Audit Sécurité Des Systèmes D'information

Universit Mohammed V Agdal Facult des Sciences Rabat
DEPARTEMENT DINFORMATIQUE
FILIERE LICENCE PROFESSIONNELLE
Administration de Systmes Informatiques PROJET OFFSHORING MAROC 2010
Mmoire de Projet de Fin dEtudes
[Audit Scurit des Systmes dInformation]

Rsum
Laudit scurit dun systme dinformation est indispensable pour toute organisation qui dcide de changements au sein de son systme dinformation ou de sassurer de son fonctionnement optimal. Comme toute dmarche qualit, il ncessite une mthodologie rigoureuse et une communication idale au sein de lquipe.
Encadr par :
Pr. El Mamoun SOUIDI

Ralis par :
M. Abbes RHARRAB
Promotion 2011 - 2012
Remerciements
Jexprime toute ma reconnaissance et gratitude lensemble des enseignants de la Licence Professionnelle - Administration des Systmes Informatiques, de lUniversit Mohammed V Agdal - Facult des Sciences Rabat pour leurs efforts nous fournir une meilleure formation. Je tiens remercier mon encadrant Pr. El Mamoun SOUIDI de mavoir permis daborder ce thme qui ma ouvert de nouvelles options en terme de carrire. Je remercie chaleureusement Mes parents, ma famille, et aussi M.Mohammed EL HARFAOUI pour a prcieuse aide, ainsi que tous ceux qui, dune manire ou dune autre, ont contribu la russite de ce travail et qui nont pas pu tre cits ici.
LICENCE PROFESSIONNELLE - ADMINISTRATION DE SYSTMES INFORMATIQUES
Rsum
Laudit de la scurit dun systme dinformation est indispensable pour toute organisation qui dcide de changements au sein de son systme dinformation ou de sassurer de son fonctionnement optimal. Comme toute dmarche qualit, il ncessite une mthodologie rigoureuse et une communication idale au sein de lquipe.
Mots clefs
Audit, Scurit, Systme, information, management, Systme dinformation, Systme de management, Systme de Management de la Scurit de lInformation, SMSI.
Sommaire
INTRODUCTION .....................................................................................................................5 CHAPITRE 1 : GENERALITES .......................................................................................................6
I- QUEST-CE QUUN SYSTEMES DINFORMATION ?.............................................................................. 6 1- QUEST-CE QUUN SYSTEMES ? .......................................................................................................... 6 2- QUEST-CE QUUN SYSTEME DINFORMATION ? .................................................................................... 6 3- EN QUOI CONSISTE UN SYSTEME DINFORMATION ? ............................................................................... 6 II- LA SECURITE DE LINFORMATION .................................................................................................... 7 1- CEST QUOI LA SECURITE DE L'INFORMATION ? ................................................................................ 7 2- POURQUOI SE PROTEGER ? ............................................................................................................... 7 3- QUEST-CE QUUNE POLITIQUE DE SECURITE DE LINFORMATION ? ...................................................... 8
CHAPITRE 2 : MISSION DAUDIT SECURITE DES SYSTEMES DINFORMATION .............................................9

I- AUDIT SECURITE DES SYSTEMES DINFORMATION ............................................................................ 9 1- QUEST-CE QUUN AUDIT ? ............................................................................................................... 9 2- ROLES ET OBJECTIFS DE LAUDIT ......................................................................................................... 9 3- CYCLE DE VIE DUN AUDIT SECURITE DES SYSTEMES DINFORMATION ........................................................ 10 II- DEMARCHE DE REALISATION D'UN AUDIT SECURITE DE SYSTEME DINFORMATION ...................... 11 1- DEFINITION DE LA CHARTE D'AUDIT ................................................................................................... 11 2- PREPARATION DE LAUDIT ............................................................................................................... 11 3- AUDIT ORGANISATIONNEL ET PHYSIQUE ............................................................................................. 12 4- AUDIT TECHNIQUE......................................................................................................................... 12 5- TEST DINTRUSIONS (AUDIT INTRUSIF) ............................................................................................... 13 6- RAPPORT DAUDIT ......................................................................................................................... 14
CHAPITRE 3 : METHODES ET NORMES DAUDIT SECURITE DES SYSTEMES DINFORMATION ........................ 15

I- DEFINITIONS .................................................................................................................................. 15 1- LISO (ORGANISATION INTERNATIONALE DE NORMALISATION) .............................................................. 15 2- LES NORMES ................................................................................................................................ 15 3- LES METHODES ............................................................................................................................. 16 4- HISTORIQUE DES NORMES EN MATIERE DE SECURITE DE LINFORMATION .................................................. 16 II- LA SUITE DES NORMES ISO 2700X .................................................................................................. 18 ISO/IEC 27000 .............................................................................................................................. 18 ISO/CEI 27001 .............................................................................................................................. 19 ISO/CEI 27002 .............................................................................................................................. 19 ISO/CEI 27003 .............................................................................................................................. 20 ISO/CEI 27004 .............................................................................................................................. 21 ISO/CEI 27005 .............................................................................................................................. 21 ISO/CEI 27006 .............................................................................................................................. 22 ISO/CEI 27007 .............................................................................................................................. 22 III-LES SYSTEME DE MANAGEMENT ................................................................................................... 23 1- LE PRINCIPE DES SYSTEMES DE MANAGEMENT ..................................................................................... 23 2- LES PRINCIPAUX SYSTEMES DE MANAGEMENT ..................................................................................... 24 3- LAPPORT DES SYSTEMES DE MANAGEMENT ........................................................................................ 24 4- LES SYSTEMES DE MANAGEMENT DE LA SECURITE DE L'INFORMATION (SMSI) ........................................... 25 IV-LA NORME ISO/CEI 27001 (LE MODELE PDCA) ............................................................................... 26 1- DEFINITIONS (LE MODELE PDCA) .................................................................................................... 26 2- PHASE PLAN ................................................................................................................................ 27
A) LA METHODE EBIOS............................................................................................................................ 30 B) LA METHODE MEHARI ......................................................................................................................... 32
3- PHASE DO ................................................................................................................................... 38 4- PHASE CHECK ............................................................................................................................... 40 5- PHASE ACT .................................................................................................................................. 41
CONCLUSION ....................................................................................................................... 42 REFERENCES ........................................................................................................................ 43 ACRONYMES ....................................................................................................................... 44
Introduction
De nos jours les entreprises sont de plus en plus connectes tant en interne que dans le monde entier, profitant ainsi de lvolution des rseaux informatiques et la dmatrialisation des documents. De ce fait, leur systme dinformation est accessible de lextrieur pour leurs fournisseurs, clients, partenaires et administrations. L'accessibilit par lextrieur entraine la vulnrabilit vis vis les attaques, mais aussi on peut pas ngliger les menaces qui viennent de lintrieur, ce qui rend linvestissement dans des mesures de protection et de scurit indispensable, et la mise en uvre dun plan de scurit issu dun examen mthodique dune situation lie la scurit de linformation en vue de vrifier sa conformit des objectifs, des rgles, et des normes ou rfrentiels, afin de cerner les diffrentes composantes de la scurit du Systme dInformation, et pour atteindre un niveau de scurisation rpondant aux objectifs organisationnels et techniques.
Chapitre 1 : Gnralits
I- Quest-ce quun Systmes dInformation ?

1- Quest-ce quun Systmes ?
Un systme est un ensemble d'lments en relation les uns les autres et formant un tout. Il reprsente une unit parfaitement identifiable et voluant dans un environnement. Il existe donc une limite qui dpartage le systme de son environnement.
2- Quest-ce quun Systme dInformation ?

Un systme dInformation (not SI) est un ensemble organis de ressources (matriels, logiciels, personnel, donnes et procdures) qui reprsente lensemble des lments participant la gestion, au traitement, au transport et la diffusion de linformation au sein de lentreprise. A lorigine les systmes dinformations ont fait leur premire apparition dans les domaines de linformatique et des tlcommunications, cependant nous voyons aujourdhui apparatre le concept dans tous les secteurs, que ce soit des entreprises prives ou publiques.
3- En quoi consiste un Systme dinformation ?

