La famille des normes ISO 2700x (2ème partie)

Date : 02 Août 2007

1 - Introduction

Le premier article de cette série (voir le Bulletin Sécurité n°117 - Juin 2007) présentait la famille et décrivait les normes ISO/IEC 27001 et ISO/IEC 27002.

La norme ISO/IEC 27001 définit les règles de mise en place d’un SMSI (Système de Management de Sécurité de l’Information). Il s'appuie pour cela le modèle de la roue de Deming (illustration de la méthode qualité PDCA - Plan / Do / Check / Act).

Ce deuxième article présente en détail ce "PDCA", puis présente le processus de certification.
 

2 - Processus de mise en œuvre d’un SMSI en utilisant le modèle PDCA 

Le modèle PDCA est constitué de quatre phases :

  • la phase Plan (Préparer) permet d’écrire ce que l’on va faire ;
  • la phase Do (Dérouler/Produire) permet de mettre en place ce que l’on a écrit ;
  • la phase Check (Vérifier/Contrôler) permet de vérifier que les actions/mesures mises en place sont efficaces et atteignent l’objectif défini;
  • la phase Act (Assurer/Améliorer) permet de vérifier que les actions mises en place sont efficaces dans le temps.

L’application de ce modèle à la mise en œuvre d’un SMSI est détaillée comme suit.

Phase 1 : Préparation (Plan)

La première activité consiste à définir le périmètre du SMSI. Il est important de bien délimiter le périmètre vis à vis de l’organisme et de justifier les exclusions.

La deuxième activité est l’établissement d’un document de politique du SMSI formulée par la Direction donnant les grandes orientations en matière de sécurité et fixant les objectifs.

La troisième activité permet de choisir une méthode d’appréciation des risques, de décrire les critères d’acceptation des risques et d’identifier les niveaux acceptables des risques. Aucune méthode n’est imposée, mais la démarche suivante doit être suivie :

  • Tâche 1 : Identifier les biens dans le cadre du SMSI et leur propriétaire
  • Tâche 2 : Identifier les vulnérabilités puis les menaces sur ces biens
  • Tâche 3 : Identifier les impacts d’une perte de confidentialité, intégrité et disponibilité
  • Tâche 4 : Evaluer la probabilité d’occurrence de la menace
  • Tâche 5 : Estimer le niveau de risque

La quatrième activité consiste à dérouler la méthode d’appréciation des risques et à traiter les risques identifiés. Traiter le risque signifie choisir une des quatre options suivantes proposées :

  • Accepter le risque en toute connaissance de cause et de façon objective (ce risque va devenir un risque résiduel)
  • Refuser le risque : décision visant à ne pas être impliqué dans une situation à risque, ou à se retirer d'une situation à risque. On peut par exemple éviter le risque en supprimant l’activité.
  • Transférer le risque : partager avec un tiers une autre partie de la charge, de la perte, ou du bénéfice induit par la réalisation d'un risque.
  • Réduire le risque: réaliser des actions préventives permettant de diminuer la probabilité, les conséquences négatives, ou les deux, associées à un risque.

Afin de réduire les risques à un niveau acceptable, La démarche propose de sélectionner dans l’annexe A de la norme 27001 (annexe qui correspond à l’ISO 27002) les mesures de sécurité que l’on souhaite mettre en place et de remplir une matrice d’applicabilité (appelé SoA – "Statement Of Applicability").

Cette matrice contient :

  • les mesures de sécurité retenues et la raison de leur sélection;
  • les mesures de sécurité déjà mises en place;
  • les mesures de sécurité non retenues et la raison de leur mise à l’écart.


Le cas échéant, il est possible aussi de rajouter des mesures n’existant pas dans cette annexe.

La Direction a ici un rôle important, car elle doit approuver les risques résiduels identifiés (par défaut tout risque accepté devient un risque résiduel).

Cette phase permet de répondre aux clauses 4 et 5 de la norme ISO 27001.


Phase 2 : Production (Do)

La première activité consiste à gérer l’allocation des ressources (humaines, financières, matérielles). La Direction montre ainsi son engagement.

La seconde activité consiste à rédiger, puis implémenter, un plan de réduction des risques. Ce plan contient toutes les actions / mesures à mettre en œuvre ainsi que les ressources affectées, les responsabilités, les délais…

La troisième activité est la définition d’indicateurs permettant de mesurer l’efficacité des mesures mises en place.

La quatrième activité, qui n'est pas la moindre, permet de former ou sensibiliser l’ensemble du personnel.

La cinquième activité correspond à la rédaction et à la gestion de toute la documentation du SMSI (dont par exemple la procédure pour la détection et la résolution des incidents liés à la sécurité ou la procédure de gestion des traces).


Une fois mis en place, il ne reste plus qu’à exploiter ce SMSI au quotidien.

