[Newsletter HSC] N°32 - Avril 2007
Newsletter d'information de HSC
newsletter at hsc-news.com
Mar 3 Avr 13:19:39 CEST 2007
========================================================================
HSC Newsletter -- N°032 -- avril 2007
========================================================================
"Si les olympiades restent toujours l'objectif final,
chaque compétition est un défi en soi."
[Laure Manaudou]
"Si la natation est bonne pour la ligne, pourquoi
les baleines sont elles si grosses."
[Robert Mitchum]
--[ Sommaire ]----------------------------------------------------------
1. Prochaines formations HSC
2. Le Livre blanc de la sécurité
3. Agenda des interventions publiques
4. Tutoriels à Alger
5. JSSI de l'OSSIR le 22 mai
6. Nouveautés du web HSC
7. Compte-rendu 3ème conférence sur les normes ISO 27000/7799
8. Veille en vulnérabilités HSC
9. La sécurité "au jour d'aujourd'hui" - Hervé Schauer
L'analyse de risque avec ISO 27005
10. La sécurité "au jour d'aujourd'hui" - Hervé Schauer
Certifications ISO 27001 Lead Auditor
Version pour gens pressés
11. La sécurité "au jour d'aujourd'hui" - Hervé Schauer
Certifications ISO 27001 Lead Auditor
Plus les mensonges sont gros, mieux ils passent ?
Version pour curieux
--[ 1. Prochaines formations HSC ]--------------------------------------
Des places sont disponibles sur les modules suivants :
- Paris
Essentiel de la série des normes ISO27001 : 11 mai
Responsable d'implémentation ISO 27001 : 21 au 25 mai
ISO 27001 Lead Auditor .............. : 4 au 8 juin
DNS ............................... : 11 juin
Postfix et anti-spam .............. : 12 juin
Sécurité Internet/Intranet ........ : 13 et 14 juin
Fonctionnement des PKI .............. : 15 juin
ISO 27001 Lead Auditor .............. : 18 au 22 juin
Responsable d'implémentation ISO 27001 : 25 au 29 juin
ISO 27001 Lead Auditor .............. : 2 au 6 juillet
- Toulouse
Essentiel de la série des normes ISO27001 : 12 mars
ISO 27001 Lead Auditor ............ : février 2008
- Nantes
ISO 27001 Lead Auditor ............ : 16 au 20 avril
- Rennes
ISO 27001 Lead Auditor ............ : septembre 2007
- Strasbourg
Essentiel de la série des normes ISO27001 : 11 juin
- Lyon
ISO 27001 Lead Auditor ............ : 2 au 7 décembre 2007
- Genève
Sécurité des réseaux sans fil ..... : 17 avril
ISO 27001 Lead Auditor ............ : mai ou juin suivant
les souhaits des
stagiaires
Pour tout renseignement contactez Lynda Benchikh
formations at hsc.fr -- +33 141 409 704
Pour les formations sécurité des réseaux sans fil à Genève contactez
Aurélie Pernet, sales at idsa.ch
Tél : +41 22 879 8550 -- Fax : + 41 22 793 8632
http://www.idsa.ch/
Rappel : pour 4 jours de formation consécutifs commandés
simultanément par la même personne, le 5ème jour est offert (sauf
formations certifiantes).
Retrouvez le détail de nos formations (plan pédagogique, agenda) sur
http://www.hsc.fr/services/formations/index.html.fr
--[ 2. Le Livre blanc de la sécurité ]---------------------------------
HSC publie son livre blanc de la sécurité, le fruit d'un travail
commun d'une année entre les 15 consultants.
http://www.hsc.fr/ressources/pssi2007/Livre_blanc_politique_de_securite.pdf
--[ 3. Agenda des interventions publiques ]-----------------------------
- samedi 14 avril de 15h à 18h : Librairie Le Monde en Tique, 6 rue
Maître Albert, 75005 Paris
Séance de signature de livres en sécurité dont le livre "Sécurité
informatique - Principes et méthode" de Laurent Bloch et Christophe
Wolfhugel avec les préfaceurs dont Hervé Schauer
- 26 avril 2007 : Conférence Netfocus - Lille
"La certification ISO 27001 ? Le standard de demain ? Quel rôle dans
notre stratégie SSI ?" - Hervé Schauer
http://www.baptie.com/events/info.asp?e=98&page=about
Numéro vert : 0800 919 813
- 22 mai 2007 : Journées de la Sécurité des Systèmes d'Information
organisées par l'OSSIR - Paris
"Web 2.0 : plus d'ergonomie... et moins de sécurité ?" - Renaud Feil
http://www.ossir.org/jssi/jssi2007/
- 22 mai 2007 : Journées Logiciels libres et sécurité
organisées par le CETRIL - IBM, tour Descartes, Paris La Défense
"Détection de machines Linux compromises" - Louis Nyffenegger
- 24 mai 2007 : Eurosec 2007 - Paris
Table ronde : "La certification des entreprises est-elle une source
d'économie ?" - Hervé Schauer
"Comment se préparer à l'audit ISO 27001 ?" - Alexandre Fernandez
- 7 juin 2007 : CISO Executive Summit 2007 organisé par MIS Training
Institute - Nice, Hotel Negresco
"ISMS and ITIL" - Hervé Schauer
http://www.mistieurope.com/default.asp?Page=65&ProductID=6180
- 21 juin 2007 : 4èmes Rencontres Sécurité 2007 organisées par WEA - Paris
Introduction et animation de la journée - Hervé Schauer
http://www.rencontresecurite.com/
Retrouvez l'agenda de nos interventions publiques sur
http://www.hsc.fr/conferences/agenda.html.fr
--[ 4. Tutoriels à Alger ]----------------------------------------------
NT2S (www.nt2s.com) organise des formations à la sécurité assurées
par HSC à l'hôtel Sofitel d'Alger (Algérie).