Un systme dinformation peut tre apparent au vhicule qui permettra dtablir la communication dans toute lentreprise. La Structure du systme est constitue de lensemble des ressources (hommes, matriels, logiciels) qui sorganise pour : collecter, stocker, traiter et communiquer les informations. Le systme dinformation est le grand coordinateur des activits de lentreprise et qui joue un rle crucial dans latteinte des objectifs fixer par cette dernire. Le SI se construit tout autour des processus mtier et ses interactions. Pas seulement autour des bases de donnes ou des logiciels informatiques qui le constitue. Le SI doit tre en accord avec la stratgie de lentreprise.
II- La Scurit de lInformation

1- Cest quoi la Scurit de l'information ?
Pour des soucis d'efficacit et de rentabilit, une entreprise communique aujourd'hui avec ses filiales, ses partenaires et va jusqu' offrir des services aux particuliers, ce qui induit une ouverture massive l'information. Par l'ouverture des rseaux, la scurit devient un facteur dcisif du bon fonctionnement de l'entreprise ou de l'organisme. Il reste qu'une entreprise ou un organisme possde certaines informations qui ne doivent tre divulgues qu' un certain nombre de personnes ou qui ne doivent pas tre modifies ou encore qui doivent tre disponibles de manire transparente l'utilisateur. Ces informations feront l'objet d'une attaque par ce que des menaces existent et que le systme abritant ces informations est vulnrable. Par consquent on appelle scurit de l'information, lensemble des moyens techniques, organisationnels, juridiques, et humains mis en place pour faire face aux risques identifis, afin dassurer la confidentialit, l'intgrit, la disponibilit, et la Traabilit de l'information traite: - La Confidentialit : linformation ne doit pas tre divulgue toute personne, entit ou processus non autoris. En clair, cela signifie que linformation nest consultable que par ceux qui ont le droit dy accder (on dit aussi besoin den connatre ). - L'Intgrit : le caractre correct et complet des actifs doit tre prserv. En clair, cela signifie que linformation ne peut tre modifie que par ceux qui en ont le droit. - La Disponibilit : linformation doit tre rendue accessible et utilisable sur demande par une entit autorise. Cela veut dire que linformation doit tre disponible dans des conditions convenues lavance (soit 24h/24, soit aux heures ouvrables, etc.). La Traabilit (ou Preuve ) : garantie que les accs et tentatives d'accs aux lments considrs sont tracs et que ces traces sont conserves et exploitables.
2- Pourquoi se protger ?
Parce que on estime que si la perte des informations, va provoquerait : - Une perte financire (exemple : destruction de fichiers client, rcupration de contrats par un concurrent,...)
- Une perte de l'image de marque (exemple : piratage d'une banque, divulgation d'un numro de tlphone sur liste rouge,...) - Une perte d'efficacit ou de production (exemple : rendre indisponible un serveur de fichiers sur lequel travaillent les collaborateurs)
3- Quest-ce quune politique de scurit de linformation ?

Une politique de scurit de linformation est un ensemble de documents indiquant les directives, procdures, ligne de conduite, rgles organisationnelles et techniques suivre relativement la scurit de linformation et sa gestion. Cest une prise de position et un engagement clair et ferme de protger lintgrit, la confidentialit et la disponibilit de lactif informationnel de lentreprise. La politique de scurit de linformation vous permet de dfinir, raliser, entretenir et amliorer la scurit de linformation au sein de votre entreprise. Elle vous permet aussi de protger les infrastructures et actifs critiques de votre entreprise.
Chapitre 2 : Mission daudit scurit des systmes dinformation
I- Audit scurit des systmes dinformation

1- Quest-ce quun Audit ?
En informatique, le terme Audit (une coute) est apparu dans les annes 70 et a t utilis de manire relativement alatoire. Nous considrons par la suite un "audit scurit de linformation" comme une mission d'valuation de conformit par rapport une politique de scurit ou dfaut par rapport un ensemble de rgles de scurit. Une mission d'audit ne peut ainsi tre ralise que si l'on a dfini auparavant un rfrentiel, c'est--dire en l'occurrence, un ensemble de rgles organisationnelles, procdurales ou/et techniques de rfrence. Ce rfrentiel permet au cours de l'audit d'valuer le niveau de scurit rel du " terrain " par rapport une cible. Pour valuer le niveau de conformit, ce rfrentiel doit tre : - Complet (mesurer l'ensemble des caractristiques : il ne doit pas s'arrter au niveau systme, rseau, tlcoms ou applicatif, de manire exclusive, de mme, il doit couvrir des points techniques et organisationnels) ; - Homogne : chaque caractristique mesure doit prsenter un poids cohrent avec le tout ; - Pragmatique : c'est--dire, ais quantifier (qualifier) et contrler. Ce dernier point est souvent nglig. La mission d'audit consiste mesurer le niveau d'application de ces rgles sur le systme d'information par rapport aux rgles qui devraient tre effectivement appliques selon les processus dicts. L'audit est avant tout un constat.
2- Rles et objectifs de laudit

Une mission daudit vise diffrents objectifs. En effet nous pouvons numrer ce titre : -La dtermination des dviations par rapport aux bonnes pratiques de scurit. -La proposition dactions visant l'amlioration du niveau de scurit du systme dinformation. Egalement, une mission daudit de scurit dun systme dinformation se prsente comme un moyen d'valuation de la conformit par rapport une politique de scurit ou par rapport un ensemble de rgles de scurit.
3- Cycle de vie dun audit scurit des systmes dinformation

Le processus daudit de scurit est un processus rptitif et perptuel. Il dcrit un cycle de vie qui est schmatis laide de la figure suivante :
Le cycle de vie daudit de scurit
Laudit de scurit informatique se prsente essentiellement suivant deux parties comme le prsente le prcdent schma : - Laudit organisationnel et physique. - Laudit technique. Une troisime partie optionnelle peut tre galement considre. Il sagit de laudit Intrusif (test dintrusions). Enfin un rapport daudit est tabli lissue de ces tapes. Ce rapport prsente une synthse de laudit. Il prsente galement les recommandations mettre en place pour corriger les dfaillances organisationnelles ou techniques constates.
10
II- Dmarche de ralisation d'un audit Scurit de Systme dInformation

Dans la section prcdente on a voqu les principales tapes de laudit de scurit des systmes dinformation. Cependant il existe une phase tout aussi importante qui est une phase de prparation. Nous pouvons schmatiser lensemble du processus daudit comme suite :
Dfinition de la charte d'audit Prparation de l'Audit Audit Organisationnel & Physique Audit Technique Test d'intrusions Rapport de synthse & recommandations
Schma du processus daudit
1- Dfinition de la charte d'audit

Avant de procder une mission audit, une chartre d'audit doit tre ralise, elle a pour objet de dfinir la fonction de l'audit, les limites et modalits de son interventions, ses responsabilits ainsi que les principes rgissant les relations entre les auditeurs et les audits. Elle fixe galement les qualits professionnelles et morales requises des auditeurs.
2- Prparation de laudit
Cette phase est aussi appele phase de pr audit. Elle constitue une phase importante pour la ralisation de laudit sur terrain. En effet, cest au cours de cette phase que se dessinent les grands axes qui devront tre suivis lors de laudit sur terrain. Elle se manifeste par des rencontres entre auditeurs et responsables de lorganisme auditer. Au cours de ces entretiens, les esprances des responsables vis--vis de laudit devront tre exprimes. Aussi, le planning de ralisation de la mission de laudit doit tre fix. Les personnes qui seront amenes rpondre au questionnaire concernant laudit organisationnel doivent tre galement identifies. Lauditeur (ou les auditeurs) pourrait galement solliciter les rsultats des prcdents audits. Cette phase sera suivie par laudit organisationnel et physique.
11
3- Audit organisationnel et physique

a. Objectifs Dans cette tape, il sagit de sintresser laspect physique et organisationnel de lorganisme cible, auditer. Nous nous intressons donc aux aspects de gestion et dorganisation de la scurit, sur les plans organisationnels, humains et physiques. Lobjectif vis par cette tape est donc davoir une vue globale de ltat de scurit du systme dinformation et didentifier les risques potentiels sur le plan organisationnel. b. Droulement Afin de raliser cette tape de laudit, ce volet doit suivre une approche mthodologique qui sappuie sur une batterie de questions . Ce questionnaire prtabli devra tenir compte et sadapter aux ralits de lorganisme auditer. A lissu de ce questionnaire, et suivant une mtrique, lauditeur est en mesure dvaluer les failles et dapprcier le niveau de maturit en termes de scurit de lorganisme, ainsi que la conformit de cet organisme par rapport la norme rfrentielle de laudit.
4- Audit technique
a. Objectifs Cette tape de laudit sur terrain vient en seconde position aprs celle de laudit organisationnel. Laudit technique est ralis suivant une approche mthodique allant de la dcouverte et la reconnaissance du rseau audit jusquau sondage des services rseaux actifs et vulnrables. Cette analyse devra faire apparatre les failles et les risques, les consquences dintrusions ou de manipulations illicites de donnes. Au cours de cette phase, lauditeur pourra galement apprcier lcart avec les rponses obtenues lors des entretiens. Il testera aussi la robustesse de la scurit du systme dinformation et sa capacit prserver les aspects de confidentialit, dintgrit, de disponibilit et dautorisation. Cependant, lauditeur doit veiller ce que les tests raliss ne mettent pas en cause la continuit de service du systme audit. b. Droulement Vu les objectifs escompts lors de cette tape, leurs aboutissements ne sont possibles que par lutilisation de diffrents outils. Chaque outil commercial qui devra tre utilis, doit bnficier dune licence dutilisation en bonne et due forme.
12
Egalement les outils disponibles dans le monde du logiciel libre sont admis. Lensemble des outils utiliss doit couvrir entirement ou partiellement la liste non exhaustive des catgories ci-aprs : - Outils de sondage et de reconnaissance du rseau. - Outils de test automatique de vulnrabilits du rseau. - Outils spcialiss dans laudit des quipements rseau (routeurs, switchs). - Outils spcialiss dans laudit des systmes dexploitation. - Outils danalyse et dinterception de flux rseaux. - Outils de test de la solidit des objets dauthentification (fichiers de mots cls) - Outils de test de la solidit des outils de scurit rseau (firewalls, IDS, outils dauthentification). - Outils de scanne dexistence de connexions dial-up dangereuses (wardialing). - Outils spcialiss dans laudit des SGBD existants. Chacun des outils utiliser devra faire lobjet dune prsentation de leurs caractristiques et fonctionnalits aux responsables de lorganisme audit pour les assurer de lutilisation de ces outils.
5- Test dintrusions (Audit intrusif)

