Date post: | 04-Apr-2018 |
Category: |
Documents |
Upload: | farid-yandouz |
View: | 219 times |
Download: | 0 times |
7/30/2019 Les référentiels de la gestion des risques et de la sécurité informatique - Thibaut de la Bouvrie - iCompetences RSI2012
http://slidepdf.com/reader/full/les-referentiels-de-la-gestion-des-risques-et-de-la-securite-informatique 1/25
Add a
forsustainable
results
LES REFERENTIELSDE LA GESTION DES
RISQUES ET DE LASÉCURITÉ
INFORMATIQUEPanorama des référentiels et des
nouveautés
TOUS DROITS RESERVES ©ADDED
7/30/2019 Les référentiels de la gestion des risques et de la sécurité informatique - Thibaut de la Bouvrie - iCompetences RSI2012
http://slidepdf.com/reader/full/les-referentiels-de-la-gestion-des-risques-et-de-la-securite-informatique 2/25
SÉMINAIRE SSI
SOMMAIRE
Introduction
Les référentiels de la gouvernance du SI
Les référentiels de la sécurité
Les référentiels du développement et de la gestion de projet
Les référentiels de la continuité
Certifications
Questions
2 TOUS DROITS RESERVES ©ADDED
7/30/2019 Les référentiels de la gestion des risques et de la sécurité informatique - Thibaut de la Bouvrie - iCompetences RSI2012
http://slidepdf.com/reader/full/les-referentiels-de-la-gestion-des-risques-et-de-la-securite-informatique 3/25
INTRODUCTION
SÉMINAIRE SSI3 TOUS DROITS RESERVES ©ADDED
§ Avantdecommencer:
§ Ilnefautpastouta4endredesréféren6elsetdesnormes!
§ Unenormen’aidepasàchoisirlebonniveaudegranularitéetdedétailpourconduiredesanalysesderisques.
§ Pasdegaran6equelesprocessusserontplusefficace,pourmaîtriservosrisques!
§ Adopterlesbonnespra6quesdesnormes,cer6fiersuropportunité
§ Seullebonsens,lepragma6smeetl’exper6seassurentlaper6nencedeschoixd’implémenta6on!
7/30/2019 Les référentiels de la gestion des risques et de la sécurité informatique - Thibaut de la Bouvrie - iCompetences RSI2012
http://slidepdf.com/reader/full/les-referentiels-de-la-gestion-des-risques-et-de-la-securite-informatique 4/25
INTRODUCTION
SÉMINAIRE SSI4 TOUS DROITS RESERVES ©ADDED
CONSTATSGENERALEMENTADMIS:
§ Absencederéféren6elsdanslesorganisa6ons
§ Lesprojetsinforma6quesontmauvaiseréputa/on:50à0%desprojetsquiintroduisentdesnouvellestechnologies(CRM,ERP,GED,KM)échouent,ouaumieuxnerépondentpasauxobjec/fsini/aux(sourceISACA).
§ 20%dedépassementdescoûtsetaumoins0%desdélaissurlesprojets.
§ Absenced'indicateursfiablesdeperformance.
7/30/2019 Les référentiels de la gestion des risques et de la sécurité informatique - Thibaut de la Bouvrie - iCompetences RSI2012
http://slidepdf.com/reader/full/les-referentiels-de-la-gestion-des-risques-et-de-la-securite-informatique 5/25
INTRODUCTION
SÉMINAIRE SSI5 TOUS DROITS RESERVES ©ADDED
§ Aquoiçasert?
§ No6ondelangagecommun/Partage/Code
§ Arassurer
§ Afaciliterletransfert
§ Afairedubusinessnotammentavecl’étranger
§ Ex:CB,internet,etc…
7/30/2019 Les référentiels de la gestion des risques et de la sécurité informatique - Thibaut de la Bouvrie - iCompetences RSI2012
http://slidepdf.com/reader/full/les-referentiels-de-la-gestion-des-risques-et-de-la-securite-informatique 6/25
INTRODUCTION
SÉMINAIRE SSI6 TOUS DROITS RESERVES ©ADDED
ISO 15504 - est une démarche d’évaluation des processus
BS 15000 - nouvellement ISO 20000.