- "Sécurité des réseaux sans fil" - Jérôme Poggi
24 et 25 avril
http://www.hsc.fr/conferences/NT2S07_securite_sansfil.html.fr
- "Sécurité des serveurs et applications web" - Olivier Dembour
29 et 30 mai
http://www.hsc.fr/conferences/NT2S06_securite_web.html.fr
- "Sécurité Windows" - Benjamin Arnault
26 et 27 juin
http://www.hsc.fr/conferences/NT2S06_securite_windows.html.fr
- "Mise en oeuvre des normes ISO 27001 et ISO27002" - Hervé Schauer
16 et 17 juillet
http://www.hsc.fr/conferences/NT2S07_iso27001.html.fr
La norme ISO 27001 est le nouveau numéro de l'ISO17799
Organisateur : NT2S (http://www.nt2s.com/)
Prix de chaque formation : 57 000 dinars
Contact : Sofiane Saadi, nt2s at yahoo.fr -- Tel : +213 21 67 86 14
--[ 5. Programme de la JSSI de l'OSSIR le 22 mai ]----------------------
La journée de la Sécurité des Systèmes d'Information organisée par
l'OSSIR, aura lieu le mardi 22 mai 2007 à Paris à la FIAP Jean Monnet,
30 rue Cabanis 75014 Paris (http://www.fiap.asso.fr/guide/plan_acces.htm)
sur le thème : "Le SI 2.0 : une évolution ou un bouleversement... pour
la sécurité ?"
Le programme est le suivant :
8h30 : Accueil des participants et café offert
9h10 : Bienvenue dans le Web 2.0, Nicolas Ruff, EADS
10h40 : L'impact du Web 2.0 sur les aspects juridiques, Eric Barbry, avocat
11h40 : Table Ronde, animée par Michel Miqueu (CNES), Nouveaux services,
nouvelles (ir)responsabilités ?
14h00 : Le Web 2.0 : plus d'ergonomie... et moins de sécurité ?, Renaud
Feil, Hervé Schauer Consultants
14h40 : L'opérateur passe au 2.0: la sécurité des réseaux de nouvelle
génération, Nicolas Fischbach, COLT
15h50 : Blogs, un concentré de problèmes à l'usage de tous ?, Cedric
Blancher, EADS
16h30 : Passé l'injection, Ajax entre en action, Philippe Humeau, NBS
17h10 : Clôture de la journée et discussions
Inscription : 75 euros, et 15 euros pour les adhérents de l'OSSIR.
L'inscription est validée après réception du règlement ou du bon de
commande par courrier postal adressé à l'OSSIR, 45 rue d'Ulm, 75230 Paris
cedex 05, en prévenant de votre envoi à jssi at ossir.org
L'OSSIR ne peut pas être jointe par télécopie ou par téléphone.
Le programme détaillé est disponible sur :
http://www.ossir.org/jssi2007/programme-jssi2007.html
--[ 6. Nouveautés du web HSC ]------------------------------------------
- "Sécurité des Postes Clients" par Benjamin Arnault
Présentation effectuée au CFSSI de la DCSSI le 29 mars 2007
http://www.hsc.fr/ressources/presentations/cfssi07-securite-poste-client/index.html
- "Journalisation et traitement d'incidents" par Raphaël Marichez
Présentation effectuée au CFSSI de la DCSSI le 29 mars 2007
http://www.hsc.fr/ressources/presentations/cfssi07-journaux/index.html
- "Normes ISO 27001" par Hervé Schauer
Présentation effectuée au stagiaires de la formation CFSSI de la DCSSI
http://www.hsc.fr/ressources/presentations/cfssi-iso27-intro/index.html
- "L'invasion des SPAM images" par Guillaume Lehembre
Editorial du numéro 4/2007 (23) de Hakin9, publié en avril 2007.
http://www.hsc.fr/ressources/articles/hakin9_edito_spam_images/index.html
- "VoIP et sécurité : retour d'expérience d'audits de sécurité" par
Hervé Schauer
Présentation effectuée à l'exposition et conférences Communications
over IP, le 14 mars 2007.
http://www.hsc.fr/ressources/presentations/coip07-voip-sec/index.html
- "Le spam et les menaces sur l'internet" par Raphaël Marichez
Présentation effectuée devant le Corps des Télécommunications à l'ENST
Paris, le 8 mars 2007.
http://www.hsc.fr/ressources/presentations/telecom-table-ronde-spam/index.html
--[ 7. 3ème conférence sur les normes ISO 27000/7799 ]------------------
Benjamin Arnault & Stéphane Milani
Le 6 mars dernier s'est déroulée au Cercle des Armées la 3e Conférence
Annuelle 27000/7799 organisée par le chapitre français de l'ISSA
(Information Systems Security Association, http://www.issafrance.org).
