Présentation de l’ISO 27001 et du modèle PDCA

Août 2011 Par: Chantale Pineault ADMA, CMC, CRISC Responsable d’implémentation 27001 ISO 27005 Risk Manager / Méhari
AGRM - Protection de l’information 1

Protection de l’information 2 . • Équilibre entre facilité d’utilisation et sécurité Il faut gérer les risques. • Loi sur la protection des renseignements personnels et les documents électroniques • Conformité à Sarbanes-Oxley (USA) AGRM . De plus en plus. la sécurité de l’information devient une obligation légale.Introduction La sécurité à 100% n’existe pas.

le stockage.Protection de l’information 3 . le traitement. • papier. AGRM . la transmission. notamment les messageries et la communication électronique ou verbale. • • L'information peut être transmise par différents moyens.Introduction Qu’est-ce que l’information? • • L'information est un actif essentiel au fonctionnement de l'organisme et nécessite en conséquence d'être bien protégé. L'information peut être stockée sous différentes formes • numérique. Les TIC sont un élément essentiel dans tout organisme et facilitent la création. la protection et la destruction de l'information. • connaissances des salariés.

des entités ou des processus non autorisés. AGRM .Protection de l’information 4 . Intégrité Propriété de protection de l’exactitude et de l’exhaustivité des actifs. Confidentialité Propriété selon laquelle l’information n’est pas rendue disponible ou divulguée à des personnes.Introduction Qu’est-ce que la sécurité de l’information? • La sécurité de l'information comprend trois grandes dimensions: Disponibilité Propriété d’être accessible et utilisable à la demande par une entité autorisée.

• Plus de 16000 normes ont été publiées depuis 1947.Introduction • L’Organisation Internationale de Normalisation (ISO) est une fédération internationale d’organisations normalisatrices nationales de plus de 150 pays. AGRM . • Rôle : faciliter la coordination internationale et l’uniformisation des normes industrielles. • La famille de normes ISO 27000 concerne la sécurité de l’information.Protection de l’information 5 . • Les résultats finaux des travaux de l’ISO sont publiés en tant que normes internationales.

Protection de l’information 6 .Introduction Exigences Usage obligatoire pour la certification ISO 27001 Exigences du SGSI ISO 27006 Certification de SGSI ISO 27000 Vocabulaire ISO 27002 Mesures de sécurité Guides Usage facultatif ISO 27007 Audit de SGSI ISO 27005 Gestion des risques ISO 27004 Indicateurs SGSI ISO 27799 Organisations de santé ISO 27003 Mise en œuvre AGRM .

AGRM . la mise en place et la documentation des SGSI • Spécifie les exigences pour la mise en œuvre de contrôles conformément aux besoins des organisations • L’annexe A se compose de 11 sections comportant 133 contrôles de ISO 27002 • Les organisations peuvent postuler à la certification à cette norme.Présentation de l’ISO 27001 ISO 27001 Gestion de la sécurité de l'information – Spécification pour les systèmes de management de la sécurité de l'information • Spécifie les exigences pour la conception.Protection de l’information 7 .

1 Mise en place du SGSI Clause 4.2 Implémentation et exploitation du SGSI Clause 6 Audits internes du SGSI Clause 4.Présentation de l’ISO 27001 Structure de la norme Clause 5 Responsabilité du management Clause 8 Amélioration du SGSI Clause 4.Protection de l’information 8 .2.2.3 Contrôle et revue du SGSI Clause 7 Revue du SGSI AGRM .2.2.4 Amélioration du SGSI Clause 4.

Protection de l’information 9 .Présentation de l’ISO 27001 2007 2005 2002 2001 2000 1999 1998 1995 ISO 27002:2005 ISO 17799:2005 et ISO 27001:2005 approuvés Nouveau BS 7799-2 accepté Nouveau BS 7799-2 (draft) ISO/IEC 17799:2000 Nouvelle sortie du BS 7799 Partie 1 & 2 BS 7799 Partie 2 BS 7799 Partie 1 AGRM .

AGRM . le modèle PDCA (Plan-DoCheck-Act) est l’illustration d’une méthode de gestion en 4 étapes. La 4e étape.Modèle PDCA et SGSI Aussi connu sous le nom de Roue de Deming. le développement et la réalisation de l’œuvre. La 1ère étape. consiste à planifier la réalisation. est la correction et l’amélioration continue de la solution.Protection de l’information 10 . 2. Agir. Contrôler. 3. Elle se déroule généralement en 3 phases: 1. consiste à vérifier qu’il n’y a pas d’écart entre ce que l’on a dit et ce que l’on a fait. Identifier le problème Rechercher les causes Élaborer des solutions et un cahier des charges C A P D La 2e étape. Planifier. est la construction. La 3e étape. Déployer.

