Mise en œuvre d'un Système de Management de la Sécurité de ...

pages

Français

Documents

Écrit par
Slebarbier

Publié par
Phaet

Lire

Le téléchargement nécessite un accès à la bibliothèque YouScribe Tout savoir sur nos offres

pages

Français

Documents

Lire

Le téléchargement nécessite un accès à la bibliothèque YouScribe Tout savoir sur nos offres

Publié par

Phaet

Nombre de lectures

202

Langue

Français

Poids de l'ouvrage

1 Mo

Mise en œuvre d’un
Système de Management de la Sécurité de l’Information
et déploiement de politiques de sécurité
basées sur la norme BS7799 / ISO 1779

Livre blanc
Callio Technologies Europe

A l’heure de l’ouverture des réseaux, l’informatique est devenue un outil complètement
associé à la gestion et à la stratégie entrepreneuriale : présent à chaque moment de sa
vie et de son cycle de production, élément vital dans son organisation, l’entreprise se doit,
désormais, de maintenir son système d’information à son niveau optimal et en état de
fonctionnement permanent.

Or, les systèmes d’information sont exposés à un certain nombre de risques. Mais bien
que les entreprises en ont, aujourd’hui, de plus en plus conscience, la problématique de
la sécurité informatique n’est pas toujours adressée de façon globale.

Ainsi par exemple, le facteur humain est souvent négligé alors même que les analyses du
niveau de sécurité démontrent régulièrement que ce facteur constitue souvent le maillon
faible du système de sécurité mis en place.

L’objectif de Callio Technologies est de donner aux entreprises les moyens de mieux
appréhender les différentes composantes de leurs systèmes d’information (notamment
les dimensions métiers et organisationnels, l’environnement humain, les applications, les
réseaux et systèmes, l’environnement juridique et concurrentiel), à travers une analyse
des risques et une politique de ...

Voir

Publié par

Phaet

Nombre de lectures

202

Langue

Français

Poids de l'ouvrage

1 Mo

 Mise en uvre dun Système de Management de la Sécurité de l Information et déploiement de politiques de sécurité basées sur la norme BS7799 / ISO 1779

Livre blanc Callio Technologies Europe

©aClloi eporS olhnec TEus ieog O71 /SI297 9ion olut799 BS 7

Jean-Damien RUBAL European Sales Manager France - Benelux - Suisse

A lheure de louverture des réseaux, linformatique est devenue un outil complètement associé à la gestion et à la stratégie entrepreneuriale : présent à chaque moment de sa vie et de son cycle de production, élément vital dans son organisation, lentreprise se doit, désormais, de maintenir son système dinformation à son niveau optimal et en état de fonctionnement permanent. Or, les systèmes dinformation sont exposés à un certain nombre de risques. Mais bien que les entreprises en ont, aujourdhui, de plus en plus conscience, la problématique de la sécurité informatique nest pas toujours adressée de façon globale. Ainsi par exemple, le facteur humain est souvent négligé alors même que les analyses du niveau de sécurité démontrent régulièrement que ce facteur constitue souvent le maillon faible du système de sécurité mis en place. Lobjectif de Callio Technologies est de donner aux entreprises les moyens de mieux appréhender les différentes composantes de leurs systèmes dinformation (notamment les dimensions métiers et organisationnels, lenvironnement humain, les applications, les réseaux et systèmes, lenvironnement juridique et concurrentiel), à travers une analyse des risques et une politique de sécurité informatique fondées sur les normes et standards internationaux. Plus complexe que dinstaller des technologies pour la sécurisation de lorganisation, cette démarche est toutefois plus efficace.

