nps61 PDF

Net date de parution : 21 - 01/10/2008
Diffusion : 5000
Priodicit : Trimestriel Page : 36
MagSecurs1_21_36_308.pdf Taille : 85 %
Site Web : www.mag-securs.com et www.mag-securs.net
Copyright (Mag. Securs) Reproduction interdite sans autorisation
1 / 9
SMSI:
Systme
de
Management
de la Scurit de l' Information
OSSIER
L'
apprciation
des
risques
dans
la mise en oeuvre d' un SMSI
ALLER L' ESSENTIEL
Convis notre table ronde: dix
experts
des
systmes
de
management
de la scurit de l' information nous donnent leur avis sur l'
apprciation
des
risques
dans la mise en oeuvre d' un SMSI .
TABLE RONDE: LES INTERVENANTS
manager
scurit fondateur de la bureau conseil ,
directeur activit partner Logica
chez Solucom socit de conseil DCSSI-SGDN scurit , Sogeti Management
BUC SA et crateur Consulting
du
logiciel
Risicare
L . Grme Billois ,
L . Dominique
Bue ,
L . Matthieu Grall , L . Edouard Jeanson ,
L . Thierry
Jardin ,
r
Jean-Philippe
L.-. Jean-Pierre L . Yannick Kereun , L . Herv Schauer ,
Jouas , dveloppeur
Lacombe , directeur technique
fondateur de la
de mthode Mhari fondateur de la et RSSI de la socit de conseil
au Clusif socit de conseil socit SNR HSC
Fidens
Laurent Treillard ,
auditeur scurit
SI , groupe
Macif
Diffusion : 5000
2 / 9
Dfinition des
risques
On a
parfois oppos
dans le
pass
les deux
grandes
mthodes d'
analyse
de
risques que
sont Ebios1'
i
et
Mhari . Le
temps
est dsormais la
convergence
avec
la reconnaissance
par
les
professionnels
de la nouvelle
norme ISO 27005
publie
le 15
juin
dernier.
Matthieu Grall
(
DCSSI
)
est trs direct:

L' ISO
27005fixe
enfin
un cadre
pour
la
gestion
des
risques
de scurit de
l'
information
. Elle
fournit
ainsi les conditions
respecter
par
toute dmarche
mthodologique
. S'
y conformer
permet de
garantir que
les
principes
communment
reconnus ont t
appliqus
. La norme constitue une
rfrence
utile
pour
les
faire respecter,
sans
prjuger
des
mthodes et outils ncessaires
pour
les mettre en ouvre.

Laurent Treillard de la Macif
poursuit
dans le mme sens :
L' ISO 27005 va

insuffler
une
gestion
des
risques
commune au niveau international.

Jean-Pierre Lacombe
(
Fidens
) ajoute que

la
logique
de
management
des
risques
introduite
par
l' ISO 27001
,
et
reprise, par exemple,
dans les recommandations du RGS
,
tend
gnraliser
l'
usage
des mthodes Ebios et Mhari. Cette
gnralisation d'
emploi
et la
finalisation
du cadre IS027005 ont
permis
d' amener les mthodes un bon niveau de
maturit
, comme en atteste notamment la dernire version de la
mthode Ebios dlivre
par
le club
ponyme
.
Dominique
Buc
(
BUC SA
)
conclut de la mme manire:
<
Les
mthodes Mhari et Ebios annoncent de
plus
en
plus
leur
compatibilit
avec la norme IS027005. Je
pense qu'
au-del
des
aspects techniques,
cela
rpond
essentiellement
cet
aspect
de reconnaissance de la mthode
,
notamment au
plan
international .
La
convergence
est
par
ailleurs trs nette la lecture du
draft de la mthode Ebios 27005 en cours d' laboration
par
le club du mme nom et d' un document du Clusif
,
rcemment
publi ,
La
gestion
des
risques-Concepts
et mthodes

. Bien sr
,
le vocabulaire de chacun
garde
ses
origines
. Si l' on s' intresse la
partie

tude du
contexte
qui
constitue la base de l' ISO 27005 et de
chacune des deux mthodes
,
on trouve la notion de biens
essentiels
pour
Ebios
,
et d' actifs
primaires
ou
primordiaux
pour
le Clusif
qui reprend
les termes de la norme
ISO 27005. Ces deux notions recouvrent le mme
primtre
comprenant
l' information de l'
entreprise
, ses
processus et ses activits . De mme
,
la notion de biens
supports
d' Ebios
converge
avec les actifs
supports
dans le
langage
du Clusif
, pour
recouvrir
, tous deux
,
les matriels
,
les
logiciels,
les rseaux
,
le
personnel ,
le site et le
support
organisationnel
. Et toutes les autres
tapes
du draft Ebios
27005 et du document du Clusif
marquent
des similitudes
analogues
.
Dominique
Buc
synthtise
trs bien la situa- .
ISO 27005: POUR APPRCIER LES
RISQUES
ET SE CONCENTRER SUR L' ESSENTIEL
La norme vient d' tre
publie
( juin
2008
)
. Elle
propose
une
approche
itrative en vue d' tablir
une
apprciation
des
risques
en
scurit de l' information. Elle
reprend
les notions usuelles de
disponibilit
,
intgrit
et
confidentialit
,
et les confronte
aux menaces
pour
hirarchiser les
risques
et dcider du traitement
apporter
en fonction des
impacts
et de leur
probabilit
ou
vraisemblance . Elle
part
d' une
tude du contexte
, puis propose
une
apprciation
des
risques
ce
qui comprend
l'
analyse
(
identification et estimation
)
et
une valuation . Elle
propose
ensuite de traiter les
risques
suivant une combinaison de 4
possibilits
:
en refusant l' activit source
du
risque,
dans l'
esprit
d' un
principe
de
prcaution
en rduisant le
risque par
des mesures
adquates ;
en transfrant le
risque
:
assurances
, sous-traitants
,
etc
.;
en conservant le
risque
.
La mthode ISO 27005
permet
aux
entreprises
de ne retenir
, sur les
133 mesures de scurit de
l' annexe la norme ISO 27001
( reprises
dans l' ISO 27002
) ,
que
celles rellement ncessaires
l' issue de l'
apprciation
des
risques
. Elle vite de monter des
usines
gaz

