7/24/2019 SI_-ISO27001 (1)
1/57
UNIVERSITE DE SETTATIT-LEARNING CAMPUS
Scurisation des informations
Pouruoi ! Comment !
Par EL "A# M$URAD
7/24/2019 SI_-ISO27001 (1)
2/57
OURAD EL BAZ
INFRASTRUCTURE MANAGER DANS UN ORGANISME FINANCIER
RESPONSQBLE SERVICE INFORMATIQUE AU SEIN DU MINISTERE
DE LAGRICULTURE
PROFESSUER AU SEIN DE PLUSIEURS ETABLISSEMENT
PROFESSUER ET ENCADRANT A IT-LEARNING CAMPUS DEPUIS
2006
CERTIFE : PMP-ITIL-COBIT-ISO 27002
EMAIL : elba!"#$a%&'!a(l)*"!
7/24/2019 SI_-ISO27001 (1)
3/57
Introduction
N%ou&'ie( )as de ra''umer *os )orta&'es ensortant +++
Tour de ta&'e , Vos attentes Vos uestions )rcises
oraires Matine , ./ .. 0 12 .. A)r3s-midi , 14 .. 0 15 4. Pause *ers 16 ..
7/24/2019 SI_-ISO27001 (1)
4/57
Sommaire 71
Introduction Dfinition d%un ISMS Pouruoi mettre en 8u*re un ISMS
Prsentation 9nra'e de 'a norme IS$ 2:... Les )rinci)a'es normes de scurit
istoriue des normes IS$ 2:..; $&
7/24/2019 SI_-ISO27001 (1)
5/57
Sommaire 71 =suite>
La norme IS$ ? IEC 2:..1 , 2..6 Cadre 9nra' et o&
7/24/2019 SI_-ISO27001 (1)
6/57
Sommaire 71 =suite et fin>
Consei' et mise en )'ace d%un ISMS
Conc'usions
uestions
7/24/2019 SI_-ISO27001 (1)
7/57
Dfinition d%un ISMS
Si9nification ,
ISMS , Information SecuritB Mana9ement
SBstem
$U
SMSI , SBst3me de Mana9ement de 'aScurit de '%Information
7/24/2019 SI_-ISO27001 (1)
8/57
Dfinition d%un ISMS
Un SMSI est un ensem&'e d%'mentsinteractifs )ermettant un or9anismed%ta&'ir une )o'itiue et des o&
7/24/2019 SI_-ISO27001 (1)
9/57
Dfinition d%un ISMS
L%efficacit est mesure )ar ra))ort au@o&
7/24/2019 SI_-ISO27001 (1)
10/57
Dfinition d%un ISMS
L%e@istence d%un SMSI dans '%or9anisme)ermet de renforcer 'a confiance dans 'emode de 9estion de 'a scurit de'%information
Dfinition du CLUSIJ
7/24/2019 SI_-ISO27001 (1)
11/57
Les sBst3mes de mana9ement
Le SMSI est coHrent a*ec 'es autres sBst3mes de mana9ementsde '%entitK
SBst3me de mana9ement de 'a ua'it =SM> , IS$ /..1 0 2..2 SBst3me de mana9ement de '%en*ironnementa' =SME> , IS$ 1..1
0 2.. SBst3me de mana9ement de 'a sant et 'a scurit au tra*ai'
=SMSST> , $SAS 1..1 0 1/// SBst3me de mana9ement de 'a scurit a'imentaire =SMSA> , IS$
22... 0 2..6 SBst3me de mana9ement des ser*ices informatiues des
or9anismes , IS$ 2.... 0 ITIL 0 "S 16... SBst3me de mana9ement de 'a suret )our 'a cHane
d%a))ro*isionnement , IS$ 2... 0 2..6 SBst3me de mana9ement de 'a scurit de '%information =SMSI> ,
IS$ 2:..1 - 2..6
7/24/2019 SI_-ISO27001 (1)
12/57
L%am'ioration continue
Le Mod3'e de Demin9O
Le mod3'e e@)os )ar i''iam EdQardsDEMING se dfinit en ta)es rcurrentes ,
1 - P'an , Trou*er 'es so'utions )'anifier2 - Do , Mettre en 8u*re4 - CHec , *rifier '%efficacit des so'utions
- Act , Am'iorerO a))e' aussi roue de Demin9 cBc'e de Demin9
ou roue de 'a ua'it
7/24/2019 SI_-ISO27001 (1)
13/57
Pouruoi mettre en 8u*re uneISMS !
