Jeudi 17 janvier 2008

  • "La boîte à outil ISO 27001, un retour d'expérience sur l'utilisation de l'ISO 27001 pour la prise en compte de la sécurité dans l'externalisation de prestations informatiques" par Ludovic Jamart - SNCF
    Le support de cette présentation est disponible ICI

 

La boîte à outils 27001, un retour d'expérience sur l'utilisation de l'ISO 27001 pour la prise en compte de la sécurité dans l'externalisation de prestations informatiques" par Ludovic Jamart - SNCF

    • Contexte général :
      • Le client : un opérateur ferroviaire.
      • Un projet de la branche voyageur.
      • Cette direction (DSIV) gère, entre autres, la réservation des trains à grande vitesse.
      • Quelques chiffres : 130 millions de passagers, 600 mille dossiers.
    • Origine du projet :
      • Externalisation de l'informatique: développement, TMA, etc.: cette externalisation est encadrée par des centres de services (totalité de la prestation confiée, avec résultats -- forfait) et/ou de compétence (engagement de moyens). La mission concerne uniquement les prestations de TMA.
      • Constat actuel : La sécurité n'est pas systématiquement mesurée
    • Objectifs :
      • Disposer d'une assurance sécurité.
      • Garantir d'une gestion pérenne.
      • Suivre dans le temps le niveau de sécurité.
      • Répondre au besoin de visibilité
    • Démarche globale
      • 1. Etat des lieux
        • Définition du périmètre
        • Etat des lieux
        • Puis trois étapes :
          • 1. Inventaire ressource
          • 2. Constat, analyse de risque et prise d'action
          • 3. Validation de la direction du projet pour les risques
        • Restitution au client
        • Contractualisation
        • Définition d'un Plan d'Assurance Sécurité (PAS)
          • Rôles des acteurs DSIV
          • Rôles des prestataires
          • Contrôles et mesures issues de l'ISO 27002 et les directives PSSI SNCF
        • Sensibilisation et accompagnement du prestataire
        • Signature du PAS par les DSIV et le prestataire
      • 2. Mise en oeuvre du PAS
        • Appli et exploit des mesures techniques
          • Sécurité physique
          • Sécurité des accés
          • Sécurité des données
          • Etc. : tous autres points couverts par le PAS
        • Démarche
          • Méthode en phase avec l'ISO 27001
          • Selon PAS
          • Collecte preuve
          • Analyse des écarts
      • 3. Etape de contrôle
        • En fonction des écarts :
          • Remarques
          • Proposition de mesures
        • Garantir indépendance entre auditeur et auteur du PAS
      • 4. Application du plan
        • Point d'avancement
        • Mise à jour de l'analyse de risque
        • Mise à jour du PAS
    • Bilan
      • Définition méthode PAS
      • Déinition d'une méthode d'audit
      • Expérimentation sur un centre de service
      • Apport en gains
        • Démarche basée sur quatre étapes structurées, formalisées, dépendantes et systématiques
        • Pas de risque d'oubli
        • On dispose d'une confiance mesurable
      • Difficultés rencontrées
        • Accompagnement fort du prestataire
        • Investissement gagnant/gagnant
        • Prise en compte de la dimension du cadre juridico-contractuel : c'est un contrat cadre de la DSIV qui cadre l'ensemble des attentes vis-à-vis d'un prestataire.
      • Perspective
        • Systématisation de la démarche
        • Généralisation de la démarche aux autres DSI du groupe SNCF
        • Evolution vers une exigence de certification ISO 27001 comme critère de choix du prestataire externe.

 

