Comprendre Et Mettre En œuvre La Norme ISO 27001
Alexandre Fernandez ToroComprendre etmettre en œuvrela norme ISO 27001Conseils pratiques d’implémentation
Comprendre etmettre en œuvrela norme ISO 27001Conseils pratiques d’implémentation
Du même auteurSécurité opérationnelleConseils pratiques pour sécuriser le SI2ème éditionEditions Eyrolles2016, 424 pagesISBN : 9 782212 144604Management de la sécurité de l’information3ème éditionEditions Eyrolles2012, 322 pagesISBN : 9 782212 126976Epuisé.La 4ème édition est en cours de rédaction. Alexandre Fernandez ToroISBN : 978-1-539-48040-22
Alexandre Fernandez ToroComprendre etmettre en œuvrela norme ISO 27001Conseils pratiques d’implémentation
Table des matièresAvant-propos .11Objectif de ce livre . 11Comment lire ce livre . 11Version de la norme. 12Structure de ce livre . 12Conventions de lecture . 13Information importante . 14Connaissance de la norme et implémentationChapitre 1 Introduction. 17Les systèmes de management et les SMSI . 17La famille des normes ISO 27000 . 18Pourquoi implémenter un SMSI . 19La norme ISO 27001 . 20Certifications . 21Les trois premiers articles de la norme . 22Chapitre 2 Contexte . 25Exigence . 25Conseils pratiques pour implémenter l’article 4.1 . 29Conseils pratiques pour implémenter l’article 4.2 . 30Conseils pratiques pour implémenter l’article 4.3 . 31Traces . 35Chapitre 3 Engagement de la direction . 37Exigence . 37Conseils pratiques d’implémentation . 41Traces . 50Chapitre 4 Appréciation des risques . 51Exigence . 51
Conseils pratiques d’implémentation . 58Traces . 67Chapitre 5 Objectifs de sécurité . 69Exigence . 69Conseils pratiques d’implémentation . 72Traces . 75Chapitre 6 Support . 77Exigence . 77Conseils pratiques d’implémentation . 80Traces . 87Chapitre 7 Documentation . 89Exigence . 89Conseils pratiques d’implémentation . 92Traces . 99Chapitre 8 Fonctionnement . 101Exigence . 101Conseils pratiques d’implémentation . 104Traces . 108Chapitre 9 Indicateurs . 109Exigence . 109Conseils pratiques d’implémentation . 112Traces . 118Chapitre 10 Audits internes. 119Exigence . 119Conseils pratiques d’implémentation . 122Traces . 129Chapitre 11 Revue de direction . 131Exigence . 131Conseils pratiques d’implémentation . 134Traces . 135Chapitre 12 Amélioration . 137Exigence . 137Conseils pratiques pour implémenter l’article 10.1 . 140Conseils pratiques pour implémenter l’article 10.2 . 141Traces . 1446
Mises en perspectiveChapitre 13 L’annexe A de la norme . 147L’annexe A de la norme . 147Conseils d’implémentation . 150Chapitre 14 Le modèle PDCA . 161Principe de base . 161Les deux échelles de la roue de Deming . 163Implémenter le modèle PDCA dans la vie réelle . 165Les états du modèle PDCA . 169Chapitre 15 Apports de l’ISO 27001 pour la sécurité . 171La zone d’humiliation. 171Apports de l’ISO 27001. 174Facteurs clé de succès . 178Chapitre 16 Erosion du SMSI . 181La lente érosion du SMSI . 181Domaines soumis à l’érosion . 182En conclusion . 188Chapitre 17 L’ancienne et la nouvelle norme . 189Les améliorations . 189Les relâchements . 192Ce qui ne change pas . 195Approche par l’exemplePrésentation des exemples . 199Objectif des exemples. 199Etude de cas . 199Liste des exemples fournis . 200Exemple 1 Description de contexte . 201Contexte de la société . 201Enjeux externes . 202Enjeux internes . 202Exemple 2 Parties intéressées . 2037