BS 7799 - norme anglaise sur la sécurité des informations, nouvellement ISO 27001.ISO 17799 - norme internationale concernant la sécurité de l'information, dont le titre est Code de bonnes pratiques pour
la gestion de la sécurité d'information. Il s'agit maintenant de la norme ISO/CEI 27002.
BS7799
17799
2700120000
1550
7/30/2019 Les référentiels de la gestion des risques et de la sécurité informatique - Thibaut de la Bouvrie - iCompetences RSI2012
http://slidepdf.com/reader/full/les-referentiels-de-la-gestion-des-risques-et-de-la-securite-informatique 7/25
CARTE DES REFERENTIELS
UNE ADAPTATIONNÉCESSAIRE7 TOUS DROITS RESERVES ©ADDED
Répar//ondesréféren/elsduSIpourlesentreprisesetpourlesindividus:
D é v e l o p p e m e
n t d e L o g i c i e l
s
eSCM
CMMI
PMP
PRINCE2
ISO2700XBS7799
ITIL
ISO20000
CISMCISA
COBIT
CGEIT
Cer/fica/onpourdesindividusCer/fica/onpourentreprises
SécuritéInforma6que
SixSigma
ISO9001
EFQM
Gouvernance&contrôle
M a n a g e m e n
t d
e P
r o j e t
SCRUM/AGILE
PCI-DSS
Externalisa6on
ISO22301
Ges6ondela
con6nuité
CRISC
7/30/2019 Les référentiels de la gestion des risques et de la sécurité informatique - Thibaut de la Bouvrie - iCompetences RSI2012
http://slidepdf.com/reader/full/les-referentiels-de-la-gestion-des-risques-et-de-la-securite-informatique 8/25
PÉRIMÈTRE COUVERT
UNE ADAPTATIONNÉCESSAIRE8 TOUS DROITS RESERVES ©ADDED
Périmètre couvert
CommentQuoi
Sécurité QualitéGestion des services
COBIT
ITIL ISO9000
ISO
27001
P
CI-DSS
COSO
7/30/2019 Les référentiels de la gestion des risques et de la sécurité informatique - Thibaut de la Bouvrie - iCompetences RSI2012
http://slidepdf.com/reader/full/les-referentiels-de-la-gestion-des-risques-et-de-la-securite-informatique 9/25
LES RÉFÉRENTIELS DE LA GOUVERNANCE DU SI
UNE ADAPTATIONNÉCESSAIRE9 TOUS DROITS RESERVES ©ADDED
Mes besoins :
§ Mettre en place des contrôles internes informatique
§ Auditer la fonction informatique
§ Couvrir l’ensemble des problématiques des systèmes d’information
§ Bénéficier d’un cadre global pour les processus informatiques
Réponse : COBIT : Control OBjective for Information and related Technology(ISACA)
§ Il constitue un cadre de référence des meilleures pratiques constatées dans
diverses entreprises publiques et privées et propose un découpage des différents
domaines et activités de la fonction informatique.
§ Il relie les objectifs du SI à ceux de l’entreprise afin d’évaluer la maturité de celle-ci
envers la gestion et la maîtrise de son SI : outil pour les auditeurs.
7/30/2019 Les référentiels de la gestion des risques et de la sécurité informatique - Thibaut de la Bouvrie - iCompetences RSI2012
http://slidepdf.com/reader/full/les-referentiels-de-la-gestion-des-risques-et-de-la-securite-informatique 10/25
COBIT V4.1
UNE ADAPTATIONNÉCESSAIRE10 TOUS DROITS RESERVES ©ADDED
§ COBIT (Control Objectives for Information andRelated Technology) est publié par l’ISACA. Il
constitue un cadre de référence des meilleures
pratiques constatées dans diverses entreprises
publiques et privées et propose un découpage
des différents domaines et activités de la fonctioninformatique.