  • Questions / RéponsesQ :
      Relation entre ITIL et 27001: la SNCF met-elle en oeuvre ITIL?
    R :
      Le DSI de la DSIV est président du comité ITIL France.
    Q :
      Comment vérifie-t-on que la cible de sécurité définie par EBIOS est respectée ?
    R :
      On complète le PAS au regard des attentes vis-à-vis du prestataire.
    Q :
      A quelle moment examine-t-on la conformité par rapport au PSSI?
    R :
      En fait quand la demande de mise a dispo de moyen est faite, les processus contractuels prévoient déjà les moyens. La mission de conseil sécurité vient préciser ces aspects.
    Q :
      Ce qu'on peut exiger de la part du prestataire, en terme de sécurité: quelle est la relation entre la PS interne et son extension à l'extérieur?
    R :
      On s'appuie sur la 27002 et la PSSI interne SNCF, mais on ne demande pas de RSSI dédié au prestataire. Lors de la première étape, on tient compte de l'existant, l'idée est de trouver le compromis entre risques d'externalisation et ce qu'on va demander au prestataire.
    Q :
      Quelle genre de preuve est demandé au prestataire ?
    R :
      On vérifie la prise en compte des exigences et on précise des points de contrôles spécifiques.
    Q :
      La sécurité était-elle prise en compte au niveau contractuelle?
    R :
      Les difficulté viennent de l'existant vis-à-vis des prestations déjà en cours. L'enjeu est de convaincre le prestataire et de ne pas lui imposer.
    Q :
      Charge de travail des divers acteurs? écarts observés?
    R :
      Hors phase état des lieux: moins de 30 jours et plus de 30 jours pour l'expérimentation. Définition du document: 1 journée. Audit: en fonction du centre. écart de sécurité: tout n'était pas bien.
    Q :
      Réaction des prestataires?
    R :
      Ils ne connaissaient pas ou peu l'ISO 27000. L'enjeu était de faire comprendre au prestataire que l'objectif n'était de monter son plan de charge.
    Q :
      Autres contrôles subies par SNCF?
    R :
      Oui, UIC, l'état, la comptabilité : mais on ne sait si ces contrôles adressent l'aspect SI.
    Q :
      Renégociations de contrat par les prestataires?
    R :
      Oui
    Q :
      Les prestataires ont-ils perçu l'intérêt de cette démarche ISO 27000 pour leurs autres clients?
    R :
      C'est trop tot pour répondre.

Publication des normes

    • DRAFT final de la 27005

Encore plus réduit, elle n'est pas retardée par l'ISO 31000... Mais elle devra s'aligner sur la 31000 (risques globaux: financiers, industriels, opérationnels, médicaux )! Au sein du groupe AFNOR: la traduction est indispensable. Donc à l'heure actuelle: 27001 traduites, la 27002 mal traduite et la 27005 sera traduite mais elle ne sera définitive que dans un an.

    • ISO 27001
        Valable pour la France
        Certification par un organisme Français
        Mais il y a des équivalents hors Fr, exemple: en Suisse

La 27001 sera norme homologuée, c'est-à-dire, ayant force de loi: publication au JO.
Il y a renversement de la preuve: c'est à la partie adverse de faire la preuve contre une partie certifiée 27001 White paper d'Hervé SCHAUER et du Cabinet Ben SOUSSAN publié par la Gazette du Palais (à venir).

Attention:

      Draft initial de la 27007 (guide d'audit d'un Système de Management), utilité réduite car: l'ISO 19011 va disparaître, ce qui pousse à attendre la 27011, pour les activités télécom, est sortie, de même que la 27791 pour les métiers médicaux et de santé. D'autres déclinaisons sectorielles sont en cours.

 

Mutualisation ISO 27001/ITIL

  • ISO 20000 : même cadre et on peut faire des échanges.
  • Approche par études de cas et au travers d'une méthodologie MDB de type ITIL : rédaction de fiches
  • IBM a la double certification
  • Toulouse : IBM a fait une présentation
  • Demandes venant de : Lyon et Sophia Antipolis
  • Le Clusir a planifié une réunion mutualisation 27001/ITIL à Lyon

La conférence de Novembre

  • 53 personnes ont assisté à la conférence
  • Beaucoup de bonnes présentations et une bonne initiative
  • Manifestation à reconduire avec Info Security si le club le souhaite
  • Intérêt de ce type de formation :
    • Donne une bonne visibilité au Club ISO 27001 et à la norme
    • Couplage avec le salon permet un public plus étendu
    • Logistique assurée par l'organisateur du salon (qui a été rémunéré car c'est lui qui reçu les participations à notre club a été bénévoles)
    • L'organisateur draine beaucoup de monde
    • Des retours très positifs tant pour le contenu que la manifestation
    • Sensibilisation à l'ISO 27001 facilitée car on a affaire à une population motivée par la sécurité
  • Questions / Réponses
Q :
      Quelles ont été les évaluations ?

R :
    Elles vont être passées au Club.
Q :
      A la prochaine session du Club, est-il possible d'avoir une restitution du groupe Mutualisation ITIL/27001 ?

R :
    Oui, si on si prend assez tôt.