La journée a d'abord commencé par Patrick Morrissey, le Président
ISSA France, présentant la journée et informant que le nombre de
certificats délivrés dans le monde est passé de 2200 à 3300. Cependant,
il rappelle que la France est en retard concernant l'ISO 27001, alors
que notre nombre de certificats ISO 9001 et 14001 est comparable aux
autres pays.
Le manque de dialogue entre les managers et les hommes/femmes de la
sécurité apparaît comme un frein à cette évolution et ces derniers
doivent apprendre à parler business avec les managers afin de pouvoir
les convaincre. "Nos frères d'armes" (DSI et RSSI) ne doivent pas être
les seuls que nous devons chercher à convaincre de se faire certifier.
Aussi, les directions générales ne comprennent pas toutes ces normes
(ISO 27001, PMI, COBIT, CMMI, Six Sigma, ...) et c'est une nécessité
qu'il y ait une convergence des standards et méthodes.
A titre de comparaison, le nombre de certificats ISO 27001 délivrés
en Europe est le suivant:
- Royaume-Uni : 229 certificats fin 2006
- France : 2 certificats fin 2006
Prévus pour fin 2007:
- Royaume-Uni : 319 certificats
- France : 3 certificats
Après cette présentation de la journée, Ted Humphreys (XISEC UK),
qui est le père de la série des normes ISO 27000/BS7799, présente les
dernières nouvelles du monde 27000.
Il explique que 27001 regroupe 27000 (ISMS overview & terminology),
27002 (Information security controls, qui est l'ex-norme 17799), 27003
(ISMS implementation guide), 27004 (Information security management
measurements) et 27005 (ISMS Risk Management).
Aussi, 2 autres normes sont à prendre en compte : 27006 (ISMS
Accreditation requirements) et 27007 (ISMS audit guidelines).
Thierry Jardin d'Unilog Management présente ensuite les enjeux et
perspectives de la mise en place d'un SMSI certifiable 27001. Très
orienté obligation légale, il rappelle que la protection des actifs
(assets) est l'objectif de sécurisation du Système d'Information et
que la sécurité du SI doit assurer la protection du périmètre réel des
actifs immatériels. Cette protection des actifs est l'enjeu majeur pour
préserver la valeur de l'entreprise. Aussi, le périmètre de certains
actifs peut être flou mais être d'une valeur importante.
Il précise que les actifs peuvent être du savoir-faire, une bonne
gouvernance d'entreprise, les fichiers clients, les certifications, ...
et que le SI se situe entre les actifs immatériels et les actifs
informationnels.
Pour assurer une bonne gestion de la sécurité, le RSSI et le contrôle
interne doivent se rapprocher afin de travailler ensemble. Aussi,
l'engagement de la direction est un point clé du dispositif et la
sensibilisation des utilisateurs est primordiale.
Après une petite pause café, la matinée continue avec Vincent Manière
de Protiviti qui fait un résumé des autres référentiels existants et
pouvant aider à la réussite des SMSI.
Le CobiT (Control Objectives for IT), dont la 4ème édition a été publiée
en 2006, est de satisfaire aux besoins des 3 acteurs que sont les
utilisateurs, les auditeurs et le management des TI. Le concept est de
modéliser la gestion des SI en processus.
ITIL (IT Infrastructure Library), dont les mises à jour sont prévues
pour Mai 2007, contient 8 guides et essaie de s'aligner avec l'ISO 17799.
CMMI (Capability Maturity Model for Software puis transformé en CMMI)
est spécifiquement tourné sur le processus de développement des
applications informatiques.
Le référentiel permet d'avoir un langage commun et donc est une aide
dans la capacité à expliquer à des tiers, tels que par exemple les
commissaires aux comptes.
Philippe Bourdalé d'AC2 (AFAQ-AFNOR Certification) présente les
relations entre ITIL et ISO 27001 et explique que le but est
d'atteindre les besoins de sécurité interne et externe du SI afin
d'assurer une qualité de service.
La norme ISO 20000 est consacrée spécifiquement à la Gestion de Services
Informatiques et elle se fonde sur ITIL. ISO 20000, qui est une norme
issue de la BS 15000 (BSI), a été publiée le 10 novembre 2005 et est
une volonté de mise en place d'une certification d'un système de
management de services, absente de la normalisation internationale.
Les 2 parties présentes sont les exigences (spécifications) et les
recommandations (code de bonnes pratiques). Cette norme ne s'applique
pas à l'évaluation des produits. Il précise que la partie sur la
sécurité de l'information ne fait que 15 lignes dans l'ISO 20000.
Finalement, l'ISO 20000 répond à un besoin Production métier et
appelle à la mise en place du référentiel ISO 27001.
ISO 20000 est donc un levier vers ISO 27001.
