Mise en œuvre 27001 - Clusir Rhône Alpes

Clusir Rhône-Alpes Club SSI, le 29/04/2015
Mise en œuvre de la certification
ISO 27001
CLUSIF / CLUSIR Rha
Mise en œuvre 27001 Rémi GRIVEL SynAApS
1
Clusir Rhône-Alpes Club SSI, le 29/04/2015
Sommaire :
1.
2.
3.
4.
5.
6.
7.
Définitions
Pourquoi vouloir obtenir une certification ?
Les étapes pour obtenir l’ISO 27001
Implémentation
Surveillance et audit du SMSI
Avantages vs Inconvénients
Retours sur la certification SynAApS
CLUSIF / CLUSIR Rha
Mise en œuvre 27001 Rémi GRIVEL SynAApS
2
Clusir Rhône-Alpes Club SSI, le 29/04/2015
Définitions
La famille de normes ISO 27000 aide les organisations à assurer la
sécurité de leurs informations.
Ces normes organisent le management de la sécurité des
informations, notamment :
Les données financières
Les documents soumis à la propriété intellectuelle
Les informations relatives au personnel
Les données qui vous sont confiées par des tiers
L’ISO/IEC 27001, expose les exigences relatives aux systèmes de
management de la sécurité des informations (SMSI).
La suite ISO/CEI 27000 comprend les normes de sécurité de l'information publiées
conjointement par l'Organisation internationale de normalisation (ISO) et la
Commission électrotechnique internationale (CEI, ou IEC en anglais).
CLUSIF / CLUSIR Rha
Mise en œuvre 27001 Rémi GRIVEL SynAApS
3
Clusir Rhône-Alpes Club SSI, le 29/04/2015
Définitions
Un SMSI désigne l'approche systémique par laquelle une
organisation veille à la sécurité des informations sensibles.
Construit selon un processus de management du risque, un SMSI
englobe :
Les personnes
Les processus
et les systèmes de l’IT
Cette démarche peut être utile aux organisations de tous secteurs et
de toutes tailles qui tiennent à la confidentialité de leurs informations.
CLUSIF / CLUSIR Rha
Mise en œuvre 27001 Rémi GRIVEL SynAApS
4
Clusir Rhône-Alpes Club SSI, le 29/04/2015
Définitions
CLUSIF / CLUSIR Rha
Mise en œuvre 27001 Rémi GRIVEL SynAApS
5
Clusir Rhône-Alpes Club SSI, le 29/04/2015
Pourquoi vouloir une certification ?
Comme toutes les autres normes de systèmes de management de l'ISO,
la certification selon ISO/IEC 27001 est une possibilité, mais pas une
obligation.
Certains utilisateurs (organisations) décident de mettre en œuvre la
norme pour les avantages directs que procurent les meilleures pratiques.
Bonne gouvernance = réduction des coûts
D'autres font le choix de la certification pour prouver à leurs clients qu'ils
suivent les recommandations de la norme.
CLUSIF / CLUSIR Rha
Mise en œuvre 27001 Rémi GRIVEL SynAApS
6
Clusir Rhône-Alpes Club SSI, le 29/04/2015
Les étapes
Etapes
Désignation
INITIALE
Préparation du scope projet ISO 27K
AUDIT
Etat des lieux du périmètre Datacenter
ETUDE DES RISQUES
Méthodologie d’étude EBIOS
SMSI
Phases Conception, déploiement, surveillance et
amélioration du SMSI
PLAN D’ACTIONS
Plan d’Actions et suivi de la mise en conformité
DOCUMENTATION
Formalisation de la base documentaire
DOSSIER ASIP
Accompagnement pour la création du dossier de
candidature
CLUSIF / CLUSIR Rha
Mise en œuvre 27001 Rémi GRIVEL SynAApS
7
Clusir Rhône-Alpes Club SSI, le 29/04/2015
Implémentation de la certification ?
CLUSIF / CLUSIR Rha
Mise en œuvre 27001 Rémi GRIVEL SynAApS
8
Clusir Rhône-Alpes Club SSI, le 29/04/2015
Implémentation de la certification ?
CLUSIF / CLUSIR Rha
Mise en œuvre 27001 Rémi GRIVEL SynAApS
9
Clusir Rhône-Alpes Club SSI, le 29/04/2015
Implémentation de la certification ?
CLUSIF / CLUSIR Rha
Mise en œuvre 27001 Rémi GRIVEL SynAApS
10
Clusir Rhône-Alpes Club SSI, le 29/04/2015
Implémentation de la certification ?
CLUSIF / CLUSIR Rha
Mise en œuvre 27001 Rémi GRIVEL SynAApS
11
Clusir Rhône-Alpes Club SSI, le 29/04/2015
Implémentation de la certification ?
CLUSIF / CLUSIR Rha
Mise en œuvre 27001 Rémi GRIVEL SynAApS
12
Clusir Rhône-Alpes Club SSI, le 29/04/2015
Implémentation de la certification ?
