Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

CHAPITRE 6 : PLANIFICATION Qu’est qu’un SMSI ? Un SMSI (Système de Management d

CHAPITRE 6 : PLANIFICATION Qu’est qu’un SMSI ? Un SMSI (Système de Management de la Sécurité de l’Information) est un ensemble d’éléments interactifs permettant à un organisme de fixer une politique et des objectifs de sécurité de l’information, d’appliquer la politique, d’atteindre ces objectifs, de les contrôler et de les améliorer. Les objectifs sont fixés sur un périmètre défini et doivent être en adéquation avec les besoins de l’organisme concerné : les mesures de sécurité sont à déployer en fonction du contexte, avec un juste dosage, sans exagérations, ni trop de tolérance avec comme finalité la protection des actifs d’information. Le plus connu des SMSI est ISO/CEI 27001, publié par l'ISO en complément de ISO/CEI 27002 (anciennement référencé ISO/CEI 17799). Comment mettre en place un SMSI ? Très concrètement, la mise en place d’un SMSI opérationnel est exposée dans la norme ISO 27001 et repose sur les principes chers au domaine de la qualité. La démarche, connue sous l’abréviation PDCA, ou principe de la roue de Deming, vise une amélioration continue du système par le déploiement de 4 phases : 1. Plan : Création du SMSI en évaluant les risques de sécurité de l’information et en aaaaa choisissant les méthodes de vérification adaptées. 2. Do : Mise en œuvre des vérifications. 3. Check : Révision et évaluation de la performance (efficacité et efficience) du SMSI. 4. Act : Modifications, si nécessaires, afin que la performance du SMSI soit optimale. L’ISO/IEC 27001 :2005 est une norme reposant sur les risques liés à la sécurité de l’information, ce qui signifie que les entreprises doivent mettre en place un processus de gestion des risques. Ce dernier s’insère dans le modèle PDCA décrit au-dessus. Cependant la dernière norme l’ISO/IEC 27001 :2013 ne s’appuie plus sur l’approche de la roue de Deming. Les sociétés peuvent désormais choisir le processus de gestion des risques qui leur convient. Phase 1 : Plan L’objectif de cette première étape est de poser les bases d’un SMSI opérationnel. Si on se réfère au document de référence (la norme ISO 27001), il s’agit de :  définir la politique et et de cadrer le périmètre du SMSI ;  apprécier les risques et leur traitement des risques ;  choisir les mesures de sécurité adéquates pour maîtriser les risques. Vous l’aurez deviné, ces étapes correspondent aux premiers pas de l’élaboration de la PSSI, comme nous l'avons vu dans la partie 2 ! En fait, la mise en place d’un SMSI est initiée par un document qui cadre la politique. Comme nous l’avons vu dans la partie 2, dans cette phase, le rôle du RSSI est une place de maître d’ouvrage. Phase 2 : Do Globalement, l'objectif de cette étape est la mise en place de mesures évoquées dans la phase précédente. Il s’agit de déployer la sécurité de manière opérationnelle. Vous l’avez déjà certainement compris, sans surprise, la phase 2 de mise en place d’un SMSI reprend les grandes lignes du plan d’action sécurité de la PSSI. Néanmoins, la mise en place d’un SMSI, au sens de la norme ISO 27001, élargit le périmètre d’application en complétant le plan d’action :  La norme 27001 préconise d’inscrire dans le marbre une formation de sensibilisation des personnels de l’entreprise aux enjeux de la SSI. Cela tombe bien, il s’agit d’un des thèmes abordés dans la PSSI. Remarque : Dans cette phase, la place du RSSI est orientée vers du conseil. Son rôle est aussi de se placer en assistance à maîtrise d’œuvre, pour accompagner le changement au sein des équipes projet. Phase 3 : Check Cette étape est la phase centrale de la démarche PDCA. Elle vise à mettre en œuvre les moyens nécessaires pour mesurer la conformité des exigences de sécurité avec le cahier des charges de référence que constitue la norme ISO 270001. Remarque : Cet aspect a déjà été abordé lors de l’élaboration de la PSSI : le rôle du RSSI est de vérifier la bonne application des exigences afin que la cible définie soit atteinte le plus efficacement et le plus rapidement possible. Concrètement, pour mesurer les écarts entre les mesures prises et le niveau de référence, le RSSI peut réaliser (ou proposer de réaliser) :  Des audits internes planifiés à l’avance ou des contrôles inopinés. Leur objectif est de déterminer, grâce aux indicateurs précédents, l’écart entre la norme et le SMSI mis en place. Pour les réaliser, le RSSI peut procéder en 3 étapes : 1. Mettre en place une procédure de feedback (on parle aussi de retour d’expérience ou de lessons learned) qui permet à chaque responsable de faire part des changements dans son périmètre. 