io Technologies ©aCllS lotuoi nSB7 97Europe / 9 O IS791739

Présentation Callio Technologiesa été créée en 2001 au Canada (Québec) et est spécialisée dans le domaine de la Sécurité des systèmes dinformation, plus particulièrement autour des méthodes danalyse de risques informatiques et des normes et standards internationaux de sécurité.. Son premier produit ,Callio Secura 17799, est un logiciel qui permet aux organismes dévaluer et traiter leurs risques informatiques, tout en se conformant aux recommandations de management de la sécurité de linformation de la norme BS 7799 / ISO 17799. Simple et convivial, la force principale de Callio Secura 17799 est lassistance intégrée à la gestion de ce type de projet permettant à des non spécialistes dêtre rapidement opérationnels sur létat de lart en matière de sécurité des systèmes dinformation. Les champs dexpertiseCallio technologies Europesont : •Les audits de sécurité des systèmes dinformation, •Lévaluation et lanalyse de risques informatiques, •Lassistance au traitement de ces risques, dans le développement, limplantation et la gestion dun Système de Gestion de la Sécurité de lInformation (SGSI) et la mise en place de bonnes pratiques de sécurité, •rédaction de politiques, de directives et deLa procédures de sécurité, •La conception, la mise en uvre et tests de plans de continuité dactivité, •La formation sur les méthodes, normes et standards de sécurité de linformation. Callio Technologiesintervient chez de nombreux comptes dans différents secteurs dactivité et organismes publics.

Sommaire INTRODUCTION5 _________________________________________________________________________ ________________________________________ QU EST-CE QUE LA SECURITE DE L INFORMATION?10    QU EST-CE QUE BS7799 / ISO 17799 ?11 _____________________________________________________ HISTORIQUE DE LA NORME BS7799 / ISO 1779916 ____________________________________________ À QUI S ADRESSE ISO 17799?17 ___________________________________________________________  _____________________________________________ BENEFICES DE LA NORME BS7799 / ISO 1779918 _______________________________________________ COMPLEMENTARITE DE BS7799 / ISO 1779920 COMPLEMENTARITE AVEC LES LEGISLATIONS EXISTANTES19 ________________________________ ______________________________________________________________  IMPLANTATION D UN SGSI21 ____________________________________________________________  DOCUMENTATION D UN SGSI22 ________________________________________ OUTILS LOGICIELS ET RESSOURCES DISPONIBLES24 SOLUTION LOGICIELLE25 _________________________________________________________________ _________________________________________________________________________ CONCLUSION26 _______________________________________________________________ ANNEXE A. REFERENCES27 _____ ANNEXE B. NOMBRE DE CERTIFICATS BS 7799 PAR PAYS ORGANISMES DE CERTIFICATION28

n BS 779 Solutio7197 94 9 /SI Oogols ie Tiohnec oruE epaCll ©

Introduction Propos de ce document Ce document sadresse aux décideurs qui souhaitent, ou qui ont pour mission, de protéger le capital immatériel quest linformation dans leur organisation, et ce, de façon plus complète que la simple mise en uvre de moyens technologiques : •Les dirigeants responsables de la protection de certaines informations ou données quils détiennent ou devant respecter des obligation réglementaires et contractuelles ; •Les personnes en charge du management des opérations (approche métier) ; •Les gestionnaires de risques et les contrôleurs internes ; •Les responsables des ressources humaines ; •Et les personnes qui peuvent voir dans la mise en place dun système de gestion de la sécurité de linformation, un élément différentiateur compétitif su leur marché (label de confiance). Ce livre blanc est également à destination des informaticiens chargés de la protection de ces systèmes dinformation, afin dappréhender aisément la norme ISO 17799, en démystifiant la complexité de sa mise en uvre.

5 9979 79 7BS17O IS/ S lotuoi nogies Europe aC ©oillceT lonh

ISO 17799

Pourquoi ?