Pour )rot9er dans 'a dure 'es informations et'es sBst3mes d%information de '%entre)rise
Pour renforcer 'a confiance dans 'e sBst3med%information de '%entre)rise =*is--*is des c'ientset des fournisseurs ou en interne>
Pour am'iorer 'es )rocessus et '%or9anisation
interne en mati3re de scurit informatiuePour o&tenir une certification IS$ ? IEC 2:..1 -2..6
7/24/2019 SI_-ISO27001 (1)
14/57
ue'ues normes re'ati*es au SIK
IS$ ? IEC 2:..1 , 2..6 et IS$ ? IEC 1::// ,2..6 =IS$ 2:..2 - .?2..:> , ISMS
IS$ ? IEC 14446 1 6 , Guide'ines for tHe
mana9ement of IT SecuritB IS$ ? IEC 16. , Crit3res communs Certification des tecHno'o9ies de scurit
IS$ ? IEC TR 1615 , 2..2 'i9nes directrices)our '%uti'isation et 'a 9estion des ser*ices detiers de confiance
7/24/2019 SI_-ISO27001 (1)
15/57
ue'ues normes re'ati*es au SIK
IS$ ? IEC D 1. SecuritB IncidentMana9ement
IS$ ? IEC D 1.4 Guide'ines for
im)'ementation o)eration and mana9ement ofIntrusion Detection SBstem =IDS>
IS$ ? IEC 1465/ "anin9 and re'ated financia'ser*ices - information securitB 9uide'ines
IS$ ? IEC TS 1:./. =ea'tH Informatics , )u&'iceB infrastructure>
7/24/2019 SI_-ISO27001 (1)
16/57
ue'ues normes re'ati*es au SIK
Cette 'iste a))e''e une rf'e@ion ,
Dans 'e cadre de 'a 9'o&a'isation des
cHan9es '%interconne@ion dessBst3mes d%informations
ncessiterait sans doute uneARM$NISATI$Ndes normes
7/24/2019 SI_-ISO27001 (1)
17/57
Les normes IS$ 2:...
Prsentation ,
IS$ 2:... , Princi)e et *oca&u'aire IS$ 2:..1 , E@i9ences )our 'e SMSI
IS$ 2:..2 , Guide de &onnes )ratiues IS$ 2:..4 , Guide d%im)'mentation IS$ 2:.. , Mtriue et Mesure IS$ 2:..6 , Ana'Bse des risues
IS$ 2:..5 , Certification E@i9ences )our '%accrditationdes auditeurs IS$ 2:..: , Certification 9uide d%audit )our '%ISMS IS$ 2:..! , PCA - PRA
7/24/2019 SI_-ISO27001 (1)
18/57
Les normes IS$ 2:...
istoriue , 1//2 , Code de &onnes )ratiues 1//6 , Le "SI dicte "S ::// 1// , Le "SI dicte "S ::// - )art 2
1/// , R*ision de 'a "S ::// - )art 1 et 2 2... , IS$ 1::// "S ::// - )art 1 =. et 12?2...> 2..1 , Dmarra9e r*ision IS$ 1:// 0 2... 2..2 , Pu&'ication "S ::// - )art 2 2..6 , IS$ 1::// 0 Parue en
7/24/2019 SI_-ISO27001 (1)
19/57
Les normes IS$ 2:...
L%tat des documents ,
Pu&'is ,
IS$ 2:..1 , E@i9ences )our 'e SMSI - 2..6 IS$ 2:..2 , Guide de &onnes )ratiues - 2..6 IS$ 2:..5 , Certification E@i9ences )our '%accrditation
des auditeurs - 2..: IS$ 2:..6 , Ana'Bse des risues - 2..
