Clusir Rhône-Alpes Club SSI, le 29/04/2015 Mise en œuvre de la certification ISO 27001 CLUSIF / CLUSIR Rha Mise en œuvre 27001 Rémi GRIVEL SynAApS 1 Clusir Rhône-Alpes Club SSI, le 29/04/2015 Sommaire : 1. 2. 3. 4. 5. 6. 7. Définitions Pourquoi vouloir obtenir une certification ? Les étapes pour obtenir l’ISO 27001 Implémentation Surveillance et audit du SMSI Avantages vs Inconvénients Retours sur la certification SynAApS CLUSIF / CLUSIR Rha Mise en œuvre 27001 Rémi GRIVEL SynAApS 2 Clusir Rhône-Alpes Club SSI, le 29/04/2015 Définitions La famille de normes ISO 27000 aide les organisations à assurer la sécurité de leurs informations. Ces normes organisent le management de la sécurité des informations, notamment : Les données financières Les documents soumis à la propriété intellectuelle Les informations relatives au personnel Les données qui vous sont confiées par des tiers L’ISO/IEC 27001, expose les exigences relatives aux systèmes de management de la sécurité des informations (SMSI). La suite ISO/CEI 27000 comprend les normes de sécurité de l'information publiées conjointement par l'Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (CEI, ou IEC en anglais). CLUSIF / CLUSIR Rha Mise en œuvre 27001 Rémi GRIVEL SynAApS 3 Clusir Rhône-Alpes Club SSI, le 29/04/2015 Définitions Un SMSI désigne l'approche systémique par laquelle une organisation veille à la sécurité des informations sensibles. Construit selon un processus de management du risque, un SMSI englobe : Les personnes Les processus et les systèmes de l’IT Cette démarche peut être utile aux organisations de tous secteurs et de toutes tailles qui tiennent à la confidentialité de leurs informations. CLUSIF / CLUSIR Rha Mise en œuvre 27001 Rémi GRIVEL SynAApS 4 Clusir Rhône-Alpes Club SSI, le 29/04/2015 Définitions CLUSIF / CLUSIR Rha Mise en œuvre 27001 Rémi GRIVEL SynAApS 5 Clusir Rhône-Alpes Club SSI, le 29/04/2015 Pourquoi vouloir une certification ? Comme toutes les autres normes de systèmes de management de l'ISO, la certification selon ISO/IEC 27001 est une possibilité, mais pas une obligation. Certains utilisateurs (organisations) décident de mettre en œuvre la norme pour les avantages directs que procurent les meilleures pratiques. Bonne gouvernance = réduction des coûts D'autres font le choix de la certification pour prouver à leurs clients qu'ils suivent les recommandations de la norme. CLUSIF / CLUSIR Rha Mise en œuvre 27001 Rémi GRIVEL SynAApS 6 Clusir Rhône-Alpes Club SSI, le 29/04/2015 Les étapes Etapes Désignation INITIALE Préparation du scope projet ISO 27K AUDIT Etat des lieux du périmètre Datacenter ETUDE DES RISQUES Méthodologie d’étude EBIOS SMSI Phases Conception, déploiement, surveillance et amélioration du SMSI PLAN D’ACTIONS Plan d’Actions et suivi de la mise en conformité DOCUMENTATION Formalisation de la base documentaire DOSSIER ASIP Accompagnement pour la création du dossier de candidature CLUSIF / CLUSIR Rha Mise en œuvre 27001 Rémi GRIVEL SynAApS 7 Clusir Rhône-Alpes Club SSI, le 29/04/2015 Implémentation de la certification ? CLUSIF / CLUSIR Rha Mise en œuvre 27001 Rémi GRIVEL SynAApS 8 Clusir Rhône-Alpes Club SSI, le 29/04/2015 Implémentation de la certification ? CLUSIF / CLUSIR Rha Mise en œuvre 27001 Rémi GRIVEL SynAApS 9 Clusir Rhône-Alpes Club SSI, le 29/04/2015 Implémentation de la certification ? CLUSIF / CLUSIR Rha Mise en œuvre 27001 Rémi GRIVEL SynAApS 10 Clusir Rhône-Alpes Club SSI, le 29/04/2015 Implémentation de la certification ? CLUSIF / CLUSIR Rha Mise en œuvre 27001 Rémi GRIVEL SynAApS 11 Clusir Rhône-Alpes Club SSI, le 29/04/2015 Implémentation de la certification ? CLUSIF / CLUSIR