a. Objectifs Cet audit permet dapprcier le comportement du rseau face des attaques. Egalement, il permet de sensibiliser les acteurs (management, quipe informatique sur site, les utilisateurs) par des rapports illustrant les failles dceles, les tests qui ont t effectus (scnarios et outils) ainsi que les recommandations pour pallier aux insuffisances identifies. b. Droulement La phase de droulement de cet audit doit tre ralise par une quipe de personnes ignorante du systme audit avec une dfinition prcise des limites et horaires des tests. Etant donn laspect risqu (pour la continuit de services du systme dinformation) que porte ce type daudit, lauditeur doit. - Bnficier de grandes comptences. - Adhrer une charte dontologique. - Sengager (la charte daudit) un non dbordement: implication ne pas provoquer de perturbation du fonctionnement du systme, ni de provocation de dommages.
13
6- Rapport daudit
A la fin des prcdentes phases daudit sur terrain, lauditeur est invit rdiger un rapport de synthse sur sa mission daudit. Cette synthse doit tre rvlatrice des dfaillances enregistres. Autant est-il important de dceler un mal, autant il est galement important dy proposer des solutions. Ainsi, lauditeur est galement invit donner ses recommandations, pour pallier aux dfauts quil aura constats. Ces recommandations doivent tenir compte de laudit organisationnel et physique, ainsi que de celui technique et intrusif.
14
Chapitre 3 : Mthodes et Normes daudit scurit des systmes dinformation I- Dfinitions

Les concepts de mthode de scurit et de norme de scurit portent souvent confusion. Nous allons tenter de dfinir chacun de ces concepts.
1- LISO (Organisation Internationale de Normalisation)

LISO est le fruit dune collaboration entre diffrents organismes de normalisation nationaux. Au dbut du 20me sicle, LAmerican Institute of Electrical Engineer (Aujourdhui appel Institute of Electrical and Electronics Engineers ou IEEE) invite quatre autres instituts professionnels pour constituer une premire organisation nationale, lAESC (American Engineering Standards Committee) qui aura pour objectif de publier des standards industriels communs avant de prendre le nom dASA (American Standards Association) et dtablir des procdures standardises pour la production militaire pendant la seconde guerre mondiale. En 1947, lASA, le BSI (British Standards Institute), lAFNOR (Association Franaise de Normalisation) et les organisations de normalisation de 22 autres pays fondent lOrganisation Internationale de Normalisation (ISO). A ce jour, lISO regroupe 157 pays membres, et coopre avec les autres organismes de normalisation comme le CEN (Comit europen de normalisation) ou la Commission Electronique Internationale (CEI). En 1987, lISO et le CEI crent le Joint Technical Committee (JTC1) pour la normalisation des Technologies de lInformation (TI). Le JTC1 allie les comptences de lISO en matire de langage de programmation et codage de linformation avec celles du CEI qui traitent du matriel tel que les microprocesseurs. Le JTC1 est compos de plusieurs comits techniques (SC) qui traitent de sujets tels que la biomtrie, la tlinformatique, les interfaces utilisateurs ou encore les techniques de scurit de linformation relatives aux normes de la srie ISO/CEI 2700x.
2- Les normes
Une norme est, selon le guide ISO/CEI, un document de rfrence approuv par un organisme reconnu, et qui fourni pour des usages communs et rpts, des rgles, des lignes directrices ou des caractristiques, pour des activits, ou leurs rsultats, garantissant un niveau dordre optimal dans un contexte donn . Les entreprises se font certifier pour prouver quelles suivent les recommandations de la norme. Pour tre certifi, il faut, dans un premier temps acheter la norme. Les normes appliques la scurit des systmes dinformation sont gnralement dites par lorganisme ISO. Ensuite lentreprise doit mettre en pratique les recommandations dcrites dans la norme.
15
Gnralement, une entreprise peut se faire certifier pour trois raisons : - Pour une raison commerciale. Pour certaines entreprises, tre certifies par des normes de qualit par exemple est un gage de qualit pour les clients et est donc un atout commercial. - Par obligation. En industrie aronautique par exemple, les constructeurs exigent de leurs sous-traitants quils soient certifis par certaines normes. - Il y a aussi des entreprises qui se certifient pour elles-mmes, pour optimiser leur processus en interne.
3- Les mthodes
Une mthode est une dmarche, un processus ou un ensemble de principes qui permettent dappliquer une norme au systme dinformation de lentreprise. La mthode sert aussi faire un audit qui permet de faire, par exemple, un tat de la scurit du systme dinformation. Une mthode est souvent accompagne doutils afin dappuyer son utilisation. Ils peuvent tre disponibles gratuitement auprs des organismes qui les ont produits. Par exemple la mthode MEHARI, que nous verrons plus loin, propose un outil (fichier Microsoft Excel). Le fichier contient un ensemble de questions et de scnarios. Cette base de connaissance permet de ressortir toutes les vulnrabilits du systme dinformation et met des recommandations pour y remdier. La plupart des mthodes sont appliques par des experts en gestion des
risques (EBIOS, MEHARI, OCTAVE).
4- Historique des normes en matire de scurit de linformation

Au cours des vingt dernires annes les normes lies la scurit de linformation ont volu ou ont t remplaces. Ces changements rendent difficile une bonne comprhension du sujet. Un rappel historique de lvolution de ces normes permet de clarifier la situation normative en matire de scurit de linformation. Au dbut des annes 90, de grandes entreprises britanniques se concertent pour tablir des mesures visant scuriser leurs changes commerciaux en ligne. Le rsultat de cette collaboration servit de rfrence en la matire pour dautres entreprises qui souhaitaient mettre en uvre ces mesures. Cette initiative prive fut appuye par le Dpartement des Transports et de lIndustrie britannique qui supervisa la rdaction au format du BSI, dune premire version de projet de norme de gestion de la scurit de linformation. En 1991, un projet de best practices code de bonnes pratiques, prconise la formalisation dune politique de scurit de linformation. Cette politique de scurit doit intgrer au minimum huit points stratgique et oprationnel ainsi quune mise jour rgulire de la politique.
16
En 1995, le BSI publie la norme BS7799 qui intgre dix chapitres runissant plus de 100 mesures dtailles de scurit de linformation, potentiellement applicables selon lorganisme concern. En 1998, la norme BS7799 change de numrotation et devient la norme BS7799-1. Elle est complte par la norme BS7799-2 qui prcise les exigences auxquelles doit rpondre un organisme pour mettre en place une politique de scurit de linformation. Cette nouvelle norme est fonde sur une approche de la matrise des risques et sur le principe du management de la scurit de linformation. En 2000, la norme BS7799-1, devient la norme de rfrence internationale pour les organismes souhaitant renforcer leur scurit de linformation. Aprs avoir suivi un processus de concertation au niveau international et quelques ajouts, lISO lui attribue un nouveau nom, ISO/IEC 17799: 2000. En 2002, le BSI fait voluer la norme BS7799-2 en sinspirant des normes ISO 9001 :2000 et ISO 14001: 1996. La norme adopte dfinitivement une approche de management de la scurit de linformation. En 2005, lISO/CEI adopte la norme BS7799-2 sous la rfrence ISO/CEI 27001: 2005 en y apportant quelques modifications pour se rapprocher le plus possible du principe de systme de management dvelopp par les normes ISO 9001 et ISO14001. LISO/IEC 27001: 2005 spcifie les exigences pour la mise en place dun SMSI (Systme de Management de la Scurit de lInformation). En 2007, dans un souci de clarification, lISO renomme la norme ISO/IEC 17799 :2005 en changeant sa numrotation pour ISO/IEC 27002. La norme se greffe la famille des normes ISO/IEC 2700x toujours en dveloppement. Aujourdhui les organismes disposent de deux normes qui se sont imposes comme rfrence des SMSI, lISO/CEI 27001 :2005 qui dcrit les exigences pour la mise en place d'un Systme de Management de la Scurit de lInformation et lISO/CEI 27002 qui regroupe un ensemble de bonnes pratiques best practices pour la gestion de la scurit de l'information. Le tableau ci-aprs reprend cet historique.
Anne 1995 1998 2000 2002 2005 2005 2007 Norme BS 7799:1995 BS 7799-2:1998 ISO 17799:2000 BS 7799-2:2002 ISO 17799:2005 ISO 27001:2005 ISO 27002 Traite des SMSI Non Oui Non Oui Non Oui Non Remplace la norme
BS 7799 :1995 BS 7799-2 :1998 ISO 17799 :2000 BS 7799-2 :2002 ISO 17799 :2005
Historique des normes en matire de scurit de linformation
17
II- La suite des normes ISO 2700x
ISO/IEC 27000 : Systmes de management de la scurit de l'information Vue d'ensemble et vocabulaire

