Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

1 Réalisé par: Bouhila Nassima / Radouani Sonia/Noaimi Houda I. Les systèmes d

1 Réalisé par: Bouhila Nassima / Radouani Sonia/Noaimi Houda I. Les systèmes d II. La sécurité de l’information III. Les Systèmes de Management de la Sécurité de l’Informatique (SMSI) IV. Les normes de la famille ISO/CEI 2700x V. La norme ISO/CEI 27001 1. Présentation 2. La phase « PLAN » du PDCA 3. La phase « DO » du PDCA 4. La phase « CHECK » du PDCA 5. La phase « ACT » du PDCA VI. Mise en place d’un SMSI VII. Utilisation des normes e management Définition se lon ISO 900 0: c’est un système permettant d’établir une politique, des objectifs et atteindre ces objectifs Un Sy s tème d e Ma n ag e ment: est un ensemble de mesures organisationnelles et techniques permettant d’atteindre un objectif une fois atteint, d’y rester dans la durée. Le fonctionnement d’un système de management se fait selon le modèle PDCA (Roue de Deming) de l’anglais Plan, Do, Check, Act, en français planifier, faire, contrôler et corriger. Roue de Deming: Inventer par Walter Andrew SHEWHART (Statisticien Américain) Appelé « roue de Shewhart » par William Edwards DEMING (Scientifique Américain inventeur des principes de qualité) et qu’il lui a emprunté en 1922. Le model PDCA (Roue de Deming): se défnit en 4 étapes récurrentes: 1. Plan : dire ce que l’on va réaliser dans un domaine particulier. 2. Do : faire ce qui a été annoncé. 3. Check : vérifier les écarts entre les phases « plan » et «do ». 4. Act : ajuster les écarts constatés de la phase « check ». Notons que le modèle PDCA s’applique au système de management dans son ensemble ainsi qu’à chacun de ses processus. 4 On retrouve les systèmes de management dans des secteurs d’activités aussi variés que: la santé et la sécurité du travail (SMSST) avec la norme OHSAS 18001; l’environnement (SME) avec la norme ISO 14001; les services informatiques avec le référentiel ISO/CEI 20000: pas encore sur le modèle PDCA; la sécurité alimentaire (SMSA) avec la norme ISO 22000; La qualité(SMQ) avec la norme ISO 9001; la sécurité de l’information (SMSI) avec la norme ISO/CEI 27001 que nous allons traiter au cours de cet exposé. 5 6 7 L’information est à prendre au sens large du terme; Elle doit être étudiée sous toutes ses formes indépendamment de son support, humain, papier, logiciel, etc. Le terme sécurité doit être compris comme l’ensemble des moyens déployés pour se protéger contre les actes de malveillance. La sécurité de l’information est définie à travers les notions: Confdentialité : seuls les entités, personnes et processus autorisés, ont accès à l’information. Intégrité : l’information ne peut être modifée que par ceux qui en ont le droit. Disponibilité : l’information doit être accessible à l’entité, la personne ou le processus qui a un droit d’accès. Ces trois principes de sécurité peuvent être étendus, la SI intègre d’autres notions telles que l’authentification, la traçabilité, la non- répudiation, l’imputabilité qui constituent des mécanismes de sécurité que l’on déploie en fonction des besoins de sécurité de l’organisme 8 o SMSI: Système de Management de la Sécurité de l’Information o SGSSI: Système de Gestion de la Sécurité des Systèmes d’Information o SGSI: Système de Gestion de Sécurité de l’Information o ISMS: Information Security Management System Un SMSI : est un ensemble d’éléments i n teractifs permettant à un organisme de f i x e r une po l i t i q ue e t des obj e cti f s de s é cur i té de l’information, d’appliquer la politique , d’atte indre ce s obje ctifs, de les contrôler et de les améliorer . Les objectifs sont fxés sur un périmètre défini et doivent être en adéquation avec les besoins de l’organisme concerné: les mesures de sécurité sont à déployer en fonction du contexte, avec un juste dosage, sans exagérations, ni trop de tolérance avec comme finalité la protection des actifs d’information. Plusieurs appellation: 9 10 Historique L’ISO (Organisation Internationale de Normalisation) est le fruit d’une collaboration entre diférents organismes de normalisation nationaux. Au début du XXIème siècle, L’American Institute of Electrical Engineer invite quatre autres instituts professionnels pour constituer une première organisation nationale, l’AESC (American Engineering Standards Committee) qui aura pour objectif de publier des standards industriels communs avant de prendre le nom d’ASA (American Standards Association) et d’établir des procédures standardisées pour la production militaire pendant la seconde guerre mondiale. En 1947, l’ASA, le BSI (British Standards Institute), l’AFNOR (Association Française de Normalisation) et les organisations de normalisation de 22 autres pays fondent l’Organisation Internationale