Assises de la sécurité : livre blanc CyberNetworks sur l’ISO 27001 -

Article
Publication : 23 / 10 / 2006
2404 Consultations
Si aujourd’hui seules 3 entreprises bénéficient d’une certification ISO 27.001, la tendance de fond qui pousse les entreprises dans le monde à aller vers cette norme devrait finir par boulverser le paysage de la sécurité en France.

Non sans un certain humour, Mauro Israël nous a présenté aux Assises de la sécurité les grandes lignes et les enjeux de cette norme.

Nous reproduisons ici le livre blanc diffusé par Cybernetworks à cette occasion.

WHITE PAPER ISO 27001
Par Mauro ISRAEL - RSSI de CYBER NETWORKS groupe NET2S Septembre 2006

Depuis de nombreuses années, les entreprises et les administrations recherchent un référentiel de sécurité des systèmes d’information leur permettant d’évaluer leurs risques, afin de prendre les mesures adéquates pour renforcer leurs défenses vis-à-vis des menaces de plus en plus nombreuses et variées, liées à Internet, aux courriels et à l’utilisation des nouvelles technologies de l’information.

Petit historique des normes en sécurité de l’information

L’ISO s’est intéressée de près à certains aspects de la sécurité de l’information, en particulier en publiant l’ISO 13335, ou matrice d’évaluation des risques : L’analyse consiste à évaluer l’impact métier pour 4 critères : « DICP » : Disponibilité - Intégrité - Confidentialité - Preuve À travers ces critères on évalue 3 impacts, en commençant par le plus important : Financier - Juridique - Image de marque. Cette norme à servi de trame à de nombreuses méthodes d’évaluation des risques, jusque aujourd’hui, mais ne couvre pas l’ensemble des besoins, en particulier, elle ne dit pas quoi faire, et comment mettre en place un système pour améliorer la sécurité.

X/ISO 15408 ou « critères communs »

En complément de l’analyse de risques, il devenait important de pouvoir vérifier la sécurité de certains composants comme les firewalls ou les routeurs. Un certain nombre de « critères communs » ont vu le jour, vérifiés par un laboratoire indépendant. Cette norme -dénommée ensuite ISO15408- consiste à évaluer des produits en laboratoire, et leur donner une note de EAL1 à EAL 5 ou plus, par exemple « EAL4+ ». Bien que très utile pour vérifier le niveau de sécurité d’un produit comme un firewall, ou une carte à puce, cette norme ne préjuge en rien de la sécurité globale d’une entreprise.

BS7799-ISO 17799 ou « la certification Anglo-Asiatique »

Issue des travaux du British Standard, cette norme propose depuis le début des années 2000 une vision exhaustive de la sécurité des systèmes d’information en 11 chapitres. La BS7799-1 traite des principes généraux, alors que la -2 traite des principes appliqués. La norme couvre aussi bien la sécurité physique, les notions de meilleures pratiques pour les réseaux, les systèmes, la classification des données, les plans de continuité, etc... Cette norme BS7799 a été transformée en ISO 17779 en 2000, mais pour des raisons de transposition cette norme ISO ne peut pas générer une certification de la cible. De nombreuses entreprises anglo-saxonnes et asiatiques (notamment au Japon) se sont faites certifier : on a dépassé le chiffre de 1000 dans le monde dont une seule en France (Gemalto ex-Axalto)...

ISO 27001 : le bon numéro !

La norme ISO 27001 a vu le jour en novembre 2005, et permet de faire certifier un « Système de Management de la Sécurité de l’Information ». Calquée sur les normes qualité ISO 9000 et environnement ISO 14000, cette norme traite de la mise en oeuvre d’un système de management. En annexe A - pour fournir des lignes de conduite précises- on retrouve les 133 mesures de sécurité de la norme 17799.

Contenu de la norme ISO 27001

Le texte de la norme est très court, et décrit essentiellement les principaux points à traiter pour se faire certifier. A travers un cycle continu d’améliorations, l’entreprise planifie une organisation et des mesures de sécurité à mettre en place (phase PLAN), puis les met en place effectivement (phase DO), vérifie que la mise en place s’est effectuée correctement (phase CHECK) et enfin prend des mesures correctives suite à l’audit de vérification (phase ACT). Il est à noter que le processus est cyclique et permanent, comme tout processus qualité.