(aussi connue sous le nom de Famille des standards SMSI ou ISO27k) comprend les normes de scurit de l'information publies conjointement par l'Organisation internationale de normalisation (ISO) et la Commission lectrotechnique internationale (CEI, ou IEC en anglais). La suite contient des recommandations des meilleures pratiques en management de la scurit de l'information, pour l'initialisation, l'implmentation ou le maintien de systmes de management de la scurit de l'information (SMSI, ou ISMS en anglais), ainsi qu'un nombre croissant de normes lies au SMSI.
ISO/CEI 27000 : Systmes de management de la scurit de l'information -- Vue d'ensemble et vocabulaire ISO/CEI 27001 : Systmes de management de la scurit de l'information -- Exigences ISO/CEI 27002 : Code de bonne pratique pour le management de la scurit de l'information ISO/CEI 27003 : Lignes directrices pour la mise en uvre du systme de management de la scurit de l'information ISO/CEI 27004 : Management de la scurit de l'information -- Mesurage ISO/CEI 27005 : Gestion des risques lis la scurit de l'information ISO/CEI 27006 : Exigences pour les organismes procdant l'audit et la certification des systmes de management de la scurit de l'information ISO/CEI 27007 : Lignes directrices pour l'audit des systmes de management de la scurit de l'information
18
ISO/CEI 27001 : Systmes de management de la scurit de l'information -Exigences

L'ISO/CEI 27001 est la norme centrale de la famille ISO 2700x, c'est la norme d'exigences qui dfinit les conditions pour mettre en uvre et documenter un SMSI, publie en octobre 2005 par l'ISO. Objectifs La norme ISO 27001 publie en octobre 2005 succde la norme BS 7799-2 de BSI (British Standards Institution). Elle sadresse tous les types dorganismes (entreprises commerciales, administrations, etc). La norme ISO/CEI 27001 dcrit les exigences pour la mise en place d'un Systme de Management de la Scurit de l'Information. Le SMSI est destin choisir les mesures de scurit afin d'assurer la protection des biens sensibles d'une entreprise sur un primtre dfini. C'est le modle de qualit PDCA (Plan-Do-Check-Act) qui est recommand pour tablir un SMSI afin d'assurer une amlioration continue de la scurit du systme d'information. La norme dicte galement les exigences en matires de mesures de scurit propres chaque organisme, cest--dire que la mesure nest pas la mme dun organisme lautre. Les mesures doivent tre adquates et proportionnes lorganisme pour ne pas tre ni trop laxistes ni trop svres. La norme ISO 27001 intgre aussi le fait que la mise en place dun SMSI et doutils de mesures de scurit aient pour but de garantir la protection des actifs informationnels. Lobjectif est de protger les informations de toute perte ou intrusion. Cela apportera la confiance des parties prenantes. L'ISO/CEI 27001 dfinit l'ensemble des contrles effectuer pour s'assurer de la pertinence du SMSI, l'exploiter et le faire voluer. Plus prcisment, l'annexe A de la norme est compose des 133 mesures de scurit de la norme ISO/CEI 27002 (anciennement ISO/CEI 17799), classes dans 11 sections. Comme pour les normes ISO 9001 et ISO 14001, il est possible de se faire certifier ISO 27001.
ISO/CEI 27002 : Code de bonne pratique pour le management de la scurit de l'information

La norme ISO/CEI 27002 est une norme internationale concernant la scurit de l'information, publie en 2005 par l'ISO, dont le titre en franais est Code de bonnes pratiques pour le management de la scurit de linformation. L'ISO/CEI 27002 est un ensemble de 133 mesures dites best practices (bonnes pratiques en franais), destines tre utilises par tous ceux qui sont responsables de la mise en place ou du maintien d'un Systme de Management de la Scurit de l'Information.
19
La scurit de l'information est dfinie au sein de la norme comme la prservation de la confidentialit, de l'intgrit et de la disponibilit de l'information . Cette norme n'a pas de caractre obligatoire pour les entreprises. Son respect peut toutefois tre mentionn dans un contrat : un prestataire de services pourrait ainsi s'engager respecter les pratiques normalises dans ses relations avec un client. Objectifs ISO/IEC 27002 est plus un code de pratique, quune vritable norme ou quune spcification formelle telle que lISO/IEC 27001. Elle prsente une srie de contrles (39 objectifs de contrle) qui suggrent de tenir compte des risques de scurit des informations relatives la confidentialit, l'intgrit et les aspects de disponibilit. Les entreprises qui adoptent l'ISO/CEI 27002 doivent valuer leurs propres risques de scurit de l'information et appliquer les contrles appropris, en utilisant la norme pour orienter lentreprise. La norme ISO 27002 n'est pas une norme au sens habituel du terme. En effet, ce nest pas une norme de nature technique, technologique ou oriente produit, ou une mthodologie d'valuation d'quipement telle que les critres communs CC/ISO 15408. Elle na pas de caractre d'obligation, elle namne pas de certification, ce domaine tant couvert par la norme ISO/IEC 27001.
ISO/CEI 27003 : Lignes directrices pour la mise en uvre du systme de management de la scurit de l'information
La norme ISO/CEI 27003 fournit une approche oriente processus pour la russite de la mise en uvre dun SMSI conformment lISO 27001. Objectifs Le but de l'ISO / CEI 27003 est de fournir aide et les conseils mettre en uvre un Systme de Management de la Scurit de l'Information. ISO / IEC 27003 guide la conception d'une norme ISO / IEC 27001-SGSI conforme, conduisant l'ouverture d'un SMSI [la mise en uvre du projet]. Il dcrit le processus du SMSI et la spcification de conception, du dbut jusqu' la production des plans d'excution des projets, couvrant la prparation et la planification des activits pralables la mise en uvre effective, et en prenant des lments cls tels que: Approbation de la direction et l'autorisation dfinitive de procder l'excution des projets; Dtermination de la porte et la dfinition des limites en termes de TIC et les lieux physiques; L'valuation des risques scurit de l'information et de la planification des traitements de risque appropris, le cas chant en dfinissant des exigences de contrle de scurit de l'information;
20
Conception du SMSI; La planification du projet mise en uvre.
ISO/CEI 27004 : Management de la scurit de l'information -- Mesurage

ISO / CEI 27004 couvre les mesures de management de scurit de l'information, gnralement connu comme les mesures de scurit. labore par lISO et la Commission lectrotechnique internationale (CEI). Son nom complet est la technologie de l'information - Techniques de scurit - Management de la scurit de l'information -- Mesurage. Objectifs Le but de la norme ISO / IEC 27004 est d'aider les organisations mesurer, rapporter et donc d'amliorer systmatiquement l'efficacit de leurs systmes de gestion de scurit de l'information (SGSI). La norme est destine aider les organisations mesurer, rendre compte et donc d'amliorer systmatiquement l'efficacit de leurs systmes de gestion de l'information de scurit.
ISO/CEI 27005 : Gestion des risques lis la scurit de l'information

La premire norme de gestion des risques de la Scurit des Systmes d'Information : l'ISO/CEI 27005. Cette norme est un standard international qui dcrit le Systme de Management des risques lis la Scurit de l'information. Certains expliquent que cette norme est en fait une mthode quasi-applicable en se servant des annexes et en les adaptant leur contexte. D'ailleurs dans l'enqute 2010 du CLUSIF, 35% des entreprises qui font analyses de risques dclarent le faire en utilisant la norme ISO 27005. Objectifs La norme ISO 27005 explique en dtail comment conduire l'apprciation des risques et le traitement des risques, dans le cadre de la scurit de l'information. La norme ISO 27005 propose une mthodologie de gestion des risques en matire d'information dans l'entreprise conforme la norme ISO/CEI 27001. La nouvelle norme a donc pour but daider mettre en uvre lISO/CEI 27001, la norme relative aux systmes de management de la scurit de linformation (SMSI), qui est fonde sur une approche de gestion du risque. Nanmoins, la norme ISO 27005 peut tre utilise de manire autonome dans diffrentes situations. La norme ISO 27005 applique la gestion de risques le cycle d'amlioration continue PDCA (Plan, Do, Check, Act) utilis dans toutes les normes de systmes de management.
21
ISO/CEI 27006 : Exigences pour les organismes procdant l'audit et la certification des systmes de management de la scurit de l'information
ISO/CEI 27006 est un standard de scurit de l'information publi conjointement par l'ISO et la CEI, afin de fixer les exigences pour les organismes ralisant l'audit et la certification de SMSI. Objectifs Son objet est de fournir les prrequis pour les organismes d'audit et de certification la norme ISO 27001 pour les Systmes de Management de la Scurit de l'Information. Cette norme a t remise jour en 2011 et porte la rfrence ISO/IEC 27006.
ISO/CEI 27007 : Lignes directrices pour l'audit des systmes de management de la scurit de l'information
Cette norme fournit les lignes directrices pour les audits des systmes de management de la scurit de l'information, ainsi que des conseils sur la comptence des auditeurs des SMSI. Elle inclue aussi les lignes directrices contenues dans la norme ISO 19011.
22
III-
Les Systme de Management
1- Le principe des systmes de management

