21 Novembre 2008    

La Lettre de juin-juillet 2005

Archives

Sécurité des informations, normes BS 7799, ISO 17799, ISO 27001

Editorial - la lettre de juin-juillet 2005

SECURITE DES INFORMATIONS, NORMES BS 7799, ISO 17799, ISO 27001, EBIOS, MEHARI  

Plusieurs normes, méthodes et référentiels de bonnes pratiques en matière de sécurité des systèmes di'nformation sont disponibles.
Elles constituent des guides méthodologiques ainsi que le moyen de fournir l'assurance d'une démarche de sécurité cohérente.

Conférence guideinformatique.com 9 décembre 2008

Normes BS 7799, ISO 17799 et ISO 27001

BS7799 est un code des bonnes pratiques pour la sécurité des systèmes d’information créé par le BSI (British Standard Institute) dans les années 90.
Plusieurs versions ont été élaborées et la dernière est devenue la norme ISO/IEC 17799.
Parallèlement, le BSI a ajouté une seconde partie à sa norme, dite BS 7799-2. Cette seconde partie devrait être acceptée en 2005-2006 comme norme ISO/IEC 27001. La terminologie BS 7799 devrait alors disparaître.

Sécurité des systèmes d'information

Schématiquement, la démarche de sécurisation du système d'information doit passer par 4 étapes de définition :

  • 1. périmètre à protéger (liste des biens sensibles),
  • 2. nature des menaces,
  • 3. impact sur le système d'information,
  • 4. mesures de protection à mettre en place.

BS 7799-1 et ISO 17799 donnent des exemples et des indications sur les niveaux 1 à 3, mais ne traitent vraiment que le niveau 4 en listant ce qui est nécessaire de mettre en place, sans toutefois préciser en détail comment.
La BS 7799-2 défini les exigences d'un ISMS (Information Security Management System) chargé de gérer et d'améliorer la sécurité du système d'information.
Enfin, pour les étapes préliminaires (définition du périmètre à protéger et analyse des risques), il faut se tourner vers d'autres méthodologies comme MEHARI ou EBIOS.

BS 7799-1 et ISO 17799

BS7799 - Code of practice for information security management est un code des bonnes pratiques pour la sécurité des systèmes d’information créé par le BSI dans les années 90.
La version actuelle est BS 7799-1:1999.
La norme ISO 17799 est directement tirée de la BS 7799-1. C'est une liste détaillée et commentée de mesures de sécurité.
Ce document de référence ne donne pas lieu à des certifications.
Elle comporte dix chapitres :

  • existence d’une politique de sécurité dans l’entreprise,
  • organisation de la sécurité :
    • organisation humaine, implication hiérarchique,
    • notion de propriétaire d’une information et mode de classification,
    • évaluation des nouvelles informations,
    • mode d’accès aux informations par une tierce partie,
    • cas de l’externalisation des informations.
  • classification des informations et procédures de traitement,
  • risques créés par le personnel et mesures de sécurité,
  • risques liés à l’environnement :
    • organisation des locaux et des accès,
    • protection contre les risques physiques (incendies, inondations...)
    • systèmes de surveillance et d’alerte,
    • sécurité des locaux ouverts et des documents circulant.
  • administration de la sécurité,
    • prise en compte de la sécurité dans les procédures de l’entreprise,
    • mise en oeuvre des systèmes de sécurisation (anti-virus, alarmes..),
  • contrôle de l’accès aux informations :
    • définition des niveaux d’utilisateurs et de leur droit d’accès,
    • gestion dans le temps des droits,
  • développement, exploitation et maintenance des systèmes,
  • plan de continuité,
  • audit de contrôle, légalité :
    • audit de contrôle du dispositif,
    • dispositions vis-à-vis de la loi.

BS 7799-2, ISO 27001, ISMS

BS 7799-2:1999 Specification for information security management systems définit les exigences pour créer un ISMS (Information Security Management System) - en français SMSI (Système de Management de la Sécurité de l'Information), systèmes de gestion de la sécurité des informations.
Elle spécifie les contrôles de sécurité devant être mis en oeuvre et débouche sur une certification.
Elle permet de fournir une preuve de sérieux en terme de sécurité.

Principe de l'amélioration continue : modèle PDCA

Pour garantir que la sécurité reste optimale au fil du temps, la norme BS 7799 utilise le principe de l'amélioration continue suivant le modèle PDCA qui se définit en 4 étapes récurrentes :

  • Plan : planifier,
  • Do : mettre en œuvre,
  • Check : vérifier,
  • Act : améliorer.

 

PDCA
Agrandir l'image

 
Après la définition des objectifs, des actions sont entreprises pour les atteindre. Ensuite, on vérifie la bonne qualité des résultats, puis on se fixe de nouveaux objectifs pour être toujours totalement efficace.

