ISO/CEI 27001

Objectifs
La norme ISO 27001 publie en octobre 2005 succde la norme BS 7799-2 de BSI (British Standards Institution)1. Elle sadresse tous les types dorganismes (entreprises commerciales, ONG, administrations). La norme ISO/CEI 27001 dcrit les exigences pour la mise en place d'un Systme de Management de la Scurit de l'Information (SMSI). Le SMSI est destin choisir les mesures de scurit afin d'assurer la protection des biens sensibles d'une entreprise sur un primtre dfini. C'est le modle de qualit PDCA (Plan-Do-Check-Act) qui est recommand pour tablir un SMSI afin d'assurer une amlioration continue de la scurit du systme d'information. La norme dicte galement les exigences en matires de mesures de scurit propres chaque organisme, cest--dire que la mesure nest pas la mme dun organisme lautre. Les mesures doivent tre adquates et proportionnes lorganisme pour ne pas tre ni trop laxistes ni trop svres. La norme ISO 27001 intgre aussi le fait que la mise en place dun SMSI et doutils de mesures de scurit aient pour but de garantir la protection des actifs informationnels. Lobjectif est de protger les informations de toute perte, vol ou altration, et les systmes informatiques de toute intrusion. Cela apportera la confiance des parties prenantes. L'ISO/CEI 27001 dfinit l'ensemble des contrles effectuer pour s'assurer de la pertinence du SMSI, l'exploiter et le faire voluer. Plus prcisment, l'annexe A de la norme est compose des 133 mesures de scurit de la norme ISO/CEI 27002 (anciennement ISO/CEI 17799), classes dans 11 sections. Comme pour les normes ISO 9001 et ISO 14001, il est possible de se faire certifier ISO 27001. Un point a disparu par rapport la norme BS 7799-2, lISO 27001 nincorpore plus lamlioration de la comptitivit, des cash flow, de la profitabilit, le respect de la rglementation et limage de marque.

La structure de la norme
Les SMSI fonctionnent selon un modle cyclique en 4 tapes appel PDCA cest--dire Plan, Do, Check, Act.

1. Phase Plan : consiste planifier les actions que lentreprise va entreprendre en termes de scurit 2. Phase Do : lentreprise ralise ce quelle a planifi dans ce domaine 3. Phase Check : lentreprise vrifie quil nexiste pas dcart entre ce quelle a dit et ce quelle a fait 4. Phase Act : consiste entreprendre des actions correctives pour les carts qui ont t constats prcdemment
La norme 27001 comporte 9 chapitres dont 5 (les chapitres 4 8) doivent obligatoirement tre respects pour rpondre cette norme et obtenir une certification. Le chapitre 4 est au cur de la norme et est divis en plusieurs parties correspondant aux 4 phases du PDCA. Il dtermine la mise en place du SMSI, sa mise en oeuvre et son exploitation, le contrle du SMSI et son amlioration. Le chapitre 5 dfinit les engagements et responsabilits de la direction, le chapitre 6 dveloppe les e e questions daudits internes du SMSI tandis que les 7 et 8 prcisent respectivement le rexamen du SMSI par la direction et son amlioration.

Phase Plan
Fixe les objectifs du SMSI La phase Plan du SMSI comprend 4 tapes :

tape 1 : Dfinir la politique et le primtre du SMSI

Primtre : domaine dapplication du SMSI. Son choix est libre, mais il doit tre bien dfini, car il doit comprendre toutes les activits pour lesquelles les parties prenantes exigent de la confiance. Politique : niveau de scurit (intgrit, confidentialit, disponibilit de linformation) qui sera pratiqu au sein de lentreprise. La norme nimpose pas de niveau minimum de scurit atteindre dans le SMSI. Le choix du primtre et de la politique tant libre, ces deux lments sont des leviers de souverainet pour lentreprise. Ainsi, une entreprise peut tre certifie ISO 27001 tout en dfinissant un primtre trs rduit et une politique de scurit peu stricte et sans rpondre aux exigences de ses clients en termes de scurit.

tape 2 : Identifier et valuer les risques lis la scurit et laborer la politique de scurit
La norme ISO 27001 ne donne pas de directives sur la mthode dapprciation des risques adopter. Les entreprises peuvent donc en inventer une en veillant bien respecter le cahier des charges ou en choisir une parmi les plus courantes notamment la mthode EBIOS (Expression des Besoins et Identification des Objectifs de Scurit) mise en place en France par l'ANSSI (Agence Nationale de la Scurit des Systmes dInformation). Le cahier des charges relatif lapprciation des risques se dveloppe en 7 points :

1. Identifier les actifs 2. Identifier les personnes responsables 3. Identifier les vulnrabilits 4. Identifier les menaces 5. Identifier les impacts 6. valuer la vraisemblance 7. Estimer les niveaux de risque tape 3 : Traiter le risque et identifier le risque rsiduel par un plan de gestion
Il existe 4 traitements possibles de chacun des risques identifis :

1. Lacceptation : ne mettre en place aucune mesure de scurit supplmentaire car les consquences de cette attaque sont faibles (exemple : vol dun ordinateur portable ne comportant pas de donnes primordiales pour lentreprise, piratage de la vitrine web) Cette solution ne doit tre que ponctuelle pour viter la perte de confiance des parties prenantes. 2. Lvitement : politique mise en place si lincident est jug inacceptable 3. Le transfert : lorsque le risque ne peut pas tre vit et quelle ne peut pas mettre en place les mesures de scurit ncessaires elle transfre le risque par le biais de la souscription dune assurance ou de lappel la sous traitance.

