La famille des normes ISO 2700x (Ière partie)
Date : 02 Juillet 2007
Les normes ISO 27001 ou ISO 27002 (ex ISO 17799) sont devenues des référentiels incontournables du monde de la sécurité de l'information.
Ces normes internationales attestent du respect par
l'organisme certifié des bonnes pratiques en matière de sécurité de
l’information. Aujourd’hui,
Comme la prise en compte de ces normes est un sujet d'actualité pour beaucoup, nous vous proposons de suivre cette norme ISO 27001, ainsi que la série des normes ISO 2700x au travers plusieurs articles, qui s'échelonneront sur plusieurs Bulletin Sécurité du Cert-IST.
Ce premier article présente les différentes normes de cette
famille et décrit les deux normes les plus connues, qui sont ISO 27001 et ISO 27002.
Comme toute norme ISO, ces deux normes ne sont pas en diffusion libre, elles ne
sont disponibles qu’à l’achat.
2 - Bref historique
En 1995, le "British Standard Institue" (BSI) édite le standard britannique "BS 7799" qui définit des mesures de sécurité détaillées.
En 1998, le BSI scinde le premier document en deux tomes : le BS 7799-1 correspondant aux codes des bonnes pratiques, et le BS 7799-2 correspondant aux spécifications d’un SMSI.
En
En 2005, deux normes sont éditées :
- ISO/IEC 17799 :2005 qui remanie les domaines et objectifs
- ISO/IEC 27001 :2005 qui introduit la notion de SMSI et offre la possibilité de certification.
3 - Présentation de
Cette famille se décline en 7 volumes :
- 27000 : Principes et vocabulaire
- 27001 : Exigences d’un SMSI
- 27002 : Code de bonnes pratiques (nouveau nom de l’ISO 17799:2005)
- 27003 : Guide d’implémentation pour le SMSI (Sortie prévue en Octobre 2008)
- 27004 : Mesures et métriques pour le SMSI (Sortie prévue en 2007)
- 27005 : Gestion du risque pour le SMSI (anciennement appelée "ISO 13335" – Sortie prévue en 2007)
- 27006 : Guide pour la certification (qui doit inclure le guide "EA3/07" – pas de date de sortie annoncée)
4 - Contenu de
Les premières clauses constituent l’introduction (objet, les références et glossaire).
Les clauses 4 à 8 sont les clauses importantes de
La « Clause 4 - Système de Management de la Sécurité de l’Information » souligne la nécessité pour une organisation d’établir, implémenter, opérer, surveiller, réviser, maintenir et améliorer un SMSI ; et ce en fonction de ses activités et des risques à couvrir. La documentation autour de la mise en place de ce SMSI est primordiale, elle permet de démontrer les relations entre les mesures et les résultats de l’appréciation des risques, et de remonter jusqu’aux objectifs définis dans la politique du SMSI. L’implémentation du SMSI est basé sur la roue de Deming (illustration de la méthode qualité PDCA - Plan / Do / Check / Act). Lors du prochain article nous expliciterons ce modèle.
La « Clause 5 - Responsabilités de la Direction » indique que la Direction doit montrer son engagement et doit fournir toutes les ressources nécessaires (matérielles, humaines, financières) lors de l’implémentation du SMSI.
La « Clause 6 - Audits internes du SMSI »
montre l’importance d’effectuer des audits internes à intervalle régulier pour
s’assurer que la mise en place du SMSI est efficace et atteint les objectifs
définis; que les processus et procédures de ce SMSI sont conformes à
La « Clause 7 - Revues du SMSI par la Direction » impose la tenue de revues (au moins une fois par an) pour s'assurer de l’adéquation du SMSI, de sa conformité et de son efficacité. Lors de ces revues les résultats des audits internes du SMSI sont examinés et des actions correctives et préventives sont définies.
La « Clause 8 – Amélioration du SMSI » permet à l’organisme de vérifier que les actions mises en place sont efficaces dans le temps. Ceci est fait au travers des audits, de l'analyse des événements, des actions correctives et préventives et des revues.
5 - Contenu de
L’ISO 27002 est découpée en thèmes ou domaines. Chaque thème comporte un ou plusieurs objectifs composés d’une ou plusieurs mesures de sécurité.