La demi-journée se termine avec Pascal Basset, RSSI Europe de Thomson,
qui présente la sensibilisation chez Thomson.
Il explique qu'il s'agissait principalement d'un besoin commercial afin
de réduire les risques de pertes financières potentielles et démontrer
que Thomson est organisé.
La formation des collaborateurs et leur responsabilisation est l'objectif
principal. Ainsi, la sécurité comme toute autre discipline s'apprend et
la sécurité du SI est l'affaire de tous.
La formation de sensibilisation en ligne (e-learning) est ciblée en
fonction des populations et le contenu est en plusieurs langues avec un
soutien marketing interne très présent. La communication est donc un
élément essentiel du projet.
De plus, l'identification des objectifs pour le business est un élément
clé. Il précise que le métier ne peut pas mener un projet de cette
ampleur seul. Le contenu doit être validé par les différentes
organisations de l'entreprise, tout en recommandant que le RSSI se
positionne en animateur du programme et en fédérateur des différentes
énergies.
Lionel Vodzislawsky, d'Oppida (http://www.oppida.fr), présente les
tableaux de bord sécurité de l'information (TDBSSI) avec l'exemple de
la société Spot Image.
L'objectif de l'élaboration de tableaux de bord est le maintien du
niveau de sécurité sur les bons actifs, au bon moment avec les bons
coûts. Pour cela, une démarche de mise en oeuvre a été créée sur la base
de la méthode EBIOS. La méthode se voit étoffée d'un autre critère en
plus des trois critères d'EBIOS : l'auditabilité. Après un audit de la
situation et la définition d'un schéma directeur, la nécessité des TDBSSI
est apparue. Leur création s'effectue dans la continuité de la politique
de sécurité et de l'analyse de risques durant la phase d'exploitation du
système d'information sécurisé. Les TDBSSI ont été implémentés à trois
niveaux pour couvrir les besoins : stratégique, fonctionnel et
opérationnel. Leur consolidation a mis en évidence la prépondérance des
indicateurs stratégiques et a relativisé l'importance des indicateurs
opérationnels. Les indicateurs initialement au nombre de cent ont
finalement été réduits à moins de trente. La démarche de mise en place
des TDBSSI employée ici est comparable à la phase associée de l'ISO 27001
tout en s'appuyant sur la méthode EBIOS.
Le parallèle ISO 27001 et niveaux de sécurité est introduit par Eric
Wiatrowski d'Orange Business Services (http://www.orange-business.com).
Pour tout système de management, l'un des éléments essentiels est le
périmètre choisi.
Plusieurs exemples mettent en évidence l'importance du choix du
périmètre dans la réussite à long terme du système de management. L'ISO
27001 certifie des systèmes de management de la sécurité de l'information
et les critères communs certifient des niveaux de sécurité de produits.
Eric Wiatrowski pose la question de la définition de niveaux de sécurité
de l'information qui pourraient être associés à une certification ISO 27001.
Il propose également des profils pragmatiques pour chaque secteur
d'activité majeur concerné. Enfin, dans le cas d'un appel d'offre,
plusieurs éléments sont à étudier en plus de la présence d'une
certification ISO 27001 : la déclaration d'applicabilité couvre-t-elle
les besoins de sécurité ? Si un écart apparaît, est-il envisageable
d'ajouter de nouvelles exigences de sécurité ? L'auditabilité et la
continuité (PDCA) sont-elles détaillées ?
Le Professeur Jean-Paul Louisot évoque la norme 25700 qui a trait
aux risques et à leur gestion. Actuellement, il n'y a pas de cadre de
référence pour la gestion des risques. Le Professeur Louisot présente
l'ERM (Enterprise-Wide Risk-Management) : la gestion globale et intégrée
des risques. La principale difficulté réside dans la définition d'un
risque acceptable. Il faut donner les capacités de gérer le risque aux
opérationnels dès que le risque apparaît. Le Chief Risk Officer doit
définir un cadre et une culture de référence pour le risque. A tout
instant, il faut se poser la question "Est-ce que ce que je mets en place
est adapté au Risque ? ". Le standard australien A/NZ 4360 est la base
pour la définition de l'ISO 25700.
La gestion des risques implique de nombreuses contraintes et défis :
gagner l'appui de la direction, quantifier convenablement le risque,
responsabiliser les acteurs, intégrer cette gestion dans la stratégie
de l'organisation et l'interfacer avec la gestion du changement. D'où
la nécessité de définir une politique de gestion des risques et
d'organiser un comité de suivi du risque. Les axes majeurs d'une
gestion des risques appropriée sont la bonne communication interne et
l'évaluation des processus de gestion mis en place.
La gestion du risque permet la survie à long terme de l'entreprise. "Le
risque majeur c'est de ne pas prendre de risques".
La journée se termine par une table ronde animée par Eric Doyen du
Crédit Immobilier de France (http://www.credit-immobilier-de-france.fr),
qui rassemble Alexandre Fernandez d'HSC (http://www.hsc.fr), Anne Coat-Rames
d'AQL (http://www.aql.fr), Philippe Bourdalé d'AC2 (AFAQ-AFNOR
Certification) (http://www.afnor.org), Ali Dincmen de BVQI
(http://certification.bureauveritas.com), Philippe Bouchet de LSTI
(http://www.lsti.fr) et Guillaume Bur de SGS (http://www.sgs.com). Le
thème abordé est "Accréditeur, Certificateurs, Auditeurs, Audités = Quelles
responsabilités, Quelles obligations ?". Selon Eric Doyen, la sécurité
est de plus en plus perçue comme un risque majeur pour l'entreprise.
