Tải bản đầy đủ (.pdf) (104 trang)
  1. Trang chủ
    2. >>
  2. Thạc sĩ - Cao học
    3. >>
  3. Kỹ thuật

Mise en conformité isocei 27001 de streamscan

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (4.47 MB, 104 trang )

UNIVERSITÉ NATIONALE DU VIETNAM, HANOÏ
INSTITUT FRANCOPHONE INTERNATIONAL( IFI )

OUARME Arouna

Mise en conformité ISO/CEI 27001 de StreamScan

Tuân thủ chuẩn chất lượng ISO/CEI 27001
cho StreamScan

Spécialité : Réseaux et Systèmes Communicants
Code : 8480201.01

MÉMOIRE DE FIN D’ÉTUDES DU MASTER
INFORMATIQUE

HANOÏ : 2021


UNIVERSITÉ NATIONALE DU VIETNAM, HANOÏ
INSTITUT FRANCOPHONE INTERNATIONAL(IFI)

OUARME Arouna

Mise en conformité ISO/CEI 27001 de StreamScan

Tuân thủ chuẩn chất lượng ISO/CEI 27001
cho StreamScan

Spécialité : Réseaux et Systèmes Communicants
Code : 8480201.01



MÉMOIRE DE FIN D’ÉTUDES DU MASTER
INFORMATIQUE
Encadrant :
Nom : Dr. Karim GANAME

HANOÏ : 2021


ATTESTATION SUR L’HONNEUR
J’atteste sur l’honneur que ce mémoire a été réalisé par moi-même et que les données
et les résultats qui y sont présentés sont exacts et n’ont jamais été publiés ailleurs. La
source des informations citées dans ce mémoire a été bien précisée.

LỜI CAM ĐOAN
Tơi cam đoan đây là cơng trình nghiên cứu của riêng tôi. Các số liệu, kết quả nêu
trong Luận văn là trung thực và chưa từng được ai cơng bố trong bất kỳ cơng
trình nào khác. Các thơng tin trích dẫn trong Luận văn đã được chỉ rõ nguồn
gốc.

Signature de l’étudiant

OUARME Arouna


Remerciements
« Au nom de Dieu le clément et miséricordieux ».
La réalisation de ce mémoire a été possible grâce au concours de plusieurs personnes
à qui je voudrais adresser ma profonde gratitude.
Je voudrais tout d’abord adresser mes sincères remerciements à mon mtre de stage,

Dr Abdoul Karim Ganamé, PDG de StreamScan inc. Canada, pour la confiance, la
disponibilité et surtout l’autonomie qu’il m’a offert pendant ce stage.
Mes remerciements vont également à l’endroit de monsieur Yassia Savadogo, lead
auditor ISO27001, ISO 27032 Lead Cybersecurity Manager, pour sa disponibilité et son
accompagnement, pour toutes les fois ou j’avais des questions concernant mon travail.
Je saisis également cette occasion pour remercier le Dr Nguyen Hong Quang, responsable du Master Réseaux et Systèmes Communicants ainsi que tout le personnel pédagogique et administratif de l’Institut Francophone International - Université National
de Vietnam à Hanoi, pour la formation reỗue durant ces deux annộes acadộmiques.
Je ne saurais terminer sans exprimer ma profonde gratitude à ma famille et à mes
amis qui m’ont apporté un soutien indéfectible et des encouragements constants pour
la réussite de ce mémoire. Je vais ici remercier toute la famille OUARME, en particulier
mon père et ma mère, pour leur bénédictions, leur confiance et leur soutien indéfectible.
Mes sincères et chaleureuses reconnaissances vont à l’endroit des personnes qui sont
les plus chères à mon cœur, mon épouse SAVADOGO Guemiratou dont l’indulgence et la
complicité discrète m’ont aidé à tenir et à mener à bien ce projet d’étude, mes enfants Ahmed et Alyah qui ont consenti et bravé d’innombrables sacrifices durant ces deux années
d’absence.
Trouvez ici l’expression de ma reconnaissance, de mon estime et de ma haute considération.