Formalisation sous BS 7799

Essentiellement pragmatique, la BS 7799 n'impose pas d'autre formalisme que la mise en place d'une organisation qui garantit un bon niveau de sécurité au fil du temps.
Elle est orientée processus et déborde de ce fait des simples aspects de technique informatique. Elle s'intéresse à l'organisation du personnel ainsi qu'aux problèmes de sécurité physique (accès, locaux...).
Comme ISO 9000, BS 7799 ne porte pas sur l’efficacité des dispositions mises en place, mais sur leur existence.
Enfin, la certification peut être resserrée sur un périmètre précis.

Certification BS 7799

La seconde partie de la BS 7799, BS 7799-2 définit les bonnes pratiques en terme de sécurité, au niveau organisationnel comme au niveau technique sur un périmètre bien défini.
Elle peut donc faire l'objet d'une certification dont l'objet est de s'assurer que le dispositif de sécurité à été convenablement mis en place et reste opérationnel.
Plusieurs niveaux sont définis :

  • la certification des auditeurs par le BSI qui deviennent habilités à mener un audit conformément aux principes de la BS7799,
  • certification BS7799 de l'organisation par un organisme accrédité

Processus de certification suivant BS 7799

Le processus de certification s'étale sur 3 ans (presque toujours avec l'aide de consultants) et doit ensuite être renouvelé en permanence.
Schématiquement, les étapes à franchir sont les suivantes :

  • préparation (définition du périmètre, analyse des risques, définition des protections à mettre en place,
  • mise en place et contrôle des mesures prises,
  • audit du dispositif par un auditeur accrédité par l'organisme de certification.

La certification est délivrée pour une période de 3 ans, mais un nouvel audit doit être effectué tous les ans.

Méthode EBIOS

EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) est une méthode établie par la DCSSI (Direction Centrale de la Sécurité des Systèmes d'Information) pour identifier les besoins de sécurité d'un système d'information. La DCSSI la présente comme un outil d'arbitrage au sein des directions générales.
Elle s'organise en 4 étapes principales :

  • étude du contexte
  • expression des besoins
  • étude des risques
  • identification des objectifs de sécurité

Elle se présente sous la forme d'une brochure téléchargeable et d'un logiciel dont l'obtention est gratuite.
EBIOS s'intéresse à tous les types de risques :

  • incendie, dégâts des eaux
  • pollution
  • accidents majeurs
  • phénomène climatique, sismique, volcanique, météorologique, crue
  • défaillance de la climatisation
  • perte d'alimentation énergétique, des moyens de télécommunications
  • rayonnements électromagnétiques, thermiques
  • impulsions électromagnétiques (iem)
  • interception de signaux parasites compromettants
  • espionnage à distance, écoute passive
  • vol de supports ou de documents, vol de matériels
  • divulgation interne, divulgation externe
  • panne matérielle, dysfonctionnement matériel, saturation du matériel
  • dysfonctionnement logiciel
  • destruction de matériels
  • atteinte à la maintenabilité du système d'information
  • informations sans garantie de l'origine
  • piégeage du matériel
  • utilisation illicite des matériels
  • altération du logiciel, piégeage du logiciel
  • copie frauduleuse de logiciels, utilisation de logiciels contrefaits ou copiés
  • altération des données abus de droit, usurpation de droit
  • reniement d'actions
  • fraude
  • atteinte à la disponibilité du personnel

Méthode MEHARI

La méthode MEHARI (MEthode Harmonisée d'Analyse de RIsques) est proposée par le CLUSIF (Club de la Sécurité des Systèmes d'Information Français).
Elle est destinée à permettre l'évaluation des risques mais également le contrôle et la gestion de la sécurité de l'Entreprise sur court, moyen et long terme, quelle que soit la répartition géographique du système d'information.
La méthode MEHARI s'articule sur 3 types de plans :

  • le PSS (Plan Stratégique de Sécurité) qui fixe les objectifs de sécurité et les métriques et qualifie le niveau de gravité des risques encourus,
  • les POS (Plans Opérationnels de Sécurité) qui déterminent, par site ou entité géographique, les mesures de sécurité à mettre en place, tout en assurant la cohérence des actions choisies.
  • le POE (Plan Opérationnel d'Entreprise) qui permet le pilotage de la sécurité au niveau stratégique par la mise en place d'indicateurs et la remontée d'informations sur les scénarios les plus critiques.

 

Mehari
Agrandir l'image

 
Proposant des méthodologies opérationnelles, MEHARI est une méthode parallèle à la BS 7799, avec laquelle elle offre toutefois d'évidentes compatibilités.
MEHARI remplace MARION, qui n'est plus développée.


Recherche         
fermer