IS$ 2:.. , Mtriue et Mesure - 2.. IS$ 2:... , Princi)e et *oca&u'aire - 2../ IS$ 2:..4 , Guide d%im)'mentation - 2../
7/24/2019 SI_-ISO27001 (1)
20/57
Les normes IS$ 2:...
L%tat des documents ,
Tra*au@ en cours ,
IS$ 2:..: , Certification Guide de '%audit duSMSI
IS$ 2:..! , PCA 0 PRA
IS$ 2:.11 , Li9nes directrices )our 'es t'coms IS$ 2::// , Li9nes Directrices )our 'a sant
7/24/2019 SI_-ISO27001 (1)
21/57
Les normes IS$ 2:...
La certification des SI ,
E''e en9endre ,
La mise e@cution sBstmatiue de 'a)o'itiue en mati3re de scurit de'%information
Une 9estion des risues en ra))ort a*ec'a scurit de '%information et 'es sBst3mescorres)ondants '%cHe''e de '%entre)rise
7/24/2019 SI_-ISO27001 (1)
22/57
Les normes IS$ 2:...
La certification en9endre =2> ,La sur*ei''ance efficace et '%am'ioration
)ermanente de 'a scurit de '%informationL%assurance du res)ect des &ases '9a'es
et contractue''esLa mise en 8u*re de mtHodes 9'o&a'es
ou Ho'istiues =B com)ris dans desdomaines non tecHniues>
7/24/2019 SI_-ISO27001 (1)
23/57
Les normes IS$ 2:...
La certification en9endre =4> ,Le d*e'o))ement de re'ations de
confiance a*ec 'a c'ient3'e 'esor9anismes )u&'ics ainsi ue dans 'edomaine de '%e-commerce
La 9arantie aduate et )ermanente de 'a
dis)oni&i'it du caract3re confidentie' etde '%int9rit
7/24/2019 SI_-ISO27001 (1)
24/57
Les normes IS$ 2:...
La certification en9endre => ,
La )rotection de '%ensem&'e desinformations ind)endamment de 'amani3re dont e''es sont re)rsenteset?ou sau*e9ardes
7/24/2019 SI_-ISO27001 (1)
25/57
Les normes IS$ 2:...
Les certificats ,Peu*ent e@c'usi*ement tre attri&us )ar
une Institution de certification accrditeSont reconnus au )'an Internationa'Sont *a'a&'es trois ans '%issue desue's
une nou*e''e certification a 'ieu dans un
souci de d*e'o))ement continuAnnue''ement des *rifications de sui*i
sont ra'ises )endant 'eur *a'idit
7/24/2019 SI_-ISO27001 (1)
26/57
Les normes IS$ 2:...
Les ta)es de 'a *ie du certificat ,Une fois '%tude de faisa&i'it ra'iseA T. , d&ut de 'a re*ue documentaireA T 4 5 semaines , d&ut ta)es 2Si tout $ $&tention du certificatA T 1 an , Audits de sur*ei''anceAudits de sur*ei''ance T 2 ansA T 4 ans Audit de renou*e''ement
7/24/2019 SI_-ISO27001 (1)
27/57
Les normes IS$ 2:...
Processus de certification ,
1 - L%or9anisme demande tre certifi2 - L%or9anisme de certification missionne une ui)e
d%audit4 - L%ui)e d%audit audite '%or9anisme demandeur - L%ui)e d%audit rend son ra))ort6 - Si ra))ort $ '%or9anisme de certification d'i*re 'e
certificat5 - L%or9anisme certifi communiue '%information 'a
)artie )renante: - La )artie )renante *rifie 'a *a'idit du certificat au)r3s
de '%or9anisme de certification
7/24/2019 SI_-ISO27001 (1)
28/57
Les normes IS$ 2:...
Le scHma directeur de 'a certification ,
En Jrance '%autoritd%accrditation est ,'a C$JRAC
=ui accrdite 'es $r9anismes de certification>
7/24/2019 SI_-ISO27001 (1)
29/57
Les normes IS$ 2:...