OUARME Arouna



Résumé
Le projet de mise en conformité ISO/CEI 27001 au sein de StreamScan, est un projet dans lequel nous avons menés une étude dans le but d’accompagner StreamScan
dans son processus de certification ISO/CEI 27001, propre à son centre MDR (Managed Detection and Response). L’étude a été subdivisé en plusieurs grands points, parmi
lesquels :
• Une revue de la littérature, afin de semer le décor dans lequel se tiendra la suite
de notre travail,
• Une identification des exigences de la certification ISO/CEI 27001,
• Une analyse d’écarts, afin de déterminer le niveau de conformité actuel de StreamScan,
• Une identification des mesures, processus et procédures nécessaires pour la mise

en conformité ISO/CEI 27001 de StreamScan, ainsi que,
• La rédaction des politiques, processus et procédures nécessaires.
A l’issue de ces étapes nous avons pu déterminer le niveau de conformité de l’organisme, à travers les mesures de sécurité prédéfini par la norme elle même.
Il faut savoir que dans ce processus nous avons dessellés des non-conformités qui
ont été corrigées en définissant des politiques et procédures de correction de ces points
de contrôles non-conforme, afin de rendre les mesures de sécurité mise en oeuvre au
sein de StreamScan entièrement conforme à ISO/CEI 27001.
Mots clés : Mise en conformité, Normes ISO/CEI 27001, SMSI, Mesures de sécurités, Politique de Sécurité du Système d’Information, Certification ISO/CEI 27001.


Abstract
The ISO/IEC 27001 compliance project within StreamScan, is a project in which
we conducted a study with the aim of supporting StreamScan in its ISO / IEC 27001
certification process, specific to its MDR (Managed Detection and Response) center. ).
The study was subdivided into several major points, among which :
• A review of the literature, in order to set the scene in which the rest of our work
will take place,
• Identify the requirements of ISO / IEC 27001 certification,
• A gap analysis, to determine StreamScan’s current level of compliance,
• An identification of the measures, processes and procedures necessary for the
ISO 27001 compliance of StreamScan, as well as,
• Writing the necessary policies, processes and procedures.
At the end of these steps we were able to determine the level of compliance of the
organization, through the security measures predefined by the standard itself.
You should know that in this process we have unsealed non-conformities which have
been corrected by defining policies and procedures for correcting these non-conforming
control points, in order to make the security measures implemented within StreamScan fully compliant with ISO / IEC 27001.
Keywords : Compliance, ISO / CEI 27001 Standards, ISMS, Security measures, Information System Security Policy, ISO / CEI 27001 Certification.

2



Table des matières

Liste des tableaux

iv

Table des figures

v

Liste des tables

v

1 INTRODUCTION GÉNÉRALE
1.1 Présentation de l’établissement d’accueil
1.1.1 StreamScan inc. Canada . . . . . .
1.2 Contexte . . . . . . . . . . . . . . . . . . .
1.3 Objectifs . . . . . . . . . . . . . . . . . . .

.
.
.
.

2
2
2

3
4

.
.
.
.
.

5
5
5
5
6
6

.
.
.
.
.
.
.
.

7
8
8
9
10

10
11
13

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.

.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.

.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.

.
.
.

.
.
.
.

2 État de l’art des systèmes de management de la sécurité de l’information
2.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.2 Définitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.2.1 L’Organisation Internationale de Normalisation (ISO) . . . . . . .
2.2.2 Les normes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.2.3 La normalisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.2.4 Historique des normes relatives au système de sécurité de l’information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.3 Les SMSI (Systèmes de Management de la Sécurité de l’Information) . .
2.3.1 Les systèmes de management . . . . . . . . . . . . . . . . . . . . .
2.3.2 Sécurité de l’information . . . . . . . . . . . . . . . . . . . . . . . .
2.4 La famille de normes du SMSI . . . . . . . . . . . . . . . . . . . . . . . . .
2.4.1 Informations générales . . . . . . . . . . . . . . . . . . . . . . . . .
2.4.2 Les normes de la famille ISO/CEI 2700x . . . . . . . . . . . . . . . .
2.4.3 Normes ISO/CEI 270xx . . . . . . . . . . . . . . . . . . . . . . . . . .

