Você está na página 1de 6

ISO 27002 - Prsentation de la norme ISO 27002

1. INTRODUCTION ISO/IEC 27002 version 2005 est le volet qui traite des techniques de Scurit de l'information. C'est un guide pratique pour la gestion de la Scurit de l'information. En complment d'ISO/IEC 27001, il permet d'accompagner le processus de mise en uvre d'un SMSI. La norme ISO/IEC 27002 fournit des recommandations de gestion de la Scurit de l'information au lecteur responsable d'initier, implmenter et maintenir la scurit. 2. VALUATION ET TRAITEMENT DES RISQUES. [SECTION 4 DE LA NORME] La prsente section de la norme ISO/IEC 27002 couvre les aspects de gestion des risques. En revanche la norme ne donne aucune indication quant la mthode de gestion des risques. Afin d'aller plus loin dans la gestion des risques nous vous invitons lire ISO/IEC 27005 ou vous intresser aux mthodes telles que EBIOS ou MHARI. 3. POLITIQUE DE SECURITE [SECTION 5 DE LA NORME] La Direction ou le management doit formaliser une politique de scurit. Cette politique est une dclaration d'intention quant la direction prise par l'organisme, sa volont de soutenir la scurit de l'information. La politique est un manuel dcrivant les normes appliques et applicables, les procdures et processus mises en uvre et l'ensemble des directives de scurit de l'entreprise. 4. ORGANISATION DE LA SECURITE DE L'INFORMATION [SECTION 6 DE LA NORME] ISO/IEC 27002 ncessite qu'une structure approprie de gestion de la scurit de l'information doit tre dsigne et mise en uvre. 4.1 ORGANISATION INTERNE L'organisme doit dfinir un cadre de gestion de la scurit de l'information. La direction doit donner la direction du projet et assurer son engagement en validant formellement la politique de scurit par exemple. Les rles et responsabilits doivent tre dfinis dans la gestion de la scurit de l'information. Les revues du SMSI doivent tre ralises par des quipes indpendantes. 4.2 TIERCES PARTIES La mise en service de produits et services provenant de tierce partie (fournisseurs, mainteneurs, etc.) ne doivent en aucun cas compromettre la scurit de l'information. Les risques concernant les tierces parties doivent tre valus et rduits autant que possible lorsque l'organisme contractualise soit avec des clients soit avec des fournisseurs externes. Les risques identifis et les mesures de rduction des risques doivent tre enregistrs pour apporter la preuve de cette activit. 5. GESTION DES ACTIFS [SECTION 7 DE LA NORME] L'organisme doit tre en mesure de connaitre l'ensemble des actifs (Serveurs, Routeurs, Logiciels, Applications, etc.) qu'il possde afin de grer efficacement leur scurit.