Liste des parties intéressées. 203Attentes des parties intéressées . 204Exemple 3 Périmètre . 205Domaine d’application du SMSI . 205Processus concernés . 205Unités organisationnelles . 206Sites concernés . 206Interfaces et dépendances . 207Limites . 207Exemple 4 Répartition des rôles et des responsabilités . 2091. Introduction . 2092. Fonctions . 2093. Instances . 212Exemple 5 Politique de sécurité du système d’information . 2151. Contexte . 2152. Réseau . 2163. Identités et accès au SI . 2164. Cloud . 2175. Sécurité des locaux et des équipements . 2176. Infrastructures et exploitation. 2187. Conformité . 2198. Ressources humaines . 2199. Equipements confiés au personnel . 21910. Développements . 22011. Incidents de sécurité . 22012. Continuité d’activité . 22113. Tiers . 221Exemple 6 Procédure d’appréciation des risques . 223Objectif général de cette procédure . 223Références . 223Démarche générale . 223Critères . 227Exemple 7 Appréciation des risques, jalon 1 . 231Exemple 8 Appréciation des risques, jalon 2 . 233Exemple 9 Appréciation des risques, jalon 3 . 2358
Exemple 10 Rapport annuel sur la sécurité . 237Bilan des actions réalisées . 237Evolutions . 238Actions à mener . 239Exemple 11 Liste de documents à produire dans un SMSI . 241Documents relatifs aux exigences des articles 4 à 10 de la norme . 241Documents relatifs aux mesures de sécurité . 244Exemple 12 Procédure de gestion de la documentation . 249Généralités . 249Procédure . 249Formalisation . 252Enregistrements et archivage . 253Exemple 13 Procédure de gestion des tiers . 255Généralités . 255Procédure . 256Formalisation . 258Enregistrements et archivage . 258Exemple 14 Fiches de tiers sensibles pour le SI . 259Hébergeur d’infrastructure . 259Administrateur système en régie . 261Partenaire de maintenance téléphonique . 262Exemple 15 Procédure de gestion des indicateurs . 263Généralités . 263Procédure . 263Formalisation . 266Enregistrements et archivage . 267Exemple 16 Indicateurs du SMSI . 269Incidents . 269Formation & sensibilisation à la sécurité . 271Contrôle général . 273Exemple 17 Indicateurs sécurité . 275Correctifs de sécurité . 275Protection des postes . 277Administrateurs de leur poste . 278Exemple 18 Procédure de gestion des audits. 2799
Généralités . 279Procédure . 279Formalisation . 283Enregistrements et archivage . 284Exemple 19 Programme d’audit . 285Introduction . 285Audits . 285Exemple 20 Plan d’audit . 289Introduction . 289Eléments de cadrage . 289Plan détaillé de l’audit . 290Exemple 21 Rapport d’audit interne . 293Introduction . 293Rappel du contexte de l’audit . 293Conclusions de l’audit interne . 294Détail des constats . 294Détail des personnes rencontrées . 296Documents consultés . 297Fiches de constat . 298Exemple 22 Compte-rendu de revue de direction . 303Introduction . 303Sujets abordés . 303Décisions . 30710
Avant-proposObjectif de ce livreCe livre a pour objectif d’aider le lecteur à implémenter unsystème de mangement de la sécurité de l’information (SMSI)conforme à la norme ISO 27001.Il adopte pour cela une démarche résolument pratique. Lelecteur trouvera dans cet ouvrage :Une explication détaillée de chacun des articles de la norme.Des conseils pratiques d’implémentation pour chaque article.Des focus détaillant certains aspects liés au fonctionnementdes SMSI.Un corpus complet de documentsd’exemples pour implémenter un SMSI.destinésàservirComment lire ce livreCe livre est conçu pour être lu de deux façons différentes. Selonl’objectif du lecteur, il pourra être lu séquentiellement ou accédéthématiquement.Lecture séquentielle : cette approche permet d’obtenir unevue complète du projet d’implémentation, depuis les étapesde conception, jusqu’à la phase de fonctionnement.Accès thématique direct : de par sa constructionvolontairement structurée, ce livre permet aussi uneconsultation thématique. Le but est d’apporter rapidementdes réponses précises aux questions pratiques quel’implémenteur pourrait se poser.Il est conseillé de commencer par une lecture séquentielle avantd’entamer la mise en place d’un SMSI. Une fois le projet encours, un accès thématique sera plus approprié.