3 La norme ISO/CEI 27001 : Exigences
15
3.1 Contexte et objectifs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
3.2 La structure de la norme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

i



TABLE DES MATIÈRES

3.2.1 Description . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.3 Phases de mises en oeuvre du SMSI . . . . . . . . . . . . . . . . . . . . . .
3.3.1 Phase d’établissement (Plan) . . . . . . . . . . . . . . . . . . . . . .
3.3.1.1 Politique et périmètre du SMSI . . . . . . . . . . . . . . . .
3.3.1.2 Appréciation des risques . . . . . . . . . . . . . . . . . . .
A
Processus d’appréciation des risques . . . . . . .
B
Méthodes d’appréciation des risques . . . . . . .
3.3.1.3 Traitement des risques . . . . . . . . . . . . . . . . . . . .
3.3.1.4 Sélection des mesures de sécurité . . . . . . . . . . . . . .
3.3.2 Phase d’implémentation (DO) . . . . . . . . . . . . . . . . . . . . .
3.3.3 Phase de maintien (CHECK) . . . . . . . . . . . . . . . . . . . . . .
3.3.4 Phase d’amélioration (ACT) . . . . . . . . . . . . . . . . . . . . . . .
3.4 Audit initial de l’existant . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.4.1 Phase de réalisation de l’audit de sécurité de système de l’information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.4.1.1 Définition de la charte de l’audit . . . . . . . . . . . . . . .
3.4.1.2 Préparation de l’audit . . . . . . . . . . . . . . . . . . . . .
3.4.1.3 Audit organisationnel et physique . . . . . . . . . . . . . .
3.4.1.4 Audit technique . . . . . . . . . . . . . . . . . . . . . . . .
3.4.2 Synthèse de l’audit préalable . . . . . . . . . . . . . . . . . . . . . .

.
.
.
.

.
.
.
.
.
.
.
.
.

16
17
17
18
18
18
20
23
24
24
25
25
25

.
.
.
.
.
.


26
27
27
27
28
29

4 GAP ANALYSIS ISO 27001 ou ANALYSE D’ÉCARTS
30
4.1 Résultats de l’analyse des écarts . . . . . . . . . . . . . . . . . . . . . . . . . 30
4.2 Détermination du niveau de conformité . . . . . . . . . . . . . . . . . . . . 31
4.3 Amélioration des non-conformités . . . . . . . . . . . . . . . . . . . . . . . 34
4.3.1 Définition de politiques et procédures d’amélioration des non-conformités
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
4.3.1.1 Définition de la politique de sécurité des systèmes d’information et de la procédure de mise à jour de la politique
de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
4.3.1.2 Définition de fiche de poste et procédure d’attribution des
responsabilités . . . . . . . . . . . . . . . . . . . . . . . . . . 41
4.3.1.3 Mise en place d’un statut et règlement intérieur . . . . . . 42
4.3.1.4 Politique et Procédures d’inventoring . . . . . . . . . . . . . 42
4.3.1.5 Définition de Politique de gestion des accès, Procédure
contrôle d’accès réseau, Procédure Identification et authentification de l’utilisateur . . . . . . . . . . . . . . . . . . 43
4.4 Problèmes rencontrés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
5 CONCLUSION & PERSPECTIVES
45
5.1 Conclusion générale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
5.2 Perspectives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45

ii



TABLE DES MATIÈRES

A

48
A.1 Annexe I : Questionnaire Sécurité des systèmes d’information . . . . . . . 48
A.2 Annexe II : bilan de mise en œuvre des mesures de sécurité . . . . . . . . . 52
A.3 Annexe III : Politique de sécurité des systèmes d’information . . . . . . . . 62
A.4 Annexe IV : Procédure de mise à jour de politique de sécurité des systèmes d’information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
A.5 Annexe V : Définition de fiche de poste . . . . . . . . . . . . . . . . . . . . . 65
A.6 Annexe VI : Procédure d’attribution des responsabilités . . . . . . . . . . . 67
A.7 Annexe VII : Politique d’inventoring . . . . . . . . . . . . . . . . . . . . . . . 68
A.8 Annexe VIII : Procédure d’inventoring . . . . . . . . . . . . . . . . . . . . . . 70
A.9 Annexe IX : Politique de gestion des accès . . . . . . . . . . . . . . . . . . . 73
A.10 Annexe X : Procédure contrôle d’accès réseau . . . . . . . . . . . . . . . . . 76
A.11 Annexe XI : Procédure Identification et authentification de l’utilisateur . . 78