CLUSIF / CLUSIR Rha
Mise en œuvre 27001 Rémi GRIVEL SynAApS
13
Clusir Rhône-Alpes Club SSI, le 29/04/2015
Implémentation de la certification ?
CLUSIF / CLUSIR Rha
Mise en œuvre 27001 Rémi GRIVEL SynAApS
14
Clusir Rhône-Alpes Club SSI, le 29/04/2015
Implémentation de la certification ?
CLUSIF / CLUSIR Rha
Mise en œuvre 27001 Rémi GRIVEL SynAApS
15
Clusir Rhône-Alpes Club SSI, le 29/04/2015
Implémentation de la certification ?
CLUSIF / CLUSIR Rha
Mise en œuvre 27001 Rémi GRIVEL SynAApS
16
Clusir Rhône-Alpes Club SSI, le 29/04/2015
Implémentation de la certification ?
CLUSIF / CLUSIR Rha
Mise en œuvre 27001 Rémi GRIVEL SynAApS
17
Clusir Rhône-Alpes Club SSI, le 29/04/2015
Implémentation de la certification ?
ISO 27001:2013 – 113 mesures de sécurité
CLUSIF / CLUSIR Rha
Mise en œuvre 27001 Rémi GRIVEL SynAApS
18
Clusir Rhône-Alpes Club SSI, le 29/04/2015
Les différents niveaux de sécurisation à traiter :
ACL, Cryptage, Chiffrement, Anonymisation, Sauvegarde.
Antivirus, contrôle des développements,
Contrôle et tracing des accès
Sondes HIDS(1), Authentification, Renforcement de la
sécurité du Système d’Exploitation
Sondes NIDS(2), Authentification, Renforcement de la
sécurité du Système d’Exploitation
Firewall, Vpn Ipsec/ SSL, Vlan, etc…
Cages, Verrous, vidéosurveillance, Périmètre , Contrôles physiques,
Détecteurs biométriques, thermiques, hydrométriques, etc…
Formation, Accompagnement, Sensibilisation des utilisateurs,
Etude des risques, PSSI, Gestion des projets, etc…
(1) SDIH = Système de Détection d’Intrusion au niveau des Hôtes
(2) NIDS = Système de Détection d’Intrusion au niveau du Réseau
CLUSIF / CLUSIR Rha
Mise en œuvre 27001 Rémi GRIVEL SynAApS
19
Clusir Rhône-Alpes Club SSI, le 29/04/2015
Implémentation de la certification ?
CLUSIF / CLUSIR Rha
Mise en œuvre 27001 Rémi GRIVEL SynAApS
20
Clusir Rhône-Alpes Club SSI, le 29/04/2015
Surveillance et réexamen du SMSI
CLUSIF / CLUSIR Rha
Mise en œuvre 27001 Rémi GRIVEL SynAApS
21
Clusir Rhône-Alpes Club SSI, le 29/04/2015
Audit interne et externe
CLUSIF / CLUSIR Rha
Mise en œuvre 27001 Rémi GRIVEL SynAApS
22
Clusir Rhône-Alpes Club SSI, le 29/04/2015
Choix de l’organisme de certification ?
CLUSIF / CLUSIR Rha
Mise en œuvre 27001 Rémi GRIVEL SynAApS
23
Clusir Rhône-Alpes Club SSI, le 29/04/2015
Les avantages ?
CLUSIF / CLUSIR Rha
Mise en œuvre 27001 Rémi GRIVEL SynAApS
24
Clusir Rhône-Alpes Club SSI, le 29/04/2015
Les avantages ?
CLUSIF / CLUSIR Rha
Mise en œuvre 27001 Rémi GRIVEL SynAApS
25
Clusir Rhône-Alpes Club SSI, le 29/04/2015
Les contraintes ?
•
•
•
•
•
•
•
•
•
Temps passé
Embauche de plusieurs collaborateurs
Des processus contraignants à respecter
Des obligations de résultats
Audit tous les ans
Des documents à maintenir
Un temps de formation important pour les nouveaux collaborateurs
L’obligation de déléguer des responsabilités
Une implication obligatoire de la direction
CLUSIF / CLUSIR Rha
Mise en œuvre 27001 Rémi GRIVEL SynAApS
26
Clusir Rhône-Alpes Club SSI, le 29/04/2015
Notre retour sur la certification
SynAApS
• L’implémentation est longue et difficile à gérer avec l’activité
• Cette norme doit vivre dans l’organisation à tous les niveaux
hiérarchiques
• Le choix du périmètre est essentiel
• Embauche de nouvelles ressources
• Elle évolue et s’améliore tous les jours
• Ne pas faire cette norme par contrainte d’un prospect
• Elle permet de rassurer nos clients. Il retrouve leur zone de
confiance.
• La certification AHDS…
CLUSIF / CLUSIR Rha
Mise en œuvre 27001 Rémi GRIVEL SynAApS
27