De nos jours, dans toute organisation, linformation est vitale et constitue un actif important quil faut protéger. La sécurité de linformation ne peut être assurée uniquement par des produits ; Lesprocessus etmanagement tout sont aussi (si ce nest plus) importants. Dès les années 80, il a existé des standards de sécurité -mais ils concernaient essentiellement les produits (ex : « Orange Book », ITSec, Critères Communs, ). Depuis peu (2000), pour mettre en uvre de bonnes pratiques de gestion de la sécurité de l'information et implanter une politique de sécurité, la normeBS 7799 / ISO 17799 a été publiée pour servir de référence - Norme internationale reconnue dans le domaine de la sécurité des systèmes dinformation et largement utilisée à travers le monde.

ISO 17799 Qu est ce que c'est ?  La norme ISO 17799 est constituée de deux documents : ISO/IEC 17799 :2000 Code de bonnes pratiques relatives à la gestion de la sécurité de l'information Se veut un guide contenant des conseils et des recommandations qui permettent d'assurer la sécurité des informations d'une entreprise selon dix domaines d'application.

BS 7799-2 Exigences relatives au Système de Management de la Sécurité de l'Information Propose des recommandations afin d'établir un cadre efficace de gestion de la sécurité de l'information. Dans le cadre dune Certification, c'est ce document qui servira de guide de contrôles et d'évaluation pour vérifier les bonnes pratiques de sécurité dun organisme.

off

ISO 17799

Pour qui ? "Tout organisme qui détient des informations et des moyens de traitement de cette information. "Toute entreprise qui opère sur un marché concurrentiel qui doit protéger son savoir faire et assure la confiance de ses partenaires (clients, fournisseurs). Toute organisation qui traite au quotidien de gros " volumes dinformations personnelles, sensibles ou critiques (finance, banque et assurances, secteur de la santé, ).  Comment l utiliser ? 1. CommeGuide de bonnes pratiques de sécurité: La norme ISO 17799 est un ensemble de règles ou de recommandations décrivant les meilleures pratiques en matière de sécurité de linformation. Ces meilleures pratiques, interprétées sous forme de contrôles, permettent de procéder à une première évaluation des risques informatiques. 2. Pourcommuniquer: "En interne  La personne en charge de la sécurité des systèmes dinformation peut renseigner sa direction sur létat sécuritaire de lorganisation par rapport à létat de lart et informer les utilisateurs en les sensibilisant et les responsabilisant. "En externe - La mise en uvre de ces bonnes pratiques permet de démontrer que son organisation et ses pratiques respectent un référentiel sécurité normalisé. 3. Pour êtrecertifié: La certification via un référentiel reconnu par un standard international permet de faciliter les échanges dinformations entre organismes. Les partenaires peuvent évaluer leurs niveaux de sécurité respectifs avant dinterconnecter leurs systèmes ou de communiquer des informations - Un environnement de confiance réciproque dans le cadre déchanges commerciaux ou dinformations.

 Quels sont les bénéfices de l adoption de la norme BS 7799 / ISO 17799 ? 1.Politique de sécurité: -Standardisation de la documentation définissant les exigences de sécurité (Langage commun, structure et organisation pour tous les acteurs du SI) ; -Structure claire et bien organisée ; -documents de lorganisme (évaluations techniques, directives de sécurité,Sintègre aux autres etc.) ; -chaque détail de la sécurité de linformation.La liste des recommandations permet daborder 2.Modularité: -Peut croître avec les besoins et les exigences de lorganisation ; -Peut sélectionner certains domaines ou certains objectifs, puis les traiter ultérieurement. 3.Certification: - labelPossibilité dobtenir une certification « de reconnaissance de confiance dans le SI » internationale. (Cette certification devient un actif de valeur). -Peut servir en support ou comme preuve dans la mise en uvre de processus Qualité ISO 9000 :2000. e diminuer leurs risques informatiques. Afin daider à l'implantation de la norme BS 7799 ISO 17799 et de développer des politiques de sécurité, il existe divers logiciels sur le marché don Callio Secura 17799. dologie, desCe dernier rassemble une méth o questionnaires, des guides dinformations, des exemples et tous les outils nécessaires à la création de linfrastructure requise pour un Système de Management de la Sécurité de l'Information (SMSI). Callio Secura 17799permet daccélérer la conception, limplantation et lamélioration continue dun SMSI.

