4. Les normes partout et pour tous …
• Référentiels pour notre activité professionnelle, mais
aussi dans la vie personnelle.
• Dans les produits que nous consommons et les services
dont nous bénéficions.
• Une aide non négligeable pour tout utilisateur
4
5. Norme et normalisation
Une norme désigne un état habituellement répandu
ou moyen considéré le plus souvent comme une règle
à suivre.
C’est l’ensemble de caractéristiques décrivant un
objet, un être, qui peut être virtuel ou non.
La normalisation a pour objet de fournir des
documents de référence, comportant des solutions à des
problèmes techniques et commerciaux concernant les
produits, biens et services qui se posent de façon
répétée
5
6. Norme et normalisation
• Types de normes :
Les normes de bases, de portée générale, de terminologie,
d’essai, de produit, de processus, de service, d’interface ou
encore portant sur des données.
• Catégories des normes :
« Normes internationales », les « Normes européennes »,
et les « Normes nationales »
• Doit être approuvée par un organisme reconnu.
6
8. Les normes à travers le temps
23 Fev 1947
ISA
(International ISO
AFNOR (International
(Association Standard
Standard
Française de Association) Organisation)
ASA (American NORmalisation) 1930 1946
Standard 1926
Association)
1928
BSI (British
Standard Ex AESC
Institut) (American
1901 Engineering
Standards
Committee)
1918
9. International Standard Organisation
Cette organisation a pour missions :
• L’élaboration de normes applicables;
• La promotion du développement de la standardisation
et activités annexes.
• Le développement des coopérations dans les sphères
des différentes activités.
A ce jour, face à la mondialisation des échanges, à
l’évolution des besoin métiers et à la diversification des
menaces, l’ISO demeure un des organismes de
normalisation les plus avancés dans le domaine de la
sécurité de l’information.
9
11. Quelques conventions …
• La dénomination officielle des normes est du type
« ISO/IEC numéro de la norme : année de dernière
version ».
• ISO/IEC (Commission Electrotechnique Internationale)
Ex: ISO/IEC 27001 : 2005
• On adoptera une appellation plus commune :
« ISO 27001 » et pour généraliser « ISO 2700x »
11
12. Où est la sécurité de l’information ?
• JTC 1 (Joint Technical Committee) : instance
traitant spécifiquement le domaine des TI
(Technologie de l’Information).
• JTC 1 est subdivisé en 17 SC (Sous Comités).
• JTC1/SC27 traite « IT Security Techniques » et
est composé de 5 WG « Working Group ».
13. WG1 et les normes ISO 2700x
ISO 27000
Overview
and
ISO 27001 vocabulary ISO 27007
ISMS Auditor
requirements guidelines
ISO 27002 ISO 27006
Code of ISO 2700X Accreditations
practice bodies
ISO 27003 ISO 27005
Implementation Risk
guidance management
ISO 27004
Measurment
13
15. Roue de Deming : Concept PDCA
P Plan , Planifier Ce que l’on va faire
De faire ce que l’on a dit
D Do , Développer
Check, Contrôler De contrôler ce que l’on a fait
C Act, Agir De corriger et d’améliorer dans le
A (Adjust) (Ajuster) temps
15
17. ISO 27000
• Cette première norme définit les fondamentaux et le
vocabulaire propres à la série.
• Elle rendit obsolète la première partie d’ISO 13335,
traitant des concepts et modèles relatifs à la gestion de
la sécurité des TI.
• A noter également que, suite aux résolutions d’une
réunion plénière du SC27 tenue en Afrique du Sud
(novembre 2006), il a été décidé de rendre disponible la
norme ISO 27000 à titre gratuit.
17
18. ISO 27001 est …
• Une norme correspond à la révision de la norme BS
7799-2. Elle a été publiée en octobre 2005.