iii


Table des figures

1.1 Logo de StreamScan[1]

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

3


2.1
2.2
2.3
2.4
2.5
2.6

Structure hiérarchique des groupes de travail et comités de l’ISO/CEI[2]
Historique des normes liées à la sécurité de l’information . . . . . . . . .
Vue d’un système de management . . . . . . . . . . . . . . . . . . . . . . .
Roue de Deming (PDCA)[3] . . . . . . . . . . . . . . . . . . . . . . . . . . .
Relations au sein de la famille de normes du SMSI[4] . . . . . . . . . . . .
Normes de la famille ISO/CEI 2700x . . . . . . . . . . . . . . . . . . . . . .

. 6
. 7
. 8
. 9
. 11
. 12

3.1
3.2
3.3
3.4
3.5
3.6
3.7
3.8


Structure de l’ISO/CEI 27001[5] . . . . . . .
Déroulement de la phase d’établissement
Processus d’appréciation des risques . . .
Modules de EBIOS[6] . . . . . . . . . . . .
Utilisation des modules de MEHARI[7] . .
Phases de la méthode OCTAVE[8] . . . . .
Cycle de l’Audit préalable . . . . . . . . . .
Démarches de l’audit . . . . . . . . . . . . .

.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.

.
.
.

.
.
.
.
.

.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.

.
.
.
.
.
.

.
.

.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.


.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.

.
.
.

.
.
.
.
.

.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.

.
.
.
.
.
.

.
.

.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.


16
18
19
20
21
22
26
27

4.1 Diagramme du niveau de conformité de l’analyse des écarts . . . . . . . . 33

iv


Liste des tableaux

2.1 Normes ISO/CEI 270xx
4.1
4.2
4.3
4.4

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

Niveau de conformité de l’analyse des écarts . . . . . . . .
Points de contrôles non-conformes ISO/CEI27001 . . . .
Suite – Points de contrôles non-conformes ISO/CEI27001
Amélioration des non-conformités . . . . . . . . . . . . . .

.

.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.

.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

32
35
36
37

A.1 Questionnaire Sécurité des systèmes d’information . . . . . . . . . . . . . . 48
A.2 Bilan de mise en œuvre des mesures de sécurité . . . . . . . . . . . . . . . . 52

v



Liste des sigles et acronymes

ISO

Organisation internationale de normalisation

CEI

Commission Électronique Internationale

MDR

Managed Detection Response

SMSI

Système de Management de la Sécurité de l’Information

CDS

Cybermenaces Detection System

CIA

Confidentiality, Integrity and Availability

JTC1

Joint Tech-nical Committee 1


PDCA

Plan Do Check Act

HLS

High Level Structure

ENISA

European Network and Information Security Agency

ANSSI

Agence Nationale de la Sécurité des Systèmes d’Information

EBIOS

Expression des Besoins et Identification des Objectifs de Sécurité

MEHARI

Méthode Harmonisée d’Analyse de Risques

CLUSIF

Club de la Sécurité de lInformation Franỗais

OCTAVE


Operationally Critical Threat, Asset, and Vulnerability Evaluation

SoA

Statement of Applicability


Chapitre

1

INTRODUCTION GÉNÉRALE
La sécurité de l’information est une priorité pour toute entreprise, à commencer
par les niveaux les plus élevés jusqu’aux plus bas. Les organisations doivent s’assurer
de la confidentialité, de l’ intégrité et de la disponibilité de leurs informations digitales
afin de prévenir toute perturbation de leur activité commerciale. Les risques de sécurité croissants, provenant de menaces tant internes que externes, s’ajoutent aux défis
d’une réglementation en constante évolution. Ces organisations doivent continuellement surveiller les personnes, les processus et la technologie pour administrer et gérer
les risques de sécurité. En l’absence de cadres de gouvernance appropriés, une atteinte
à la protection des données peut avoir des répercussions à long terme, dont la perte de
revenus, l’atteinte à la réputation et, éventuellement, la perte de la confiance des employés, clients et actionnaires.
Partant de ces constats, ne serait-il pas appréciable d’établir de solides fondements
de sécurité de l’information afin de rendre son entreprise conforme aux exigences en
perpétuelle évolution, grâce à des normes de certification de type cybersécurité ?

