Management De: Sécurité
Management De: Sécurité
Management De: Sécurité
Management de la
sécurité
de l’information
Implémentation ISO 27001 et ISO 27002
Préface
J’observe et je m’implique dans la sécurité des systèmes d’information (SSI)
depuis plus de 20 ans, et notamment, depuis 1989, à la tête de ma société de
conseil en sécurité HSC. La norme ISO 27001 est la révolution qui manquait à ce
secteur souffrant cruellement d’une opacité entre les mondes de la direction et
celui de la technique. Pendant 15 ans, j’ai accompagné mes clients dans leur
démarche souvent fastidieuse pour justifier des investissements pourtant indis-
pensables à la protection du patrimoine informationnel de leur organisation.
L’ISO 27001 est à mes yeux le ciment qu’il manquait pour sortir la SSI de sa
bulle.
Cette norme est une bouffée d’oxygène dans un environnement de plus en plus
sous pression : systèmes d’information à croissance et interconnexion exponen-
tielle, sentiment d’insécurité générale due à un contexte géopolitique difficile,
mondialisation des échanges et concurrence féroce, pression réglementaire –
SoX, Bâle II, Cour des comptes, etc.
La série des normes ISO 27001 est là pour répondre et anticiper ces besoins
pour la sécurité de l’information dans un cadre global.
L’ISO 27001 applique à la sécurité des systèmes d’information les principes de la
qualité. Cela permet de gérer la sécurité dans le temps, ce qui a tant manqué
jusqu’à présent dans les entreprises, et de s’intégrer dans un tout performant et
concurrentiel.
La mise en œuvre de l’ISO 27001 est celle d’un processus : le système de mana-
gement de la sécurité de l’information (SMSI). Cela n’est pas difficile ; cepen-
dant, tout métier a besoin de temps pour s’approprier une telle évolution. Ce
livre pratique est là pour que chacun puisse dès à présent maîtriser, mettre en
œuvre concrètement et auditer son SMSI, et ainsi progresser en même temps
que son employeur.
Il est rédigé par le francophone incontestablement le plus expérimenté dans le
domaine. Alliant à sa compétence d’informaticien des qualités pédagogiques
qui lui sont reconnues par les stagiaires qui l’ont suivi, Alexandre Fernandez-
Toro possède le don de conter les histoires, d’illustrer notre formation de réfé-
rences culturelles et ainsi permettre à ses étudiants d’appréhender facilement les
concepts les plus pointus.
VII
LivreFernandez.book Page VIII Lundi, 30. janvier 2012 1:06 13
VIII
LivreFernandez.book Page IX Lundi, 30. janvier 2012 1:06 13
IX
LivreFernandez.book Page X Lundi, 30. janvier 2012 1:06 13
X
LivreFernandez.book Page XI Lundi, 30. janvier 2012 1:06 13
XI
LivreFernandez.book Page XII Lundi, 30. janvier 2012 1:06 13
XII
LivreFernandez.book Page XIII Lundi, 30. janvier 2012 1:06 13
XIII
LivreFernandez.book Page XIV Lundi, 30. janvier 2012 1:06 13
XIV
LivreFernandez.book Page XV Lundi, 30. janvier 2012 1:06 13
XV
LivreFernandez.book Page XVI Lundi, 30. janvier 2012 1:06 13
XVI
LivreFernandez.book Page XVII Lundi, 30. janvier 2012 1:06 13
XVII
LivreFernandez.book Page XVIII Lundi, 30. janvier 2012 1:06 13
XVIII
LivreFernandez.book Page XIX Lundi, 30. janvier 2012 1:06 13
XIX
LivreFernandez.book Page 1 Lundi, 30. janvier 2012 1:06 13
Avant-propos
À l’heure où l’ensemble de l’activité économique migre vers le tout numérique,
la sécurité des systèmes d’information est devenue un enjeu crucial. Les solu-
tions techniques et organisationnelles existent pour assurer la sécurité, mais
elles sont trop souvent déployées indépendamment les unes des autres, sans
aucune cohérence d’ensemble. Cela conduit à une sécurité partielle et désor-
ganisée.
La norme ISO 27001 est précisément l’outil qui manquait pour sécuriser le sys-
tème d’information de façon cohérente. Malheureusement, beaucoup d’acteurs
pensent encore que pour implémenter la norme, il suffit de rédiger « de la pro-
cédure » et de procéder à une simple analyse des risques… ce qui est tout à fait
réducteur.
Structure de l’ouvrage
1
LivreFernandez.book Page 2 Lundi, 30. janvier 2012 1:06 13
expliqué comment implémenter un SMSI. Cet ouvrage finit, dans une quatrième
partie, par détailler le processus de certification et fournit une aide à la préparation
de l’audit.
Depuis la première édition de cet ouvrage, la percée de l’ISO 27001 s’est confir-
mée en entreprise, même si les certifications ne progressent que doucement.