4. La rduction : le rendre un niveau acceptable par la mise en uvre de mesures techniques et organisationnelles, solution la plus utilise.
Lorsque la dcision de traitement du risque est prise lentreprise doit identifier les risques rsiduels cest--dire ceux qui persistent aprs la mise en place des mesures de scurit. S'ils sont jugs inacceptables, il faut dfinir des mesures de scurit supplmentaires.

tape 4 : Choisir les mesures de scurit mettre en place

La norme ISO 27001 dispose dune annexe A qui propose 133 mesures de scurit classes en 11 catgories (politique de scurit, scurit du personnel, contrle des accs) et numrotes sur 3 niveaux. Toutefois cette annexe nest quune liste qui ne donne aucun conseil de mise en uvre au sein de lentreprise.

Phase Do
Met en place les objectifs Elle se dcoupe en plusieurs tapes :

1. tablir un plan de traitement des risques 2. Dployer les mesures de scurit 3. Gnrer des indicateurs

De performance pour savoir si les mesures de scurit sont efficaces

De conformit qui permettent de savoir si le SMSI est conforme ses spcifications 4. Former et sensibiliser le personnel

Phase Check
Consiste grer le SMSI au quotidien et dtecter les incidents en permanence pour y ragir rapidement 3 outils peuvent tre mis en place pour dtecter ces incidents :

1. Les audits internes qui vrifient la conformit et lefficacit du systme de management. Ces audits sont ponctuels et planifis. 2. Le contrle interne qui consiste sassurer en permanence que les processus fonctionnent normalement. 3. Les revues (ou rexamens) qui garantissent ladquation du SMSI avec son environnement.

Phase Act
Mettre en place des actions correctives, prventives ou damlioration pour les incidents et carts constats lors de la phase Check

Actions correctives : agir sur les effets pour corriger les carts puis sur les causes pour viter que les incidents ne se reproduisent Actions prventives : agir sur les causes avant que lincident ne se produise Actions damlioration : amliorer la performance dun processus du SMSI.

Processus de certification
La certification nest pas un but en soi, cest--dire que lorganisme qui dcide de mettre en place un SMSI en suivant les exigences de lISO 27001, na pas pour obligation de se faire certifier.

Cependant, cest laboutissement logique de limplmentation dun SMSI puisque les parties prenantes nont confiance quen un systme certifi par un organisme indpendant. Lobtention du certificat ISO 27001 passe par trois audits : laudit initial, laudit de surveillance et laudit de renouvellement. Laudit initial porte sur lensemble du SMSI. Sa dure est dtermine dans lannexe C de la norme ISO 27006. Lauditeur ne donne pas la certification, il donne juste un avis qui sera tudi par un comit de validation technique, puis par un comit de certification. Ce nest quaprs cela quelle obtient le certificat pour une dure de trois ans. Dans le cas contraire, il y a un audit complmentaire dans le dlai maximum de trois mois. Lorganisme devra durant ce dlai corriger les problmes dcels lors de laudit initial pour obtenir le certificat. Laudit de surveillance a lieu pendant la priode de validit du certificat (3 ans) afin de sassurer que le SMSI est toujours valable. Il y en a un par an. Laudit porte sur les non-conformits releves lors de laudit initial ainsi que sur dautres points :

Le traitement des plaintes Ltat davancement des activits planifies Lutilisation de la marque de lorganisation certificatrice La viabilit du SMSI Diffrentes clauses choisies par lauditeur.

Si lauditeur relve des non-conformits, le certificat sera suspendu voire annul. Lentreprise doit donc tre perptuellement mobilise. Laudit de renouvellement se droule lchance du certificat. Il porte sur les non -conformits du dernier audit de surveillance ainsi que sur la revue des rapports des audits de surveillance prcdents et la revue des performances du SMSI sur la priode.

Critique du standard
Avantages

Une description pratique et dtaille de la mise en uvre des objectifs et mesures de scurit. Un audit rgulier qui permet le suivi entre les risques initialement identifis, les mesures prises et les risques nouveaux ou mis jour, afin de mesurer lefficacit des mesures prises. Scurit : 1. Processus d'amlioration continue de la scurit, donc le niveau de scurit a plutt tendance crotre. 2. Meilleure matrise des risques 1. Diminution de l'usage des mesures de scurit qui ne servent pas.

Une certification qui amliore la confiance avec les parties prenantes. Homognisation : cest un rfrentiel international. Cela facilite les changes, surtout pour les entreprises qui possdent plusieurs sites.

Processus simple et peu coteux : rduction des cots grce la diminution d'usage de mesures de scurit inutiles et la mutualisation des audits (baisse du nombre et de la dure des audits quand on obtient la certification). La norme fournit des indicateurs clairs et fiables ainsi que des lments de pilotage financier aux directions gnrales. La norme permet d'identifier plus efficacement les risques et les cots associs.

Limites

Parfois, faible exprience des organismes d'accrditation par rapport aux spcificits des enjeux en scurit des systmes d'information. Relations commerciales prpondrantes (achat de certification, de conseil, de produits, de services), ce qui conduit une dvalorisation du processus daccrditation. Dure courte pour les audits. La dfinition et la mise en place d'une mthodologie sont des tches lourdes. L'application de cette norme ne rduit pas forcment de manire notable le risque en matire de piratage et de vols d'informations confidentielles. Les intervenants, notamment internes, connaissent les rgles et peuvent ainsi plus aisment les contourner. Les normes sont inoprantes dans ce domaine.

Autour de la norme
Il existe toute une srie de normes associe l'ISO 27001, qui aide l'implmentation d'un SMSI. ISO/CEI 27001 est issue du standard britannique BS7799:2002 - Part 2.