2. Évaluer les impacts sur la version actuelle de la PSSI. 3. Animer une réunion de direction pour entériner les changements.  Des audits de maturité du SI qui visent à déterminer les enjeux liés au système d'information de l’organisme, de mesurer l'écart entre ce qui devrait être fait et ce qui est fait, et d'expliquer les actions à mettre en œuvre pour gérer la SSI de manière adéquate.  Des campagnes de tests d’intrusion ou des revues de code. Phase 4 : Act Cette dernière phase vise à mettre en place les actions correctrices, préventives ou d’amélioration pour réduire les dysfonctionnements relevés dans la phase précédente. Il faut garder en tête que cette démarche en 4 phases vise une amélioration continue du SMSI, pour tendre vers une conformité maximale aux textes de référence. Remarque : Dans cette étape, le rôle du RSSI est orienté maîtrise d’ouvrage. Il définit les lignes directrices des opérations nécessaires à l’amélioration des mesures en fonction des risques identifiés, de la veille réglementaire et technique qu’il effectue, et des retours d’expérience des parties prenantes au SMSI. L’emplacement des chapitres de la norme ISO CHAPITRE 7 : SUPPORT Le support concerne trois composantes essentielles ; les ressources, les informations et la communication. Au vu de la diversité des ressources, l’organisme doit les valoriser et améliorer leur exploitation surtout qu’ils présentent un grand support pour la réalisation des processus de management de la sécurité de l’information. L’information aussi est très importante pour la réussite de ce projet. Les données doivent être fiables et les informations documentées doivent être conservées. Et finalement, la communication joue un rôle très important dans le management de la sécurité du SI; les compétences des collaborateurs doivent être développées afin de les sensibiliser et de les impliquer dans cette démarche  Ressources Formulation beaucoup plus générale et plus courte  Compétences Compétence des personnes qui peuvent affecter la sécurité Pas compétence des seuls acteurs du SMSI  Sensibilisation Sensibilisation aux sanctions applicables en cas de non-respect des exigences du SMSI.  Communication Nouveau processus Communication interne et externe (sur quoi, quand, avec qui, par qui...) Le système documentaire d'un SMSI On réduit souvent la problématique de la documentation d'un SMSI a besoin de construire un système documentaire sur 4 niveaux mentionnés dans la photo à côté. Mais les besoins de construire la documentation d'un SMSI vont bien au-delà du seul besoin de documenter les processus liés à la sécurité. La rédaction des procédures doit permettre une meilleure compréhension du processus. Le fait d’écrire facilite un raisonnement rationnel scientifique. La méthode MDCA-CS Les entreprises avec leurs volontés d’implémenter un SMSI, prennent une décision stratégique, qui nécessite un investissement en temps et en moyens financiers. Pour mieux aider les organismes agiles et l’entreprise BBD a être à jour avec les évolutions des marchés, à répondre aux exigences des clients, une démarche MDCA-CS constituée de 6 phases a été développée. Celle-ci est représentée par la figure au-dessous. La démarche proposée ici est essentiellement basée sur le principe de l’amélioration continue et accompagnée par les bonnes pratiques de la conduite du changement, cette méthode vise principalement à faciliter la mise en œuvre de la démarche de sécurité de l’information au sein des entreprises agiles. La méthodologie vient donc pour répondre à la problématique suivante : Comment allier qualité et agilité dans un organisme à faible culture qualité tout en gardant flexibilité et agilité ?  Mesurer Dans cette phase le RSSI effectue un état des lieux (un audit blanc) du système existant par rapport aux exigences de la norme ISO 27001 :2013 y compris les mesures de sécurité mises en place, pour identifier les écarts existants et élaborer des plans d’action et des axes de progrès, ensuite ces résultats sont structurés et communiqués en interne à la direction, puisque la direction a un rôle moteur dans la démarche, et aux collaborateurs pour les sensibiliser et les faire adhérer à la démarche. • Mettre en place des procédures de sécurité, pour détecter rapidement les erreurs et identifier ainsi les non conformités aux règles de sécurité et organiser les remontées immédiates des incidents sécurité. • Identifier les actions à réaliser pour corriger les écarts et les non conformités  Déployer Cette phase consiste à mettre en place et à déployer les plans d’action déjà élaborés dans l’étape « Mesurer » pour corriger les écarts détectés. - Fixer les objectifs uploads/Management/ chapitre-6-et-7.pdf