La parution de nombreuses normes dans la famille 27000 est un événement
majeur dans la gestion des risques en sécurité de l’information. Ce sont, en fait,
tous les aspects les plus importants de la sécurité des systèmes d’information
qui sont maintenant normalisés par l’ISO.
Enfin, le nombre de SMSI installés (qu’ils soient certifiés ou pas) nous donne
aujourd’hui suffisamment de recul pour savoir quelle est la valeur réelle de la
certification.
Cette nouvelle édition ne pouvait ignorer ces trois points.
Remerciements
Je tiens à remercier Pierre Manier, mon vieux maître, et Gérard Florin, mon pro-
fesseur au CNAM. Je remercie également Caline Villacres pour sa lecture attentive
de mon livre et la pertinence de ses remarques. Je remercie enfin Hervé Schauer,
référence incontestée de la sécurité des systèmes d’information, sans qui je
n’aurais jamais pu écrire ce livre. Par sa personnalité visionnaire et percutante, il
œuvre depuis près de vingt ans à rendre à la sécurité de l’information ses lettres
de noblesse dans les entreprises de notre pays.
2
LivreFernandez.book Page 5 Lundi, 30. janvier 2012 1:06 13
Chapitre 1
Les systèmes
de management
5
LivreFernandez.book Page 6 Lundi, 30. janvier 2012 1:06 13
Mesures
techniques
Mesures
organisationnelles
Référentiel Domaine
6
LivreFernandez.book Page 7 Lundi, 30. janvier 2012 1:06 13
Nous constatons que la majorité de ces référentiels sont normalisés par l’ISO
(Organisation internationale de normalisation). Cependant, d’autres organis-
mes privés ou nationaux peuvent proposer leurs propres référentiels. La der-
nière ligne de cette liste montre, en effet, que l’ISO n’a pas le monopole des
systèmes de management, puisque la norme relative à la sécurité du personnel
au travail (OHSAS 18001) n’est pas spécifiée par l’ISO.
7
LivreFernandez.book Page 8 Lundi, 30. janvier 2012 1:06 13
Importance de l’écrit
On ne peut pas concevoir un système de management sans passer par l’écrit.
La formalisation des politiques et des procédures de l’entreprise est indispen-
sable. Or, la transmission de la connaissance dans l’entreprise se fait encore très
souvent par tradition orale (les anciens employés expliquant aux nouveaux les
procédures en situation, par l’exemple). Les systèmes de management imposent
de passer à la tradition écrite.
Tradition écrite
Les industriels en général, et le secteur aéronautique en particulier, ont la culture de la
tradition écrite depuis longtemps. Les procédures sont écrites et les décisions sont prises
lors de commissions, donnant lieu à des comptes rendus. J’ai même vu une entreprise
réunir une commission pour décider du changement de place ou non d’une simple prise de
courant. Il faut dire que la sensibilité de son activité le justifiait amplement.
Tradition orale
Les sociétés du secteur tertiaire, et notamment les start-up d’Internet, ont la réputation
de moins formaliser leurs procédures. La transmission de la connaissance se fait le plus
souvent par tradition orale.
8
LivreFernandez.book Page 9 Lundi, 30. janvier 2012 1:06 13
Auditabilité
Dans la mesure où l’entreprise qui a mis en place un système de management
formalise ses procédures par écrit et consigne les principales décisions dans des
comptes rendus, il devient possible à une personne extérieure (un auditeur, par
exemple) de venir vérifier que ce qui est pratiqué correspond effectivement à ce
qui a été spécifié par écrit.
La conséquence de cette propriété est que l’audit est indissociable des systèmes
de management. On ne peut pas considérer l’un sans l’autre. Par conséquent,
un système de management implique systématiquement la mise en place d’un
processus d’audit.
Les propriétés que nous venons de décrire donnent de bonnes raisons de pen-
ser que la mise en place et l’exploitation d’un système de management n’est pas
un projet facile à mener. Il faut commencer par fixer des politiques, formaliser les
procédures par écrit et mener à bien des audits réguliers. Ces opérations sont
loin d’être transparentes. Souvent lourdes à implémenter, leur coût humain et
financier n’est pas négligeable. Dans ces conditions, il est légitime de se deman-
der ce qui justifie un tel investissement. Quels bénéfices concrets pouvons-nous
en espérer ?
Exemple
Un système de management en sécurité de l’information permettra d’adopter des mesu-
res de sécurité appropriées aux besoins de l’entreprise, en posant les bonnes questions.
Quels sont les éléments les plus sensibles de l’entreprise ? Où déployer en priorité les
mesures de sécurité ? Comment cloisonner les réseaux ? Comment détecter les inci-
dents ? Comment réagir rapidement aux intrusions ? Comment améliorer les processus ?
Et ainsi de suite…
9
LivreFernandez.book Page 10 Lundi, 30. janvier 2012 1:06 13
10
LivreFernandez.book Page 11 Lundi, 30. janvier 2012 1:06 13
En fait, nous oublions trop souvent que la confiance est le vecteur qui permet
toute relation entre un client et un fournisseur. Autant dire qu’il n’y aurait
aucune activité économique sans la confiance.