Ces trois critères de sécurité que tout le monde connaît sont basés sur danciens paradigmes comme la sûreté de fonctionnement. Depuis, avec lapparition des normes et standards plus modernes comme la BS 7799 / ISO 17799, on parle également des aspects légaux (Légalité) liés à la sécurité de linformation. Et dans certains domaines plus spécifiques, dautres critères peuvent encore être employés, comme lanonymat électronique), (votelarchivage,authentilnoitacif la etnon répudiation électronique ou (signature preuve).

  Qu est-ce que la sécurité de l information? L'information constitue un actif qui, comme tous les La sécurité de l'information est caractérisée autres actifs commerciaux importants, a de la comme étant la préservation de : valeur pour toute organisation ; il faut donc protéger cet actif de manière appropriée. a)la confidentialité : faire en sorte que l'information ne soit accessible qu'aux personnes autorisées à y La sécurité de l'information protège l'information accéder. contre des menaces très diverses, de façon à assurer la continuité des activités de l'entreprise, à b)l'intégrité : protéger l'exactitude et l'intégrité de minimiser le préjudice pouvant être causé et à l'information et des méthodes de traitement. maximiser le rendement du capital investi et les opportunités d'affaires. c)la disponibilité : faire en sorte que les utilisateurs autorisés puissent accéder à l'information et aux L'information se présente sous de nombreuses ressources auxquelles elle est associée, lorsqu'ils en formes. Elle peut être imprimée ou écrite sur papier, ont besoin. stockée sur des supports électroniques, transmise par la poste ou en utilisant des moyens La sécurité de l'information est obtenue en électroniques, exposée sur des films ou parlée lors appliquant un ensemble de mesures de contrôle qui de conversations. Quels que soient la forme prise peuvent prendre la forme de politiques, de pratiques, par l'information ou les moyens par lesquels elle de procédures, de structures organisationnelles et de est transmise ou stockée, elle se doit dêtre toujours fonctions de logiciels. Ces mesures de contrôle protégée de manière appropriée. doivent être établies afin que les objectifs de sécurité spécifiques de l'organisation soient atteints. Source : ISO/IEC 17799:2000 (Partie 1) Code de bonnes rati ues our la estion de la sécurité de linformation

 Qu est-ce que BS7799 / ISO 17799 ? BS 7799 / ISO 17799 est une norme qui a pour objectif « de fournir une base commune pour l'élaboration des normes de sécurité des organisations et une méthode de gestion efficace de la sécurité et d'établir des rapports de confiance dans les transactions et les relations interentreprises ». ISO/IEC 17799 :2000 La norme est publiée en deux parties : ISO/IEC 17799:2000 Code de bonnes pratiques relatif à la gestion de la sécurité de l'information. BS 7799 Part 2 Spécifications relatives au Système de Gestion de la Sécurité de l'Information (SGSI) (ISMS : Information Security Management System). ISO/IEC 17799 (1ère partie) La norme internationale ISO/IEC 17799 :2000 a été développée initialement dans les années 90 par le British Standards Institution (BSI) en tant que standard BS 7799. Elle a été adoptée selon une procédure exceptionnelle (dite de "Fast Track ») par le comité technique mixte (Joint Technical Comitee - JTC 1-SC27) en charge des normes de sécurité des technologies de linformation auprès de lISO et de lIEC, en 2000. ISO/IEC 17799 :2000 se présente sous la forme de notes d'orientation et de recommandations. Celles-ci ont été rassemblées à la suite des consultations menées auprès des plus grandes entreprises. Elle contientdix domaines spécifiques composés de36 objectifset de127 mesuresde sécurité. Voici un bref aperçu de chacun des 10 domaines :

Voir