1.1 Présentation de l’établissement d’accueil
1.1.1 StreamScan inc. Canada
StreamScan est une entreprise canadienne, évoluant dans le secteur de la sécurité
informatique et des réseaux dont le siège social se trouve à Montréal, Québec.
L’entreprise a été fondée en 2011, pour faire face aux problèmes majeurs auxquels
les entreprises de toutes tailles sont confrontées : le vol de la propriété intellectuelle et

des données clients et les perturbations majeures de services critiques dues aux cyberattaques.
L’entreprise a été fondée par une équipe d’experts en sécurité pour concevoir une
suite de produits destinộs protộger de faỗon optimale les donnộes et les réseaux des
entreprises et circonvenir les intrusions, les violations de données et autres menaces
de sécurité.
2


CHAPITRE 1. INTRODUCTION GÉNÉRALE

Le CDS qui est une technologie de détection de cybermenace basé sur L’intelligence
artificielle et le premier produit commercial de détection de brèches de sécurité, est
le résultat de plus de quatre années d’intenses recherches et développement et d’un
fort engagement pour révolutionner l’industrie de la cybersécurité. Cet outil est le seul
produit de détection de brèches de sécurité bilingue sur le marchộ Canadien et a ộtộ
conỗu par StreamScan.
Lentreprise offre ộgalement les services de support et dassistance en anglais et en
franỗais.
StreamScan est aussi l’une des premières entreprises à utiliser l’analyse comportementale des flux réseaux pour la détection des logiciels malveillants.
StreamScan a développé des liens étroits avec certaines des meilleures universités
canadiennes et collabore sur des programmes de recherche et développement.

F IGURE 1.1 – Logo de StreamScan[1]

1.2 Contexte
L’évolution technologique que connt le monde aujourd’hui et la volonté des entreprises à garantir leurs avantages compétitifs ont encouragé celles-ci à développer
les systèmes d’information de plus en plus complexes. Aussi, grâce aux nouvelles technologies de l’information et de la communication, les liens entre les entreprises deviennent de plus en plus étroits et les méthodes ainsi que les moyens de travail ne
cessent d’évoluer.
Aujourd’hui, les entreprises ont besoin d’assurer la fluidité de circulation de leurs
informations, de garantir la sécurité des données afin d’éviter les pertes et l’instabilité des processus métiers de l’entreprise, d’établir une relation de confiance avec ses

partenaires.
C’est ainsi que Streamscan avec sa technologie de détection de cybermenaces appelée CDS de type MDR (Managed Detection and Response) capable de détecter les
attaques inconnues grâce à l’Intelligence Artificielle, et des offres de services de surveillance à distance de la sécurité de son réseau et celle de ses clients, souhaite acquérir
une certification de type cybersécurité, l’ISO/CEI 27001, pour son centre MDR, afin de
mettre en confiance ses clients et d’augmenter son niveau de crédibilité sur le marché.

3


CHAPITRE 1. INTRODUCTION GÉNÉRALE

1.3 Objectifs
Le but du stage est d’accompagner StreamScan dans sa certification ISO/CEI 27001.
Plus spécifiquement le stage consiste à :
• Identifier les exigences de la certification ISO/CEI 27001.
• Faire une analyse d’écarts afin de déterminer le niveau de conformité actuel de
StreamScan ainsi que les mesures à mettre en place pour aller vers la certification
ISO/CEI 27001.
• Contribuer à l’identification des mesures, processus et procédures nécessaires
pour la mise en conformité ISO/CEI 27001 de StreamScan.
• Contribuer à la rédaction des processus et procédures nécessaires.
• Implémenter ou contribuer à l’implémentation des outils technologiques nécessaires.
• Contribuer au processus de certification final ISO/CEI 27001 de StreamScan.

4


Chapitre

2


État de l’art des systèmes de
management de la sécurité de
l’information
2.1 Introduction
Le but du chapitre II de notre travail repose sur la présentation des normes, des
concepts, des processus et bien sûr des acteurs qui ont œuvrés afin que les organismes
puissent aboutir à un système de management de la sécurité de l’information.