5.1 RESPONSABILITE DES ACTIFS (ASSETS) Tous les actifs inventoris doivent tre affects des possesseurs. L'inventaire des actifs doit tre maintenu et mis jour et doit contenir le possesseur et la localisation de chaque actif. 5.2 CLASSIFICATION DE L'INFORMATION Les informations doivent tre classifies en fonction de leur besoin respectif de protection. Les actifs doivent tre identifis et tiquets. Notez que selon leur classification et leur importance les actifs doivent tre groups et que des contrles appropris doivent tre mis en uvre afin de s'assurer de l'efficacit des dispositions scuritaires. 6. SECURITE DES RESSOURCES HUMAINES [SECTION 8 DE LA NORME] L'organisation qui initie un projet ISO/IEC 27 002 doit mettre en uvre et maintenir un systme de gestion des accs, notamment concernant le personnel entrant ou quittant l'entreprise. L'organisme doit par ailleurs s'assurer que des actions de sensibilisation aux enjeux de scurit sont entreprises, et des actions de formations sont mises en uvre conformment aux besoins identifis. 6.1 EN AMONT DE L'EMBAUCHE Lors d'un recrutement l'entreprise doit prendre en compte les futures prrogatives scurit du salari. Cela concerne aussi les prestataires externes et intrimaires. Les responsabilits, en termes de scurit, doivent faire l'objet d'une formalisation dans le contrat de travail. Il s'agit par exemple du respect de la charte informatique, des rles et responsabilit de tout un chacun dans l'entreprise. 6.2 DURANT L'EMPLOI L'entreprise doit en outre dfinir les responsabilits en termes de gestion de la scurit. A ce titre les employs et tierces parties doivent tre sensibiliss, forms et informs quant aux procdures scurit et leur responsabilit dans le respect et la mise en uvre de ces directives. En outre il est ncessaire de formaliser les sanctions disciplinaires encourues pour traiter le cas des infractions la scurit. 6.3 RUPTURE DU CONTRAT OU CHANGEMENT D'EMPLOYEUR L'organisme doit mettre en uvre les dispositions permettant de s'assurer que les habilitations et droits d'accs du personnel sortant soient rtirs. 7. SECURITE PHYSIQUE ET ENVIRONNEMENTALE [SECTION 9 DE LA NORME] Les actifs et particulirement ceux qui revtent une importance suprieure pour l'entreprise doivent tre protg physiquement contre les malveillances, le dommage, la perte accidentelle, etc. 7.1 ZONES DE SECURITE L'organisme doit s'assurer qu'un dispositif de contrle physique est mis en uvre afin de protger les quipements sensibles contre les accs non autoriss. 7.2 QUIPEMENT DE SECURITE Les composants IT, les cbles, les quipements lectriques, les onduleurs, etc. doivent tre protgs contre les dommages physiques, les incendies, les inondations, le vol. Ces dispositions doivent intgrer la fois les quipements sur site et hors des locaux de l'entreprise.

Les quipements d'alimentation lectriques ainsi que les cblages doivent tre assurs par l'entreprise. Enfin tous les quipements doivent tre entretenus et faire l'objet de procdure de recyclage intgrant des dispositions scuritaires, telle que l'effacement des donnes sur les disques durs. 8. GESTION DES COMMUNICATIONS ET DES OPERATIONS [SECTION 10 DE LA NORME] Cette section de la norme ISO/IEC 27 002 dcrit les dispositions spcifiques aux contrles de scurit des systmes ainsi qu' la gestion de la scurit des rseaux. 8.1 RESPONSABILITES ET PROCEDURES OPERATIONNELLES L'organisme s'engage formaliser les responsabilits oprationnelles et documenter les procdures. A ce titre toutes les modifications apportes sur des quipements informatiques ou des systmes doivent tre contrls. Les habilitations sur les systmes doivent tre aligns sur les prrogatives des collaborateurs et permettre ainsi de cloisonner par exemple un administrateur systme d'un utilisateur simple sur un systme de fichier. 8.2 LIVRAISON DE SERVICE PAR DES TIERCES PARTIES Les exigences de scurit doivent tre prises en compte lors du recours des tierces parties telles que des fournisseurs externes, des constructeurs, des mainteneurs. Les exigences concernant les changements et la maintenance par des tiers doivent tre formalises contractuellement. 8.3 PLANIFICATION ET ACCEPTATION DES SYSTEMES Cette sous-section d'ISO/IEC 27 002 couvre les dispositions spcifiques la planification de la capacit de production et les processus d'acceptation. 8.4 PROTECTION CONTRE LE CODE MOBILE ET MALICIEUX L'organisme doit mettre en uvre un dispositif de lutte et de contrle contre le code mobile, et disposer de logiciels permettant de lutter efficacement contre les logiciels malveillants tels que les "spyware". 8.5 SAUVEGARDE Cette section couvre tous les aspects concernant la sauvegarde des donnes, mais aussi et surtout des tests de restauration. 8.6 GESTION DE LA SECURITE DES RESEAUX L'organisme doit mettre en uvre une gestion scuris des rseaux, ainsi que les moyens ncessaires la surveillance de la scurit des rseaux. Ces dispositions incluent les rseaux internes, externes (liaisons avec des partenaires) et rseaux externaliss et/ou infogrs. 8.7 GESTION DES SUPPORTS L'organisme doit mettre en place des procdures oprationnelles pour protger :

les documents, les supports informatiques, les donnes, le systme d'information,

L'organisme doit s'assurer que les donnes sont limines conformment leur cycle de vie. Enfin, des procdures doivent tre dfinies pour la scurit des oprations de manutention, de transport et de stockage d'une part et d'autre part de la documentation sur le systme.