Le principe de systme de management nest pas nouveau. Il concerne historiquement le monde de la qualit, surtout dans le domaine des services et de lindustrie. Qui na jamais vu un papier en-tte avec un petit logo certifi ISO 9001 ? Qui na jamais crois une camionnette affichant firement un autocollant Socit certifie ISO 9001 ? La norme ISO 9001 prcise les exigences auxquelles il faut rpondre pour mettre en place un systme de management de la qualit (SMQ). Comment dfinir un systme de management ? La norme ISO 9000 ( ne pas confondre avec lISO 9001 que nous venons dvoquer) apporte une rponse cette question en dfinissant les principes de la qualit. Cest ainsi que dans la rubrique intitule Systme de management , il est dit quun systme de management est un systme permettant : dtablir une politique ; dtablir des objectifs ; datteindre ces objectifs. Nous pouvons ainsi dire quun systme de management est un ensemble de mesures organisationnelles et techniques visant atteindre un objectif et, une fois celui-ci atteint, sy tenir, voire le dpasser.
Le processus du systme de management
23
2- Les principaux systmes de management

Les systmes de management ne se cantonnent pas uniquement la qualit. Ils concernent des domaines trs varis comme lenvironnement, les services informatiques, la scurit de linformation, la scurit alimentaire ou encore la sant. Le tableau ci-aprs donne un aperu non exhaustif des principaux rfrentiels de systmes de management.
Rfrentiel
ISO 9001 ISO 14001 ISO 27001 ISO 20000 ISO 22000 OHSAS 18001
Domaine
Qualit Environnement Scurit de linformation Services informatiques Scurit alimentaire Sant/Scurit du personnel
Principaux rfrentiels de systmes de management
Nous constatons que la majorit de ces rfrentiels sont normaliss par lISO (Organisation internationale de normalisation). Cependant, dautres organismes privs ou nationaux peuvent proposer leurs propres rfrentiels. La dernire ligne de cette liste montre, en effet, que lISO na pas le monopole des systmes de management, puisque la norme relative la scurit du personnel au travail (OHSAS 18001) nest pas spcifie par lISO.
3- Lapport des systmes de management

Les proprits que nous venons de dcrire donnent de bonnes raisons de penser que la mise en place et lexploitation dun systme de management nest pas un projet facile mener. Il faut commencer par fixer des politiques, formaliser les procdures par crit et mener bien des audits rguliers. Ces oprations sont loin dtre transparentes. Souvent lourdes implmenter, leur cot humain et financier nest pas ngligeable. Dans ces conditions, il est lgitime de se demander ce qui justifie un tel investissement. Quels bnfices concrets pouvons-nous en esprer ? Premier apport : ladoption de bonnes pratiques Les systmes de management se basent sur des guides de bonnes pratiques dans le domaine qui les concerne (qualit, scurit, environnement, etc.). Ainsi, celui qui se lance dans la mise en place dun systme de management est quasiment oblig dadopter ces bonnes pratiques. Deuxime apport : laugmentation de la fiabilit Ladoption de bonnes pratiques a pour consquence directe, court ou moyen terme, laugmentation de la fiabilit. Ceci est principalement d au fait que les systmes de
24
management imposent la mise en place de mcanismes damlioration continue favorisant la capitalisation sur les retours dexprience. Troisime apport : la confiance Nous touchons enfin la raison davoir un systme de management : il fournit la confiance envers les parties prenantes. Quentendons-nous par parties prenantes ? Il sagit de toute personne, groupe ou instance envers laquelle lentreprise doit rendre des comptes (Par exemple : Les actionnaires, Les autorits de tutelle, Les clients, Les fournisseurs, Les partenaires, etc.). En fait, nous oublions trop souvent que la confiance est le vecteur qui permet toute relation entre un client et un fournisseur. Autant dire quil ny aurait aucune activit conomique sans la confiance.
4- Les systmes de management de la scurit de l'information (SMSI)

Nous avons parl de la partie SM (systme de management) du SMSI. Parlons dsormais de la partie SI (scurit de linformation). Le principal objectif dun SMSI est de faire en sorte de prserver la confidentialit, lintgrit et disponibilit pour les informations les plus sensibles de lentreprise. La norme ISO 27001 insiste sur ces notions. Ces derniers sont formellement dfinis dans la norme ISO 13335-1. Le SMSI est cohrent avec les autres systmes de management de lentit, notamment avec les systmes de management de la qualit, de la scurit des conditions de travail, et de lenvironnement. Le SMSI inclut donc au minimum : Des lments documentaires (politique, description des objectifs, cartographie des processus impacts, des activits de scurit, et des mesures), La description de la mthode danalyse des risques utilise, Les processus impliqus dans la mise en uvre de la scurit de linformation, Les responsabilits relatives la scurit de linformation, Les ressources ncessaires sa mise en uvre, Les activits relatives la scurit de linformation, Les enregistrements issus des activits relatives la scurit de linformation, Les (relevs de) mesures prises sur les processus, Les actions relatives lamlioration de la scurit de linformation.
Lexistence dun SMSI dans lorganisme permet de renforcer la confiance dans le mode de gestion de la scurit de linformation.
25
IV-
La norme ISO/CEI 27001 (Le modle PDCA)
1- Dfinitions (Le modle PDCA)

Les systmes de management fonctionnent selon un modle en quatre temps appel PDCA , pour Plan, Do, Check, Act. 1. Phase Plan : dire ce que lon va faire dans un domaine particulier (qualit, environnement, scurit, etc.). 2. Phase Do : faire ce que lon a dit dans ce domaine. 3. Phase Check : vrifier quil ny a pas dcart entre ce que lon a dit et ce que lon a fait. 4. Phase Act : entreprendre des actions correctives pour rgler tout cart qui aurait t constat prcdemment. Les termes franais pour nommer le modle PDCA pourraient tre Planification , Action , Vrification et Correction .
Le modle PDCA
Ce modle prsente deux proprits principales : il est cyclique et fractal. Caractre cyclique Cest ce cycle Plan, Do, Check, Act qui permet datteindre les objectifs (de scurit, de qualit, denvironnement ou autre) fixs par le management. En revanche, que se passe-t-il une fois que lobjectif a t atteint ? Un nouveau cycle doit tre entrepris. Cest pour cela que lon peut voir une flche (figure en haut) entre la phase Act et la phase Plan. Cette flche grise permet lentreprise non seulement datteindre ses objectifs, mais aussi de sy tenir dans la dure. Un systme de management est donc un processus qui tourne indfiniment. Caractre fractal Quelle que soit lchelle laquelle on observe les systmes de management, on doit retrouver le modle Plan, Do, Check, Act.
26
2- Phase Plan
La phase Plan du PDCA consiste fixer les objectifs du SMSI en suivant quatre grandes tapes, la politique et le primtre du SMSI, lapprciation des risques, le traitement des risques dcid en tenant en compte des risques rsiduels et la slection des mesures de scurit prsentes dans le SoA (Statement of Applicability : est un document sous forme de tableau qui numre les mesures de scurit du SMSI ainsi que celles non appliques). Dans la figure ci-dessous, une vue du droulement de la phase Plan.
Politique Primtre
Apprciation des risques
Traitement des risques
Risques rsiduels
Slection des mesures de scurit

