Beruflich Dokumente
Kultur Dokumente
Sοus le thème :
Filière : ACG
Ce rapport vise tout d’abord à comprendre les exigences et le contexte de la norme ISO
27001. Ensuite, les étapes d’implémentation d’un SMSI et enfin l’audit des SMSI.
Première Partie : Contexte, et enjeux de la norme ISO
27001
5 clauses spécifiées qui approchent les SMSI à 7 clauses spécifiées, qui ne sont pas obligées d’être
partir d’une approche managériale suivies dans l’ordre listé
A travers ce tableau, on constate que la différence entre les deux versions n’est pas trop
grande. En effet, la nouvelle version est un standard qui donne le droit aux grands groupes
d’utiliser n’importe quelle démarche d’amélioration continue à part la démarche PDCA qui
était une obligation dans la version2005, ce qui assure plus de flexibilité.
III Enjeux de la norme ISO/CEI 27001 version 2013 ;
La certification ISO 27001 permet la mise en place d’un SMSI tout en assurant son
efficacité, elle permet par conséquent d’accroitre la confiance des clients en matière
de la sécurité d’information et d’améliorer l’image de marque. Or, le risque zéro
n’existe pas, ceci dit qu’en dépit de la certification, le risque est omniprésent, cette
dernière permet de le gérer, de le réduire et de rendre son niveau acceptable.
Le tableau ci-dessous présente les avantages de la certification ainsi que ses
inconvénients :
Avantages Inconvénients
Améliore l’image de l’entreprise Certification longue à mettre en place
Réduit la charge des audits clients L’ensemble des exigences doit être respecté
Réduit les coûts de la gestion de la Nécessité d’avoir un SI mature pour obtenir la
sécurité de l’information certification
Une entreprise faisant le choix de la mise en conformité à la norme ISO27001 de son SMSI
devra respecter un certain nombre d’étapes. BEIJAFLORE préconise une démarche en
huit étapes.
1. Etude d’opportunité
Réaliser un état des lieux des mécanismes de sécurité, identifier les parties intéressées du
SMSI et leurs enjeux, afin de réaliser une étude d’opportunité de la mise en conformité. Ces
éléments sont à valider obligatoirement par la Direction Générale.
Définir le périmètre, autrement dit les activités sur lesquelles s’appliquent le SMSI, et
justifier le cas échéant les domaines exclus de ce périmètre.
3. Déclaration d’intention
L’entreprise doit identifier les risques sur son périmètre. Pour ce faire, il est nécessaire de
choisir une méthode d’évaluation des risques, adaptée au contexte et aux enjeux de
l’entreprise.
5. Objectifs de sécurité
Le plan de traitement des risques doit orienter les objectifs de sécurité que souhaite
atteindre l’entreprise. En effet, en fonction des risques identifiés, les mesures de sécurité
peuvent varier.
Il est dès lors primordial d’organiser des réunions de suivi du projet afin d’optimiser la mise
en place de ces mesures d’une part, et de garder la direction impliquée d’autre part.
6. Exploitation du SMSI
L’ensemble des mesures et processus de sécurité doivent vivre selon le modèle de la roue de
Deming : Plan, Do, Check, Act.
Ce modèle permet de les optimiser tout au long de leur cycle de vie. La mise en place du
PDCA doit se faire dès leurs définitions.
7. Surveillance du SMSI
Le SMSI constitue alors un ensemble complexe vivant dont il faut mesurer la « santé », et
lorsqu’il est nécessaire, le « soigner ». Ceci doit se traduire de manière pratique par :
Un audit interne ;
L’application des éventuelles actions correctives des non-conformités détectées ;
Une revue de direction afin de consolider les évènements passés et dessiner les directions
actuelles et futures pour son SMSI ;
Un audit blanc si l’audit de certification est prévu dans le planning.
Etape1:Préparation de l’audit :
Cette phase est aussi appelée phase de pré audit. Elle constitue une phase importante pour
la réalisation de l’audit sur terrain. En effet, c’est au cours de cette phase que se dessinent
les grands axes qui devront être suivis lors de l’audit sur terrain. Elle se manifeste par des
rencontres entre auditeurs et responsables de l’organisme à auditer. Au cours de ces
entretiens, devront être exprimées les espérances des responsables vis-à-vis de l’audit.