8.8 CHANGE DES INFORMATIONS L'organisme doit s'assurer que tous les changes d'information avec des organisations externes sont contrls. Non seulement les changes doivent tre conformes aux procdures et politiques applicables, mais aussi conformment la lgislation en vigueur. Des dispositions scuritaires doivent tre mise en place afin de s'assurer de la protection des informations et documents transitant hors et l'intrieur de l'entreprise, tels que les emails, les changes de donnes EDI, les donnes changes entre les systmes d'information, etc. 8.9 SERVICES DE COMMERCE ELECTRONIQUE Pour le cas o l'organisme a recours ou met en uvre des services de commerces lectronique, les enjeux potentiels en termes de scurit doivent tre valus et faire l'objet de contrles appropris. L'intgrit et la disponibilit des informations publies, notamment sur des sites Internet, doivent tre assures. 8.10 MONITORING La surveillance et le monitoring couvre :

la dtection d'vnements de scurit les alertes de surveillance, les dtections d'utilisation non autorises, les tentatives d'exploit, les failles du systme, etc.

9. CONTROLES D'ACCES [SECTION 11 DE LA NORME] Les accs "logiques" aux systmes informatiques, aux rseaux et aux donnes doivent tre contrls afin de prvenir toute utilisation non autorise. 9.1 EXIGENCES BUSINESS SUR LES CONTROLES D'ACCES Une politique de contrle d'accs doit tre formalise. Elle doit inclure minima l'accs aux actifs, aux informations. En fonction des profils et des rles du personnel la politique de contrle doit spcifier qui peut avoir accs quoi. 9.2 GESTION DES ACCES UTILISATEURS Des procdures administratives doivent tre mises en uvre afin de s'assurer que les droits d'accs affects aux utilisateurs sont correctement enregistrs et suivis. 9.3 RESPONSABILITES DES UTILISATEURS Les utilisateurs doivent avoir conscience de leur implication et de leur responsabilit quant au maintien de l'efficacit des contrles d'accs. Cela se traduit par la sensibilisation l'utilisation de mots de passe complexes et confidentiels. Enfin l'accs aux postes de travail doit tre scuris lorsque le collaborateur quitte son bureau. 9.4 CONTROLES D'ACCES AU RESEAU L'accs tous les services rseau doit tre contrl, tant en interne que lors des relations avec l'extrieur.

La politique concernant les contrles d'accs doit tre formalise et les utilisateurs distants doivent tre dment authentifis. 9.5 CONTROLES D'ACCES AU SYSTEME D'EXPLOITATION Des dispositions concernant la gestion des postes de travail doivent tre dployes. Il s'agit notamment de l'authentification systmatique de l'utilisateur, de l'utilisation de comptes individuels, d'enregistrement des privilges accords l'utilisateur, etc. L'accs aux outils d'administration systmes doit tre contrl. 9.6 CONTROLES D'ACCES AUX APPLICATIONS ET A L'INFORMATION L'accs aux applications doit tre contrl conformment une politique de contrle d'accs prdfinie. Les applications particulirement sensibles peuvent ncessiter la mise en uvre de plates-formes ddies ou de contrles supplmentaires. 9.7 TELETRAVAIL ET INFORMATIQUE MOBILE L'organisme doit formaliser une politique portant sur la scurit de l'utilisation des PC portables, PDA, tlphones portables etc. Elle doit par ailleurs garantir la scurit dans le cadre du tltravail, via par exemple un tunnel IPSEC. 10. ACQUISITION, DEVELOPPEMENT ET MAINTENANCE DES SYSTEMES D'INFORMATION [SECTION 12 DE LA NORME] La scurit de l'information doit tre prise en compte et intgre lors de la spcification, la conception, l'acquisition, les tests, la mise en uvre et le maintien des technologies de l'information. 10.1 EXIGENCES DE SECURITE DES SYSTEMES D'INFORMATION Les contrles automatique et/ou manuel de scurit doivent tre identifis et analyss lors de la phase de dveloppement de systmes ou lors du processus d'acquisition. Les logiciels acquis par l'entreprise doivent tre officiellement tests d'un point de vue scurit. Et les risques encourus doivent tre valus. 10.2 CONTROLE DES TRAITEMENTS DANS LES APPLICATIONS La saisie, le traitement et la validation des donnes ainsi que les contrles d'authentification doivent tre assurs afin de s'assurer de l'intgrit des donnes. 10.3 CONTROLES CRYPTOGRAPHIQUES Une politique en matire de cryptographie doit tre dfinie. Elle porte sur les rles et les responsabilits, les signatures numriques, la non-rpudiation, la gestion des cls et certificats numriques, etc. 10.4 SECURITE DES FILE SYSTEMES L'organisme doit s'assurer que l'accs au systme de fichiers, ainsi qu'aux excutables et au code source, sont contrls. 10.5 SECURISATION DU DEVELOPPEMENT ET PROCESSUS DE SOUTIEN L'organisme doit charger les gestionnaires d'applications de contrler l'accs aux environnements de projet et de support. Les processus de contrle des changements doivent tre formaliss et mis en uvre. Ils doivent inclure des revues techniques exhaustives.