Le modèle PDCA
11
LivreFernandez.book Page 12 Lundi, 30. janvier 2012 1:06 13
Plan
Do Act
Check
12
LivreFernandez.book Page 13 Lundi, 30. janvier 2012 1:06 13
identifiées précédemment. C’est la phase Do. L’audit interne permettra de vérifier que ce
qui est mis en place est conforme aux politiques et aux procédures. C’est la phase Check.
Enfin, des actions corrigeront ces écarts. C’est la phase Act.
Sécurité de l’information
13
LivreFernandez.book Page 14 Lundi, 30. janvier 2012 1:06 13
Pour lever cette équivoque entre sécurité et sûreté, nous choisirons le mot sécurité
pour désigner tout ce qui peut avoir des conséquences (positives ou négatives) en
matière de confidentialité, de disponibilité ou d’intégrité de l’information.
Nous avons vu précédemment que la norme traitant des SMSI est l’ISO 27001.
Cette dernière insiste sur les notions de confidentialité, d’intégrité et de disponibilité.
Ces termes sont formellement définis dans la norme ISO 13335-1 :
• Confidentialité : l’information ne doit pas être divulguée à toute personne,
entité ou processus non autorisé. En clair, cela signifie que l’information n’est
consultable que par ceux qui ont le droit d’y accéder (on dit aussi « besoin
d’en connaître »).
• Intégrité : le caractère correct et complet des actifs doit être préservé. En
clair, cela signifie que l’information ne peut être modifiée que par ceux qui en
ont le droit.
• Disponibilité : l’information doit être rendue accessible et utilisable sur
demande par une entité autorisée. Cela veut dire que l’information doit être
disponible dans des conditions convenues à l’avance (soit 24h/24, soit aux
heures ouvrables, etc.).
Le principal objectif d’un SMSI est de faire en sorte de préserver ces trois proprié-
tés (confidentialité, intégrité et disponibilité) pour les informations les plus
sensibles de l’entreprise.
Exemple
Le SMSI d’une agence de voyages sur Internet pourra avoir pour missions principales :
– La disponibilité : en permettant à ses clients d’acheter un voyage à n’importe quelle
heure du jour ou de la nuit.
– L’intégrité : en fournissant aux clients une information exacte sur les vols et débiter
exactement le prix convenu, ni plus, ni moins.
– La confidentialité : en protégeant les données personnelles de ses clients (compte
bancaire, historique des achats, etc.) contre tout accès illicite.
Les trois notions présentées ci-dessus ne sont pas les seules. On parle aussi de
traçabilité, d’authentification, d’imputabilité, de non-répudiation, et de bien d’autres
mécanismes de sécurité. Le fait que ces principes ne soient pas au centre du
SMSI ne signifie pas qu’ils ne soient pas importants. Ils seront déployés en fonction
des besoins de sécurité de l’entreprise.
Exemple
Pour parvenir à ses objectifs de disponibilité, d’intégrité et de confidentialité, l’agence de
voyages déploiera des mécanismes d’authentification par mot de passe utilisateur et
certificat serveur, chiffrement des flux, signature, scellement, etc.
14
LivreFernandez.book Page 15 Lundi, 30. janvier 2012 1:06 13
15
LivreFernandez.book Page 16 Lundi, 30. janvier 2012 1:06 13
En effet, si sa dénomination officielle est bien BS 7799, il arrivera que nous écrivions
BS 7799-1, pour bien faire la différence avec la deuxième partie de cette norme :
BS 7799-2.
Ce qu’il faut retenir de cet historique est le fait qu’aujourd’hui, nous disposons
de deux normes :
• l’ISO 27001, qui spécifie des exigences pour les SMSI ;
• l’ISO 27002, qui recueille les bonnes pratiques en matière de sécurité de
l’information, mais qui ne traite pas des SMSI.
Ces deux normes sont présentées en détail dans les deux chapitres suivants.
16
LivreFernandez.book Page 43 Lundi, 30. janvier 2012 1:06 13
L’action d’amélioration consiste à faire en sorte que ce soit le service du personnel, seul,
qui reçoive l’extrait de casier judiciaire, fournisse le badge à l’employé et fasse le néces-
saire pour lui ouvrir un compte sur le réseau. Cela n’augmente pas forcément la confor-
mité du SMSI ou la sécurité du système d’information, mais cela contribue à simplifier le
processus.
L’implémenteur doit vérifier que les actions correctives, préventives ou d’amé-
lioration, une fois appliquées, ont bien permis d’atteindre les objectifs fixés.
Il informera ensuite toutes les parties concernées du résultat obtenu.
Nous voyons à quel point ces trois types d’actions sont essentielles dans le sys-
tème de management. Ensemble, elles contribuent effectivement à rendre le
SMSI plus fiable et plus efficace dans la durée. Cela renforce indirectement la
sécurité du système d’information et, par transitivité, la confiance des parties
prenantes.
43
LivreFernandez.book Page XX Lundi, 30. janvier 2012 1:06 13
Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .315
XX