Le scHma de 'a certification ,
ScHma identiue )our toutes 'es certifications
Une seu'e autorit d%accrditation )ar )aBs
Un ou )'usieurs or9anismes de certificationse'on 'es scHmas de certificationGnra'ement des socits )ri*esJont tra*ai''er 'es auditeurs sa'aris ou ind)endants
7/24/2019 SI_-ISO27001 (1)
30/57
Les normes IS$ 2:...
Prsentation
de la norme
ISO / IEC 27001
2005
7/24/2019 SI_-ISO27001 (1)
31/57
IS$ ? IEC 2:..1 - 2..6
Structure de 'a norme ,
Document de 44 )a9es
CHa)itre . 4 , Introduction et descri)tion9nra'e de 'a norme
CHa)itre , Descri)tion des e@i9encesde 'a norme
Anne@e A , $&
7/24/2019 SI_-ISO27001 (1)
32/57
IS$ ? IEC 2:..1 - 2..6
Descri)tion des e@i9ences de 'a norme ,CHa) , Descri)tion de '%ISMS ? PDCA
CHa) 6 , En9a9ement et res)onsa&i'itdu mana9ementCHa) 5 , Audits Internes de '%ISMS
CHa) : , R*ision de '%ISMS )ar 'emana9ementCHa) , Am'ioration de '%ISMS
7/24/2019 SI_-ISO27001 (1)
33/57
IS$ ? IEC 2:..1 - 2..6
$&
7/24/2019 SI_-ISO27001 (1)
34/57
IS$ ? IEC 2:..1 - 2..6
$& ,
La dfinition et 'a mise en 8u*re de '%ISMS doittre ada)t au@ &esoins au@ o&
7/24/2019 SI_-ISO27001 (1)
35/57
IS$ ? IEC 2:..1 - 2..6
Mod3'e PDCA a))'iu au@ )rocessusSMSI ,
1 - P'an , Eta&'ir 'a )o'itiue 'es o&
7/24/2019 SI_-ISO27001 (1)
36/57
IS$ ? IEC 2:..1 - 2..6
Descri)tion des e@i9ences de 'a )Hase )'an ,
SBntH3se des e@i9ences Dfinir 'e )rim3tre de '%ISMS Dfinir 'a )o'itiue de scurit de '%ISMS
Dfinir '%a))rocHe )our *a'uer 'es risues Identifier 'es risues Ana'Bse et mesure des risues Identifier et dfinir 'es o)tions de traitement des risues Dfinir 'es o&
7/24/2019 SI_-ISO27001 (1)
37/57
IS$ ? IEC 2:..1 - 2..6
La Strat9ie du SMSI =e@ de document> ,
S$MMAIRE
1. Systme de management de la Scurit de lin!ormation11 Dfinition d%un SMSI12 Domaine d%a))'ication14 Po'itiue et )rinci)e 9nrau@1 A))rciation et traitement des risues16 $&
7/24/2019 SI_-ISO27001 (1)
38/57
IS$ ? IEC 2:..1 - 2..6
Descri)tion des e@i9ences de 'a )Hase do ,
SBntH3se des actions accom)'ir ,
Dfinir un )'an d%actions dtai'' de traitement des risues Mettre en 8u*re 'e )'an et '%or9anisation de traitement des risues D)'oBer 'es mesures de )rotection dfinies Dfinir 'es moBens de mesure de '%efficacit des actions en9a9es D*e'o))er un )ro9ramme de sensi&i'isation et de formation Grer 'es as)ects o)rationne's de d)'oiement de '%ISMS Grer 'es ressources im)'iues dans '%ISMS
Dfinir 'es )rocdures d%identification et de traitement des incidents Soit e@i9ences
7/24/2019 SI_-ISO27001 (1)
39/57
IS$ ? IEC 2:..1 - 2..6
Descri)tion des e@i9ence de 'a )Hase cHec ,
SBntH3se des e@i9ences ,
Mettre en )'ace 'es )rocdures de monitorin9 et de contrF'e des mesuresd)'oBes
$r9aniser des r*isions r9u'i3res de '%ISMS Vrifier '%efficacit des mesures de )rotection )our s%assurer u%e''esr)ondent &ien au@ o&
7/24/2019 SI_-ISO27001 (1)
40/57
IS$ ? IEC 2:..1 - 2..6
Descri)tion des e@i9ences de 'a )Hase Act ,
SBntH3se des e@i9ences