Version de la normeCe livre se base sur la norme ISO 27001 dans sa version de2013, qui est en vigueur aujourd’hui.Structure de ce livreCe livre est composé de trois parties, adoptant chacune un focusparticulier. Ensemble, ces trois focus apportent un éclairagecomplet sur la norme.Premier focus : connaissance de la normeet implémentationLes chapitres de cette partie étudient en détail les articles de lanorme ISO 27001. Afin de faciliter la lecture, chaque chapitrecontient systématiquement trois sections :Objectif fondamental de l’article étudié : l’intention decette première section est de livrer, en une ou deux phrases,le sens fondamental de l’article dont il est question. En effet,l’objet des articles n’est pas toujours clairement exprimédans le texte. Or, il est très important de le connaître pourfaire les bons choix d’implémentation.Synthèse : certaines exigences de la norme sont trèsprécises, alors que d’autres restent assez ouvertes auxinterprétations. Un travail d’exégèse (au sens propre duterme) s’impose, c’est à dire qu’il faut expliquer clairement eten détail chacun des articles de la norme. C’est le but decette section.Conseils pratiques d’implémentation : connaître lesexigences ne suffit pas pour les implémenter. Il faut aussiconnaître les recettes qui marchent et les pièges à éviter. Etpour cela, rien ne vaut l’expérience. Aussi, chaque chapitrede cette première partie comporte une section donnant desconseils pratiques d’implémentation, basés sur plusieursdizaines de retours d’expérience.Second focus : mises en perspectiveLa seconde partie de cet ouvrage change complètementd’approche, en observant les SMSI dans leur fonctionnement.Elle met en perspective certains aspects de l’implémentation dela norme, comme par exemple :La difficulté à mettre en place certaines mesures de sécurité.12
Les aspects pratiques du modèle PDCA.Les apports du SMSI pour la sécurité.Le phénomène d’érosion que subissent tous les SMSI dans ladurée.etc.Ces problématiques, pourtant très importantes, ne sontmalheureusement étudiées nulle part. Ce livre apporte unéclairage sur ces questions.Troisième focus : approche par l’exempleLa mise en application des exigences de la norme vanécessairement impliquer la rédaction d’un nombre important dedocuments. Cet aspect documentaire est souvent redouté par lesimplémenteurs, qui ne savent pas toujours ce que la normeattend d’eux. Ils ont peur de trop documenter ou, à l’inverse, desous-estimer les exigences dans le domaine. Nombreux sont ceuxqui aimeraient pouvoir disposer d’exemples concrets pour s’eninspirer.Pour répondre à ce besoin, la dernière partie de cet ouvrageregroupe un ensemble complet de documents inspirés de SMSIréels. L’objectif est que l’essentiel des documents nécessaires àl’implémentation d’un SMSI soient présents. On y trouvera doncdes exemples de descriptions de périmètre de SMSI, une listedes parties prenantes, une politique de sécurité des systèmesd’information, différentes procédures, Le lecteur pourra donc s’en inspirer pour les adapter librement àson propre contexte.Conventions de lectureCertains termes sont très utilisés dans cet ouvrage. Il est doncimportant de bien clarifier leur sens avant d’entamer la lecture.SI : désigne le système d’information.SMSI : cet acronyme signifie « système de management dela sécurité de l’information ».Le projet : ce terme désigne le projet de mise en place d’unSMSI.La norme : l’objet de cet ouvrage est la norme ISO27001 dans sa version actuelle, qui date de 2013. Aussi,chaque fois que l’on parlera de « la norme », sans autre13
précision particulière, cela désignera la version actuelle del’ISO 27001.Article : la norme contient dix articles. Certains préfèrentparler de « chapitres », d’autres de « clauses ». Tous cestermes sont synonymes et désignent donc la même chose.Dans cet ouvrage, on utilisera exclusivement le terme« article ».Entreprise / organisme : tous les organismes peuventmettre en place la norme ISO 27001, tant les organismespublics comme les sociétés privées. Par facilité de rédaction,on utilisera essentiellement dans cet ouvrage le terme« entreprise », mais il désignera autant les organismespublics que les sociétés privées.Implémenteur : tout projet d’implémentation de la normenécessite de désigner un chef de projet. Cette personne aurala responsabilité de construire tous les processus nécessairesau SMSI. Dans cet ouvrage, c’est avec le terme« implémenteur » que l’on désignera cette personne.RSSI mation. Comme il est souvent chargé d’implémenter leSMSI, on le confondra souvent dans cet ouvrage avec« l’implémenteur ».Information importanteCe livre explique en détail l’ISO 27001 et proposenombreuses approches pratiques pour implémenterdifférents aspects de la norme. Toutefois, cet ouvrageremplace pas la norme, il en est un complément. Le lecteurinformé que l’achat de la norme auprès d’un éditeur autoriséindispensable à tout projet d’implémentation.14delesneestest
PARTIE IConnaissance de lanorme etimplémentationPour présenter la première partie de cet ouvrage, mettons-nousun instant dans la situation d’un chef de projet à qui on vientd’annoncer qu’il va devoir mettre en application la norme ISO27001 dans la société où il travaille.Ce chef de projet (que nous appellerons dorénavant« l’implémenteur ») sera immédiatement confronté à une foulede questions : qu’est qu’un système de management ? Qu’est-cequ’un SMSI ? Quelles sont les normes les plus importantes de lasérie ISO 27000 ? Quel est l’intérêt d’implémenter un SMSI ?Ensuite, l’implémenteur achètera la norme ISO 27001. Ilconstatera alors rapidement que les exigences de cette normen’occupent pas plus de dix pages. Or, face à un document aussiresserré, comment comprendre en profondeur le sens desarticles de cette norme ? Et quand bien même l’implémenteuraurait la réponse à cette question, où trouver les recettes pourmettre en œuvre concrètement chacune de ces exigences ?L’objet de cette première partie est précisément de répondre àces questions. Le tout premier chapitre présente les généralitéssur les systèmes de mangement, sur les SMSI et sur lesdifférentes normes. Quant aux chapitres suivants, ils reprennentsystématiquement chaque article de la norme ISO 27001 et, pourchacun d’eux, ils expliquent le sens profond du texte, puisproposent des approches très concrètes pour implémenter.