issues des
approches
conformit ISO 27002
dans
lesquelles
le RSSI tente
d'
imposer
la DSI la
quasi-totalit
des 133 mesures
, faute d' avoir su
slectionner celles rellement
utiles. La norme ISO 27005
peut
tre
applique pour
un SMSI
,
mais aussi
pour
la
gestion
des
risques
d' un
projet
ou de tout
lment
particulier
.
Avec ses annexes
,
la mthode est
utilisable de manire autonome et
respecte
strictement l' ISO 27001. a
['
]Expression des
besoins et identification
des objets de scurit .
Voir
page
41 .
1Zi
Mthode harmonise
d'
analyse
des
risques
.
Voir
page
44 .
Diffusion : 5000
3 / 9
13LVoir encadr
page
37 .
.. . tion en disant
que

les deux mthodes annoncent une
compatibilit
aux normes ISO 27005 et ISO 3100013 . Il
y
a
,
avant tout,
des
aspects
de communication en
jeu
.
Aucune mthode ne
pourra
tre
prenne
sur le
pion
international sans se
prvaloir
de ces deux normes.
Tout cela est trs

bnfique ajoute
Matthieu Grall
,
la
DCSSI amliore Ebios dons le cadre du Club Ebios
, pour
l'
ajuster
lIS027005 et lIS031000 en tenant
compte
des retours d'
expriences
. La mthode
gagne
en
simplicit
,
modularit et
conformit par rapport
aux normes.
Cependant , prcise
Jean-Pierre Lacombe
,
il convient de
dissocier la norme ISO 27005 des mthodes d'
analyse
.
La norme
dfinit
un cadre d'
analyse
,
mais n' a
pas
vocation constituer une mthode. L' ISO 27005 est trs
explicite: "a number
of existing methodologies
con be used
under the
framework
described in this international
standard
"
. Cette norme ne s' est
pas
donne
pour
objectf
d' tre
applicable,
mais de
dfinir
les
tapes
indispensables une
analyse
de
risques
. Ebios 27005 dcline de
manire
oprationnelle
le standard en
proposant
un
outillage support
la ralisation des
diffrentes tapes
normatives. En ce sens, bios est
compatible
avec
l' ISO27005
,
et
favorise
la ralisation d'
analyses
conformes au standard.
Pour Edouard Jeanson
,
directeur de l' activit conseil SSI
chez
Sogeti ,
il est ncessaire de suivre les nouvelles
normes telles
que
l' IS027005
,
de travailler sur leur
contenu et de les
comprendre
. Cela demande un certain
investissement et
permet
de
faire
voluer les mthodes
utilises
prcdemment
.
[ 1 ]
Politique de scurit
du systme
d' information .
Zl
Systme de management
de la scurit de l' information .
Le bon sens
,
l'
expertise
et la communication doivent
primer
sur les normes et mthodes
L'
apprciation
des
risques
est-elle
pour
autant devenue
facile et
simple
? Oui et non
,
serait-on tent de
rpondre
.
Ou
plutt ,
il ne faut
pas poser
le
problme
en ces termes.
Matthieu Grall est trs
explicite
et
rejoint
les
propos
prcdents de Jean-Pierre Lacombe:
Les limites des outils
mthodologiques
rsident dans leur
usage
. Il
y
a
plus
de
mauvais
usages que
de mauvais outils! Par
exemple,
utiliser la norme IS027005 comme une mthode
demanderait
beaucoup
d'
imagination pour
la mettre en
oeuvre
puisque
ce n' est
pas
sa
finalit..
. Suivre une
mthode comme une
procdure
est un outre
exemple
de
mouvais
usage rgulirement
rencontr. Il est en
effet
>
LES BASES DE LA
GESTION DE SCURIT
Toute bonne dmarche doit consister identifier
les besoins en scurit du
systme
d' information
,
en termes de
disponibilit
, d'
intgrit
et de
confidentialit . Il ne sert rien de mettre des donnes
dans un coffre
pour
en assurer la confidentialit ;
si celles-ci se trouvent facilement sur Internet ou
dans la
presse
,
autant les laisser en accs libre
tous. Il est ensuite ncessaire de s'
interroger
sur
ce
que
sont les menaces. Une machine non
connecte Internet dans une salle isole o n' accde
qu'
une seule
personne
n' a
pas
la mme
exposition
qu'
un serveur directement connect Internet et
utilis
par
des dizaines de milliers d' utilisateurs.
On dduit de ces deux
analyses
une notion de
risque
. Celui-ci doit ensuite tre
qualifi
en fonction
de l'
impact qu'
il
peut
avoir et de sa
probabilit
,
ou vraisemblance d' occurrence . L'
entreprise
doit alors
dcider de se
prmunir
contre les
risques graves
ou
catastrophiques
. Elle va tablir une PSSIW`l
qui expose
sa
stratgie
et
prcise
les