§ Il relie les objectifs du SI à ceux de l’entreprise
afin d’évaluer la maturité de celle-ci envers lagestion et la maîtrise de son SI : outil pour les
auditeurs.
§ Il recense 34 processus qui couvrent 210
objectifs de contrôle regroupés en 4
domaines : Planifier et Organiser, Acquérir et
Implémenter, Délivrer et Supporter, Surveiller et
Evaluer.
7/30/2019 Les référentiels de la gestion des risques et de la sécurité informatique - Thibaut de la Bouvrie - iCompetences RSI2012
http://slidepdf.com/reader/full/les-referentiels-de-la-gestion-des-risques-et-de-la-securite-informatique 11/25
COBIT V5 - 2012
UNE ADAPTATIONNÉCESSAIRE11 TOUS DROITS RESERVES ©ADDED
§ COBITv4.1 + Val IT + Risk IT =>
Le COBIT propose un référentiel de
gouvernance du système d'information
architecturé autour de 5 Principes :
COBIT5principes
1.Répondreaubesoindes
par/esprenantes
2.Couvrirlesprocessusdeboutenbout
3.MeXreenœuvreuncadreuniqueintégré
4.Proposeruneapprocheholis/que
5.Séparerlemanagementopéra/onnel
delagouvernance
7/30/2019 Les référentiels de la gestion des risques et de la sécurité informatique - Thibaut de la Bouvrie - iCompetences RSI2012
http://slidepdf.com/reader/full/les-referentiels-de-la-gestion-des-risques-et-de-la-securite-informatique 12/25
LES RÉFÉRENTIELS DE LA SÉCURITÉ DU SI
UNE ADAPTATIONNÉCESSAIRE12 TOUS DROITS RESERVES ©ADDED
§ Mes besoins :
§ Mettre en place un système global de management de la sécurité => ISO 27001
§ Sécuriser des données sensibles => PCI-DSS
§ Mettre en place un niveau basique de sécurité => ITIL, ISO 27001
7/30/2019 Les référentiels de la gestion des risques et de la sécurité informatique - Thibaut de la Bouvrie - iCompetences RSI2012
http://slidepdf.com/reader/full/les-referentiels-de-la-gestion-des-risques-et-de-la-securite-informatique 13/25
LES RÉFÉRENTIELS DE LA SÉCURITÉ DU SI
UNE ADAPTATIONNÉCESSAIRE13 TOUS DROITS RESERVES ©ADDED
§ ISO 27001:2005 : Système de management de la sécurité (SMSI)
Destiné à organiser le métier du RSSI
§ Le « + » de la norme ISO 27001:
§ L’alignement avec les risques
§ L’adoption de la démarche qualité (de processus de sécurité bienidentifiés, contrôle systématique des éléments mis en œuvre via leSMSI, gestion de documentation, gestion stricte des enregistrements)
7/30/2019 Les référentiels de la gestion des risques et de la sécurité informatique - Thibaut de la Bouvrie - iCompetences RSI2012
http://slidepdf.com/reader/full/les-referentiels-de-la-gestion-des-risques-et-de-la-securite-informatique 14/25
LES RÉFÉRENTIELS DE LA SÉCURITÉ DU SI
UNE ADAPTATIONNÉCESSAIRE14 TOUS DROITS RESERVES ©ADDED
§ ISO 27001:2005 : Système de management de la sécurité (SMSI)
Destiné à organiser le métier du RSSI
§ La norme ISO 27001 impose :
1) la conduite d’une analyse de risque
2) la définition d’un plan de traitement
3) Le contrôle de l’application stricte de ce plan
§ Open Source software pour ISO 27001/27005 (en anglais)….