Déroulement du processus

Après la définition de l’organisation, en particulier la détermination des objectifs recherchés pour la certification, et de qui est en charge de quoi, on cherchera à déterminer le périmètre approprié. Il est notable que la certification peut très bien concerner un simple site, un processus, un produit, une Direction, ou toute entité ayant une valeur d’actif d’informations à protéger. Il n’est donc pas nécessaire de préparer simultanément toute l’entreprise à la certification, ni d’envisager des délais et des coûts importants pour atteindre un premier objectif.

Inventaire des biens impactés et analyse de risques

Un fois le périmètre établi et l’organisation mise en place, il faudra inventorier les ressources concernées, en partant des actifs d’information (les données à protéger) pour en déduire les matériels, logiciels, systèmes, locaux, ressources humaines, organisations impactés. Une fois l’inventaire établi on procédera à une analyse de risques. Il est à noter que la norme ne fournit pour le moment aucune indication sur la manière dont l’analyse de risques doit être menée, mais il est clair que la norme ISO13335 (DICP) ou des variantes plus modernes telles que « CANDI » : Confidentialité - Authentification - Non répudiation - Disponibilité - Intégrité, ou bien les méthodes, MEHARI, EBIOS, MARION, sont tout à fait indiquées. Dans les années à venir il est prévu que la méthode sera elle-même l’objet d’une normalisation à travers la dénomination ISO27005, à partir du texte de BS7799-3:2006.

Création du référentiel documentaire

« On écrit ce qu’on va faire. On fait ce qu’on a écrit... ». La rédaction de la PSSI - Politique de Sécurité des Systèmes d’Information, et de ses principes détaillés, est normalement déduite de l’analyse de risques, et de la tentative de réduction de ceux-ci à un niveau acceptable. La plupart du temps, cette politique étant déjà existante, il va falloir l’adapter à un fonctionnement en mode cyclique, et à un découpage suivant les chapitres de la norme. La création du Système de Management de la Sécurité de l’Information, et son approbation formelle par la Direction Générale, va permettre le véritable déclenchement de la dynamique 27001.

Chapitres de l’annexe A de la norme ISO 27001

- Politique de sécurité
- Organisation de la sécurité
- Classification et contrôle des actifs
- Sécurité liées au personnel
- Sécurité physique et de l'environnement
- Exploitation et réseaux
- Controle d'accès logiques
- Développement et maintenance des systèmes
- Gestion des incidents
- Continuitié d'atcivité
- Conformité

Ces 11 chapitres et les 133 mesures de sécurité pratiques intégrées, constituent une véritable check-list sécurité pour tous les responsables sécurité, ainsi qu’un langage commun pour comparer ses résultats et définir des indicateurs valables. Comme la norme ISO 27001 définit un système de management, et non pas des points de contrôle, ces mesures concrètes ont été portées en annexe de manière à donner un contenu tangible aux entités désireuses de se faire certifier. Reprenant intégralement le texte de la norme ISO 17799, ces mesures seront bientôt regroupées dans la norme ISO 27002 (en prévision pour avril 2007).

Déclaration d’applicabilité ou SoA

Une fois choisies les mesures de sécurité applicables au périmètre, parmi les 133 disponibles (ou d’autres créées en fonction des besoins), il s’agira d’élaborer un document qui reprend ces mesures afin de constituer un référentiel de mise en oeuvre puis d’audit. Naturellement toute mesure de sécurité écartée de ce SoA (Statement of Applicability) devra faire l’objet d’une justification claire et documentée.

Formation des auditeurs internes

Une étape importante du processus consiste à former et à faire certifier des auditeurs internes ISO 27001 Lead Auditor, de manière à préparer des ressources humaines à même de suivre le processus de certification. Cette équipe va alors mettre en place un référentiel et des processus communs, et va vérifier la mise en oeuvre des mesures de sécurité auprès des équipes d’exploitation.

Pré-audit ou audit à blanc

Une fois les mesures choisies mises en oeuvre, un audit permettra de vérifier l’ensemble et de créer des fiches d’écart telles que les prévoit la norme à savoir : « Remarque » - « Ecart mineur » - « Ecart Majeur ». Un écart majeur étant rédhibitoire, le pré-audit va permettre à la fois de rectifier les éléments mal mis en oeuvre, mais va également permettre de préparer l’audit de certification proprement dit.