rgles
de scurit
appliquer
.
Elle va ensuite mettre en oeuvre un ensemble de
mesures de scurit:
techniques
, organisationnelles
et humaines , pour
conserver un niveau de
risque
acceptable
.
Le SMSIIII va
permettre
de concevoir, de raliser,
de contrler et de faire voluer la scurit des
informations de l'
entreprise
. La norme ISO/ CEI 27001
,
publie
en 2005
, expose
les
exigences
d' un SMSI . a
impensable
, compte
tenu de la varit des
sujets
tudis et des livrables
produire,
de suivre la mme
recette dans tous les cas,
alors
que
les outils
peuvent
tre les mmes. Il ne
fout
surtout
pas perdre
de vue l'
objectif
ultime de la
gestion
des
risques:
contribuer la
ralisation des activits et des
objectifs
de l'
organisme
concern
,
comme
par exemple,
la continuit de l'
activit
,
le
dveloppement
d' un nouveau service,
l'
augmentation du
chiffre
d'
affaires
ou du
bnfice..
. Cette ide
doit tre un leitmotiv lors de la ralisation de l' tude.
Herv Schauer
,
fondateur du cabinet HSC
,
voit
pour
sa
part
les choses trs diffremment et
ragit
vivement sur
l' affirmation
que
la norme ISO 27005 ne
peut
tre
considre comme une mthode.
Prtendre
que
l' IS027005 .. .
Diffusion : 5000
4 / 9
.. . est une dmarche mais
pas
une mthode est le discours
habituel de la
part
de l'
arrire-gardefrancofranaise qui
dfend
les vieilles mthodes
corps
et me. L' ISO 27005
reprend pourtant
toute la structure d' Ebios et en est une
filiation
directe. On ne
peut pas prtendre que
l' IS027005 se
prsente
comme un cadre
, que
c' est une
dmarche et
pas
une mthode. Si vous recherchez dans
le dictionnaire les
dfinitions
des mots cadre
,
dmarche
,
mthode
,
mais aussi trame
( =framework]
et
mthodologie (= methodology) ,
les termes utiliss dans l'
avantpropos
de l' ISO 27005
,
il
apparat que
l' ISO 27005 est un
ensemble de
procds
raisonns
pourfaire
de la
gestion
des
risques,
et donc a un contenu
qui rpond
la
dfinition mme du mot mthode. Il n'
y
a donc aucune
ambigut
sur le
fait que
l' ISO 27005 est une normalisation
d' une mthode de
gestion
des
risques
.
Et Herv Schauer
poursuit ,
non sans un certain humour
,
en
lanant:

"
bios
27005';
le nom est
joliment
trouv
,
car Ebios 27005
, que
j' appelle
Ebios v3
,
est
conforme
Ebios v2
,
mais n' est
pas conforme
l' ISO 27005.
Dominique
Buc
poursuit
en recherchant une
synthse:
Aujourd'
hui
,
on ne sait
que
trs
imparfaitement
modliser le
risque
. Prenons une
comparaison:
personne n' hsite
prendre
un avion dont les lments
ont t modliss
par
un outil de CAO. Pourtant
,
aucun
RSSI
pratiquant
une des mthodes cites n' oserait
proclamer qu'
il n' arrivera rien d'
imprvu
au Si .
Autrement dit
,
on a encore
beaucoup
de
progrs

faire, et mme une mthode trs bien
formalise
comme Mhari
,
ne doit tre considre
par
l'
expert
que
comme un
guide
. Une des
grosses
erreurs du
pratiquant
consisterait se laisser
enfermer par
la
mthode et se retrancher derrire des
chiffres
dont
il ne matrise
pas
bien la
signification
.
Bref
,
l'
exprience
et surtout le bon sens restent
toujours
indispensables
. Les normes et mthodes ne sont ni
parfaites
,
ni
peut-tre
mme acheves:
qu' importe,
elles
doivent tre utilises
par
des acteurs
responsables
.
Matthieu Grall
indique
encore:

Une autre erreur
courante consiste suivre une mthode au
pied
de la lettre.
On
peut
se
perdre
dans un niveau de dtail inutile
,
ne
pas
tre au niveau de maturit de l'
organisme, produire
des
rsultats
difficiles

comprendre
et donc
peu exploitables
.
Or les mthodes d'
aujourd'
hui s'
appliquent
un
large
spectre
de
sujets:
mise en
place
d' un
systme
de
management,
scurisation d' une
application,
spcification
d' un
produit
de scurit.. . Les
tapes,
la manire de les rali
ser et le niveau de dtail des
interrogations
doivent tre
adapts
en
respectant
l'
esprit
de la mthode. Cela
ncessite de
prendre
du recul tout en
gardant
en tte
l'
objectif
de l' tude et les livrables dsirs. La mthode
devient ainsi un vecteur de communication
pour
partager
de l'
information
,
obtenir le consensus
,
prendre
les
bonnes dcisions et
produire
des documents utiles.