Processus de droulement de la phase Plan
2.1- Politique et primtre du SMSI La premire tape consiste dfinir la politique et le primtre du SMSI. La politique est l pour prciser le niveau de scurit qui sera appliqu au sein du primtre du SMSI. La norme ne fixe pas dexigences sur le primtre, il peut tre restreint ou couvrir lensemble des activits de lorganisme. Lobjectif est dy inclure les activits pour lesquelles les parties prenantes exigent un certain niveau de confiance. 2.2- Apprciation des risques La deuxime tape concerne un des points les plus importants de lISO/CEI 27001, lapprciation des risques. Le problme de lapprciation des risques nest pas nouveau et est trait par de nombreuses mthodes dveloppes dans diffrents secteurs privs, acadmiques et agences gouvernementales. Certaines mthodes sont trs rpandues dans les organismes. En France, les plus connues sont EBIOS et MEHARI, aux Etats- Unis, OCTAVE. LISO/CEI propose aussi une mthode, la norme ISO/CEI 27005. Cette norme ne fait que fixer un cahier des charges spcifiant chacune des tapes clefs de lapprciation des risques.
27
Dans les points suivants nous dtaillons le processus dapprciation des risques avant de donner deux exemples de mthodes parmi les plus connues. 2.2.1- Processus dapprciation des risques Le processus dapprciation des risques se droule en sept tapes, illustres dans figure ci-dessous.
Identification des actifs
Identification des propritaires d'actifs
Identification des vulnrabilits
Identification des menaces
Identification des impactes
Evaluation de la vraisemblance
Estimation des niveaux de risque
Le processus dapprciation des risques
La premire tape consiste dresser une liste de tous les actifs qui ont une importance en matire dinformation au sein du SMSI. On distingue gnralement six catgories dactifs. Matriel, pour tous les quipements rseau et systme. Physique, pour les bureaux, lieux de production, de livraisons. Logiciel, pour les bases de donnes, fichiers, les systmes dexploitation. Humain, pour tous les collaborateurs de lorganisme. Documents, pour les documents papier, manuels dutilisation. Immatriel, pour le savoir-faire de lorganisme.
La deuxime tape vise attribuer pour chaque actif dinformation un propritaire . La norme dfinit le propritaire comme tant la personne qui connat le mieux la valeur et les consquences dune compromission en termes de disponibilit, dintgrit et de confidentialit de lactif.
28
La troisime tape est lidentification des vulnrabilits des actifs recenss. La vulnrabilit est la proprit intrinsque du bien qui lexpose aux menaces. A titre dexemple, un ordinateur portable est vulnrable au vol mais sa vulnrabilit nest pas le vol mais sa portabilit. Dans ce cas lidentification de la vulnrabilit est la portabilit. La quatrime tape est lidentification des menaces qui psent sur les actifs dinformation prcdemment recenss. Si lon reprend lexemple de lordinateur portable, la menace est dans ce cas le vol. La cinquime tape vise valuer limpact dune perte de la confidentialit, de la disponibilit ou de lintgrit sur les actifs. Pour mesurer cet impact on peut par exemple utiliser une matrice des risques, la norme nimpose aucun critre de mesure. La sixime tape demande dvaluer la vraisemblance des prcdentes tapes du processus en plaant dans leur contexte les actifs. Il sagit par exemple de considrer les mesures de scurit dj en vigueur dans lorganisme. Si lordinateur portable possde une clef dauthentification, un cryptage de ses donnes ou un accs VPN pour travailler, alors la vraisemblance dobserver un impact sur la confidentialit, la disponibilit ou lintgrit de ses donnes est limite. La septime tape consiste attribuer une note finale refltant les risques pour chacun des actifs dinformation. La norme nimpose aucune formule, on peut par exemple utiliser un code couleur (rouge pour un niveau de risque trs lev, orange pour moyen et vert pour faible. Dans le point suivant, nous prsentons deux mthodes connues et largement employes par les organismes pour lapprciation des risques de leur SMSI. 2.2.2- Mthodes dapprciation des risques En 2004, une tude du CLUSIF (Club de la Scurit de lInformation Franais) dnombrait plus de deux cents mthodes dapprciation des risques. Nous allons parler des mthodes, EBIOS et MEHARI.
29
A) La Mthode EBIOS
Dveloppe dans les annes 90 sous l'autorit de lagence franaise ANSSI (Agence nationale de la scurit des systmes dinformation), cette mthode est lExpression des Besoins et Identification des Objectifs de Scurit. Elle permet dapprcier, de traiter et communiquer sur les risques au sein dun SMSI. LANSSI et le Club EBIOS proposent en libre accs sur leur site web toute la documentation ainsi quun logiciel libre facilitant lutilisation de la mthode. Lapproche de la mthode est itrative, chaque module peut tre rvis, amlior et tenu jour de manire continue. EBIOS se compose de cinq modules reprsents dans la figure ci-dessous :
Module 1 :
Etude du contexte
Module 2 :
Etude des vnements redouts
Module 3 :
Etude des scnarios de menaces
Module 4 :
Etude des risques
Module 5 :
Etude des mesures de scurit
Les cinq modules de la mthode EBIOS
Module 1 : il concerne ltude du contexte. Il sagit de dtailler lorganisation, les missions, les contraintes et les mtiers pour rendre applicable et cohrent le choix des objectifs de scurit. Le point suivant consiste identifier les fonctions estimes sensibles, la perte, le dysfonctionnement ou la divulgation dinformations qui peuvent avoir des rpercussions sur le bon fonctionnement de lorganisme. Enfin, on rpertorie sous forme de matrice les entits techniques propres au SMSI (matriel, logiciels, rseaux) ainsi que les entits organisationnelles (groupes de collaborateurs) pour tablir les liens entre les lments essentiels et les entits. Module 2 : il concerne ltude des vnements redouts. Cette tape permet de dfinir les besoins de scurit des lments essentiels prcdemment identifis. On quantifie les besoins sur une chelle de 0 4 laide dun questionnaire que lon
30
adresse aux collaborateurs de lorganisme. Les besoins sont slectionns sur des critres de scurit tels que la disponibilit, lintgrit, la confidentialit et la nonrpudiation ainsi que sur des critres dimpacts (interruption de services, dommages matriels). Module 3 : consiste tudier les scnarios de menaces. Estimer, valuer les menaces (incendie, perte dalimentation lectrique, divulgation dinformation etc.) et identifier les objectifs de scurit qu'il faut atteindre pour les traiter. EBIOS fournit une liste de menaces que lon associe aux lments essentiels dfinis dans le module 1. Puis on attribue chaque lment un niveau de vulnrabilit sur une chelle de 0 4. Module 4 : il vise tudier les risques. Cette tape permet de dresser une cartographie des risques. Elle explique aussi comment traiter le risque. Estimer, valuer les risques puis identifier les objectifs de scurit atteindre pour les traiter. Module 5 : il concerne ltude des mesures de scurit. Cette dernire tape explique comment appliquer les mesures de scurit mettre en uvre, comment planifier la mise en uvre de ces mesures et comment valider le traitement des risques rsiduels. En conclusion, la mthode EBIOS par son caractre exhaustif, permet de formaliser tout le SMSI et son environnement. Cette mthode contribue formuler une politique de scurit du systme dinformation. Cest une des mthodes pour mettre en uvre le cadre dfini par l'ISO/CEI 27005. Elle rpond aux exigences de lISO/CEI 27001 et peut exploiter les mesures de scurit de l'ISO/CEI 27002.
31
B) La mthode MEHARI
La mthode MEHARI (Mthode Harmonise dAnalyse de Risques) a t dveloppe dans les annes 1990 par le CLUSIF (Club de la Scurit de l'Information Franais). A lorigine, cette mthode ne traitait que de lanalyse des risques. Elle a volu pour permettre une gestion de la scurit de lorganisme dans un environnement ouvert et gographiquement rparti. MEHARI a t adopte par des milliers dorganismes travers le monde et reste la mthode la plus utilise en France, en particulier dans l'industrie. Lutilisation et la distribution de son logiciel sont libres. En outre, certaines bases de connaissances sont disponibles et une tude illustre la mthode pour faciliter son utilisation. Contrairement la mthode EBIOS, MEHARI repose sur des scnarios de risques qui permettent didentifier les risques potentiels au sein de lorganisme. Elle est dfinie comme une bote outils conue pour la gestion de la scurit. En fonction des besoins, des choix dorientation, de politique de l'organisation ou simplement des circonstances, la mthode veille ce qu'une solution dapprciation des risques approprie puisse tre labore. La mthode est prsente sous la forme d'un ensemble que l'on appelle modules, centrs sur l'valuation des risques et leur gestion.
1- Principe de fonctionnement
La mthode mhari prend avant tout en compte les informations de lentreprise afin de dvelopper un plan afin de mieux dfinir les points protger dans lentreprise. MEHARI permettra l'entreprise de dfinir : - Un plan stratgique de scurit - Un plan oprationnel de scurit par site ou entit - Un plan oprationnel d'entreprise - Le traitement d'une famille de scnarios ou d'un scnario particulier - Le traitement d'un risque spcifique (Accident, Erreur, Malveillance) - Le traitement d'un critre de scurit (Disponibilit, Intgrit, Confidentialit) MEHARI, conjugue la rigueur d'une analyse des risques lis formellement au niveau de vulnrabilit du systme dinformation, l'adaptabilit de la gravit des risques tudis. En effet, la prsence ou l'absence de mesures de scurit va rduire ou non, soit la potentialit de survenance d'un sinistre, soit son impact. L'interaction de ces types de mesures concoure rduire la gravit du risque jusqu'au niveau choisi.
32
Enjeux critiques + Vulnrabilits fortes = Risques inacceptables
Cette expression trs simple signifie que le management de la scurit a pour objectif fondamental d'viter de se trouver dans une situation telle que des vulnrabilits fortes pourraient tre exploites et conduire des sinistres trs critiques pour l'entreprise ou l'organisation qui en est victime. Les phases de MEHARI sont les suivantes : + Phase 1 : tablissement d'un plan stratgique de scurit (global) qui fournit notamment : - la dfinition des mtriques des risques et la fixation des objectifs de scurit, - la reconnaissance et la dtermination des valeurs de l'entreprise, - l'tablissement d'une politique de scurit entreprise, l'tablissement d'une charte de management. + Phase 2 : tablissement de plans oprationnels de scurit raliss par les diffrentes units de l'entreprise + Phase 3 : consolidation des plans oprationnels (Plan global). Nous allons dtailler ces diffrentes tapes dans la suite de notre rapport, en tudier les modalits et les moyens mettre en uvre.
2- Mise en place de la mthode

