Jeudi 22 janvier 2009

Ordre du jour :

  • Gouvernance et pilotage de la sécurité de l'information par Pierre De Thomasson, Hapsis

Le support de cette présentation est disponible ICI

  • PCI-DSS / ISO 27001 : une approche commune a t-elle du sens ? par Rodolphe Simonetti, auditeur PCI-DSS chez Verizon

Le support de cette présentation est disponible ICI

  • Point sur l'actualité du Club

Gouvernance et pilotage de la sécurité de l'information, par Pierre De Thomasson, Hapsis

Description de la gouvernance de SSI et des 5 composantes qui la soutiennent :

  • Alignement de la stratégie SSI avec celle de l’entreprise
  • Réduction des risques par la mise en place de mesure de sécurité
  • Mesures d’efficacité de l’utilisation des ressources
  • Mesure de performances des services sécurité délivrés
  • Optimisation des investissements en sécurité


Les principes reposent sur un pilotage par les risques en SSI dont découle une organisation par processus de sécurité SI.
Cette organisation est établie en cohérence avec les normes et meilleures pratiques en la matière (ISO 27001/ 27002, ITIL, CObIT).
Un Référentiel organisationnel déclinant les contrôles de l’ISO 27002 a été établi en se basant sur une cinquantaine de processus SSI.
Chaque processus de sécurité SI est constitué d’un ou plusieurs sous-processus en correspondance avec les activités ITIL.
Pour chaque processus, un ensemble de sous-processus SSI est défini ainsi que des activités SSI.
Un processus est décrit par :

  • son objectif
  • ses sous-processus SSI

Ces derniers sont définis par des activités SSI qualifiées selon le modèle RACI du CObIT (RACI : Responsable (s) ; Autorité ; Contributeur(s) ou Consulté(s) ; Informé(s))

Les processus font l’objet de mesures qui servent à l’établissement de tableaux de bord sous l’angle « Prise de décision », c'est-à-dire, qu’ils traitent du management opérationnel et décisionnel de la sécurité.
Les tableaux de bord Opérationnels permettent un suivi d’objectifs opérationnels fixés au Management en ciblant notamment la Performance des tâches / activités liées à la SSI. Ils sont constitués à partir d’Indicateurs Clés de Performance (ICP) qui reflète le niveau de maîtrise opérationnelle des processus de sécurité.

Les tableaux de bord stratégiques reportent les mesures des résultats atteints par l’entreprise, compte tenu de la stratégie mise en œuvre en ciblant Niveau de maîtrise des risques. Ils sont élaborés à partir d’Indicateurs Clés d’Objectif (ICO) portant sur le niveau d’efficacité globale du processus de sécurité
Ces deux tableaux de bords prennent en compte l’efficacité globale des processus SSI et sont orientés Balanced scorecard.

Ces tableaux de bords sont complétés par une activité permanente de contrôle réalisé suivant les contrôles de Niveau 1 (N1) portant sur la mise en œuvre opérationnelle et la justesse des opérations de sécurité et des contrôles de Niveau 2 (N2) portant sur la pertinence et l’efficacité des contrôles N1.

Cette approche a pour objectif d’organiser la SSI en vue de son intégration dans les processus opérationnels ainsi que de la piloter dans le respect des meilleures pratiques.

PCI-DSS / ISO 27001 : une approche commune a t-elle du sens ? par Rodolphe Simonetti, auditeur PCI-DSS chez Verizon

Un rappel sur les données porteurs, les risques, coûts et conséquences de la fraude permettent de donner une vision de l’état des lieux et des besoins en standardisation.
Le Payment Card Industry (PCI) Security Standards Council (SSC) est l’organisme en charge de l’élaboration et de la gestion de plusieurs standards dont PCI-DSS. Parmi ses objectifs, on peut retenir l’amélioration de la sécurité des paiements, favoriser l’adoption des standards PCI et favoriser la participation des acteurs tels que les banques, les marchands et les Payment Service Providers à la définition de ceux-ci.
PCI SSC ne gère pas les modalités d’application des standards PCI, les processus de validation ou les publications relatives aux entités conformes PCI DSS … qui sont le fait des réseaux de cartes.

PCI-DSS est un standard dont les principaux buts sont de protéger les données cartes et de réduire la fraude. Il est constitué de 12 chapitres regroupés en 6 sections.
Les entités concernées par la mise en conformité à ce standard sont soit de type marchand, soit de type Payment Service Provider (PSP). Ces deux types d’entités sont classifiés selon plusieurs niveaux en fonction du volume de transactions traitées. Les méthodes de validation de conformité au standard PCI-DSS différent selon le type d’entités et les niveaux de classification.

La démarche de mise en conformité PCI-DSS est structurée autour d’étapes allant de la préparation au maintien de la conformité. L’étape primordiale est celle d’identification et d’ajustement du périmètre. L’activité d’ajustement a pour objectif d’obtenir le périmètre minimal d’application et d’audit des mesures PCI-DSS.

Cette notion de périmètre présent dans le standard PCI-DSS permet un rapprochement vis-à-vis de la norme ISO 27001. En effet PCI DSS et ISO 27001 sont complémentaires sur un certain nombre d’élément et surtout ils s’entretiennent par leurs points de contrôles et leur approche itérative. Par exemple, les points de contrôles PCI-DSS peuvent servir de points complémentaires dans le SoA, la mise en place d’un SMSI apporte une approche PDCA.
Une approche commune est envisageable et a un sens si on peut faire cohabiter le périmètre PCI-DSS défini par le standard et le périmètre du SMSI.
Cette approche commune aurait comme principal avantage, la réduction des coûts en regards de ceux engendrés par une mise en conformité séparée PCI-DSS et ISO27001.

Point sur l'actualité du Club-27001

Les réunions du Club-27001 se dérouleront tous les deux mois suivant la planification suivante convenue en séance :

  • Jeudi 19 mars 2009 – lieu à confirmer
  • Jeudi 28 mai 2009 – lieu à confirmer
  • Jeudi 17 septembre 2009 – lieu à confirmer
  • Jeudi 19 novembre 2009 – lieu à confirmer

La participation au salon Infosecurity 2009 (8/9 décembre 2009) est à l’étude (conférence annuelle de l’association ou autre activité)

Eric Doyen rappelle que le groupe de travail animé par Alexandre Fernandez-Toro sur la mutualisation ITIL/ ISO20000 et ISO27001 se réunira tous les matins des sessions du Club-27001. De plus un article rédigé par Philippe Humeau sur l’activité de ce groupe de travail est paru dans le dernier itSMf-MAG n°21. Le groupe de travail prévoit une prochaine mise à disposition de fiche de mutualisation.

Hervé Schauer rappelle que des présentations de produits sont possibles en fonction de leur valeur ajoutées vis-à-vis des problématiques qui nous intéressent et que les retours d’expériences (REX) d’organismes certifiés sont les bienvenus.