Laurent Treillard rsume
que
l' essentiel est de
conserver une
approche pragmatique
de l'
analyse
des
risques
avec une vision
suffisamment
exhaustive. La
dfinition
du
primtre
est
primordiale,
sans cela la couverture
des
risques
sera biaise.
Edouard Jeanson va dans le mme sens :
Nos
consultants doivent tre
pragmatiques
et
rpondre
aux
attentes de nos clients. Il
faut
les
accompagner
dans leur
problmatique
mtier
, plutt que
d'
appliquer
la lettre les
normes et mthodes.
Matthieu Grall
poursuit
et conclut:

Grer les
risques
entre
experts
SSI est
galement
une erreur courante. Les
livrables
produits
sont alors en
dcalage
avec la ralit
et mal
accepts
. Il
faut impliquer
les
personnes
concernes
,
les sensibiliser la valeur de leur
patrimoine
informationnel et aux menaces
qui psent
sur lui. Il
faut
aussi
impliquer
la matrise d' o=uvre
(
architectes
,
dveloppeurs ,
intgrateurs... ) pour
s' assurer
que
seules des
solutions ralistes sont
proposes
. La matrise d'
ouvrage
doit
galement pouvoir ragir
sur les
risques
induits
par
ces solutions.
Enfin,
il
fautfaire participer
les
utilisateurs et les
exploitants
la
gestion
des
risques
pourfavoriser
leur adhsion aux conclusions et l'
implmentation des mesures de scurit

.
Choisir entre Ebios et Mhari:
question politique
ou
philosophique
?
Concrtement
,
il est ncessaire de choisir une mthode.
Comment faire ? Pour Edouard Jeanson
,
il est clair
que
le
consultant doit tre en mesure de
proposer
les deux
mthodes ses clients.
Nous
participons
au club Ebios
,
ou
Clusf
et au club 27001 et
dveloppons
nos
comptences sur chacune des mthodes et normes. Nous
choisissons au cas
par
cas avec nos clients en
fonction
de
leurs
objectifs
et de leur culture.
Dominique
Buc dit
peu prs
la mme chose:

Mhari
et Ebios
reprsentent
les deux
principales
alternatives
,
.. .
Diffusion : 5000
5 / 9
.. . surtout en France. Les cabinets de conseil
pratiquant
les deux mthodes disent souvent choisir l' une ou l'
autre en
fonction
du contexte ou de la demande de leurs
clients.
Toutefois
,
ils n'
expliquent que
trs rarement
les vraies
diffrences
entre ces deux mthodes
,
notamment au niveau de la
dfinition
mme du
risque
.
Le choix est donc
probablement plus politique que
technique
. Pourtant
,
les deux mthodes
proposent
une
dfinition
et une
approche
du
risque diffrentes
.
Ebios considre le
risque
au travers d' ensembles
( actif
menace-vulnrabilit
)
alors
que
Mhari considre le
risque
au travers de scnarios. Ces deux
approches
,
bien
que compatibles
avec l' ISO 27005-
qui parle
d'
ailleurs de scnarios d'
incidents-,
conduisent en
pratique
des traitements
diffrents
du
risque
.
Personnellement
,
la vision
par
scnario semble
plus proche
de la ralit dans le sens o elle est
plus dynamique
et
fait
intervenir des enchanements d' vnements et
des associations de vulnrabilits. Cela
parat plus
difficile raliser avec une
approche par
ensembles
( actif
menace-vulnrabilit
) par
nature
plus statique
.
Pour sa
part , Matthieu Grall
explique que

Ebios a t
dveloppe
avec les services de l' tat
,
elle est trs
utilise
par
les administrations nationales
,
par
l' Union
europenne
et l' OTAN. Elle est aussi
largement
utilise
dans le secteur
priv
comme en
tmoigne
l' audience
au Club Ebios. Elle est
galement employe
dans la
protection
des
infrastructures
vitales et
par
les
entreprises
soucieuses de
respecter
des
pratiques
bnficiant des
apports
de la recherche
mthodologique
internationale .
Matthieu Grall continue en

nuanant
la
critique, parfois
faite d' absence de scnarios:

Ebios
permet
de
construire des scnarios de
risques personnaliss

partir
des
diffrents
lments dont ils sont
composs
(
biens
, menaces,
vulnrabilits...
)
et de dterminer
les mesures de scurit ncessaires et
suffisantes
pour
couvrir ces
risques
. Ebios met donc l' accent sur
les dcisions
que
les
responsables
doivent
prendre
lors de la mise en
place
d' un
systme
de
management
,
l' laboration d' une
politique
de scurit,
la
rdaction d' un cahier des
charges
,
la
conception
d' un
tableau de bard
,
la cration d' un dossier de
scurit.. .
Matthieu Grail
compare
et conclut:

Mhari
part
de
scnarios de
risques types
et
vrifie que
les meilleures
pratiques
destines traiter ces
risques
sont bien
mises en oeuvre. Mhari cherche donc
plus
s'
appuyer
sur les mesures de scurit et sur l' amlioration de la
scurit
grce
leur mise en
place
. Au
final
,
les
experts
.. .
EBIOS V2 ET EBIOS 27005: UNE VOLUTION
DANS LA CONTINUIT D' UNE MTHODE
D' APPRCIATION DES
RISQUES
Ebioslll est une mthode
d'
apprciation
des
risques
labore
par
la DCSSI12' . Elle
comporte cinq
tapes
d' tudes du contexte du SI
,
de ses besoins de scurit
,
des
menaces
auxquelles
elle doit faire
face
, pour
en dduire des
objectifs
et des
exigences
de scurit .
Ebios
procde
une
dcomposition
du
systme
tudi en lment de
base
pour
examiner les besoins de
scurit
,
les menaces et les
vulnrabilits
que pourraient
exploiter
un
attaquant
. Ebios
dispose
de rfrentiels
consquents permettant
de viser
l' exhaustivit d' une tude
d'
apprciation
des
risques
. Elle ne
comprend pas
de
jeux
de scnarios
dj
tablis
,
comme la mthode
Mhari
, mais
permet
de les
construire. Ebios
peut
tre
appliqu
pour
un
systme
d' information
complet
, mais aussi
pour
la
scurit d' un lment
particulier
.
Une nouvelle version est en cours
de finalisation au sein du club Ebios
afin d'
aligner
la dmarche de
l' tude sur les normes ISO 27001,
27005 et 31000. Les habitus
remarqueront que
l'
tape
2
( expression
des besoins
) regroupe
tout le travail faire avec les
utilisateurs
,
y compris
une rflexion
sur la source des menaces
qui
tait
dans l'
tape
3 de la
prcdente
version . Celle-ci devient ainsi une
analyse technique
des vulnrabilits ,
dans
laquelle
les utilisateurs
prennent peu parti
. Ebios 27005
propose
une dmarche itrative
d'
analyse
des
risques
et de leur
traitement . Les
risques
rsiduels
sont ainsi examins
plusieurs
reprises ,
avant et
aprs
couverture
des
risques
,
pour
tre finalement
proposs
l'
acceptation
d' une
direction. u
Ill
Expression des besoins et
identification des objectifs de
scurit-voir
www.ssi.gouv.fr
/ fr / confiance/ E
biospresentation . html .
Izl
Direction centrale de la
scurit des systmes
d' information , entit du
secrtariat
gnral
la
Dfense nationale dans les
services du Premier ministre .
Diffusion : 5000
6 / 9
* * *
pourront indiffremment
utiliser l' une ou l' autre
mthode en toutes circonstances .
Les
projets
et les certifications
SMSI en France
4l
Voir encadr page 37 .
Traduction de l'
anglais
du SMSI .
[ 11
manant du British Standard
Institute .
21
Voir la Web TV
propose par
Logica , interview de Thierry Jardin
sur le SMSI-www.yourpotential.ty
/
pemialink
/ 5796/ reload.aspx
.
La mise en oeuvre d' un SMSI certifi ISO 27001111 ne
peut
se faire
qu' aprs
une
tape
d'
apprciation
des
risques
. Elle
apporte
une dmarche de
qualit
dans la
gestion
de la scurit de l' information .
Pourtant ,
note Jean-Pierre Lacombe
,
si la
logique
de
mise en
place
d' un ISMS11' devient de
plus
en
plus
effective, force
est de constater
que
la France
compte
peu
de socits
certifies
. Les DSI ont encore besoin
de
temps pour
s'
approprier
ce standard avant d'
envisager
une
certification
. Les motivations
pour
une
certification diffrent
culturellement selon les
pays
. Si le
cot de mise en oeuvre d' un ISMS se
justifie par
la
rationalisation des
pratiques
de scurit et la mise en
place
d' un
processus
scurit contrl
,
le cot de la
certification peut
tre
plus difficile