Anne COAT affirme que la sécurité ne peut que s'inscrire dans une
démarche existante. Philippe Bourdalé précise que l'engagement concret
des entreprises pour les normes se fait sentir avec des perspectives de
certification pour 2007-2008, en particulier pour les PME. Alexandre
Fernandez détaille les différentes positions actuelles des entreprises
vis à vis de la certification et qui diffèrent selon la maturité du
système d'information. Deux grandes motivations se dessinent : pour les
grandes entreprises, c'est un besoin interne métier, affirme BVQI, tandis
que pour les PME c'est une pression des parties prenantes, complète
Alexandre Fernandez. Guillaume Bur ajoute que la motivation s'inscrira
selon deux axes : des leaders vers les petits acteurs d'une part et
sectoriellement d'autre part. Philippe Bouchet affirme que "La norme
27001 est jeune, il ne faut pas aller plus vite que l'inertie progressive
d'acceptation". Dans l'esprit de la norme ISO 27001, la survie du
business est le souci majeur, conclut Guilllaume Bur.
En France, la certification ISO 27001 des organismes connaît une
croissance relative. Le marché n'a pas encore poussé massivement les
entreprises à se certifier. Cependant, le développement des normes de
série 27000, en particulier la norme 27005 pour l'analyse des risques, ne
peut qu'inciter les responsables informatiques à s'y intéresser.
Aujourd'hui, nous constatons l'engouement des professionnels pour la
norme ISO 27001 au travers des certifications de personnes qui connaissent
une croissance constante. Avec le développement de la norme ISO 20000,
les responsables informatiques auront à leur disposition des outils pour
supporter le développement de systèmes de management de la sécurité de
l'information.
--[ 8. Veille en vulnérabilités HSC ]-----------------------------------
1249 01-03-2007 Vulnérabilité dans le client pour Windows du serveur
de présentation de Citrix
1250 01-03-2007 Vulnérabilité dans les produits Cisco Catalyst 6000,
6500 Series et 7600 Series NAM
1251 01-03-2007 Dénis de service sur les produits Cisco Catalyst 6000,
6500 et Cisco 7600 series
1252 02-03-2007 Exécution de code arbitraire dans la passerelle SMTP
Symantec Mail Security
1253 05-03-2007 Débordement de mémoire dans le connecteur jk d'Apache
Tomcat
1254 19-03-2007 Multiples vulnérabilités dans CA BrightStor ARCserve
1256 29-03-2007 Multiples vulnérabilités dans IBM Lotus Domino et
Lotus Domino Web Access
1255 22-03-2007 Déni de service dans Squid
1257 29-03-2007 Mutiples vulnérabilités dans le CallManager de Cisco
--[ 9. La sécurité "au jour d'aujourd'hui" - H. Schauer ]---------------
L'analyse de risque avec ISO 27005
En janvier dernier, la norme ISO 27005 a atteint le stade final de
document de travail du comité de normalisation. Sauf incident de
parcours, la norme sera donc publiée dans un an.
L'ISO 27005 est un guide de mise en oeuvre de la partie appréciation
des risques de la sécurité de l'information de l'ISO 27001. C'est-à-dire
que dans la norme ISO 27001, les article 4.2.1 c) à 4.2.1 f) 4), plus
le 4.2.3.d), qui représentent une page plus 3 ou 4 lignes, ont été
explicités dans un guide de 64 pages : 28 pages normative et 36 pages
d'annexes.
Guide d'"appréciation des risques" car pour y voir clair il
convient de traduire "risk assessment" par "appréciation des risques"
ou "appréciation du risque" et "risk analysis" par "analyse de risque.
Cependant, il s'agit bien là en langage courant d'une norme complète
d'analyse de risque pour la sécurité des systèmes d'information, et
en cela c'est une première.
Une norme est un consensus entre les acteurs du marché qui
représente le noyau commun sur lequel tout le monde a réussi à
s'entendre, elle ne peut donc être plus exhaustive que les méthodes
qui l'on précédé.
Cependant, la norme ISO 27005 est complète et autonome et se positionne
donc comme la méthodologie qui sera universellement adoptée de par
le monde pour l'appréciation des risques en SSI.
Dans cette norme se retrouvent les influences des méthodes déjà bien
connues, en premier lieu les rapports techniques de l'ISO sur le sujet
développés depuis le début des années 1990 (ISO TR 1335-2 puis ISO
TR 1335-3), en second lieu la filière britannique CRAMM (1985) ->
BSI PD 3002 (1998) -> BSI BS7799-3 (2006), mais aussi des influences
européennes continentales comme EBIOS (1997) qui transparaissent dans
la norme.