Chapitre 3Engagement de ladirectionMaintenant que les bases du SMSI sont posées (contexte, partiesprenantes, périmètre), il va devenir possible de commencer àconstruire le SMSI. Cependant, comme nous sommes enprésence d’un projet d’entreprise, tous les services serontimpactés de près ou de loin par le système de management.L’acceptation de la démarche ISO 27001 ainsi que lechangement de certaines vieilles habitudes entraîneranécessairement des résistances de-ci de-là. Pour surmonter cesfreins, la direction doit s’engager pleinement dans la démarcheet montrer à tous l’importance de la sécurité de l’information.Voici comment la norme demande à la direction de s’engager.Exi
mettre en place la norme ISO 27001, tant les organismes publics comme les sociétés privées. Par facilité de rédaction, on utilisera essentiellement dans cet ouvrage le terme « entreprise », mais il désignera autant les organismes publics que les sociétés privées.
Apprendre Comprendre Mettre pris appris compris mis Vouloir Devoir Pouvoir Savoir voulu dû pu su Dire Écrire Conduire dit écrit conduit Croire Falloir . Paul parle allemand et Julia espagnol, alors ils _(ne pas se comprendre) . - 2. Aïe ! Tu piques ! Tu _(ne pas se raser) depui
L'auteur : connu ou anonyme, il s'agit de celui qui a écrit le texte. Il peut s'agir d'une personne ou d'un groupe de personnes (gouvernement, parti politique, etc.). Il est, le plus souvent, placé en premier dans les références, en bas du document. Il permet de mettre en perspective le propos du document, de comprendre le
Pour mieux me protéger du Covid-19, je peux mettre un masque. Pour me protéger du Covid-19, je continue les gestes barrière. 1 m Attention, le Covid-19 est toujours là. Je peux encore avoir le Covid-19. C'est mieux de mettre un masque quand je suis trop près de quelqu'un. Pourquoi mettre un masque ?
directement pour le compte du commerçant chinois, mais plus gé- . On peut les comprendre, ces jeunes hommes . çais voire quelques mots et phrases de wolof, de baoulé ou de dioula, ils .
les araignées Utiliser le futur simple pour parler de ce que je ferai plus tard Accorder des adjectifs comme gourmand(e) ou peureux(-se) au masculin ou au féminin Lire et comprendre un petit texte documentaire sur les pirates et les corsaires Lire et comprendre une histoire (Un pirate à l‛école)
Fiche-professeur n 2 : Reconstituer l’histoire du film 11 Fiche-élève n 3 : Étudier les personnages du film 12 Fiche-professeur n 3 : Étudier les personnages du film 14 Fiche-élève n 4 : Comprendre un dialogue du film 16 Fiche-professeur n 4 : Comprendre un dialogue du film 17 III. POUR ALLER PLUS LOIN 19
arrimées sur ses besoins d’affaires, à solutionner des problèmes ou à orienter des travaux. n Établit une relation de confiance avec ses clients par son approche professionnelle n Cherche à comprendre la réalité du client avant d’émettre des recommandations n Pose des questions pour comprendre les besoins sous-jacents aux demandes .
7 Annual Book of ASTM Standards, Vol 14.02. 8 Discontinued 1996; see 1995 Annual Book of ASTM Standards, Vol 03.05. 9 Annual Book of ASTM Standards, Vol 03.03. 10 Available from American National Standards Institute, 11 West 42nd St., 13th Floor, New York, NY 10036. 11 Available from General Service Administration, Washington, DC 20405. 12 Available from Standardization Documents Order Desk .