Aussi , Il doit être fixé l’étendu de l’audit ainsi que les sites à auditer, de même qu’un
planning de réalisation de la mission de l’audit.
Les personnes qui seront amenées à répondre au questionnaire concernant l’audit
organisationnel doivent être également identifiées. L’auditeur (ou les auditeurs) pourrait
(pourraient) également solliciter les résultats de précédents audits.
Une fois que les deux parties (auditeur-audité) ont “harmonisé leur accordéons “, l’audit sur
terrain peut être entamé. Il débute par l’audit organisationnel et physique.
Etape2 : Audit organisationnel et physique :
b-Déroulement : Afin de réaliser cette étape de l’audit, ce volet doit suivre une approche
méthodologique qui s’appuie sur « une batterie de questions ». Ce questionnaire préétabli
devra tenir compte et s’adapter aux réalités de l’organisme à auditer. A l’issu de ce
questionnaire, et suivant une métrique, l’auditeur est en mesure d’évaluer les failles et
d’apprécier le niveau de maturité en termes de sécurité de l’organisme, ainsi que la
conformité de cet organisme par rapport à la norme référentielle de l’audit.
Dans mon contexte, suivant les recommandations de l’ANSI et du fait de sa notoriété, cet
audit prendra comme référentiel une norme de l’ISO. Il s’agit de toutes les clauses (ou
chapitres ou domaines) de la version 2007 de la norme ISO/IEC 27002.
a. Objectifs : Cette étape de l’audit sur terrain vient en seconde position après celle de l’audit
organisationnel. L’audit technique est réalisé suivant une approche méthodique allant de la
découverte et la reconnaissance du réseau audité jusqu’au sondage des services réseaux actifs
et vulnérables.
Cette analyse devra faire apparaître les failles et les risques, les conséquences d’intrusions ou
de manipulations illicites de données. Au cours de cette phase, l’auditeur pourra également
apprécier l’écart avec les réponses obtenues lors des entretiens. Il sera à même de tester la
robustesse de la sécurité du système d’information et sa capacité à préserver les aspects de
confidentialité, d’intégrité, de disponibilité et d’autorisation.
Cependant, l’auditeur doit veiller à ce que les tests réalisés ne mettent pas en cause la
continuité de service du système audité.
b. déroulement : Vu les objectifs escomptés lors de cette étape, leurs aboutissements ne sont
possibles que par l’utilisation de différents outils. Chaque outil commercial qui devra être
utilisé, doit bénéficier d’une licence d’utilisation en bonne et de la forme. Également les outils
disponibles dans le monde du logiciel libre sont admis.
L’ensemble des outils utilisés doit couvrir entièrement/partiellement la liste non exhaustive
des catégories ci-après :
. Outils de test de la solidité des outils de sécurité réseau (firewalls, IDS, outils
d’authentification).
Chacun des outils à utiliser devra faire l’objet d’une présentation de leurs caractéristiques et
fonctionnalités aux responsables de l’organisme audité pour les assurer de l’utilisation de ces
outils.
b. Déroulement : La phase de déroulement de cet audit doit être réalisée par une équipe de
personnes ignorante du système audité avec une définition précise des limites et horaires des
tests. Etant donné l’aspect risqué (pour la continuité de services du système d’information)
que porte ce type d’audit, l’auditeur doit :
Cette synthèse doit être révélatrice des défaillances enregistrées. Autant est-il important de
déceler un mal, autant il est également important d’y proposer des solutions
(recommandations), détaillées, pour pallier aux défauts qu’il aura constatés.
Ces recommandations doivent tenir compte de l’audit organisationnel et physique, ainsi que
de celui technique et intrusif.
Conclusion :
Une fois l’ISMS en place, les organisations devraient essayer d’obtenir un certificat auprès
d’un organisme de certification accrédité. Cela prouve aux parties prenantes que l’ISMS est
efficace et que les organisations comprennent l’importance de la sécurité de l’information.