Cf : http://www.hsc.fr/ressources/presentations/cfssi-iso27-intro/img29.html
L'ISO 27005 défini un processus de gestion de risque, qui s'articule
en Plan-Do-Check-Act comme le SMSI, et qui s'applique librement à
tout sous-ensemble du SMSI :
Plan... Identifier, quantifier et analyser les risques
Choisir les actions appropriées pour réduire les risques
Do..... Implémenter les actions pour réduire les risques
Eduquer la direction et le personnel sur les risques
Check.. Surveiller et réexaminer les résultats, l'efficacité et
l'efficience du processus de gestion de risque
Act.... Rectifier le traitement du risque
Améliorer le processus de gestion du risque
Cf : http://www.hsc.fr/ressources/presentations/cfssi-iso27-intro/img33.html
Le processus de gestion du risque est décomposé en deux activités
séquentielles et itératives :
- L'appréciation du risque
- Le traitement du risque
Cette approche itérative est conçue pour s'adapter aux réalités des
entreprises où il faut faire les choses rapidement de manière un peu
grossière au départ, avant d'améliorer la finesse de l'analyse plus
tard lors d'itérations ultérieures. Cela garanti une appréciation des
risques élevés en minimisant le temps et l'effort consenti dans
l'identification des mesures de sécurité. Si certaines informations
manquent, certains interlocuteurs clés peu bavards, le processus avance
quand même.
Cf: http://www.hsc.fr/ressources/presentations/cfssi-iso27-intro/img34.html
Après ces deux étapes itératives il y a l'acceptation du risque,
c'est-à-dire l'approbation par la direction des choix effectués lors
du traitement du risque. Deux activités continues complètent la gestion
de risque : la communication du risque et le réexamen du processus de
gestion de risques.
CF: http://www.hsc.fr/ressources/presentations/cfssi-iso27-intro/img37.html
En amont de l'appréciation du risque, un premier processus est
l'établissement du contexte où est délimité le champs du processus
de gestion de risque, les contraintes qui pèsent sur l'organisme et où
sont définis des critères de base :
- critères d'évaluation des risques, qui doivent être cohérents avec
l'évaluation des actifs faite dans l'activité suivante
- critères d'impact, car un incident peut affecter tout ou partie d'un
actif ou plusieurs actifs
- critères d'acceptation des risques
L'appréciation du risque est découpée en deux activités et l'analyse
de risque est elle-même découpée en deux sous-activités :
- l'analyse de risque
- l'identification des risques
- l'estimation des risques
- l'évaluation du risque
L'identification des risques est d'abord l'identification des
actifs, actif primaires : les activités métier et l'information, ou
secondaires comme un serveur, avec leur propriétaire et une évaluation
de la valeur de ces actifs pour obtenir un tableau unique avec une
échelle valable globalement pour évaluer les actifs. Ensuite sont
identifiées pour chaque actif étudié les menaces, puis les
vulnérabilités, puis les conséquences, c'est-à-dire les dommages
possibles quand une menace exploite une vulnérabilité sur cet actif,
et enfin les mesures de sécurité existantes, car chacun sait que l'on ne
part pas de zéro et donc souvent c'est à partir des mesures de sécurité
en place que l'on retrouve ce pourquoi l'on voulait se protéger.
L'estimation des risques consiste à évaluer les conséquences et
les probabilités d'occurence des menaces, analyser les vulnérabilités,
pour ensuite estimer les niveaux de risques. C'est là où la norme
n'impose aucune formule entre la qualitatif et le quantitatif, en
proposant trois possibilités de calcul en annexe à titre informatif.
C'est là où les possibilités pour des méthodes propriétaires demeurent
ouvertes.
L'évaluation du risque ensuite est la prise de décision par
comparaison des niveaux de risque.
Le second processus traitement de risque consiste dans les 4 choix
classiques en intégrant les coûts, puis leur mise en oeuvre dans la
réalité :
- refuser ou éviter le risque
- transférer le risque
- réduire le risque par l'application de mesures de sécurité
- conserver le risque
Chaque phase unitaire de l'ISO 27005 est détaillée dans la norme
avec les données en entrée, le traitement réalisé et les résultats en
sortie (comme dans EBIOS).
Si l'ISO 27001 peut être complété en allant rechercher ailleurs,
elle détaille de manière exhaustive avec des annexes suffisantes plus
qu'il n'en faut pour mener à bien l'appréciation des risques dans un
SMSI. Cela n'interdit pas aux méthodologies existantes de continuer à
évoluer, cependant celles-ci auraient sans doute intérêt à se placer
comme conformes à l'ISO 27005.
La formation Responsable d'Implémentation ISO 27001 (ou ISO 27001
Lead Implementer) inclue une formation complète à l'usage de la
méthodologie d'analyse de risque ISO 27005.
La formation responsable d'implémentation :
http://www.hsc.fr/services/formations/responsable_implementation_iso27001.html.fr
Transparents d'introduction à la norme ISO 27005 :
http://www.hsc.fr/ressources/presentations/cfssi-iso27-intro/img28.html
--[ 10. La sécurité "au jour d'aujourd'hui" - H. Schauer ]--------------
Certifications ISO 27001 Lead Auditor
Version pour gens pressés
Les formations certifiantes proposées par HSC sont réalisées dans
les règles de l'art et dans le respect de la norme ISO 17024 qui
permet de demander une accréditation de la formation :
1) La formation réalisée par HSC et l'examen réalisé par l'organisme
de certification LSTI sont indépendants. HSC est une société de
conseil et de formation.
