'optimisation est continue.


ITIL /ISO 20000


ITIL Vue d’ensemble

L

e

M

é

t

i

e

r

L

a

T

e

c

h

n

o

l

o

g

i

e

Perspective

Métier

Gestion des

Infrastructures

TIC

Gestion des Applications

Gestion des Services

Fourniture

des Services

Soutien des

Services

Gestion de

la Sécurité

Planifier la mise en place de la Gestion des Services



ISO/CEI 21827Modèle de maturité de capacité

(SSE-CMM®)


Le modèle

Deux dimensions : « domaine » et « adaptabilité ».

-La dimension « domaine » représente les «

pratiques de base » (BP).

-La dimension « adaptabilité » représente des «

pratiques génériques » (GP) liées à la gestion et à

la mise en place des processus de la dimension «

domaine » dans l’entité étudiée.

-La méthode répertorie 129 BP réparties en 22

catégories de processus.

-Les GP s’appliquent à chacun des 22 processus.

-Elles permettent d’identifier des pratiques

courantes et de définir 6 niveaux de maturité.


« Votre organisation peut-elleallouer des ressources pour identifier les vulnérabilités ? »


6 niveaux de maturité

- 0. Non mis en œuvre

- 1. Mis en œuvre informellement

- Pratiques de base mises en œuvre, « artisanat », « pansement »

- 2. Planifié et suivi

- Processus comparables menés de manière similaire, planification, vérification et suivi de la performance disciplinée

- 3. Standardisé

- Processus définis, mis en œuvre et coordonné

- 4. Contrôlé qualitativement

- Mise en place de métriques, établissement de buts mesurables, gestion objective de la performance

- 5. En amélioration constante

- Optimisation des métriques et capacité à redéfinir le processus, amélioration continue, amélioration de la capacitéorganisationnelle, amélioration de l’efficacité du processus


ISO 27000


Les différentes normes de la série

- ISO 27000 : Vocabulaire

- ISO 27001 : Système de management de la sécurité de l'information (SMSI)

- ISO 27002 : Renumérotation de l’ISO 17799

- ISO 27003 : Implémentation (en développement-Octobre 2008)

- ISO 27004 : Métriques et mesures (en développement)

- ISO 27005 : Management du risque (ISO 13335, BS 7799-3:2006 )

- ISO 27006 : Conditions d'accréditation pour les organismes certificateurs de SMSI

- ISO 2700? : Plan de continuité et de reprise (ISO/CEI 24762)

- ISO 27031 : Lignes directrices pour les télécommunications

- ISO 27799 : ISO 17799 pour la santé (en développement)


ISO 27001



Système de Management de la Sécurité de l’Information (SMSI)

- Planification : définir le champ du SMSI, identifier et évaluer les

risques, produire le document (Statement of applicability, SOA) qui

énumère les mesures de sécurité à appliquer ;

- Action : affecter les ressources nécessaires, rédiger la

documentation, former le personnel, appliquer les mesures

décidées, identifier les risques résiduels ;

- Contrôle : audit et revue périodiques du SMSI, qui produisent des

constats et permettent d’imaginer des corrections et des

améliorations ;

- Correction : prendre les mesures qui permettent de réaliser les

corrections et les améliorations dont l’opportunité a été mise en

lumière par la phase Contrôle, préparer une nouvelle itération de la

phase Planification.


CONTROLES ISO 27001

Correspondent aux 11 chapitres (5 à 15), 39 objectifs et 133 mesures de sécurité de l'ISO 17799:2005

- 5 Politique de sécurité formation

- 6 Organisation de la sécurité de l’information

- 7 Gestion des biens (actifs)

- 8 Sécurité liée aux ressources

- 9 Sécurité physique et environnementale

- 10 Gestion de l’exploitation et des télécommunications

- 11 Contrôle d’accès

- 12 Acquisition, développement et maintenance des systèmes d’information

- 13 Gestion des incidents liés à la sécurité de l’information

- 14 Gestion du plan de continuité de l’activité

- 15 Conformité


CONTROLES ISO 27001

-Le chapitre 4 mentionne les étapes (établir le SMSI, le mettre en oeuvre et l’exploiter, le contrôler et le réviser, le maintenir et l’améliorer). Il décrit aussi les exigences en matière de documents.

-Le respect des clauses des chapitres 4 à 8 est indispensable dans le cadre d’une certification.

-Annexe B: tableau de correspondance entre cette norme et les principes de l’OCDE

-Annexe C: tableau de correspondance entre cette norme et les normes IS 9001:2000 (qualité) et IS 14000:2005 (environnement)


Comment utiliser conjointement ces différents referentiels?


CobiT, ITIL et ISO 27001

-CobiT aide à définir ce qui doit être fait au niveau de la gouvernance de l’IT.

-ISO 27001 aide à définir ce qui doit être fait au niveau de la sécurité des informations

-ITIL explique comment le faire dans le domaines de la gestion des services

-Exemple:

-CobiT va définir les objectifs de l’IT

-ITIL va définir les SLAs correspondants

-ISO 27001 va définir les mesures nécessaires pour satisfaire la partie relative à la sécurité de ces SLAs et définir les métriques et mesures


Les tableaux de correspondance

-Afin de comprendre l’interaction entre CobiT et les

autre référentiels, l’ISACA/ITGI a lancé des études

conjointes avec un certain nombre d’autres

organisations responsables des referentiels.

-Le résultat est contenu dans des documents de

« mappings ».


Les documents de mapping de l’ISACA existants

http://www.isaca.org/ Section=Downloads

-COBIT Mapping: Overview of International IT

Guidance, 2nd Edition

-Aligning COBIT, ITIL and ISO 17799 for Business

Benefit (CobiT 3, ITIL V.2, ISO 1799:2000)

-COBIT Mapping: Mapping SEI's CMM for Software to

COBIT 4.0

-COBIT® Mapping: Mapping of ITIL with COBIT® 4.0

-COBIT® Mapping: Mapping of ISO/IEC 17799:2005

with COBIT® 4.0

-COBIT® Mapping: Mapping of PRINCE2 with COBIT®

4.0


Autres Mappings en cours

-COBIT® Mapping: Mapping of CMMI® for

Development v1.2 With COBIT® 4.0

-COBIT® Mapping: Mapping of TOGAF With

COBIT® 4.0

-COBIT® Mapping: Mapping of COSO ERM With

COBIT® 4.1

-COBIT® Mapping: Mapping of IT Baseline

Protection Manual With COBIT® 4.1

-COBIT® Mapping: Mapping of NIST FISMA With

COBIT® 4.1


Unified Compliance Framework

-Développé par IT Compliance Institute

-Création d’un corpus de normes, standards, de lois

et de règlements

-Standardisation de la terminologie des contrôle des

systèmes d’information

-Détection des points communs entre les documents

-Réalisation d’une matrice ayant 1400 points de

contrôle et pour chaque élément du corpus

l’existence ou non de ce point de contrôle

-http://www.itcinstitute.com/ucp/index.aspx


Conflits de lois

-SWIFT:

-US Patriot Act contre Directive Européenne 95/46

-Lignes éthiques

-Sarbanes-Oxley contre Directive Européenne 95/46

Les référentiels usuels dans les systèmes d’information

-Yves LE ROUX CISM, CISSP, ITIL-Technology [email protected]

-Membre du SMC de l’ISACA

Documents

Les référentiels usuels dans les systèmes d’informationdoc-standarmedia.afnor.fr/etudes/20070315_ComputerAssociates_Stan... · CobiT, ITIL et ISO 27001 -CobiT aide à définir