2.2 Définitions
2.2.1 L’Organisation Internationale de Normalisation (ISO)
Le 23 Février 1947, L’ASA (American Standards Association) , le BSI (British Standards Institute), L’AFNOR (Association Franỗaise de Normalisation) et les organisations de normalisation de 22 autres pays fondent l’Organisation Internationale de Normalisation (ISO). A ce jour, l’ISO regroupe 164 pays membres, et coopère avec d’autres
organismes de normalisation comme le CEN (Comité européen de normalisation) ou
la Commission Électronique Internationale (CEI).
En 1987, l’ISO et la CEI 1 (Commission Électronique Internationale) créent le Joint
Technical Committee (JTC1) pour la normalisation des Technologies de l’Information
(TI). Le JTC1 allie les compétences de l’ISO en matière de langage de programmation
et codage de l’information avec celles du CEI qui traitent du matériel tel que les microprocesseurs.
1. La CEI est chargée de la normalisation d’équipements électriques. Il est courant de voir ISO/CEI
pour nommer une norme élaborée conjointement par les deux organismes.

5


CHAPITRE 2. ÉTAT DE L’ART DES SYSTÈMES DE MANAGEMENT DE LA SÉCURITÉ
DE L’INFORMATION

Le JTC1 est composé de plusieurs comités techniques (SC) qui traitent de sujets
tels que la biométrie, la téléinformatique, les interfaces utilisateurs ou encore les techniques de sécurité de l’information relatives aux normes de la série ISO/CEI 2700x.[9]
La figure ci-dessous montre la structure hiérarchique des différents groupes de travail

tel que le WG1 (Working Group) issu du JTC1/SC27 de l’ISO/CEI[10].

F IGURE 2.1 – Structure hiérarchique des groupes de travail et comités de l’ISO/CEI[2]

Créé en 2006, le JTC1/SC27 de l’ISO/CEI a développé un nombre important de
normes au sein du WG1 2 , celles de la famille ISO/CEI 2700x.

2.2.2 Les normes
L’ISO/CEI donne la définition suivante de la norme : « document établi par consensus et approuvé par un organisme reconnu, qui fournit, pour des usages communs et
répétés, des règles, des lignes directrices ou des caractéristiques, pour des activités ou
leurs résultats garantissant un niveau d’ordre optimal dans un contexte donné» 3 . Les
documents établis par consensus sont donc appelés « norme ».

2.2.3 La normalisation
Le Journal Officiel de la Rộpublique Franỗaise dộfinit la normalisation comme étant
“ une activité d’intérêt général qui a pour objet de fournir des documents de référence
élaborés de manière consensuelle par toutes les parties intéressées, portant sur des
règles, des caractéristiques, des recommandations ou des exemples de bonnes pratiques, relatives à des produits, à des services, à des méthodes, à des processus ou à
2. Le WG1 est le groupe de travail en charge d’organiser et rédiger les normes liées au domaine de la
sécurité de l’information.
3. Directives ISO/IEC, Partie 2 Principes et règles de structure et de rédaction des documents ISO et
IEC, huitième édition, 2018 (§ 3.11) - [SOURCE : Guide ISO/IEC 2 :2004, 3.2]

6


CHAPITRE 2. ÉTAT DE L’ART DES SYSTÈMES DE MANAGEMENT DE LA SÉCURITÉ
DE L’INFORMATION

des organisations. ” Elle vise à encourager le développement économique et l’innovation tout en prenant en compte des objectifs de développement durable.(Art.1 du

décret du 16 juin 2009 relatif à la normalisation) 4 . Ainsi donc, tous les documents de
référence élaborés au terme du processus de normalisation sont considérés comme
des “ normes ”.

2.2.4 Historique des normes relatives au système de sécurité de l’information
Durant plusieurs années les normes relatives à la sécurité de l’information ont évolués ou changés de dénomination. Tous ces changements ont rendu une lecture du
sujet assez difficile. Un historique sur l’évolution de ses normes permet de rendre plus
fluide l’environnement normatif sur le plan de la sécurité de l’information.
La figure ci-dessous résume l’historique des normes traitant de la sécurité de l’information.

F IGURE 2.2 – Historique des normes liées à la sécurité de l’information
4. Le Décret n° 2009-697 du 16 juin 2009 relatif à la normalisation, JO du 17 juin 2009, explicite le
fonctionnement du systốme franỗais de normalisation et rappelle la procédure d’élaboration et d’homologation des projets de normes et les modalités d’application des normes homologuées.