Enfin, l'organisme doit veiller mettre en uvre des surveillances et des contrles de surveillance pour les dveloppements externaliss. 10.6 GESTION DES VULNERABILITES TECHNIQUES Les vulnrabilits techniques concernant les systmes et les applications doivent tre contrles par la mise en place d'un suivi des annonces des failles de scurit. L'valuation des risques sur l'application et/ou le systme d'un correctif de scurit doit tre ralise avant son dploiement. 11. Gestion des incidents de scurit de l'information [section 13 de la norme] Les vnements de scurit, les incidents et les failles ou points faibles doivent tre signals rapidement et gres promptement. 11.1 RAPPORTS SUR LES EVENEMENTS ET FAILLE DE SECURITE Chaque incident doit faire l'objet d'un compte rendu. Une procdure d'alerte doit exister et tre utilise. Des procdures de rponse et de l'escalade doivent tre associes aux alertes et aux incidents. Un SPOC (point de contact unique) doit tre informs des rapports d'incidents qui le concernent, c'est dire relatifs la scurit de l'information. 11.2 GESTION ET AMELIORATION DES INCIDENTS DE SECURITE Des responsabilits et des procdures sont requises pour

grer les incidents de manire cohrente et efficace, mettre en uvre l'amlioration continue, recueillir des preuves concernant le suivi des incidents de scurit et leur traitement.

12. GESTION DE LA CONTINUITE BUSINESS [SECTION 14 DE LA NORME] Cette section dcrit la relation entre le plan de continuit IT, la continuit Business, et la planification d'urgence. Elle couvre l'analyse, la documentation et les plans de test. Tous les contrles sont conus pour minimiser l'impact des incidents de scurit pouvant survenir malgr les contrles prventifs mis en uvre par l'organisme. Il s'agit notamment des sinistres ou incidents majeurs. 13. CONFORMITE [SECTION 15 DE LA NORME] 13.1 CONFORMITE AVEC LES EXIGENCES LEGALES L'organisation doit se conformer la lgislation en vigueur, tel que le droit d'auteur, la protection des donnes (y compris les donnes financires), etc. 13.2 CONFORMITE TECHNIQUE, CONFORMITE AVEC LES POLITIQUES DE SECURITE ET LES NORMES La Direction et les propritaires des systmes doivent veiller au respect des politiques de scurit et des normes. A cet effet des revues de scurit doivent tre ralise afin de statuer sur l'efficacit du dispositif. Il peut s'agir en outre de revoir les rsultats de tests d'intrusion, etc. 13.3 CONSIDERATIONS SUR L'AUDIT DES SI Les audits devraient tre soigneusement planifis afin de minimiser les perturbations sur les systmes oprationnels.