expliquer
aujourd'
hui. Pour sa
part ,
Laurent Treillard
indique
avec enthousiasme
que
du
point
de vue de l' auditeur
,
le SMSI est utile car les
procdures indiquent
les
actions
accomplir
et
qui
seront
vrifier par
la suite.
Les normes de la
famille
27000 doivent tre
employes
comme
facilitateur puisque
la trame de
dpart permet
de s'
ajuster
selon l' environnement du Si
et le contexte de son
entreprise
. Une dmarche
IS027001
permet
la mise en oeuvre d' un
cycle
complet
,
mature et
homogne
en scurit.
Grme Billois
, manager
scurit chez Solucom
,
remarque:
Nous venons tout
juste
de
franchir
le
cap
des dix
certifications
27001 de socits
,
alors
que
l'
Allemagne
en
compte plus
de cent .
Cependant, nous
observons
que
de nombreuses socits sont en
cours de
certification
. La
fin
de l' anne 2008 et le
dbut 2009
marqueront
les
premires grandes
annonces. Il reste souvent une certaine
mconnaissance de la norme et l'
impression que
celle-ci est
impossible
mettre en oeuvre sans un
fort
niveau de . . .
ISO 27001 ET ISO 27002: EXIGENCES
POUR UN SMSI ET GUIDE DE BONNES
PRATIQUES
Ces normes ISO
publies
en 2005
reprennent
les travaux de la norme ISO 17799 ,
qui
elle-mme
est issue du BS 7799-1 et BS 7799-2
pour
l' ISO 27001111 . Pour
Thierry
Jardin
, partner
de
Logica Management Consultingl11 ,
la norme
ISO 27001 est une dmarche d' amlioration
continue de la
protection
de ses informations, ou
boucle vertueuse . Celle-ci se base sur :
un
engagement
clair de la direction
pour
grer
la scurit de l' information ;
une identification des
processus
concerns;
une mesure de l' efficacit ,
avec des
processus
d' audit interne et de
reporting
la direction
pour
mise en oeuvre de mesures correctives ,
si besoin
est;
une
gestion
documentaire
rigoureuse
.
Cela concerne l' information de l'
entreprise,
qui
est un actif,
et va au-del des seuls
enjeux
du
systme
d' information . Il faut
pour
cela se
baser
pralablement
sur une
apprciation
des
risques
. Les
grandes tapes pour
faire certifier
une
entreprise
ISO 27001 consistent :
dfinir le
primtre
du SMSI
;
apprcier
les
risques
sur ce
primtre ;
slectionner les mesures de scurit
appliquer
issues l' annexe A de la norme ISO 27001
;
les mettre en oeuvre dans le cadre d' un
plan
de traitement des
risques ,
notamment en
sensibilisant et en formant les utilisateurs
;
dfinir des indicateurs et laborer les tableaux
de bord
pour
mesurer l' amlioration
;
organiser
des revues de direction et
prendre
les mesures
adquates
en fonction
de la situation observe .
La norme ISO 27002 constitue
davantage
un
guide
de bonnes
pratiques
structur en
11
chapitres
et totalisant 133 mesures de scurit.
Elle ne
comporte pas
d'
exigences
,
mais des
recommandations
proposes
l'
entreprise
. .
Diffusion : 5000
7 / 9
>
LES NORMES SECTORIELLES DE LA FAMILLE 27000
Diffrents secteurs d' activits ont
prouv
le besoin d' laborer des
normes sectorielles
, adaptes

une activit
particulire
. Par
exemple,
les
oprateurs
de
tlcommunications avec l' ISO 27011
,
les
professionnels
de sant avec l' ISO
27799
,
etc . Certains
experts
redoutent une
explosion
de normes
n'
apportant
rien d' utile et
s'
opposent
une
multiplication
dbride de celles-ci . Yannick
Kereun nous
explique
l' intrt
d' une norme ISO 27799
pour
les
professionnels
de sant
> UNE DCLINAISON POUR LE
SECTEUR DE LA SANT AVEC LA
NORME ISO/ CEI 27799: 2008
La norme ISO/ CEI 27799: 2008
(
"
Gestion de la scurit de
l' information relative la sant
en utilisant l' ISO/ CEI 27002: 2005
"
) ,
parue
en
juin
dernier['
]
,
est
destine aux
organisations
dpositaires
de donnes
personnelles
de sant.
Elle a t
homologue
norme
franaise

NF EN ISO 27799: 2008

le 13
septembre
2008 et devient
donc
opposable
aux tiers en droit
franais
. Dans ce secteur
, la
continuit et la
qualit
des soins
reposent
de
plus
en
plus
sur les
systmes
d' informations . Ceux-ci
doivent
garantir
la scurit du
patient ,
le
respect
de sa vie
prive
et l' efficacit des soins mdicaux
qui
lui sont
apports
. Plusieurs
mesures de scurit taient
essentielles;
l' ISO 27799 rend ainsi
obligatoire
l'
implmentation
de
plus
d' une
vingtaine
de mesures ,
essentiellement tires du
guide
de
bonnes
pratiques
ISO 27002 en
faisant des
exigences
. Au-del des
dispositions
de cette norme
,
il faut
prendre
en
compte
les
rglements
et lois en
vigueur: par exemple , en
France , un dcret de mai 2007
rend
obligatoire
l'
usage
de la carte
CPS
pour
tout accs
par
des
professionnels (
mdecins ,
infirmires
, etc
)
des donnes
personnelles
de sant .
Le GMSIH
Izl
a retenu l' ISO 27799
.. . maturit. Cette ide est totalement
fausse
.
L' ISO27001
permet
de dmarrer
progressivement
et
sur des bases
prennes
. La
certification
demande
effectivement beaucoup
d'
efforts
, mais l' IS027001
peut
tre
applique
sans viser cette reconnaissance
externe.
Matthieu Grall
prcise pour
sa
part que

