SMSI Oui ! Certification ?

Peut tre

Grer concrtement ses risques avec l'ISO 27001

Lhomme honorable commence par appliquer ce quil veut enseigner Confucius
23 octobre 2008

Agenda

1. L'ISO 27001 : pour grer les risques ?

2. Principes et implmentation de l'ISO 27001 3. Pour plus d'information...

23/10/2008 - Proprit de Solucom, reproduction interdite

LISO 27001 pour grer les risques ?

Lenjeu : matriser les risques pesant sur la scurit des SI

Contribuer aux stratgies Mtier en matrisant les risques de scurit de linformation de faon globale et transverse en rationalisant lorganisation et les ressources scurit et en s'inscrivant dans une dynamique de progrs Une rponse : installer une vraie Gouvernance de la Scurit de lInformation

Un outil : LISO 27001

23/10/2008 - Proprit de Solucom, reproduction interdite 3

LISO 27001 pour grer les risques ?

Les initiatives ISO 27001 dans les grands comptes

Un mouvement dadoption rellement enclench

Analyse des carts ralise

Aucune initiative lance

33% 47% 12% 9%

Dfinition dun SMSI sans objectif de certification

Source: Solucom Group Panel de 50 grands comptes Septembre 2008

Projet de certification lanc

23/10/2008 - Proprit de Solucom, reproduction interdite 4

LISO 27001 pour grer les risques ?

Ladoption des principes de lISO 27001 dans les grands comptes

Une norme qui insiste l o le bt blesse

Analyse mtier des risques SI Politique de scurit Plan d'actions annuel Procdures formalises Plan de sensibilisation Plan de contrle annuel Tableaux de bord Revue rgulire avec la DG
Source : Solucom Group Panel de 50 grands comptes - Septembre 2008
23/10/2008 - Proprit de Solucom, reproduction interdite

39%

(+14%)

90% 81% 71% 53% 47%

(+2%)

(+5%)

(+9%)

(+8%)

(+16%) (+6%) (+3%)

Adoption en 2008 Adoption en 2007
5

56%

60%

LISO 27001 pour grer les risques ?

Un mouvement de certification ISO 27001 qui reste timide en France

Nombre de certifications en 2008 Nombre de certifications en 2007

Nombre dentreprises certifies par anne et pays - Aot 2008

sources: www.iso27001certificates.com

23/10/2008 - Proprit de Solucom, reproduction interdite

LISO 27001 pour grer les risques ?

La famille des normes ISO 2700x (septembre 2008)

Norme 27000 27001 Titre Statut Draft Publie Publie Draft Draft Publie Publie Draft Publie
Norme 27011 27012 27013 27015 27016 27031 27032 27033-x 27034-1 27035 27799 Titre Guide pour le secteur des tlcommunication Guide pour le secteur financier Guide pour le secteur de l'industrie Guide pour l'accrditation Audits et revues Continuit d'activit Cyberscurit (Internet) Scurit des rseaux Guide pour la scurit applicative Gestion des incidents de scurit Dclinaison de l'ISO 27002 pour le secteur de la sant Statut Draft Propose Propose Propose Propose Draft Draft Draft Draft Draft

Dfinitions et vocabulaire Exigences d'un SMSI Guides de bonnes pratiques de scurit 27002 de l'information 27003 Guide d'implmentation d'un SMSI 27004 Indicateurs et tableaux de bord 27005 Gestion des risques Exigences pour les organismes d'audit 27006 et de certification 27007 Guide pour l'audit d'un SMSI Standard SMSI spcifique au secteur WLA SCS du jeu (World Lottery Association)

Publie Draft
7

23/10/2008 - Proprit de Solucom, reproduction interdite

Agenda

1. L'ISO 27001 : pour grer les risques ?

2. Principes et implmentation de l'ISO 27001

3. Pour plus d'information...

23/10/2008 - Proprit de Solucom, reproduction interdite

Principes et implmentation de lISO 27001

Un SMSI reposant sur 4 principes cls

LISO 27001 propose un modle rpondant aux enjeux dune gouvernance optimise et prenne de la scurit de linformation : le Systme de Management de la Scurit de lInformation (SMSI)

4 principes cls Le pilotage par les risques

Lamlioration continue
(Plan Do Check Act)

ISO 27001

Lapproche processus

Limplication du management
23/10/2008 - Proprit de Solucom, reproduction interdite 9

Principes et implmentation de lISO 27001

impliquant la formalisation de 7 processus essentiels

Piloter le SMSI 7 processus essentiels
Chaque processus sapplique lui mme le principe damlioration continue

Analyser les risques Grer le traitement des risques Contrler lefficacit Grer les incidents et les vulnrabilits Former et sensibiliser Grer la documentation et les preuves
23/10/2008 - Proprit de Solucom, reproduction interdite 10