MEHARI se prsente comme un ensemble cohrent doutils et de mthodes de management de la scurit, fonds sur lanalyse des risques. Les deux aspects fondamentaux de MEHARI sont le modle de risque (qualitatif et quantitatif) et les modles de management de la scurit bass sur lanalyse de risque. MEHARI vise donner des outils et des mthodes pour slectionner les mesures de scurit les plus pertinentes pour une entreprise donne.
33
Les diffrentes phases ont pour objectif dtablir le contexte dentreprise, didentifier les actifs et les menaces, danalyser les risques et enfin de dfinir les mesures de scurit (traitement du risque). a- Plan stratgique Cest le plan qui examinera lentreprise sur un aspect gnral. Les aspects qui seront pris en compte lors de cette analyse, sont : la classification des ressources de lentreprise, lensemble des risques existants, et ses objectifs en terme de scurit. Premire tape : mettre en avant les risques possibles : Lors de laudit nous allons donc rpertorier les risques pouvant pnaliser lactivit de lentreprise. Ensuite pour chacun des risques dtects on dfinit : + Son potentiel : C'est--dire la capacit de destruction. Cest pour cela que lon mettra en place des tests ou plus prcisment des scnarios qui permettent de se mettre en situation et dvaluer ce potentiel. + Son impact : En clair, une fois la catastrophe arrive concrtement quel seront les dgts rels. + Sa gravit : Dterminer si vraiment les dgts son handicapants pour lentreprise et son fonctionnement. Deuxime tape : limite dacceptabilit De part ces caractristiques nous allons ensuite mettre en place une chelle pour le degr dacceptabilit non seulement sur le plan de la gravit mais aussi du temps. Combien de temps lentreprise pourra tre dans cette handicape sans que cela devienne dangereux pour sa survie. Troisime tape : les ressources de lentreprise Lors de cette tape nous dfinirons en fait les valeurs de lentreprise, quels services gnrent le plus de chiffre daffaire, ou sont vital pour le fonctionnement de la socit. Quatrime tape : solution et indicateurs Cest ltape finale, cest lors de celle-ci que lon mettra en place dans un premier temps les indicateurs afin de prvenir au maximum larrive dune catastrophe. que lon regroupera toutes les informations que lon a pu rcuprer et quon les analysera
34
de faon globale afin de pouvoir mettre en uvre des solutions : rgles de scurit et de responsabilit. Les solutions sappliquent sur plusieurs niveaux : Ce dcoupage permet un regroupement des mesures en six grandes familles : - Les mesures structurelles qui jouent sur la structure mme du systme d'information, pour viter certaines agressions ou en limiter la gravit. - Les mesures dissuasives qui permettent, dans le cas d'agresseurs humains, d'viter qu'ils mettent excution la menace potentielle en dclenchant l'agression. - Les mesures prventives : celles qui permettent d'empcher les dtriorations ou d'viter qu'une agression n'atteigne des ressources du systme d'information. - Les mesures de protection qui, sans empcher les dtriorations, permettent tout au moins d'en limiter l'ampleur. - Les mesures palliatives qui agissent une fois les dtriorations accomplies, et qui permettent, d'une part d'en limiter les consquences au niveau de l'entreprise, d'autre part de restaurer les ressources dtriores pour retrouver l'tat initial. - Les mesures de rcupration qui visent rcuprer une partie du prjudice subi par transfert des pertes sur des tiers, par le biais des assurances ou de dommages et intrts conscutifs des actions en justice, dans le cas d'agresseurs humains. b) Plan oprationnel de scurit - Spcifier le domaine et les outils : laboration des scnarios. Primtre et niveau de dtail Elaboration des scnarios Validation de la classification - Auditer le niveau de scurit : audit des services Audit des services et sous services Consolidation au niveau cellules - Evaluer la gravit des scnarios : Potentialit/ Impact/ Gravit Dtermination Potentialit/Impact/gravit - Exprimer les besoins de scurit : mesures gnrales et spcifiques - Planifier les actions de scurit : mesures prioritaires Mesures spcifiques et prioritaires Autres mesures hirarchises c) Plan oprationnel dentreprise Dans cette tape il sagit fondamentalement de mettre en place des scnarii sur les impacts et les consquences que peuvent avoir ces sinistres sur le bon fonctionnement de lentreprise. Cette partie conclue la boucle de lapplication de la mthode Mhari par la mise en place dun outil permettant le suivi des oprations effectuer afin damliorer la scurit de la socit.
35
Pour que cette stratgie soit couronne de succs il est ncessaire de sassurer que : Elle est connue et comprise par la Direction et le personnel de lentreprise Elle est pilote et sa mise en uvre est assure et mesure Elle reste pertinente dans le temps Elle se dcline en objectifs stratgiques relis des objectifs tactiques (ensemble des initiatives, projets, processus et organisation) qui forment un tout cohrent et contribuent pleinement latteinte de la couverture des risques Elle est finance et que les budgets sont affects avec lassurance de leur meilleure contribution au succs de cette stratgie
Bnfices : Les objectifs poursuivis par la stratgie scurit sont conformes ceux de l'entreprise Impact sur l'image vhicule par la SSI Pilotage et mesure dans la dure de la stratgie scurit sur l'ensemble de ses aspects, en privilgiant le caractre stratge du RSSI (Responsable de la Scurit de Systme dinformations) Intgration des aspects stratgiques et oprationnels
d) La dmarche MEHARI
Indicateurs Tableau de bord
Plan oprationnel dentreprise
Plan stratgique de scurit
Scnario Plan daction
Objectifs Mtriques
Plan oprationnel de scurit
La dmarche MEHARI
36
2.3- Traitement des risques La troisime tape concerne le choix du traitement des risques. LISO/CEI 27001 a identifi quatre traitements possibles du risque, lacceptation, lvitement, le transfert et la rduction. Accepter le risque revient ne dployer aucune mesure de scurit autre que celles dj en place. Cette dcision peut tre justifie si le vol de donnes dans un cas prcis na pas dimpact sur lorganisme. Eviter le risque consiste supprimer par exemple lactivit ou le matriel offrant un risque. Transfrer un risque par souscription dune assurance ou par soustraitance. Ces moyens de transfert du risque sont souvent employs quand Lorganisme ne peut ou ne souhaite pas mettre en place les mesures de scurit qui permettraient de le rduire. Rduire le risque consiste prendre des mesures techniques et organisationnelles pour ramener un niveau acceptable le risque. Cest le traitement le plus courant.
Il existe dautres traitements du risque possibles mais pour tre en conformit avec la norme, il faut en priorit considrer ceux que nous venons de citer. Aprs avoir slectionn le traitement et mis en place les mesures de scurit, un risque peut persister. Il convient de traiter ce risque comme les autres c'est--dire, laccepter, lviter, le transfrer ou le rduire. 2.4- Slection des mesures de scurit Ltape 4 est la dernire tape de la phase Plan du PDCA, elle consiste slectionner les mesures de scurit. La norme ISO/CEI 27001 propose dans son annexe A, 133 mesures de scurit rparties sur onze chapitres. A ce stade, le travail consiste dresser un tableau SoA dans lequel figurent les 133 mesures quil faut dclarer applicables ou non applicables, pour rduire les risques du SMSI. Notons que les 133 mesures proposes par lISO/CEI 27001 rpertorient presque tout ce qui peut tre entrepris en matire de scurit de linformation cependant, cette liste ne comporte pas dexemples ni dexplications sur le dploiement des mesures entreprendre. LISO/CEI 27002 rpond en partie ce besoin en fournissant une srie de prconisations et dexemples techniques et organisationnels qui couvrent la liste de lISO/CEI 27001. Une fois choisie la politique et le primtre du SMSI, apprcis et traits les risques, et slectionnes les 133 mesures de scurit dans le tableau SoA, il faut mettre en uvre les objectifs fixs de la phase Plan du PDCA. Il sagit de la phase Do du PDCA.
37
3- Phase Do
Cette phase consiste dcrire la mise en uvre des mesures de scurit slectionnes dans le SoA travers quatre tapes. 3.1- Plan de traitement Il faut premirement grer linterdpendance des actions entreprendre. Certaines mesures sont partiellement ou dj en place, dautres doivent tre intgralement dployes ou ncessitent la mise en uvre dune autre action avant de pouvoir tre lances. Ce travail revient tablir un plan de traitement qui peut tre assimil de la gestion de projet. Une fois ce travail effectu, il faut dployer les mesures de scurit en suivant le plan de traitement. Par la suite, le responsable de projet doit dfinir des mesures defficacit pour contrler le bon fonctionnement du SMSI. 3.2- Choix des indicateurs Ce point consiste mettre en place des indicateurs de performance pour vrifier lefficacit des mesures de scurit ainsi que des indicateurs de conformit pour contrler la conformit du SMSI. Trouver de bons indicateurs nest pas une tche facile. La norme ne prconise pas dindicateurs prcis utiliser mais lISO/CEI 27004 propose une dmarche qui peut aider les slectionner. Ltape suivante concerne la sensibilisation des collaborateurs aux principes de la scurit de linformation. 3.3- Formation et sensibilisation des collaborateurs Nous avons vu que les mesures de scurit couvrent de nombreux domaines allant de la scurit organisationnelle la scurit physique, en passant par la scurit des systmes rseaux etc. Les collaborateurs doivent matriser les outils de scurit dploys dans les domaines trs varis. Une formation du personnel peut savrer ncessaire. La sensibilisation la scurit du systme dinformation concerne tous les collaborateurs. Elle peut dbuter par un rappel des engagements de leur entreprise en matire de scurit et se poursuivre par une liste de conseils tels que le respect de certaines rgles de scurit pour les mots de passe et lenvironnement de travail. 3.4- Maintenance du SMSI La maintenance consiste garantir le bon fonctionnement de chacun des processus du SMSI et vrifier que leur documentation est jour. Cela permet lauditeur
38
externe de contrler la gestion du SMSI. Il est noter que tous les systmes de management ISO sont concerns par la maintenance. A ce stade de lavancement du SMSI, les mesures identifies du SoA fonctionnent, les indicateurs sont implments et les collaborateurs de lorganisme forms et sensibiliss la scurit du SMSI, nous pouvons poursuivre avec la phase Check du PDCA.
39
4- Phase Check
La phase Check du PDCA concerne les moyens de contrle mettre en place pour assurer lefficacit du SMSI et sa conformit au cahier des charges de la norme ISO/CEI 27001. Pour rpondre ces deux exigences de la norme, les organismes emploient le contrle et les audits internes ainsi que les revues de direction. 4.1- Les audits internes Laudit interne peut sorganiser avec le personnel de lorganisme ou tre sous-trait un cabinet conseil. Si laudit est confi un collaborateur, il ne faut pas que ce dernier puisse auditer un processus dans lequel il est impliqu au niveau de sa mise en uvre ou de son exploitation. Laudit a pour but de contrler la conformit et lefficacit du SMSI en recherchant les carts entre la documentation du systme (enregistrement, procdures, etc.) et les activits de lorganisme. La norme exige que la mthode utilise pour laudit soit documente dans une procdure et que les rapports soient enregistrs pour tre utiliss lors des revues de direction. 4.2- Les contrles internes Lobjectif du contrle interne est de sassurer au quotidien que les collaborateurs appliquent correctement leurs procdures. Contrairement laudit interne qui est planifi longtemps lavance, les contrles internes sont inopins. 4.3- Revues de direction La revue est une runion annuelle qui permet aux dirigeants de lorganisme danalyser les vnements qui se sont drouls sur lanne en cours. Les points passs en revue sont gnralement : les rsultats des audits, le retour des parties prenantes, ltat des lieux sur les actions prventives et correctives, les menaces mal apprhendes lors de lapprciation des risques, linterprtation des indicateurs et les changements survenus dans lorganisme.
A partir de ces informations la direction peut fixer de nouveaux objectifs et allouer de nouvelles ressources (financires, humaines et matrielles). Les contrles de la phase Check peuvent faire apparatre des dysfonctionnements du SMSI. Cela peut tre un cart entre les exigences de la norme et le systme de management ou des mesures de scurit inefficaces. Cest dans la phase Act du PDCA que lon rduit les dysfonctionnements par des actions correctives, prventives ou damliorations.
40
5- Phase Act
5.1- Actions correctives On intervient de manire corrective lorsquun dysfonctionnement ou un cart est constat. On agit premirement sur les effets pour corriger cet cart ou dysfonctionnement, puis sur les causes pour viter quils ne se rptent. 5.2- Actions prventives On emploie les actions prventives quand une situation risque est dtecte. On agit sur les causes avant que lcart ou le dysfonctionnement ne se produisent. 5.3- Actions damliorations Les actions damliorations ont pour objectif lamlioration de la performance du SMSI. Les rsultats des diffrentes actions doivent tre enregistrs et communiqus aux parties prenantes. Ces actions contribuent rendre plus efficace et performant le SMSI.
41
Conclusion
Une dmarche daudit de la scurit des systmes dinformation doit tre le fruit dune rflexion en amont afin denvisager les meilleurs solutions possibles. Prenant en compte les besoins particuliers de lorganisation, tant organisationnelles que techniques. De nos jours la scurit des systmes dinformation, ce nest pas seulement le fait davoir une bonne gestion des risques, mais elle stend de plus en plus une gouvernance de la scurit des systme dinformation.
42
Rfrences
Bibliographie
Management de la scurit de linformation [Mise en place dun SMSI et audit de certification - Implmentation ISO 27001 et ISO 27002] de Alexandre Fernandez Toro
Webographie
CLUSIF, Prsentation de MEHARI. Sur : http://www.clusif.asso.fr Information security management systems (ISMS - ISO). Sur : http://www.iso.org YSOSECURE est un cabinet de conseil indpendant. Sur : http://www.ysosecure.com Mthode de gestion des risques. Sur: http://www.ssi.gouv.fr
43
Acronymes
AESC: American Engineering Standards Committee AFNOR : Association Franaise de Normalisation ANSSI : Agence Nationale de la Scurit des Systmes dInformation ASA: American Standards Association BSI: British Standards Institute CEI : Commission Electronique Internationale CEN : Comit Europen de Normalisation CFISE : Catalogue des Fonctions des Informations de Scurit dEtat CLUSIF : Club de la Scurit de lInformation Franais CSD : Conseil Suprieur de Dfense EBIOS : Etude des Besoins et Identification des Objectifs de Scurit ENISA: European Network and Information Security Agency ISO : Organisation Internationale de Normalisation JTC : Joint Technical Committee MARION : Mthode dAnalyse de Risques Informatiques Optimise par Niveau MEHARI : Mthode Harmonise dAnalyse des Risques MELISA : Mthode dEvaluation de la Vulnrabilit Rsiduelle des Systmes dArmement OCTAVE: Operationally Critical Threat, Asset, and Vulnerability Evaluation PDCA : Plan, Do, Check, Act PME : Petites et Moyennes Entreprises SAS : Statistical Analysis System SMI : Systme de Management de lInformation SMSI : Systme de Management de la Scurit de lInformation SoA : Statement of Applicability TI : Technologies de lInformation TIC : Technologies de lInformation et de la Communication
44