les
administrations s'
inspirent
de
plus
en
plus
des
principes
de
l' ISO 27001
qui
constituent un cadre de bon sens
pour
grer
la scurit de l'
information
en visant une
amlioration continue des
pratiques
. Les outils
mthodologiques
habituellement utiliss dans le secteur
public
s' inscrivent
parfaitement
dons ce cadre . Cela se
reflte
dans le
rfrentiel gnral
de scurit
(
RGS
)I6fque
les autorits administratives devront
prochainement
appliquer
.
(
avant mme
qu'
il ne soit finalis
)
dans l' tude de dclinaison du
rfrentiel
gnral
d'
interoprabilit
(
RGI
)`3j
et de dmarche d' laboration
des rfrentiels de sant.
Au-del de
prcisions
utiles sur le
principe
de
gouvernance
mixte
mdical / administratif,
du
chapitre
7
(
mesures
obligatoires
ou non
)
et
de l' annexe A donnant un
aperu
des menaces
pesant
sur les
informations de sant
,
la norme
reformule les
principes dj
clairement dcrits dans l' ISO
27001 . A mon sens,
et comme nous
le conseillons nos clients
(
platesformes
rgionales
de sant
,
hpitaux ) , les
organisations grant
des donnes de sant devraient
dj appliquer
l' ISO 27001
pour
tirer bnfice de la
gnricit
de ses
concepts
et de ses
mthodes;
l' ISO 27799 reste
toutefois un rfrentiel utile
pour
les
personnes
moins
familires avec les
exigences
et contraintes du monde
de la sant . a
La
logique
de l' ISO27001 se
rapproche
des
processus
rglementaires que
les administrations mettent en
oeuvre: notamment
pour
l'
homologation
des
systmes
.
Nanmoins
,
les
tapes
et les livrables
diffrent
sensiblement . Cette
incompatibilit
constitue sans doute un
frein
.
Le besoin de
certification
est
pour
sa
port
trs
peu
exprim
. La
priorit
concerne la
confiance
envers les
produits de scurit et les
prestataires
de services. La
certification
selon l' ISO27001
,
faite pour garantir qu'
un
service est en
position
de s' amliorer continuellement en
matire de scurit de l'
information,
ne
rpond pas
ce
besoin. En France
,
il existe
pour
cela de nombreuses
solutions
appropries: certification
de
produits, labellisation
de
personnes ,
homologation
de
systmes..
. Le cas le
plus
intressant
pour dvelopper
une
certification
selon
l' IS027001
pourrait
tre celui de services externaliss .
.. .
"'
Disponible sur
www.iso.orgfiso
/ fr /
catalogu
e_detail?csnumber=41298 .
"'
Groupement pour
la
modernisation du
systme
d' information
hospitalier
.
"'
voir
www.synergiespubliques
. fr /
rubrique
.
php?i
d_rubrique=71
.
[ el
Une version de travail
du RGS est publie sur
Internet:
www.synergiespubliques
. fr / I MG/ pdf/ 070
531
_RGS_draft0096e
-2.pdf
.
Diffusion : 5000
8 / 9
Club de la scurit de
l' information franais
regroupant
un
grand
nombre
d' entreprises franaises
et trangres
www.clusif.asso.fr .
Il faut faire un tri dans les 133
mesures de I' ISO 27002
exigences
de la norme 27001 ? Cela
dpend
de la matu- Tous nos
experts
s' accordent
pour
dire
que
l'
tape
inirit de l'
entreprise
ou de l' administration , prcisent
nos tiale d'
apprciation
des
risques
doit
permettre
des
hiexperts
. Seuls les
organismes
les
plus
matures en rarchiser les besoins de
protection
de l' information
scurit de l' information leur
paraissent aptes
mettre avec discernement . Laurent Treillard
indique
prudemen oeuvre un
systme
de
management
comme celui ment
,
mais fort
justement
, que
le
rfrentiel
dfini dans l' ISO27001 .
IS027002 et ses 133 mesures de scurit est utilis
comme
repre
selon les thmes de scurit abords
Par ailleurs
,
Matthieu Grall fait
remarquer que
la
certfi-
dans les
projets
.
cation selon l' ISO 27001

pourra
se baser sur le texte Matthieu Grall , pour
sa
part ,
ne mche
pas
ses mots et
homologu
en tant
que
norme
franaise
,
dont la traduc- enfonce le clou en affirmant
que
l' IS027002 doit tre
tion sera reconnue comme
rfrence
,
et non sur la ver- utilis comme un
simple catalogue
de mesures de
sion
anglaise
de l' ISO 27001.
Une certification
franaise
scurit dans
lequel
il est
possible
de slectionner des . . .
mtiers des
organisations ( exploitation
,
administration
, production
,
etc
)
. C' est d' ailleurs l' une des raisons
pour lesquelles
Fidens s'
implique depuis
sa cration
dans les travaux
normatifs
de I
Afnor
et de l' ISO.
Concrtement , est-il difficile de mettre en oeuvre les