Cette phase permet de compléter les clauses 4 et 5 de la norme ISO 27001 (clauses déjà abordées lors de la phase 1).

 

Phase 3 : Contrôle (Check)

La première activité correspond à la surveillance au quotidien; celle-ci permet de :

  • détecter rapidement des erreurs de traitements;
  • identifier des failles de sécurité ou des incidents de sécurité;
  • permettre au management de s’assurer que les mesures de sécurité sont implémentées comme il se doit ; etc.

La seconde activité consiste en la tenue de revues. Ces revues doivent avoir lieu régulièrement pour vérifier l’efficacité du SMSI et voir dans quelle mesure il est possible d’améliorer ce SMSI. Il faut au minimum une revue par an. Ces revues utilisent en entrée les résultats des audits, les incidents ayant eu lieu, les suggestions ou "feed-back" des différentes parties prenantes… Les risques doivent être aussi réévalués à intervalles réguliers ou à chaque changement dans l’organisation, de technologie, d’objectif… En sortie de ces revues, il faut lister les améliorations et changements, à implémenter dans la phase "Act".

La dernière activité est la programmation et la mise en place d’audits internes du SMSI. Ces audits doivent être planifiés à intervalle régulier pour s’assurer que les objectifs, les mesures de sécurité, les processus et les procédures du SMSI soient conformes à l’ISO 27001 et à la législation ou régulation applicables, conformes aux besoins de sécurité identifiés, et implémentés, maintenus et exploités comme il se doit.


Cette phase permet de répondre aux clauses 6 et 7 de la norme 27001.
 

Phase 4 : Assurance ou amélioration (Act)

Cette phase permet d’implémenter les améliorations et les changements décidés lors de la phase Check, et de s’assurer que les améliorations atteignent les objectifs fixés.

Pour cela deux types d’actions sont considérées :

  • Les actions correctives qui éliminent les causes de non-conformité.
  • Les actions préventives qui éliminent les causes de non-conformité potentielle.

 

Cette phase permet de répondre à la clause 8 de la norme 27001.

 

3 - Processus de certification ISO/IEC 27001 pour les organismes

La certification est un engagement dans la durée. Elle est composée de plusieurs audits :

  • 1 - L’audit initial complet porte sur tout le SMSI et sur le respect de toutes les clauses.

  • 2 - L’audit partiel (audit de surveillance) est effectué ensuite régulièrement (tous les six mois ou deux fois par an). Il porte sur une partie du SMSI et s'intéresse en priorité à la correction des causes des non-conformités mineures et à la prise en compte des remarques.

L’audit initial débute par une revue de la documentation qui permet de s’assurer que l’organisme a écrit tout ce qu’il devait faire; de vérifier que ce qui est écrit est conforme aux clauses 4 à 8 de la norme ISO 27001. L’audit se poursuit par un audit sur site qui permet de vérifier que ce qui est écrit est appliqué; que cela est conforme aux clauses 4 à 8 de la norme ISO 27001; et enfin que l'ensemble est efficace (rationnel).

Les certificats ISO27001

  • peuvent exclusivement être attribués par une institution de certification accréditée,
  • sont reconnus sur le plan international,
  • sont valables trois ans, à l’issue desquels une nouvelle certification a lieu dans un souci de développement continu. Pendant leur validité, des vérifications annuelles de suivi sont réalisées.

 

4 – Les certificats en France

A l’heure actuelle, peu de sociétés françaises sont certifiées ISO 27001 (moins de 5) alors que d’autres pays en comptent plusieurs centaines. Pour les attributions pays par pays des certifications ISO 27001 vous pouvez consulter le site web : www.iso27001certificates.com

 

5 - Processus de certification ISO/IEC 27001 pour les individus 

La certification " ISO/IEC 27001 Lead Auditor " atteste que la personne certifiée :

  • possède, ou a acquis, les connaissances et les compétences nécessaires pour mener un audit selon la norme ISO/IEC 27001 ;
  • possède le savoir-faire et les qualités personnelles nécessaires à la conduite d’un audit, définies dans la norme ISO/IEC 19011: 2002 "Lignes directrices pour l'audit des systèmes de management" et dans les guides associés (ISO, IAF, EA).

La certification Lead Auditor est internationale.


Une nouvelle certification vient de naître en France, il s’agit de la certification « ISO/IEC 27001 Lead Implementer », Cette certification atteste la compétence d'une personne à mettre en place un système de management de la sécurité de l'information selon la norme ISO/IEC 27001.
 

6 - Conclusion : A suivre …

Dans un prochain article nous essaierons de positionner la norme ISO 27001 par rapport aux nombreuses normes / références existantes aujourd’hui comme par exemple ITIL, CoBIT, SoX, SAS70…


Précedent Précedent Suivant Suivant Imprimer Imprimer