Conference IDC Alexandre Fernandez Toro
Transcript of Conference IDC Alexandre Fernandez Toro
-
8/2/2019 Conference IDC Alexandre Fernandez Toro
1/15
Norme ISO 27001Norme ISO 27001Dmarche globale et cohrente?Dmarche globale et cohrente?
Confrence IDC Risk Management 2008Confrence IDC Risk Management 2008Paris, 7 fvrier 2008Paris, 7 fvrier 2008
AlexandreAlexandre Fernandez-ToroFernandez-Toro
-
8/2/2019 Conference IDC Alexandre Fernandez Toro
2/15
Copyright Herv Schauer Consultants 2008 - Reproduction Interdite22
La srie ISO 2700xLa srie ISO 2700x
ISO 27001
ISO 27000Dfinitions
ISO 27003Implmentation
ISO 27004Indicateurs
ISO 27002Bonnes pratiques
ISO 27006Rgles daudit
ISO 27005Apprciation des risques
-
8/2/2019 Conference IDC Alexandre Fernandez Toro
3/15
Copyright Herv Schauer Consultants 2008 - Reproduction Interdite33
ISO 27005ISO 27005
Les mthodes dapprciation des risques sont nombreuses
EBIOS
MEHARI
CRAMM
ISO 13335-3
BS 7799-3
Octave
Mthodes maison
Etc.
-
8/2/2019 Conference IDC Alexandre Fernandez Toro
4/15
Copyright Herv Schauer Consultants 2008 - Reproduction Interdite44
ISO 27005ISO 27005
LISO 27005 na pas rinvent la rouePrincipales tapes de lISO 27005
Inventaire des actifs
Valorisation des actifs
Identification des menaces
Identification des vulnrabilits
Probabilit doccurrence
Niveau de risque
Traitement du risqueAcceptation / Refus / Transfert / Rduction
Risque rsiduel
Processus itratif
-
8/2/2019 Conference IDC Alexandre Fernandez Toro
5/15
Copyright Herv Schauer Consultants 2008 - Reproduction Interdite55
ISO 27005ISO 27005
Annexes : trs pragmatiques
Inventaire des actifs
Deux niveaux : primaire et secondaire
Liste des menaces
Influence de la DCSSI ?
Exemples de vulnrabilits
Exemples dapprciation des risques
-
8/2/2019 Conference IDC Alexandre Fernandez Toro
6/15
Copyright Herv Schauer Consultants 2008 - Reproduction Interdite66
ISO 27005ISO 27005
Pourquoi adopter lISO 27005 ?
Parce quelle reprend le meilleur des mthodes dapprciation desrisques.
Parce quelle est conforme aux exigences de lISO 27001
Et pour cause
A cause de lISO de ISO 27005
-
8/2/2019 Conference IDC Alexandre Fernandez Toro
7/15
Copyright Herv Schauer Consultants 2008 - Reproduction Interdite77
La srie ISO 2700xLa srie ISO 2700x
ISO 27001
ISO 27000Dfinitions
ISO 27003Implmentation
ISO 27004Indicateurs
ISO 27002Bonnes pratiques
ISO 27006Rgles daudit
ISO 27005Apprciation des risques
-
8/2/2019 Conference IDC Alexandre Fernandez Toro
8/15
Copyright Herv Schauer Consultants 2008 - Reproduction Interdite88
Rappels sur lISO 27001Rappels sur lISO 27001
Norme prcisant les exigences pourLa mise en place
Lexploitation
Lamlioration
dun SMSI.
Clauses 4 8
Obligatoires
Pas dexceptions permises
Mesures de scurit de lannexe A
Slection en fonction du traitement du risque
-
8/2/2019 Conference IDC Alexandre Fernandez Toro
9/15
Copyright Herv Schauer Consultants 2008 - Reproduction Interdite99
ISO 27001 modle PDCAISO 27001 modle PDCA
ActionDo
PlanificationPlan
VrificationCheck
CorrectionAct
Partenaires
Fournisseurs
Clients
Pouvoirspublics
Services
Modle PDCA : Plan-Do-Check-ActAttentes etexigencesen terme de
scurit
Partenaires
Fournisseurs
Clients
Pouvoirspublics
Services
Scuriteffectivefournie
-
8/2/2019 Conference IDC Alexandre Fernandez Toro
10/15
Copyright Herv Schauer Consultants 2008 - Reproduction Interdite1010
ISO 27001ISO 27001
Implmentation ISO 27001
Une ide reue
Faire une apprciation des risques
Faire de la documentation
En faitDfinir un primtre et une politique
Procder une apprciation des risques
Mettre en place des mesures de scurit
Rendre conforme lexistant au modle PDCA
Grer la documentation
Faire des audits internes
Faire du suivi dactions
-
8/2/2019 Conference IDC Alexandre Fernandez Toro
11/15
Copyright Herv Schauer Consultants 2008 - Reproduction Interdite1111
ISO 27001ISO 27001
ISO 27001 et conformit
Sarbanes Oxley
SAS 70
PCI-DSS
Politiques de scurit groupe
Autres rfrentiels sectorielsPoints communs
Politique
Matrise des risques
Actions correctives et prventives
Formalisation de procdures
Gestion des incidents
Audits rguliers (audits internes et audits externes)
Indicateurs de conformit et defficacit
-
8/2/2019 Conference IDC Alexandre Fernandez Toro
12/15
Copyright Herv Schauer Consultants 2008 - Reproduction Interdite1212
ISO 27001ISO 27001
ISO 27001 et autres mthodologies
ITIL
CMMI
CoBIT
Etc.
-
8/2/2019 Conference IDC Alexandre Fernandez Toro
13/15
Copyright Herv Schauer Consultants 2008 - Reproduction Interdite1313
ISO 27001ISO 27001
ISO 27001 et autres certifications
ISO 9001
ISO 20000
Un mot dordre : mutualiserautant que possibleNe jamais refaire deux fois le mme travail
Identifier le plus en amont possible les opportunits demutualisation
Ce qui a t fait pour un rfrentiel doit tre rutilis pourlautre
-
8/2/2019 Conference IDC Alexandre Fernandez Toro
14/15
Copyright Herv Schauer Consultants 2008 - Reproduction Interdite1414
ConclusionConclusion
ISO 27001Moteur de base
ISO 27004Indicateurs
CoBITGouvernance
CMMIDveloppements
ITILProduction
ISO 27005Apprciation des
disques
ISO 27002Bonnes pratiques ISO 27001
SAS 70
PCI-DSS
Tout autrerfrentielscurit
-
8/2/2019 Conference IDC Alexandre Fernandez Toro
15/15
Copyright Herv Schauer Consultants 2008 - Reproduction Interdite1515
[email protected]@hsc.fr