Les premiers chapitres introduisent la norme.
Le « Chapitre 5 - Politique de sécurité de l’information » mentionne la nécessité pour l’organisme de disposer d’une politique de sécurité de l’information et de la réexaminer régulièrement.
Le « Chapitre 6 - Organisation de la sécurité » décrit les mesures nécessaires pour l’établissement d’un cadre de gestion de la sécurité en interne et traite de tous les aspects contractuels liés à la sécurisation de l’accès par des tiers (clients, sous-traitants, …) au système d’information.
Le « Chapitre 7 – Gestion des actifs » montre l’importance d’inventorier et de classifier les actifs de l’organisme afin de maintenir un niveau de protection adapté. Ces actifs peuvent être :
- des biens physiques (serveurs, réseau, imprimantes, baies de stockage, poste de travail, des matériels non IT),
- des informations (database, fichiers, archives)
- des logiciels (application ou système)
- des services
- de la documentation (politiques, procédures, plans)
Lors de la mise en œuvre d’un SMSI, la difficulté consiste à trouver un niveau de granularité pertinent.
Le « Chapitre 8 – Sécurité liée aux ressources humaines » donne les recommandations destinées à réduire le risque d’erreur ou de fraude en favorisant la formation et la sensibilisation des utilisateurs sur les risques et les menaces pesant sur les informations.
Le « Chapitre 9 - Sécurités physiques et environnementales » décrit les mesures pour protéger les locaux de l’organisme contre les accès non autorisés et les menaces extérieures et environnementales; protéger les matériels (emplacement, maintenance, alimentation électrique, mise au rebus …).
Le « Chapitre 10 – Exploitation et gestion des communications » décrit les mesures permettant d’assurer une exploitation correcte et sécurisée des moyens de traitement de l’information ; de gérer les prestations de service assurées par des tiers ; de réduire les risques de pannes ; de protéger l’intégrité des informations et des logiciels ; de maintenir l’intégrité, la confidentialité et la disponibilité des informations et des moyens de traitement de l’information ; d’assurer la protection des informations sur les réseaux et la protection de l’infrastructure sur laquelle ils s’appuient, de maintenir la sécurité des informations et des logiciels échangés au sein de l’organisme et avec une entité extérieure et enfin de détecter les traitements non autorisés de l’information.
Le « Chapitre 11 – Contrôle d’accès » décrit les mesures pour gérer et contrôler les accès logiques aux informations, à assurer la protection des systèmes en réseau, et à détecter les activités non autorisées. Ce thème couvre aussi la sécurité de l’information lors de l’utilisation d’appareils informatiques mobiles et d’équipements de télétravail.
Le « Chapitre 12 - Acquisition, développement et maintenance des systèmes d'informations » propose les mesures pour veiller à ce que la sécurité fasse partie intégrante des systèmes d’information. Ce thème traite aussi des mesures visant à prévenir la perte, la modification ou la mauvaise utilisation des informations dans les systèmes d'exploitation et les logiciels d'application et enfin à protéger la confidentialité, l’authenticité ou l’intégrité de l’information par des moyens cryptographiques.
Le « Chapitre 13 - Gestion des incidents » souligne la nécessité de mettre en place des procédures pour la détection et le traitement des incidents de sécurité.
Le « Chapitre 14 - Gestion de la continuité des activités » décrit des mesures pour la gestion d’un plan de continuité de l’activité visant à réduire le plus possible l’impact sur l’organisme et à récupérer les actifs informationnels perdus notamment à la suite de catastrophes naturelles, d’accidents, de pannes de matériel et d’actes délibérés.
Le « Chapitre 15 – Conformité » traite du respect des lois et des réglementations ; de la conformité des procédures en place au regard de la politique de sécurité et enfin de l'efficacité des dispositifs de traçabilité et de suivi des procédures, notamment les journaux d'activités, les audits et les enregistrements de transactions.
6 - Conclusion : A suivre …
Dans un prochain article, nous détaillerons le processus de mise en œuvre d’un SMSI en utilisant le modèle PDCA et présenterons le processus de certification.