http://esis.sourceforge.net/
7/30/2019 Les référentiels de la gestion des risques et de la sécurité informatique - Thibaut de la Bouvrie - iCompetences RSI2012
http://slidepdf.com/reader/full/les-referentiels-de-la-gestion-des-risques-et-de-la-securite-informatique 15/25
ISO 27005 : GESTION DES RISQUES
UNE ADAPTATIONNÉCESSAIRE15 TOUS DROITS RESERVES ©ADDED
7/30/2019 Les référentiels de la gestion des risques et de la sécurité informatique - Thibaut de la Bouvrie - iCompetences RSI2012
http://slidepdf.com/reader/full/les-referentiels-de-la-gestion-des-risques-et-de-la-securite-informatique 16/25
CONVERGENCE ISO 2700X ET AUTRES RÉFÉRENTIELS
UNE ADAPTATIONNÉCESSAIRE16 TOUS DROITS RESERVES ©ADDED
Quellesconvergences?
• CMMi & Processus ITIL facilient la mise en œuvre de ISO 27002 (code de bonnespra/ques)
• COBITetsonapprocheparlesrisquesaideàlamiseenplacedeladémarched’analysede
risque
• ISO20000(issudeITIL)>ISO27001(iden/quesurlapar/esécurité)• ISO9000permetd’accélérerlacer/fica/onàl’ISO27001notamment
• Démarched’améliora/oncon/nue• Revudumanagement• Ges/ondocumentaire,ges/ondescompétences,auditinterne
• Sarbannes-Oxley(ITSO)=>ISO27001(échan/llonnageiden/que,…)
7/30/2019 Les référentiels de la gestion des risques et de la sécurité informatique - Thibaut de la Bouvrie - iCompetences RSI2012
http://slidepdf.com/reader/full/les-referentiels-de-la-gestion-des-risques-et-de-la-securite-informatique 17/25
LES RÉFÉRENTIELS DE LA SÉCURITÉ DU SI
UNE ADAPTATIONNÉCESSAIRE17 TOUS DROITS RESERVES ©ADDED
7/30/2019 Les référentiels de la gestion des risques et de la sécurité informatique - Thibaut de la Bouvrie - iCompetences RSI2012
http://slidepdf.com/reader/full/les-referentiels-de-la-gestion-des-risques-et-de-la-securite-informatique 18/25
LA CERTIFICATION ISO 27001 DANS LA MONDE
UNE ADAPTATIONNÉCESSAIRE18 TOUS DROITS RESERVES ©ADDED
7/30/2019 Les référentiels de la gestion des risques et de la sécurité informatique - Thibaut de la Bouvrie - iCompetences RSI2012
http://slidepdf.com/reader/full/les-referentiels-de-la-gestion-des-risques-et-de-la-securite-informatique 19/25
LES RÉFÉRENTIELS DE LA SÉCURITÉ DU SI
UNE ADAPTATIONNÉCESSAIRE19 TOUS DROITS RESERVES ©ADDED
Les difficultés majeures rencontrées sur les audits de certification :
① La formalisation de la gestion des enregistrements et des éléments de preuves
demandent des efforts importants ! Les contrôles sont réalisés sur cette base !
② La connaissance du périmètre concerné, des principes et des règles de sécurité.
Les auditeurs vont interroger aussi bien les responsables métiers que les employés,
voire les prestataires.
③ La certification d’un SMSI n’ayant pas encore fait ses preuves. La norme autorise la
certification d’un SMSI n’ayant pas encore réalisé une boucle complète du PDCA.