Principes et implmentation de lISO 27001

dont limplmentation doit tre priorise

Cible dterminer

Cible minimum
A na ris lys qu er es les C le on ffi tr ca le ci r t SM SI

Certification
co P n r le ne oce se s xe ss ns inc s us ib id (g ili en r se ts er r , G ) r er le do cu e s p m t la re uv en es ta tio n

tr G ai te re ris me r l qu nt e es de s

Pi lo t

er l

Mesures et projets de scurit prioritaires

23/10/2008 - Proprit de Solucom, reproduction interdite

11

Principes et implmentation de lISO 27001

Donner rapidement une impulsion dcisive

Mettre en place une dmarche continue de matrise des risques
Analyse dcart avec la norme Analyse de risques macro

Dterminer rapidement les grandes orientations Cartographie initiale : Une premire analyse de haut niveau

Stratgie du SMSI
Primtre du SMSI Plan de matrise des risques

Orientations des grands chantiers et choix du primtre

Chantiers de mise en conformit ISO 27001/ISO 27002 DO

Ajustement

Processus gestion des risques ISO 27005

Cartographie mise jour : des analyses dtailles sur des primtres rduits

CHECK ACT

Ajustement des priorits de mise en uvre locale des chantiers

12

23/10/2008 - Proprit de Solucom, reproduction interdite

Principes et implmentation de lISO 27001

Le contrle : une dmarche industrialiser

Deux objectifs

valuer lefficacit des mesures prises de faon systmatique et sensibiliser les oprationnels et les responsables
Points de contrle Risques Politique de scurit Dmarche de contrle Contrle interne de lentreprise
Degr 1 Degr 2

Oprationnel (autocontrle)

Management & filire de contrle permanent

Degr 3

Audits priodiques

Plan de contrle Scurit de lInformation Ajustement / ralignement des plans dactions

23/10/2008 - Proprit de Solucom, reproduction interdite 13

Principes et implmentation de lISO 27001

Le contrle : une dmarche industrialiser

3 recommandations
Identifier les points de contrles trs en amont
Ds la formalisation des Politiques de Scurit pour les points de contrle globaux Ds la dfinition des mesures de scurit dans les projets SI pour les points de contrles spcifiques certains primtres

Accompagner la mise en uvre du dispositif de contrle

Mettre en place un accompagnement des oprationnels en consquence Installer un reporting rgulier diffus aux acteurs impliqus

Dans la communication, toujours relier les contrles aux risques associs

23/10/2008 - Proprit de Solucom, reproduction interdite 14

Principes et implmentation de lISO 27001

Quelques autres points cls

Bien dfinir le primtre, et lentit de management associe
Le nombre de processus mtiers concerns est plus structurant que la taille du primtre (nombre de sites, nombre dutilisateurs)

Prendre en compte la gestion des ressources externes

Gestion du SI Gestion des ressources humaines Gestion des achats Analyser les risques Etablir les conventions de service (auditabilit, indicateurs, preuves, gestion des incidents)

Sappuyer sur lexistant

Rvaluer les risques priodiquement pour faire voluer le SMSI (par exemple pour prendre en compte de nouvelles rglementations telle que PCIDSS) Et communiquer, communiquer, communiquer.

23/10/2008 - Proprit de Solucom, reproduction interdite

15

Principes et implmentation de lISO 27001

Conclusion : ce quil ne faut pas attendre de la norme !

LISO 27001 ne garantit pas un bon niveau de scurit

Elle ne permet pas de se situer par rapport au march

Elle ne dit pas comment choisir la bonne maille pour raliser lanalyse des risques

Elle ne garantit pas la pertinence des processus et des solutions de scurit

23/10/2008 - Proprit de Solucom, reproduction interdite

16

Principes et implmentation de lISO 27001

Conclusion : les apports de la norme

LISO 27001 rationalise et crdibilise la dmarche scurit

Une communication vers le management plus efficace

Rendre la dmarche du RSSI plus crdible et plus lisible Obtenir une relle implication des mtiers et contribuer leur performance

Une meilleure mobilisation des acteurs

En partageant des objectifs et des primtres ralistes En les impliquant dans le contrle et la boucle de progrs

Une valeur dimage et de crdibilit externe

En particulier avec la certification ISO 27001 Lorsquelle rpond un enjeu Mtier
23/10/2008 - Proprit de Solucom, reproduction interdite 17

Agenda

1. L'ISO 27001 : pour grer les risques ? 2. Principes et implmentation de l'ISO 27001
3. Pour plus d'information...

23/10/2008 - Proprit de Solucom, reproduction interdite

18

Certification ISO 27001 : Notre retour dexprience

Le 18 septembre 2008

Solucom annonce la certification ISO 27001 de ses prestations daudit de scurit des systmes dinformation

Lhomme honorable commence par appliquer ce quil veut enseigner Confucius

23/10/2008 - Proprit de Solucom, reproduction interdite 19

Pour plus dinformation

Que pouvez vous attendre de la norme ISO 27001 ?

2nde dition de notre livre blanc qui vient dtre publi

23/10/2008 - Proprit de Solucom, reproduction interdite

20

Des questions ?
www.solucom.fr www.solucom-group.fr

Votre contact : Laurent BELLEFIN Directeur des oprations scurit Tel : +33 (0)1 49 03 25 32 Mobile : +33 (0)6 16 10 20 72 Mail : laurent.bellefin@solucom.fr