Les Normes - Ingénierie Système et Réseaux Informatique

ISO/IEC 27005 : Management du risque (ISO 13335-2) ... la définition d'une
politique de sécurité, une liste de points de risques à analyser (check list), une
aide ...

Part of the document





CHAPITRE4
Les normes


I. Définition norme


L'ISO (International Organization for Standardization) et la Commission
électrotechnique internationale (CEI, ou IEC en anglais) donnent la
définition suivante :

« Document établi par consensus et approuvé par un organisme reconnu, qui
fournit, pour des usages communs et répétés, des règles, des lignes
directrices ou des caractéristiques, pour des activités ou leurs résultats
garantissant un niveau d'ordre optimal dans un contexte donné. »

I. La norme ISO 27000


ISO/CEI 27000 est une norme de sécurité de l'information publiée
simultanément en mai 2009 par l'ISO et la CEI, faisant partie de la suite
ISO/CEI 27000.

ORIGINE DE LA NORME ISO/IEC 27000
Cette norme définit les exigences pour le management de la sécurité de
l'information. À la base même de celle-ci, la norme britannique BS 7799
créée en 1995 puis révisée et divisée en 2 parties en 1999, BS 7799-1 et BS
7799-2.
La BS 7799-1 (Code of Practice for Information Security Management),
adoptée par l'ISO, est devenu l'ISO 17799 en 2000. La BS 7799-2
(Information Security Management systems - Specification with Guidance for
Use) a été révisée en 2002.
Depuis 2001, la norme ISO 17799 est en vigueur qui comprend la politique de
sécurité, l'organisation de la sécurité, la sécurité du personnel, le
contrôle d'accès, le développement, la maintenance etc.
Une version contenant des évolutions significatives a été publiée en 2005
contenant entre autres un chapitre sur l'analyse de risques.
En 2005 est créée une nouvelle famille de norme ISO/IEC 27000 comprenant :
. ISO/IEC 27001 : Système de management de la sécurité de l'information
(SMSI) (en vigueur)
. ISO/IEC 27002 : Renumérotation de l'ISO 17799 (2007)
. ISO/IEC 27003 : Implémentation (en développement)
. ISO/IEC 27004 : Métriques et mesures (en développement)
. ISO/IEC 27005 : Management du risque (ISO 13335-2)
. ISO/IEC 27799 : ISO 17799 pour la santé (en développement)
. ISO/IEC 27002 est donc un cadre général de bonnes pratiques et d'audit
qui nécessite d'être accompagné d'un référentiel d'évaluation pour être
directement exploitable au plan opérationnel.
[pic]


II. La norme internationale ISO/IEC 17799

1. Origine

L'origine de la norme ISO 17799 adoptée par l'ISO (Organisation
Internationale de Normalisation) à la fin de l'année 2000 est la norme BS
7799 élaboré par l'association de normalisation Britannique en 1995. Avant
d'être reconnue comme une méthode de référence, la norme internationale ISO
17799 a tout d'abord été contestée du fait de sa procédure accélérée de
normalisation : elle n'avait pas été révisée par les Etats membres avant
d'être publiée et n'avait donc pas tenu compte des savoir-faire et autres
méthodes existants dans d'autres pays.
L'adoption par le marché de la norme ISO a été favorisée par le fait
que certaines compagnies d'assurance demandent l'application de cette norme
afin de couvrir les cyber-risques.
Basée sur la gestion des risques, la norme propose un code de pratique
pour la gestion de la sécurité et identifie des exigences de sécurité sans
toutefois spécifier la manière de les réaliser. On peut ainsi considérer
cette norme comme un référentiel contribuant à la définition d'une
politique de sécurité, une liste de points de risques à analyser (check
list), une aide à l'audit de sécurité en vue ou non d'une procédure de
certification.




2. Objectif :
Selon ISO, cette norme a pour objectif de :

« Donner des recommandations pour gérer la sécurité de l'information à
l'intention de ceux qui sont responsables de définir, d'implémenter ou de
maintenir la sécurité dans leur organisation. Elle est conçue pour
constituer une base commune de développement de normes de sécurité
organisationnelle et de pratiques efficaces de gestion de la sécurité, et
pour introduire un niveau de confiance dans les relations interentreprises.
»



3. Architecture :
La norme ISO 17799 comporte 11 chapitres. Chaque chapitre présente un
thème de sécurité dans lequel sont exposés des objectifs de contrôles et
des recommandations sur les mesures de sécurité à mettre en oeuvre et les
contrôles à implémenter.


[pic]




Pour chaque thème abordé, les préconisations cherchent à garantir la
confidentialité, l'intégrité et la disponibilité de l'information.