Mettre en 8u*re 'es modifications identifies dans
'%ISMS Prendre des mesures )r*enti*es et correcti*es
ada)tes au@ &esoins Communiuer 'es modifications )r*ues au@ diffrents
acteurs de '%ISMS
S%assurer ue 'es am'iorations r)ondent au@ o&
7/24/2019 SI_-ISO27001 (1)
41/57
La documentation de '%ISMS
E@i9ences 9nra'es =41>
La documentation doit inc'ure toutes 'esdcisions de mana9ement 9arantir ue 'es
actions soient conformes au@ dcisions et au@o&
7/24/2019 SI_-ISO27001 (1)
42/57
La documentation de '%ISMS
La documentation de '%ISMS doit inc'ure ,
La descri)tion de 'a )o'itiue de '%ISMS =21&> et des o& Toutes 'es )rocdures mise en 8u*re )ar '%or9anisation )our
assurer 'e d)'oiement 'e )i'ota9e et 'e contrF'e des )rocessus de)rotection de '%information et 'es moBens uti'iss )our *a'uer
'%efficacit des actions entre)rises et des mesures de )rotectiond)'oBes =24c> Les ra))orts e@i9s )ar 'a norme =44> La dc'aration d%a))'ica&i'it
7/24/2019 SI_-ISO27001 (1)
43/57
La documentation de '%ISMS
Sui*i des documents =42> ,
Les documents e@i9s )ar 'a normedoi*ent tre )rot9s et contrF's Une)rocdure documente =dfinieforma'ise a))'iue et maintenue> doit
tre ta&'ies )our dfinir 'es actions de9estion ncessaire ,
7/24/2019 SI_-ISO27001 (1)
44/57
La documentation de '%ISMS
L%a))ro&ation des documents se'on des crit3res de )riorit ada)ts Une r*ision et une mise
7/24/2019 SI_-ISO27001 (1)
45/57
Res)onsa&i'it de 'a D-G
En9a9ement de 'a Direction Gnra'e=61> ,
La Direction 9nra'e doit fournir 'es)reu*es de son en9a9ement )our'%ta&'issement '%im)'mentation assurer
'a 9estion o)rationne''e )i'oter r*isermaintenir am'iorer '%ISMS en ,
7/24/2019 SI_-ISO27001 (1)
46/57
Res)onsa&i'it de 'a D-G
Yta&'issant 'a )o'itiue de '%ISMS S%assurant ue 'es o&
7/24/2019 SI_-ISO27001 (1)
47/57
Res)onsa&i'it de 'a D-G
Journissant 'es ressources et 'es moBensncessaires )our '%ta&'issement'%im)'mentation )our assurer 'a 9estiono)rationne''e )i'oter r*iser maintenir etam'iorer '%ISMS
Dcidant des crit3res de traitement des risueset des seui's d%acce)ta&i'its des risues
S%assurant ue 'es audits internes de '%ISMSsont ra'iss
Pi'otant 'es r*isions de '%ISMS
7/24/2019 SI_-ISO27001 (1)
48/57
Res)onsa&i'it de 'a D-G
Gestion des ressources =62> , La D-G doit fournir 'es ressources ncessaires )our , L%ta&'issement '%im)'mentation assurer 'a 9estion
o)rationne''e )i'oter r*iser maintenir et am'iorer'%ISMS
S%assurer ue 'es )rocdures de scurit de '%informationsu))ortent 'es e@i9ences mtiers
Identifier et r)ondre au@ e@i9ences r9'ementaires'9a'es et contractue''es
Maintenir une scurit aduate )ar 'e sui*i correct desmesures d)'oBes
Jaire effectuer 'es r*isions uand ce'a est ncessaireet )our ra9ir d%une mani3re a))ro)rie se'on 'esrsu'tats de ces r*isions
Am'iorer '%ISMS uand ce'a est ncessaire
7/24/2019 SI_-ISO27001 (1)
49/57
Res)onsa&i'it de 'a D-G
Jormation sensi&i'isation et com)tence=64> ,
La Direction Gnra'e doit s%assurer uetous 'es )ersonne's ui ont desres)onsa&i'its dfinies dans '%ISMS sontcom)tentes )our assurer 'es tZcHes ui