Audit Sécurité Des Systèmes D'information

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Audit Sécurité Des Systèmes D'information

Încărcat de

Drepturi de autor:

Formate disponibile

Universit Mohammed V Agdal Facult des Sciences Rabat

Administration de Systmes Informatiques PROJET OFFSHORING MAROC 2010

Mmoire de Projet de Fin dEtudes

[Audit Scurit des Systmes dInformation]

Pr. El Mamoun SOUIDI

Promotion 2011 - 2012

[Audit Scurit des Systmes dInformation]

LICENCE PROFESSIONNELLE - ADMINISTRATION DE SYSTMES INFORMATIQUES

[Audit Scurit des Systmes dInformation]

LICENCE PROFESSIONNELLE - ADMINISTRATION DE SYSTMES INFORMATIQUES

[Audit Scurit des Systmes dInformation]

CHAPITRE 2 : MISSION DAUDIT SECURITE DES SYSTEMES DINFORMATION .............................................9

CHAPITRE 3 : METHODES ET NORMES DAUDIT SECURITE DES SYSTEMES DINFORMATION ........................ 15

LICENCE PROFESSIONNELLE - ADMINISTRATION DE SYSTMES INFORMATIQUES

[Audit Scurit des Systmes dInformation]

LICENCE PROFESSIONNELLE - ADMINISTRATION DE SYSTMES INFORMATIQUES

[Audit Scurit des Systmes dInformation]

LICENCE PROFESSIONNELLE - ADMINISTRATION DE SYSTMES INFORMATIQUES

[Audit Scurit des Systmes dInformation]

I- Quest-ce quun Systmes dInformation ?

2- Quest-ce quun Systme dInformation ?

3- En quoi consiste un Systme dinformation ?

LICENCE PROFESSIONNELLE - ADMINISTRATION DE SYSTMES INFORMATIQUES

[Audit Scurit des Systmes dInformation]

II- La Scurit de lInformation

LICENCE PROFESSIONNELLE - ADMINISTRATION DE SYSTMES INFORMATIQUES

[Audit Scurit des Systmes dInformation]

3- Quest-ce quune politique de scurit de linformation ?

LICENCE PROFESSIONNELLE - ADMINISTRATION DE SYSTMES INFORMATIQUES

[Audit Scurit des Systmes dInformation]

Chapitre 2 : Mission daudit scurit des systmes dinformation

I- Audit scurit des systmes dinformation

2- Rles et objectifs de laudit

LICENCE PROFESSIONNELLE - ADMINISTRATION DE SYSTMES INFORMATIQUES

[Audit Scurit des Systmes dInformation]

3- Cycle de vie dun audit scurit des systmes dinformation

Le cycle de vie daudit de scurit

LICENCE PROFESSIONNELLE - ADMINISTRATION DE SYSTMES INFORMATIQUES

[Audit Scurit des Systmes dInformation]

II- Dmarche de ralisation d'un audit Scurit de Systme dInformation

1- Dfinition de la charte d'audit

LICENCE PROFESSIONNELLE - ADMINISTRATION DE SYSTMES INFORMATIQUES

[Audit Scurit des Systmes dInformation]

3- Audit organisationnel et physique

LICENCE PROFESSIONNELLE - ADMINISTRATION DE SYSTMES INFORMATIQUES

[Audit Scurit des Systmes dInformation]

5- Test dintrusions (Audit intrusif)

LICENCE PROFESSIONNELLE - ADMINISTRATION DE SYSTMES INFORMATIQUES

[Audit Scurit des Systmes dInformation]

LICENCE PROFESSIONNELLE - ADMINISTRATION DE SYSTMES INFORMATIQUES

[Audit Scurit des Systmes dInformation]

Chapitre 3 : Mthodes et Normes daudit scurit des systmes dinformation I- Dfinitions

1- LISO (Organisation Internationale de Normalisation)

[Audit Scurit des Systmes dInformation]

4- Historique des normes en matire de scurit de linformation

LICENCE PROFESSIONNELLE - ADMINISTRATION DE SYSTMES INFORMATIQUES

[Audit Scurit des Systmes dInformation]

Historique des normes en matire de scurit de linformation

LICENCE PROFESSIONNELLE - ADMINISTRATION DE SYSTMES INFORMATIQUES

[Audit Scurit des Systmes dInformation]

II- La suite des normes ISO 2700x

ISO/IEC 27000 : Systmes de management de la scurit de l'information Vue d'ensemble et vocabulaire

LICENCE PROFESSIONNELLE - ADMINISTRATION DE SYSTMES INFORMATIQUES