de Normalisation (ISO). La CEI (Commission Electronique Internationale) est chargée de la normalisation d’équipements électriques. Il est courant de voir ISO/CEI pour nommer une norme élaborée conjointement par les deux organismes. En 1987, l’ISO et le CEI créent le Joint T echnical Committee (JTC1) pour la normalisation des T echnologies de l’Information (TI). Le JTC1 est composé de plusieurs comités techniques qui traitent de sujets tels que la biométrie, la téléinformatique, les interfaces utilisateurs ou encore les techniques de sécurité de l’information relatives aux normes de la série ISO/CEI 2700x. Dans la famille ISO/CEI on trouve deux catégories de normes. Celles qui émettent des exigences : ISO/CEI 27001 celles qui formulent des recommandations : ISO/CEI 27002 Notons que certaines normes sont encore en cours de rédaction, c’est le cas des normes ISO/CEI 27007 « Audit des SMSI » et ISO/CEI 27008 « Audit des mesures de sécurité ». La norme ISO/CEI 27001 formule les exigences relatives aux SMSI et fournit une liste de mesures de sécurité pouvant être intégrées au système. 12 L’ISO/CEI 27000: Principe et vocabulaire Publiée pour répondre au besoin de définir une terminologie pour les SMSI. L’ISO/CEI 27000 est structurée en trois parties: I. L a p re mièr e , définit 46 termes tels que, la confdentialité, l’intégrité, la disponibilité, l’authenticité, tous principalement axés sur l’appréciation et l’analyse des risques, des menaces, de la vulnérabilité, etc. II. L a d eu x i ème pa rt ie développe la notion de processus avec le modèle PDCA et présente les concepts propres aux SMSI comme par exemple, l’importance de l’engagement de la direction. III. L a tro isième pa rt ie , est une présentation de l’ensemble des normes de la famille ISO/CEI 2700x. L’ISO/CEI 27000 fourni les notions et le vocabulaire commun permettant une bonne compréhension des SMSI. L’ISO/CEI 27002: Guide de bonne pratique (Mesure de sécurité) publiée en juillet 2007 par l'ISO (remplace ISO 17799 depuis), définie le code de bonnes pratiques pour la gestion de la sécurité de l'information Cette norme propose sur onze chapitres, une liste de 133 mesures de sécurité accompagnées chacune de points à aborder pour la mise en place d’un SMSI. Chacun des 11 chapitres ◦ spécife les objectifs à atteindre ◦ énumère un ensemble de 13 3 me s u res o u « bes t p rac tic e s » pour atteindre ces objectifs La norme ISO ne détaille pas ces mesures car: ◦ chaque organisation est diférente ◦ les risques sont diférents pour chaque organisation ◦ l’ é valu ation de s risq ue s e t de leu r imp act son t do nc pro pre à l’ organ isatio n ◦ les « best practices » sont donc plus ou moins appropriées En résumé, l’ISO/CEI 27002 est un guide de bonnes pratiques, une série de préconisations concrètes, abordant les aspects tant organisationnels que techniques, qui permettent de mener à bien les différentes actions dans la mise en place d’un SMSI. 14 Les 11 objectifs principaux Chapitre 5 : Politique de sécurité Ce chapitre défnit la politique de sécurité (Document et Réexamen) Chapitre 6 : Organisation de la sécurité de l’information Défnit l’organisation interne et externe de l’organisme. Chapitre 7 : Gestion des biens Identife, classifie et défnit les responsabilités relatives aux biens et leurs utilisation. Chapitre 8 : Sécurité liée aux ressources humaines Défnit le rôle et la responsabilité des ressources humaine avant recrutement, pendant la durée du contrat et à la fn ou la modifcation du contrat. Chapitre 9 : Sécurité physique et environnementale Défnit les zones sécurisées (périmètre de sécurité) et la sécurité du matériel ainsi que son recyclage. 15 Les 11 objectifs principaux Chapitre 10 : Gestion des communications et de l'exploitation Définit les procedures et responsibilities liées à l’exploitation, Surveillance, réexamen et gestion des modifications des services tiers, Planification et acceptation du système, Protection contre les codes malveillant et mobile Sauvegarde des informations Gestion de la sécurité des réseaux Manipulation des supports Politique et procedure d’échange des informations Services et commerce électronique Surveillance et protection des informations de journalisées Les 11 objectifs principaux Chapitre 11 : Contrôles d’accès Exigences métier relatives au contrôle d’accès Gestion de l’accès utilisateur Responsabilité des utilisateurs Contrôle d’accès au réseau Contrôle d’accès au système d’exploitation Contrôle d’accès aux applications et à l’information Informatique mobile, télécommunication et télétravail Chapitre 12 : Acquisition, développement et maintenance des systèmes d'information Exigences de sécurité applicable aux systèmes d’information Bon fonctionnement uploads/Management/ si-27000.pdf