'eur incom&ent )ar ,Dterminer 'e ni*eau de com)tences
ncessaires )our cHacun des acteurs
7/24/2019 SI_-ISO27001 (1)
50/57
Res)onsa&i'it de 'a D-G
Pr*oir 'a formation ou tout autre action=em&aucHe )ar e@em)'e> )our r)ondreau@ e@i9ences de com)tences
E*a'uer '%efficacit des dcisions )rises etdes actions menes
Jaire des ra))orts sur 'es formations 'es
com)tences '%e@)rience et 'esua'ifications des acteurs
7/24/2019 SI_-ISO27001 (1)
51/57
Res)onsa&i'it de 'a D-G
De )'us '%or9anisme de*ra s%assurerue tous 'es acteurs im)'ius sontsuffisamment sensi&i'iss sur'%im)ortance de 'eur action dans 'a)rotection de '%information et sa*ent
comment i's doi*ent contri&uer 'ara'isation des o&
7/24/2019 SI_-ISO27001 (1)
52/57
Norme IS$ 2:..1 - 2..6
Audit interne de '%ISMS =5> ,
L%or9anisme doit conduire des audits internes de'%ISMS inter*a''e r9u'ier )our dterminer si 'es
o&
7/24/2019 SI_-ISO27001 (1)
53/57
Audit interne de '%ISMS =5>
Un )ro9ramme d%audit doit tre )'anifi en)renant en com)te 'e statut et '%im)ortance des)rocessus et du )rim3tre auditer ainsi ue
'es rsu'tats des audits )rcdents Les crit3res'a )orte 'a fruence et 'es mtHodes doi*enttre dfinis
Le cHoi@ des auditeurs doit 9arantir '%o&
7/24/2019 SI_-ISO27001 (1)
54/57
Audit interne de '%ISMS =5>
Les res)onsa&i'its et 'es e@i9ences de)'anification et de conduite des auditsainsi ue 'a )rsentation des rsu'tats et
'a rdaction des ra))orts doi*ent tredfinis dans une )rocdure documente
Le res)onsa&'e du domaine audit doit
9arantir ue 'es actions sont )rises sansd'ais e@cessifs )our 'iminer 'es non-conformits et 'eurs causes
7/24/2019 SI_-ISO27001 (1)
55/57
Audit interne de '%ISMS =5>
Le sui*i des acti*its doit inc'ure 'a*rification des actions )rises et 'ere)ortin9 des rsu'tats et *rifications
La norme IS$ 1/.11 0 2..2 , Guide'ines for ua'itB and?or
en*ironmenta' mana9ement sBstemauditin9 )eut ser*ir de su))ort 'a&onne conduite des audits internes
7/24/2019 SI_-ISO27001 (1)
56/57
R*ision de '%ISMS )ar 'e mana9ement =:>
Les 'i*ra&'es des runions de r*ision =:4> ,
Les 'i*ra&'es doi*ent inc'ure toutes 'es dcisionset 'es actions re'ati*es ,
L%am'ioration de '%efficacit de '%ISMS Les modifications concernant '%*a'uation des
risues et 'e )'an de traitement des risues Les &esoins en ressources L%am'ioration des moBens de contrF'e de
'%efficacit des actions de scurit
7/24/2019 SI_-ISO27001 (1)
57/57
R*ision de '%ISMS )ar 'e mana9ement =:>
Les 'i*ra&'es doi*ent inc'ure =K> Les modifications des )rocdures et des actions
ui toucHent 'a scurit de '%information )ourr)ondre au@ *3nements internes ou e@ternes
ui )eu*ent im)acter '%ISMS et notamment 'esmodifications , Des e@i9ences mtiers Des e@i9ences de scurit
Des )rocessus affectant 'es )rocessus mtierse@istants Des e@i9ences r9'ementaires et '9a'es Des o&'i9ations contractue''es Des crit3res et des seui's d%acce)tation des risues