7


CHAPITRE 2. ÉTAT DE L’ART DES SYSTÈMES DE MANAGEMENT DE LA SÉCURITÉ
DE L’INFORMATION

Aujourd’hui les organismes disposent de plusieurs normes de la famille ISO/CEI
2700x qui se sont imposées comme référence des SMSI, dont les plus pertinentes sont
l’ISO/CEI 27001 :2013 qui décrit les exigences pour la mise en place d’un SMSI et l’ISO/CEI 27002 :2013 qui regroupe un ensemble de bonnes pratiques «best practices» pour
la gestion de la sécurité de l’information.
Dans la partie qui suit nous présentons les principales propriétés d’un SMSI avant
d’aborder les normes de la série ISO/CEI 2700x qui se sont imposées comme références
des SMSI.

2.3 Les SMSI (Systèmes de Management de la Sécurité de
l’Information)

2.3.1 Les systèmes de management
La norme ISO 9000 définit le système de management comme étant un système
permettant d’établir une politique, des objectifs et l’atteinte de ces objectifs.
Un système de management peut être interprété comme un ensemble de mesures
organisationnelles et techniques ciblant un but bien déterminé, comme le montre la
figure ci-dessous.

F IGURE 2.3 – Vue d’un système de management

Dans la version précédente de la norme ISO/CEI 27001, le fonctionnement du système de management se faisait selon le modèle PDCA (Plan Do Check Act) qui signifie
Planifier, Faire, Contrôler, et Corriger.
Ces quatre phases sont illustrées dans la figure suivante.

8


CHAPITRE 2. ÉTAT DE L’ART DES SYSTÈMES DE MANAGEMENT DE LA SÉCURITÉ
DE L’INFORMATION

F IGURE 2.4 – Roue de Deming (PDCA)[3]

* Plan : Dire ce que l’on va réaliser dans un domaine particulier.
* Do : Faire ce qui a été annoncé.
* Check : Vérifier les écarts entre les phases « plan » et «do ».
* Act : Ajuster les écarts constatés de la phase « check ».
Dans sa version révisée ISO/CEI 27001 :2013, elle ne s’appuie plus sur l’approche de
la roue de Deming. Les entreprises peuvent désormais choisir le processus de gestion
des risques qui leur convient.
Cependant, on retrouve les systèmes de management dans les secteurs d’activités
aussi variés que la santé et la sécurité du travail avec la norme ISO 45001 publiée en

2018, l’environnement avec la norme ISO 14001, les services informatiques avec le référentiel ISO/CEI 20000, la sécurité de l’information avec la norme ISO/CEI 27001 que
nous allons traiter dans les points suivants

2.3.2 Sécurité de l’information
Dans le SMSI, l’information ne se limite pas qu’aux systèmes informatiques. L’information est à prendre au sens large du terme. Elle doit être étudiée sous toutes ses
formes sans tenir compte de son support, humain, papier, logiciel, etc. Le terme sécurité doit être vu comme l’ensemble des moyens déployés pour se protéger contre les
actes de malveillance. La sécurité du SMSI est définie par la norme ISO 27000 à travers
les notions de confidentialité, d’intégrité et de disponibilité.
9


CHAPITRE 2. ÉTAT DE L’ART DES SYSTÈMES DE MANAGEMENT DE LA SÉCURITÉ
DE L’INFORMATION

* Confidentialité : seuls les entités, personnes et processus autorisés, ont accès à
l’information.
* Intégrité : l’information ne peut être modifiée que par ceux qui en ont le droit.
* Disponibilité : l’information doit être accessible à l’entité, la personne ou le processus qui a un droit d’accès.
Ces trois principes de sécurité peuvent être étendus, les SMSI intègrent d’autres notions telles que lauthentification, la traỗabilitộ, la non-rộpudiation, limputabilitộ qui
constituent des mécanismes de sécurité que l’on déploie en fonction des besoins de
sécurité de l’organisme[11]
En conclusion on peut définir les SMSI comme des ensembles d’éléments interactifs permettant à un organisme de fixer une politique et des objectifs de sécurité de
l’information, d’appliquer la politique, d’atteindre ces objectifs, de les contrôler et de
les améliorer. Les objectifs sont fixés sur un périmètre défini et doivent être en adéquation avec les besoins de l’organisme concerné, c’est-à-dire que les mesures de sécurité
sont à déployer en fonction du contexte, avec un juste dosage, sans exagérations, ni
trop de tolérance avec comme finalité la protection des actifs d’information.
Nous avons vu que l’évolution des normes liées à la sécurité de l’information a
mené à l’élaboration de SMSI. Dans la partie qui suit nous présenterons la famille des
normes ISO/CEI 2700x qui font figure de référence dans le domaine.