Protection de l’information 11 .Modèle PDCA et SGSI Qu’est-ce qu’un système de gestion? Définition formelle de l’ISO 9000: C’est un système permettant: • D’établir une politique • D’établir des objectifs • D’atteindre ces objectifs Situation actuelle Politique Objectifs AGRM .

SMSI ou ISMS). le modèle PDCA est appliqué à la structure de tous les processus d’un Système de gestion de la sécurité de l’information (SGSI.Modèle PDCA et SGSI Dans l’ISO 27001. L’approche proposée est une approche processus pour • l’établissement (Planifier) • la mise en œuvre et le fonctionnement (Déployer) • la surveillance et la révision (Contrôler) • la maintenance et l’amélioration (Agir) du SGSI d’un organisme.Protection de l’information 12 . AGRM .

CONTRÔLE ET AMÉLIORATION DU SGSI 4.Modèle PDCA et SGSI Modèle PDCA appliqué aux processus SGSI 1. Agir Maintenance et amélioration du SGSI 3. Déployer Mise en œuvre et fonctionnement du SGSI CYCLE DE VIE DE LA DÉFINITION. Contrôler Surveillance et révision du SGSI AGRM . MISE EN ŒUVRE. Planifier Établissement du SGSI 2.Protection de l’information 13 .

• Pour de nouveaux réseaux • Pour de nouvelles applications • Pour des tests • Une équipe compétente s’occupe de gérer le pare-feu.Exercice 1 .PDCA • Contexte: Audit de pare-feu • Le pare-feu assure la segmentation du réseau au moyen de règles de filtrage. • Des nouvelles règles sont ajoutées régulièrement.Protection de l’information 14 . • Les règles commencent à s’accumuler un peu trop… AGRM .

• Consigne: Remédier à ce problème avec le PDCA AGRM .Exercice 1 .Protection de l’information 15 .5. Cloisonnement des réseaux • La quantité de règles rend la gestion du pare-feu ardue. • • Tests achevés Applications qui n’existent plus • L’objectif de protection réseau n’est plus atteint. • Beaucoup de règles maintenant obsolètes sont toujours présentes.PDCA • Nécessité de protéger les données sensibles par filtrage du réseau • 11.4.

AGRM . CONTRÔLER • S’assurer que les règles présentes dans le pare-feu et le routeur sont cohérentes avec la liste de règles.Protection de l’information 16 . AGIR • Si ce n’est pas le cas.Exercice 1 . modifier la liste de règles ou la configuration.PDCA Solution PLANIFIER • • Identifier les flux autorisés. Formaliser une liste de règles. P A C D DÉPLOYER • Configurer le pare-feu et le routeur.

• Permet de traiter des règles problématiques • Supprimer des règles obsolètes ou contradictoires • Affiner les règles déjà existantes • Réduit les risques de flux non autorisé • Contrevenant à la politique de sécurité AGRM .Exercice 1 .Protection de l’information 17 .PDCA Conclusion • Important de vérifier la cohérence de l’application de la mesure de sécurité.

Norme internationale. Technologies de l’information – Techniques de sécurité – Systèmes de gestion de la sécurité de l’information – Exigences. Technologies de l’information – Techniques de sécurité – Code de bonne pratique pour la gestion de la sécurité de l’information. Norme internationale.Protection de l’information 18 . Informatique de santé – Gestion de la sécurité de l’information relative à la santé en utilisant l’ISO/CEI 27002. Management de la sécurité de l’information : Implémentation ISO 27001 : Mise en place d’un SMSI et audit de certification. année 2008 Alexandre Fernandez-Toro. année 2005 ISO/CEI 27002. Paris : Eyrolles. Technologies de l’information – Techniques de sécurité – Systèmes de management de la sécurité de l’information – Vue d’ensemble et vocabulaire ISO/CEI 27001. année 2005 ISO/CEI 27799. année 2008 www.Spécifications à l’égard de la documentation ISO/CEI 27000.iso.org AGRM .

Protection de l’information 19 .ca AGRM . G1S 3E5 Téléphone: (418) 682-2779 info@agrmpi.agrmpi. bureau 200 Québec.ca www. QC.Contact et information AGRM-PI Société-conseils en sécurité de l’information 600 avenue Belvédère.

Sign up to vote on this title
UsefulNot useful