Audit de certification

L’audit de certification doit être mené par un organisme de certification accrédité. Pour respecter la déontologie et la norme ISO 19011 s’agissant des audits, l’entité qui vise la certification ne peut elle-même effectuer cet audit, ni faire appel aux conseils qui l’ont aidée à préparer cette certification.

Certification !

C’est bon vous avez obtenu le fameux certificat ! Valable 3 ans, avec des audits de surveillance tous les 6 mois, celui-ci peut être retiré ou suspendu, si un audit intermédiaire de vérification démontre qu’un écart majeur n’a pas été corrigé. De même si la publicité qui est faite par l’entité autour du certificat ne spécifie pas clairement le périmètre, la certification peut être suspendue voire retirée.

Pourquoi se faire certifier ?

La norme ISO 27001 et son annexe constituent un excellent référentiel de sécurité des systèmes d’information, qui va vous conduire à une amélioration réelle de votre sécurité. L’implication de la Direction Générale va vous permettre de générer des budgets pour les chantiers induits d’amélioration. Vos partenaires et vos clients vont avoir une meilleure image de vous et de votre sécurité. Le niveau de confiance va augmenter, facilitant le business. De nombreuses recommandations et règlementations, notamment dans le domaine financier, exigent une évaluation de la sécurité des systèmes d’information : BALE II, LSF, Sarbanes-Oxley. Par ailleurs, un langage commun va permettre un meilleur dialogue avec les sous-traitants et les équipes de mise en oeuvre.

Futur de la série ISO 27000

Bien que la norme 27001 se suffise a elle-même, l’ISO a entrepris l’écriture, comme pour la série 9000, d’un certain nombre de textes complémentaires, de manière à aider la formalisation de certains points :

- ISO 27002 reprendra le contenu de ISO 17799 (actuellement en annexe de 27001)
- ISO 27003 sera un guide d’implémentation pour la mise en oeuvre des normes de la famille 27000
- ISO 27004 portera sur les métriques permettant de mesurer l’efficacité du SMSI et l’efficacité des mesures de sécurité sélectionnées
- ISO 27005 reprendra le contenu de BS7799-3:2006 sur la gestion des risques
- ISO 27006 portera sur les Plans de Continuité d’Activité

A qui s’adresse en priorité la norme ?

Il est clair que les banques en ligne et autres sites Internet marchands devront tôt ou tard renforcer leur sécurité, et le prouver à travers une certification. On voit bien à travers l’initiative de Mastercard SDP, que les systèmes de commerce électronique cherchent a redorer leur image de sécurité, le manque de confiance étant le principal critère de réticence à acheter sur Internet cité par les internautes. De même, les entreprises qui sont fournisseurs de solutions (ou de services) de sécurité sont évidemment très impactées par cette normalisation. Dans ce cas qualité et sécurité sont intimement liés et participent de la même démarche. Enfin, les opérateurs télécoms et les fournisseurs d’accès à Internet, notamment pour leurs activités vis-à-vis des entreprises ont intérêt à démontrer leur sécurité.

Combien ça coûte ?

La structure de coût est dépendante :

- Du périmètre
- De l’existant
- Des mesures de sécurité choisies

Aux coûts initiaux s’ajoutent les coûts de maintenance du certificat et celui du processus d’amélioration continue. Les coûts des audits de certification et de contrôle sont standardisés. A titre indicatif, pour un périmètre réduit tel qu’un processus ou un site - si la plupart des mesures de sécurité sont déjà en place- le coût de préparation à la certification avoisine les 100 k€, alors que la certification proprement dite coûtera sur 3 ans aux environs de 40k€.

Conclusion

La dynamique qu’un standard apporte sur un domaine n’est pas à démontrer : les grands progrès économiques ont toujours été basés sur la création d’un référentiel commun mondial. En témoignent l’essor de l’aviation ou de l’automobile. La norme ISO 27001 est la bonne formulation de ce qu’attendait le milieu de la sécurité, car elle allie une approche cyclique « qualité », avec un pragmatisme lié à l’énonciation de mesures de sécurité concrètes. Je suis persuadé que nous sommes au début d’une période propice au renforcement de la protection du bien le plus précieux de nos entreprises : les actifs d’information et notre savoir-faire.

« La personne qui prétend que ça ne peut pas se faire, ne doit pas interrompre la personne en train de le faire... » Proverbe Chinois




Source Mag Securs