Passage de la norme plus facile mais des difficultés sont à prévoir lors des audits de
renouvellement sur la partie « CHECK » et « ACT »
7/30/2019 Les référentiels de la gestion des risques et de la sécurité informatique - Thibaut de la Bouvrie - iCompetences RSI2012
http://slidepdf.com/reader/full/les-referentiels-de-la-gestion-des-risques-et-de-la-securite-informatique 20/25
LES RÉFÉRENTIELS DE LA GESTION PROJET
UNE ADAPTATIONNÉCESSAIRE20 TOUS DROITS RESERVES ©ADDED
§ PMP
§ ITIL (partie projet)
§ CMMi
§ Srcum/AGILE
§ PRINCE2
7/30/2019 Les référentiels de la gestion des risques et de la sécurité informatique - Thibaut de la Bouvrie - iCompetences RSI2012
http://slidepdf.com/reader/full/les-referentiels-de-la-gestion-des-risques-et-de-la-securite-informatique 21/25
PRINCE 2 - PRINCIPES
UNE ADAPTATIONNÉCESSAIRE21 TOUS DROITS RESERVES ©ADDED
PRINCE2 peut être appliqué quelle que soit la taille et la nature du projet oul’organisation, parce que PRINCE2 repose sur 7 principes :
① Jus/fica/oncon/nuepourl’entreprise② Leçons/réesdel’expérience③ Rôlesetresponsabilitésdéfinis④ Managementparséquences⑤ Managementparexcep/on⑥ Focalisa/onsurleproduit⑦ Adapta/onàl’environnementdeprojet
7/30/2019 Les référentiels de la gestion des risques et de la sécurité informatique - Thibaut de la Bouvrie - iCompetences RSI2012
http://slidepdf.com/reader/full/les-referentiels-de-la-gestion-des-risques-et-de-la-securite-informatique 22/25
LES RÉFÉRENTIELS DE LA CONTINUITÉ
UNE ADAPTATIONNÉCESSAIRE22 TOUS DROITS RESERVES ©ADDED
ISO 22301:2012 : Système de management de la continuité d’activité
ISO 22301 s’applique à toutes les organisations qui souhaitent:
1) établir, mettre en œuvre, maintenir et améliorer un SMCA;
2) assurer la conformité avec la politique de continuité des activités;
3) démontrer la conformité à des tiers;4) obtenir la certification / l’enregistrement de son SMCA par un organisme de
certification indépendant;
5) déposer une auto-détermination et une auto-déclaration de conformité à
cette norme internationale.
7/30/2019 Les référentiels de la gestion des risques et de la sécurité informatique - Thibaut de la Bouvrie - iCompetences RSI2012
http://slidepdf.com/reader/full/les-referentiels-de-la-gestion-des-risques-et-de-la-securite-informatique 23/25
LES RÉFÉRENTIELS DE LA CONTINUITÉ
UNE ADAPTATIONNÉCESSAIRE23 TOUS DROITS RESERVES ©ADDED
ISO 22301:2012 : Système de management de la continuité d’activité
ISO 22301 s’applique à toutes les organisations qui souhaitent:
1) établir, mettre en œuvre, maintenir et améliorer un SMCA;
2) assurer la conformité avec la politique de continuité des activités;
3)
démontrer la conformité à des tiers;4) obtenir la certification / l’enregistrement de son SMCA par un organisme de
certification indépendant;
5) déposer une auto-détermination et une auto-déclaration de conformité à
cette norme internationale.
7/30/2019 Les référentiels de la gestion des risques et de la sécurité informatique - Thibaut de la Bouvrie - iCompetences RSI2012
http://slidepdf.com/reader/full/les-referentiels-de-la-gestion-des-risques-et-de-la-securite-informatique 24/25
7/30/2019 Les référentiels de la gestion des risques et de la sécurité informatique - Thibaut de la Bouvrie - iCompetences RSI2012
http://slidepdf.com/reader/full/les-referentiels-de-la-gestion-des-risques-et-de-la-securite-informatique 25/25
Add a
forsustainable
results
w w w.added-consul ting.com
Theinforma/oncontainedinthefollowingpagesisintendedsolelyfortheaddressedrecipient.Therecipientagreestotreattheinforma/oncontainedinthisdocumentasconfiden/alandorproprietaryinforma/onofAdded.TherecipientalsoagreesthatthisdocumentmaycontaintradesecretsofAddedwhichwouldprovideacompe//veadvantagetoothers.Asaresult,theinforma/oncontainedinthisdocumentshallnotbedisclosed,usedorduplicated,inwholeorinpart,foranypurposeotherthantoevaluateAdded.
25
tbo@added-consul ting.com
+33.6.89. 72.66.63
Thibau t de la Bou vrie
QUESTIONS?
CONFIDENTIAL ©ADDED