• Destinée à tout type de société
• Elle a pour but de décrire un objectif à atteindre et non
la manière concrète d'y arriver,
• Est à la base de la certification d’un SMSI ( System
Management Security of Information) à l’instar de ces
homologues ISO 9001 pour la qualité et ISO 14001 pour
l’environnement.
• Une norme élaborée pour fournir un modèle
d'établissement, de mise en œuvre, de fonctionnement,
de surveillance, de réexamen, de mise à jour et
d'amélioration d'un SMSI.
18
19. ISO 27001
Plan
•Définition du périmètre, Etablir un SMSI Actions correctives
des enjeux, méthode Actions préventives
d’analyse de risques Actions d’amélioration
•Mesures de sécurité à
mettre en place
Do Act
Implanter et Maintenir et
exploiter le SMSI améliorer le SMSI
•Plan de traitement de risque •Archivage des incidents
•Sensibilisation et •Audits internes
communication •Révision de l’analyse de
•Gestion des ressources Check risque
•Déployer les mesures de Controller et •Mesure de l’efficacité du
sécurité réviser le SMSI SMSI.
19
20. ISO 27002
• La norme ISO 27002 est un ensemble de 133 mesures
(best practices), destinées à être utilisées par tous ceux
qui sont responsables de la mise en place ou du
maintien d'un SMSI.
• Mesures sont issues de principes de sécurité.
• Principes sont regroupés en 11 domaines.
20
21. ISO 27002
• 11 domaines
Politique de
• 39 principes de
sécurité de sécurité
l’information • 133 règles de
Organisation Sécurité
de la sécurité
liée aux
sécurité RH
Gestion
des actifs
Sécurité Contrôle
physique et
d’accès
environ-
nementale Exploitation Acquisition
et gestion développement
des com et maintenance
des SI
Gestion
des Conformité
incidents Gestion de
la continuité
d’activité
21
22. ISO 27003
• La norme ISO 27003 a pour objectif de fournir un guide
d’aide à l’implémentation des exigences d’un SMSI.
• Cette norme est plus particulièrement orientée sur
l’utilisation du cycle PDCA.
• Elle définit les différentes exigences requises à chaque
étape du cycle notamment de la phase de cadrage au
déploiement du SMSI.
22
23. ISO 27004
• Cette norme a pour but d’aider les organisations à
mesurer et à rapporter l’efficacité de l’implémentation de
leur SGSI.
• Guidelines pour mettre en place des indicateurs
d’efficacité et de niveau de sécurité : Dashboard
(Tableau de bord de la sécurité des SI)
• Méthode de la mesure
• Mesures de base
• Indicateurs
• Critères de décision
• Résultats de mesure
23
24. ISO 27005
• Comment conduire l'appréciation des risques et le
traitement des risques.
Etablissement
du contexte
Appréciation Acceptation
des du risque
risques Traitement
du
risque
Communica- Surveillance
tion du et réexamen
risque du risque
24
25. ISO 27005
Utilisable de manière autonome.
Pour entreprise soumise à de fréquents
changements
Méthodologies d’analyse de risque conforme à
l’ISO 27005 (MEHARI, EBIOS).
25
26. ISO 27006 & ISO 27007
• L’ISO 27006 a pour but de de fournir les pré-requis pour
les organismes d'audit et de certification afin de les guider
sur les exigences nécessaires à atteindre pour être
accrédités en tant qu’organisme de certification d’un SMSI.
• L’ ISO 27007 propose les lignes directrices composant un
guide spécifique pour les audits d’SMSI , notamment en
support à l’ISO 27006.
26
27. Conclusion
• Sans véritable soutien à partir du haut un échec
• Sans mise en œuvre correcte - un fardeau
• Avec un support complet, la mise en œuvre correcte et
engagement continu - un avantage majeur
27
29. MERCI
badis.remli@gmail.com
« Le monde revient toujours à la norme. Le problème
est de savoir à la norme de qui. »
D’après Stanislaw Jerzy Lec (philosophe polonais)