4. Couverture thématique

ISO 17799 couvre 11 thèmes de sécurité de l'information :

. La politique de sécurité
. L'organisation de la sécurité de l'information
. La gestion des actifs
. La sécurité des ressources humaines
. La sécurité physique et environnementale
. La gestion de la communication et de l'exploitation
. Les contrôles d'accès
. L'acquisition, le développement et la maintenance des systèmes
d'information
. La gestion des incidents de sécurité de l'information
. La gestion de la continuité des affaires
. La conformité


Pour ces 11 thèmes de sécurité, ISO 17799 présente 39 objectifs de
sécurité au total. Chacun des objectifs de sécurité comporte un objectif de
contrôle et un ou plusieurs contrôles pouvant s'appliquer pour atteindre
l'objectif de contrôle.


5. Présentation des 11 thèmes

1) Politique de sécurité
Le premier thème abordé dans ISO 17799 est la politique de sécurité de
l'information. Le seul objectif de contrôle cherche à démontrer l'appui de
la direction en ce qui concerne la gestion de la sécurité de l'information.
Pour cela ISO 17799 préconise deux contrôles. Le premier concerne la
création d'un document de politique de sécurité de l'information. Celui-ci
représente un moyen privilégié pour la direction d'établir son appui et de
présenter l'approche de l'organisation en termes de sécurité de
l'information. Afin d'être parfaitement efficace, ce document sera publié
et communiqué aux employés et tiers qui y trouveraient un intérêt.

Le second contrôle concerne la révision de la politique de sécurité. Ceci
devra être fait régulièrement, que ce soit à des intervalles planifiés ou
tout simplement en cas de changements significatifs des exigences en
sécurité de l'information. La révision régulière de la politique de
sécurité assurera sa continuité et son efficacité.


2) Organisation de la sécurité de l'information
En ce qui concerne l'organisation de la sécurité de l'information, ISO
17799 propose deux objectifs de contrôle de sécurité.
Le premier objectif de contrôle de sécurité concerne l'organisation
interne. Il s'agit de gérer la sécurité de l'information dans
l'organisation par le biais d'un cadre de gestion. Celui-ci permettra
d'initialiser et de contrôler l'implémentation de la sécurité de
l'information au sein de l'organisation.
Le second objectif de contrôle concerne les tiers : il s'agit de
maintenir la sécurité des informations qui sont accessibles, diffusées,
communiquées ou gérées par des tiers et des équipements qui la délivrent.
En effet, l'introduction de produits ou services en provenance de tiers ne
doit pas avoir d'impact sur la sécurité de l'information. Une évaluation
des risques permettra de mettre en lumière les contrôles à mettre en place
pour limiter les incidents de sécurité.


3) Gestion des actifs
Le troisième thème, qui évoque la gestion des actifs, comporte deux
parties : les responsabilités pour les actifs et la classification de
l'information.
Définir les responsabilités pour les actifs permet d'atteindre et de
maintenir une protection adéquate des actifs de l'organisation. En effet,
tous les actifs de l'organisation doivent être comptabilisés et avoir un
propriétaire : celui-ci aura le devoir de maintenir les contrôles adéquats
pour l'actif dont il est responsable. Bien entendu, il pourra déléguer une
partie de ses tâches (notamment l'implémentation de contrôles spécifiques)
s'il le juge nécessaire, mais demeurera le seul responsable de la
protection des actifs.


En ce qui concerne la classification de l'information, celle-ci permet
de s'assurer que l'information reçoit un niveau de protection approprié à
ses caractéristiques : certaines peuvent exiger un niveau de protection
supplémentaire en raison de leur degré de criticité ou de sensibilité. Pour
cela, l'information doit être classée afin de mettre en relief les besoins,
priorités et degrés de protection attendus. Le développement d'un schéma de
classification pourrait alors s'avérer judicieux, notamment en ce qui
concerne les informations nécessitant des traitements spéciaux.


4) Sécurité des ressources humaines
Ce thème distingue trois objectifs de contrôle de sécurité, un par
étape du cycle de vie d'un individu dans une organisation.


Avant l'embauche, l'objectif est de s'assurer que les parties
signataires au contrat (futur employé, organisation, tiers) comprennent
leurs responsabilités et qu'ils acceptent les rôles qui leurs sont
assignés, afin de réduire le risque de vol, fraude ou de mauvaise
utilisation des équipements. A cet effet, deux documents seront produits :
la description d'emploi, qui exposera les responsabilités de chacun, et un
accord d'acceptation des rôles et des responsabilités. Ce dernier devra
être signé pour être valide.


Lors du mandat de l'individu, l'objectif est de vérifier et garantir
que les signataires du contrat sont non seulement conscients des menaces en
termes de sécurité de l'information (et donc de leurs responsabilités en la
matière), mais