2.4 La famille de normes du SMSI
2.4.1 Informations générales
La famille de normes du SMSI se compose de normes interdépendantes, déjà publiées ou en cours d’élaboration, et comporte un certain nombre de composantes structurelles importantes. Ces composantes s’articulent autour de :
* Normes qui décrivent les exigences du SMSI (ISO/CEI 27001) ;
* Les exigences des organismes de certification (ISO/CEI 27006) pour les entités en
charge de la certification de la conformité à ISO/CEI 27001 ;
* Le cadre des exigences supplémentaires pour les mises en oeuvres du SMSI propres
à des secteurs particuliers (ISO/CEI 27009).
D’autres documents fournissent des recommandations sur divers aspects de la mise
en œuvre d’un SMSI, avec un processus générique ainsi que des recommandations
spécifiques à un secteur. Les relations au sein de la famille des normes du SMSI sont
illustrées à la figure suivante :

10


CHAPITRE 2. ÉTAT DE L’ART DES SYSTÈMES DE MANAGEMENT DE LA SÉCURITÉ
DE L’INFORMATION

F IGURE 2.5 – Relations au sein de la famille de normes du SMSI[4]

2.4.2 Les normes de la famille ISO/CEI 2700x
Au sein de cette famille de norme, ISO/CEI 27001 est le centre de gravité des référentiels du SMSI, elle formule les exigences relatives aux SMSI et fournit une liste de
mesures de sécurité pouvant être intégrées au système[12].

11


CHAPITRE 2. ÉTAT DE L’ART DES SYSTÈMES DE MANAGEMENT DE LA SÉCURITÉ
DE L’INFORMATION


F IGURE 2.6 – Normes de la famille ISO/CEI 2700x

• ISO/CEI 27000 : Technologies de l’information - Techniques de sécurité - Systèmes de management de la sécurité de l’information - Vue d’ensemble et vocabulaire.
• ISO/CEI 27001 : Technologies de l’information - Techniques de sécurité - Systèmes de management de la sécurité de l’information - Exigences.
• ISO/CEI 27002 : Technologies de l’information - Techniques de sécurité - Code
de bonne pratique pour le management de la sécurité de l’information.
• ISO/CEI 27003 : Technologies de l’information - Techniques de sécurité - Système de management de la sécurité de l’information - Lignes directrices.
• ISO/CEI 27004 : Technologies de l’information - Techniques de sécurité - Management de la sécurité de l’information - Surveillance, mesurage, analyse et évaluation.
• ISO/CEI 27005 : Technologies de l’information - Techniques de sécurité - Gestion
des risques liés à la sécurité de l’information.

12


CHAPITRE 2. ÉTAT DE L’ART DES SYSTÈMES DE MANAGEMENT DE LA SÉCURITÉ
DE L’INFORMATION

• ISO/CEI 27006 : Technologies de l’information - Techniques de sécurité - Exigences pour les organismes procédant à l’audit et à la certification des systèmes
de management de la sécurité de l’information.
• ISO/CEI 27007 : Technologies de l’information - Techniques de sécurité - Lignes
directrices pour l’audit des systèmes de management de la sécurité de l’information.
• ISO/CEI 27008 : Technologies de l’information - Techniques de sécurité - Lignes
directrices pour les auditeurs des contrơles de sécurité de l’information.
• ISO/CEI 27009 : Technologies de l’information - Techniques de sécurité - Application de l’ISO/CEI 27001 à un secteur spécifique - Exigences

2.4.3 Normes ISO/CEI 270xx
Le tableau ci-dessous donne un aperỗu des domaines qui seront couverts par les
normes de la famille ISO/CEI 270xx.


13


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×