Rha Mise en œuvre 27001 Rémi GRIVEL SynAApS 12 Clusir Rhône-Alpes Club SSI, le 29/04/2015 Implémentation de la certification ? CLUSIF / CLUSIR Rha Mise en œuvre 27001 Rémi GRIVEL SynAApS 13 Clusir Rhône-Alpes Club SSI, le 29/04/2015 Implémentation de la certification ? CLUSIF / CLUSIR Rha Mise en œuvre 27001 Rémi GRIVEL SynAApS 14 Clusir Rhône-Alpes Club SSI, le 29/04/2015 Implémentation de la certification ? CLUSIF / CLUSIR Rha Mise en œuvre 27001 Rémi GRIVEL SynAApS 15 Clusir Rhône-Alpes Club SSI, le 29/04/2015 Implémentation de la certification ? CLUSIF / CLUSIR Rha Mise en œuvre 27001 Rémi GRIVEL SynAApS 16 Clusir Rhône-Alpes Club SSI, le 29/04/2015 Implémentation de la certification ? CLUSIF / CLUSIR Rha Mise en œuvre 27001 Rémi GRIVEL SynAApS 17 Clusir Rhône-Alpes Club SSI, le 29/04/2015 Implémentation de la certification ? ISO 27001:2013 – 113 mesures de sécurité CLUSIF / CLUSIR Rha Mise en œuvre 27001 Rémi GRIVEL SynAApS 18 Clusir Rhône-Alpes Club SSI, le 29/04/2015 Les différents niveaux de sécurisation à traiter : ACL, Cryptage, Chiffrement, Anonymisation, Sauvegarde. Antivirus, contrôle des développements, Contrôle et tracing des accès Sondes HIDS(1), Authentification, Renforcement de la sécurité du Système d’Exploitation Sondes NIDS(2), Authentification, Renforcement de la sécurité du Système d’Exploitation Firewall, Vpn Ipsec/ SSL, Vlan, etc… Cages, Verrous, vidéosurveillance, Périmètre , Contrôles physiques, Détecteurs biométriques, thermiques, hydrométriques, etc… Formation, Accompagnement, Sensibilisation des utilisateurs, Etude des risques, PSSI, Gestion des projets, etc… (1) SDIH = Système de Détection d’Intrusion au niveau des Hôtes (2) NIDS = Système de Détection d’Intrusion au niveau du Réseau CLUSIF / CLUSIR Rha Mise en œuvre 27001 Rémi GRIVEL SynAApS 19 Clusir Rhône-Alpes Club SSI, le 29/04/2015 Implémentation de la certification ? CLUSIF / CLUSIR Rha Mise en œuvre 27001 Rémi GRIVEL SynAApS 20 Clusir Rhône-Alpes Club SSI, le 29/04/2015 Surveillance et réexamen du SMSI CLUSIF / CLUSIR Rha Mise en œuvre 27001 Rémi GRIVEL SynAApS 21 Clusir Rhône-Alpes Club SSI, le 29/04/2015 Audit interne et externe CLUSIF / CLUSIR Rha Mise en œuvre 27001 Rémi GRIVEL SynAApS 22 Clusir Rhône-Alpes Club SSI, le 29/04/2015 Choix de l’organisme de certification ? CLUSIF / CLUSIR Rha Mise en œuvre 27001 Rémi GRIVEL SynAApS 23 Clusir Rhône-Alpes Club SSI, le 29/04/2015 Les avantages ? CLUSIF / CLUSIR Rha Mise en œuvre 27001 Rémi GRIVEL SynAApS 24 Clusir Rhône-Alpes Club SSI, le 29/04/2015 Les avantages ? CLUSIF / CLUSIR Rha Mise en œuvre 27001 Rémi GRIVEL SynAApS 25 Clusir Rhône-Alpes Club SSI, le 29/04/2015 Les contraintes ? • • • • • • • • • Temps passé Embauche de plusieurs collaborateurs Des processus contraignants à respecter Des obligations de résultats Audit tous les ans Des documents à maintenir Un temps de formation important pour les nouveaux collaborateurs L’obligation de déléguer des responsabilités Une implication obligatoire de la direction CLUSIF / CLUSIR Rha Mise en œuvre 27001 Rémi GRIVEL SynAApS 26 Clusir Rhône-Alpes Club SSI, le 29/04/2015 Notre retour sur la certification SynAApS • L’implémentation est longue et difficile à gérer avec l’activité • Cette norme doit vivre dans l’organisation à tous les niveaux hiérarchiques • Le choix du périmètre est essentiel • Embauche de nouvelles ressources • Elle évolue et s’améliore tous les jours • Ne pas faire cette norme par contrainte d’un prospect • Elle permet de rassurer nos clients. Il retrouve leur zone de confiance. • La certification AHDS… CLUSIF / CLUSIR Rha Mise en œuvre 27001 Rémi GRIVEL SynAApS 27
© Copyright 2024