2) Le contenu (support, exercices, corrections) de la formation HSC a
été validé par l'organisme de certification LSTI.
3) Les formateurs HSC ont été validés par l'organisme de certification
LSTI.
Les formations ISO 27001 HSC sont toujours dispensées par un binôme,
afin de pouvoir noter les remarques des stagiaires et les améliorations
à faire sur le support de cours ou les exercices en temps réel.
Les formateurs sont des consultants dont les principales missions sont
l'assistance à la mise en oeuvre de SMSI ou l'audit de SMSI juste avant
leur certification. Ces formateurs possèdent de nombreuses certifications
(BS7799 & ISO27001 Lead Auditor, CISSP, ITIL practionner) et sont
impliqués dans l'application et l'avenir des normes qu'ils enseignent
(normalisation, club ISO27001, club EBIOS).
La formation HSC et la certification délivrée par LSTI sont
reconnues internationalement au même niveau et au même titre que
d'autres formations et examens disponibles sur le marché, y compris
ceux dans d'autres langues. HSC et LSTI respectent toutes les
exigences de l'accréditation ISO 17024 et des registres d'auditeurs.
--[ 11. La sécurité "au jour d'aujourd'hui" - H. Schauer ]--------------
Certifications ISO 27001 Lead Auditor
Plus les mensonges sont gros, mieux ils passent ?
Version pour curieux
Le terme certification est utilisé dans de nombreux contextes dans
lesquels il revêt une signification variable : labellisation, agrément,
validation, qualification, certification constructeur, labellisation
par des associations, etc. Or il existe une signification très précise
de la certification de conformité définie dans les normes internationales
(ISO 17021, ISO 17024, EN NF 45011), normes élaborées et maintenues par
le CASCO (organisme de l'ISO). L'application par les organismes de
certification de ces normes contraignantes en terme d'indépendance,
d'impartialité, de rigueur et de compétences est vérifiée dans chaque
pays par des organismes d'accréditation. Il y a au moins un organisme
par pays, qui se reconnaissent mutuellement dans l'IAF (www.iaf.nu) -
International Accreditation Forum - et qui dépendent généralement de
l'administration publique. En France c'est le COFRAC (www.cofrac.fr),
association sous tutelle du ministère de l'industrie, qui est en
charge de ces vérifications. Cette accréditation est volontaire, sauf
quand elle est rendue obligatoire pour des cas particuliers par la
législation, cas par exemple de la signature électronique.
L'accrédication apporte à l'organisme de certification la
reconnaissance internationale de ses certificats. Sans accréditation,
c'est la reconnaissance du marché qui fait la valeur de la certification,
c'est le cas des certifications à l'issue des formations constructeurs
par exemple.
ISO 27001 Lead Auditor est une formation et une certification
individuelle à l'audit de certification d'un SMSI (Système de Management
de la Sécurité de l'Information). Cette certification "ISO 27001 Lead
Auditor" délivrée par l'organisme de certification LSTI (www.lsti.fr)
entre dans ce contexte puisque dès le départ, HSC et LSTI ont appliqué
les règles de la norme ISO 17024 "Evaluation de la conformité -
exigences générales pour les organismes de certification procédant à
la certification de personnes", dans l'objectif de demander
l'accréditation.
ISO 27001 Lead Auditor n'est pas une formation à l'audit de conseil,
ni une formation à la mise en place d'un SMSI, pour cela HSC propose une
autre formation de responsable d'implémentation ISO 27001 (ou ISO 27001
Lead Implementer en version internationale). C'est une formation qui
prépare le responsable d'implémentation à l'audit de SMSI.
Les formations certifiantes proposées par HSC sont réalisées dans
les règles de l'art et dans le respect de la norme ISO 17024 qui
permet de demander une accréditation de la formation :
1) La formation réalisée par HSC et l'examen réalisé par l'organisme
de certification LSTI sont indépendants. HSC est une société de
conseil et de formation. LSTI est une société de certification,
accréditée pour la certification des SMSI (ISO 27001) sous le
n°4-0063 par le COFRAC.
2) Les supports de formation HSC ont été validés par l'organisme de
certification LSTI.
Les support de cours, exercices, et corrections des exercices
représentent environ 350 pages pour Lead Auditor et 400 pages pour
Lead Implementer (responsable d'implémentation).
3) Les formateurs HSC ont été validés par l'organisme de certification
LSTI.
La formation HSC dure 40 heures, découpées en 31h30 de cours, 5h
d'exercices individuels réalisés chez soi, et 3h30 d'examen.