* * a Jean-Pierre Lacombe nuance
pour
sa
part
avec humour: ISO 27001 devient donc
, en droit
franais
, opposable
aux
La
logique
de ces normes est de mettre en
place
une tiers: en cas de
litige,
on ne
peut pas
demander une
logique
d' amlioration continue;
le minimum est donc
entreprise
ainsi certifie de
prouver qu'
elle n' a commis
d' amliorer
galement
de manire
progressive
les aucune
ngligence;
on doit
apporter
la
preuve a priori
de
rfrentiels
. Plus srieusement ,
il convient d'
apporter
ses erreurs ou renoncer au
litige
. Grme Billois conclut
des claircissements dons ISO 27001
,
en
particulier pour
sa
part que
la norme ISO 27001
,
et en
particulier
le
sur les notions de
politique
de
management
et de
poli-
SMSI
, permet
d' atteindre ce
que
la
gouvernance classique
tique
de scurit
qui
sont mal
comprises;
il convient de scurit
prcdente
n' avait
pas pufaire
,
notamment
galement
d'
adapter
les
pratiques
de IS0 27002 aux une vritable mesure de l'
efficience
, une
adaptation
entre
volutions
technologiques (
nomadisme
par exemple ) ,
les
risques
et les cots,
et si on le souhaite,
une
reconou de mettre en cohrence la liste de
pratiques
et les naissance externe et interne travers la
certification
.
MHARI 200?: UNE

APPROCHE
PRAGMATIQUE
PAR
QUESTIONNAIRES ,
JEUX DE
SCNARIOS
ET CORRESPONDANCE
AVEC LES 133 MESURES DE SECURITE DE L' ISO 2?002
La mthode Mhari a t
dveloppe par
le Clusif
il'
. Comme
toute mthode d'
apprciation
des
risques
,
elle confronte les
enjeux critiques
de l'
entreprise
aux vulnrabilits
pour
identifier
les
risques inacceptables
.
Elle
comprend
des
questionnaires
d' audit
complets
des
vulnrabilits
rparties
en 12
thmes et un ensemble de
scnarios
permettant
d'
apprcier
les
risques
du
systme
d' information de l'
entreprise
.
Trs
pragmatique
,
cette mthode
demande un travail avec les
utilisateurs
pour
tablir une
photographie
du SI . Elle est en
revanche
peu adapte
une
tude de scurit dtaille
d' un lment
technique
isol.
La version 2007 tablit un
chanage
avec les mesures
de scurit du
guide
de bonnes
pratiques
ISO 27002 . Elle est
conue pour
s' insrer dans une
dmarche SMSI 27001. Le Clusif
travaille
, par
ailleurs
,
sur la
prochaine
version 2009 de
Mhari ,
plus proche
encore de
l' ISO 27005
,
et
plus approfondie

la fois
pour
les services de
scurit mais aussi
quant
aux
scnarios de
risque
. Cette
nouvelle version mettra en
vidence les
exigences
de la
norme ISO 27001 .
Depuis
leur
mise en
ligne gratuite
sur le site
du Clusif
,
dbut 2008
,
les bases
de connaissances de Mhari ont
t
tlcharges plus
de 10 000
fois
depuis plus
de 100
pays
. a
Diffusion : 5000
9 / 9
.. . solutions
types pour
traiter des
risques pralablement
apprcis
. Ceux
qui imaginent
encore
qu'
il
faut
mettre
en oeuvre toutes les mesures de scurit de
l' ISO 27002 sont heureusement de
plus
en
plus
rares.
De tels
exemples
existent
pourtant..
. Grme
Billois va dans le mme sens et
prcise que

les
activits de commerce
lectronique
ou encore de
dveloppement
ne sont
pas toujours prsentes
dans les
entreprises
et n' ont donc
pas
lieu d' entrer dans la
dclaration d'
applicabilit
.
Thierry
Jardin ,
partner
de
Logica Management
Consultingl'
1
, ne dit
pas
autre chose en affirmant
qu'
une dmarche SMSI a
intrinsquement
un
objectif
de retour sur investissement en slectionnant
,
lors
de l'
tape
d'
apprciation
des
risques,
les mesures de
scurit rellement utiles.

Et Matthieu Grall confirme
en
indiquant que

le
rfrentiel
tend
aujourd'
hui une
utilisation
plus approprie que
lors de sa
publication
.
L' IS027001
impose qu'
une
apprciation
des
risques
soit ralise. L' ensemble de mesures de scurit de
l' IS027002 ne
correspondant
aucun
risque,
des
risques accepts par
la direction lors de la revue, ou
des
risques
rsiduels issus du
"
plan
de traitement de
risques
"
et n' a
pas
besoin d' tre couvert
par
des
protections onreuses . C' est tout l' intrt de la
dclaration d'
applicabilit
des mesures de scurit contenue
dans l' ISO 27001 .
M
1' I
Voir encadr ISO 27001 et 27002 .

nps61 PDF

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

nps61 PDF

Uploaded by

Copyright:

Available Formats

Net date de parution : 21 - 01/10/2008

L' ISO 27005 va

Tout cela est trs

Edouard Jeanson va dans le mme sens :

Matthieu Grall continue en

cation selon l' ISO 27001

Concrtement , est-il difficile de mettre en oeuvre les

MHARI 200?: UNE

You might also like