Conference IDC Alexandre Fernandez Toro

8/2/2019 Conference IDC Alexandre Fernandez Toro

1/15

Norme ISO 27001Norme ISO 27001Dmarche globale et cohrente?Dmarche globale et cohrente?

Confrence IDC Risk Management 2008Confrence IDC Risk Management 2008Paris, 7 fvrier 2008Paris, 7 fvrier 2008

AlexandreAlexandre Fernandez-ToroFernandez-Toro


2/15

Copyright Herv Schauer Consultants 2008 - Reproduction Interdite22

La srie ISO 2700xLa srie ISO 2700x

ISO 27001

ISO 27000Dfinitions

ISO 27003Implmentation

ISO 27004Indicateurs

ISO 27002Bonnes pratiques

ISO 27006Rgles daudit

ISO 27005Apprciation des risques


3/15


ISO 27005ISO 27005

Les mthodes dapprciation des risques sont nombreuses

EBIOS

MEHARI

CRAMM

ISO 13335-3

BS 7799-3

Octave

Mthodes maison

Etc.


4/15


ISO 27005ISO 27005

LISO 27005 na pas rinvent la rouePrincipales tapes de lISO 27005

Inventaire des actifs

Valorisation des actifs

Identification des menaces

Identification des vulnrabilits

Probabilit doccurrence

Niveau de risque

Traitement du risqueAcceptation / Refus / Transfert / Rduction

Risque rsiduel

Processus itratif


5/15


ISO 27005ISO 27005

Annexes : trs pragmatiques

Inventaire des actifs

Deux niveaux : primaire et secondaire

Liste des menaces

Influence de la DCSSI ?

Exemples de vulnrabilits

Exemples dapprciation des risques


6/15


ISO 27005ISO 27005

Pourquoi adopter lISO 27005 ?

Parce quelle reprend le meilleur des mthodes dapprciation desrisques.

Parce quelle est conforme aux exigences de lISO 27001

Et pour cause

A cause de lISO de ISO 27005


7/15


La srie ISO 2700xLa srie ISO 2700x

ISO 27001

ISO 27000Dfinitions

ISO 27003Implmentation


ISO 27002Bonnes pratiques

ISO 27006Rgles daudit

ISO 27005Apprciation des risques


8/15


Rappels sur lISO 27001Rappels sur lISO 27001

Norme prcisant les exigences pourLa mise en place

Lexploitation

Lamlioration

dun SMSI.

Clauses 4 8

Obligatoires

Pas dexceptions permises

Mesures de scurit de lannexe A

Slection en fonction du traitement du risque


9/15


ISO 27001 modle PDCAISO 27001 modle PDCA

ActionDo

PlanificationPlan

VrificationCheck

CorrectionAct

Partenaires

Fournisseurs

Clients

Pouvoirspublics

Services

Modle PDCA : Plan-Do-Check-ActAttentes etexigencesen terme de

scurit

Partenaires

Fournisseurs

Clients

Pouvoirspublics

Services

Scuriteffectivefournie


10/15


ISO 27001ISO 27001

Implmentation ISO 27001

Une ide reue

Faire une apprciation des risques

Faire de la documentation

En faitDfinir un primtre et une politique

Procder une apprciation des risques

Mettre en place des mesures de scurit

Rendre conforme lexistant au modle PDCA

Grer la documentation

Faire des audits internes

Faire du suivi dactions


11/15


ISO 27001ISO 27001

ISO 27001 et conformit

Sarbanes Oxley

SAS 70

PCI-DSS

Politiques de scurit groupe

Autres rfrentiels sectorielsPoints communs

Politique

Matrise des risques

Actions correctives et prventives

Formalisation de procdures

Gestion des incidents

Audits rguliers (audits internes et audits externes)

Indicateurs de conformit et defficacit


12/15


ISO 27001ISO 27001

ISO 27001 et autres mthodologies

ITIL

CMMI

CoBIT

Etc.


13/15


ISO 27001ISO 27001

ISO 27001 et autres certifications

ISO 9001

ISO 20000

Un mot dordre : mutualiserautant que possibleNe jamais refaire deux fois le mme travail

Identifier le plus en amont possible les opportunits demutualisation

Ce qui a t fait pour un rfrentiel doit tre rutilis pourlautre


14/15


ConclusionConclusion

ISO 27001Moteur de base


CoBITGouvernance

CMMIDveloppements

ITILProduction

ISO 27005Apprciation des

disques

ISO 27002Bonnes pratiques ISO 27001

SAS 70

PCI-DSS

Tout autrerfrentielscurit


15/15


[email protected]@hsc.fr

Conference IDC Alexandre Fernandez Toro

Documents

Transcript of Conference IDC Alexandre Fernandez Toro