Les formateurs HSC sont toujours en binôme (deux dans la salle de
cours), afin de pouvoir noter les remarques des stagiaires et les
améliorations à faire sur le support de cours ou les exercices en
temps réel. Les formateurs sont des consultants dont les principales
missions sont l'assistance à la mise en oeuvre de SMSI ou l'audit de
SMSI juste avant leur certification :
- Alexandre Fernandez, responsable des activités ISO 27001 chez HSC,
Certifié BS7799 Lead Auditor par le BSI
Certifié ISO27001 Lead Auditor par LSTI
Certifié CISSP et ITIL practitionner
Membre du club EBIOS et du club ISO 27001 (www.club-iso27001.fr)
Auditeur de SMSI pour plusieurs organismes de certification
- Hervé Schauer, directeur d'HSC
Certifié ISO27001 Lead Auditor par LSTI
Certifié CISSP, ProCSSI et ITIL
Participant à la normalisation en sécurité à l'AFNOR
depuis 1990 et à la CN27 depuis sa création en 1993
Fondateur et animateur du Club ISO 27001
Membre du groupe ISO 27001 (indicateurs ISO 27004) du Clusif
Membre du Club EBIOS
- Benjamin Arnault, consultant
Certifié ISO27001 Lead Auditor par LSTI
Certifié ITIL et GIAC GCFA
Membre du Club ISO 27001
- Anne Lupfer, consultante
Certifiée ISO27001 Lead Auditor par LSTI
Certifiée ITIL
Membre du Club ISO 27001
La formation HSC et la certification délivrée par LSTI sont
reconnues internationalement au même niveau et au même titre que
d'autres formations et examens disponibles sur le marché, y compris
ceux dans d'autres langues. HSC et LSTI respectent toutes les
exigences de l'accréditation ISO 17024 et des registres d'auditeurs.
Il existe enfin des registres d'auditeurs, des services payants par
des sociétés telles que ICA, IRCA ou RABQSA. L'acceptation par une
société d'enregistrement d'auditeurs ne remplace pas et ne possède pas
la même valeur que l'accréditation, seule reconnaissance qui entre dans
le cadre de la reconnaissance internationale.
Les registres d'auditeurs ont longtemps fait croire qu'ils
représentaient la reconnaissance internationale, or c'est l'accréditation
qui représente cette reconnaissance. Ces registres ont créés une
reconnaissance mutuelle entre eux par des accords bilatéraux entre
les registres d'auditeurs, et se sont regroupés dans une association.
Cependant, aucun accord bilatéral de reconnaissance mutuelle n'a
jamais existé sur "ISMS Lead Auditor", ni "ISMS Lead Implementer".
Les accords de reconnaissance mutuels passés concernent les auditeurs
dans la qualité (ISO 9001), l'environnement (ISO 14001) ou la sécurité
et la santé au travail (OHSAS 18001), ainsi qu'un accord de "transition
arrangement" qui simplifie une partie des procédures pour les ISMS
Lead Auditor entre les deux principales sociétés de registre
d'auditeurs dans le monde RABQSA et IRCA.
Depuis 2007, ces registres tentent de réorganiser une nouvelle
reconnaissance internationale au travers de l'IPC (International Personnel
Certification Association) (www.iatca.com), anciennement IATCA
(International Auditor and Training Certification Association). L'IPC,
après avoir annoncé qu'il se positionnait comme organisme d'accréditation
avant de changer sa communication, se propose de prendre le relais de l'IAF
(International Accreditation Forum) qui n'a pas homogénéisé suffisamment
à ses yeux les accréditations ISO 17024 des organismes de certifications
d'auditeurs. L'IPC n'a pas d'enregistrement des formations et examens
ISMS Lead Auditor et n'a pas encore planifié de date pour la publication
d'un schéma d'approbation pour les formations et examens ISMS Lead
Auditor. Seules les formations et examens QMS Lead Auditor et EMS
Lead Auditor ont un schéma d'approbation. Le fait que des associations
définissent et valident des cursus de formation et des examens type
dans leur domaine professionnel est un excellent facteur de réussite
pour une certification basée sur l'accréditation mais elle ne la
remplace pas, aussi l'IPC impose désormais comme pré requis
l'accréditation ISO 17024 de la formation et la certification.
L'appartenance d'un registre d'auditeur à l'IPC pour leur examen QMS
Lead Auditor ou EMS Lead Auditor n'implique en aucun cas que leur
formation ISMS Lead Auditor est ou sera également reconnue
internationalement.
Ceci d'autant plus si cette formation n'est pas accréditée ISO 17024.
LSTI est registre d'auditeurs et publie sans supplément de prix les
auditeurs certifiés par LSTI qui en ont fait la demande :
http://www.lsti.fr/Portal_Asp/display_cat.asp?cat_id=16
HSC remercie les 150 certifiés à l'issue de nos formations
inter-entreprises, venus au cours des 18 derniers mois de 8 pays.
Grâce à eux HSC est le premier organisme francophone de formations
ISO 27001 Lead Auditor et ISO 27001 Lead Implementer.
Formation d'auditeur :
http://www.hsc.fr/services/formations/certification_iso27001.html.fr
Formation d'implémenteur :
http://www.hsc.fr/services/formations/responsable_implementation_iso27001.html.fr
Rappel du titre : "Plus les mensonges sont gros, mieux ils passent ?"
Signalez moi toute erreur, ce n'est pas un mensonge de ma part, cela
serait réellement involontaire.
Plus d'informations sur la liste de diffusion newsletter