Jeudi 19 avril 2007

  • "Opportunités de mutualisation entre ISO 27001 et ITIL" par Alexandre Fernandez-Toro - HSC
  • Point sur le groupe toulousain

La présentation de Alexandre Fernandez-Toro est disponible ICI.

 

La réunion s'est déroulée chez Unilog.

 

  • "Opportunités de mutualisation entre ISO 27001 et ITIL

Voici les remarques additionnelles aux slides :

ISO 27001 : la roue P-D-C-A se fait sur des systèmes fractals, y compris sur la mise en oeuvre de mesures de sécurité choisies dans l'Annexe A.

#S5

Différence entre la théorie et la pratique. Dans la vraie vie, des mesures de sécurité existent avant la mise en oeuvre du SMSI initial. Pour aligner le SMSI à la réalité le responsable doit souvent faire une rétro-analyse de risques et remettre la documentation existante (ou pas) au formalisme PDCA.

#S7

Importance des difficultés dans la mise en oeuvre du SMSI et des similitudes avec l'approche ITIL.

#S13 à S16

Correspondance entre les clauses 4 à 8 de l'ISO 27001 et les process ITIL. Il y a une opportunité de réutilisation mais cela ne peut pas se faire simplement car des différences existent y compris lorsque les appellations des thèmes sont identiques (ex : incident management).

#S17

Dans ITIL on retrouve de manière sous-jacente la roue PDCA. Le recensement des actifs ITI (CMDB) peut être utile pour la 27001 mais prendre garde que ce recensement est très orienté informatique et que le périmètre du SMSI peut être plus vaste.

Q : Les documentations de cartographie sont-ils indispensable ?

R : Selon Thierry Jardin, oui pour l'identification des actifs car 76% des actifs sont immatériels.(Source : étude de la banque mondiale pour la France couvrant l'ensemble des secteurs.) Par ailleurs, l'observatoire indique une fourchette comprise entre 75% et 80% suivant 34 critères et 151 indicateurs.

#S21 à S26

Selon les thèmes, les similitudes peuvent être plus ou moins directes voir parfois être ambiguës.
Exemple slide 26 : dans les sous-systèmes d'une grande société, la maison mère devait être considérée comme un tiers fournisseur de services support communs à ses filiales. Importance dans ce cas du OSA (Operational Service Agreement) au sein de la société.

#S28 et 29 : faux et vrais amis

Les deux "normes" ont un été d'esprit identique en raison de leur origine anglo-saxonne. Dans les deux cas, les notions de planification, de contrôle et d'amélioration sont présentes.
Remarque de Thierry Jardin : Attention aux interprétations différentes, dans ITIL le traitement des incidents concerne la production IT alors que dans l'ISO 27001 un incident de sécurité peut provenir d'une fraude et concerner un service particulier de l'entreprise.

#S30 : les différences

ITIL

ISO 27001

Orienté business

Orienté confiance

Système informatique

Système d’information

Pas de certification

Certification possible

Bonnes pratiques

Exigences obligatoires

Recherches possibles

Etablir un tableau exhaustif des correspondances mais également des opportunités de mutualisation. Un sous-groupe de travail pourrait se constituer à cet effet s'il y a des volontaires (Natixis indique son intérêt).

Evolution de ITIL vers ISO 20000-1 pour lequel il existe un réel PDCA et une certification. Cette approche devrait aider les démarches de certification Sarbanes-Oxley en lieu et place de rapports d'audits SAS-70.

Thierry Jardin : aujourd'hui, l'attente des entreprises est de mutualiser l'approche d'analyse des risques entre les risques projets, les risques opérationnels et les risques liés à la sécurité de l'information.

Natixis confirme que dans le cadre des obligations réglementaires pour les établissements bancaires (CRBF) l'ISO 27001 peut fédérer les énergies sur les risques opérationnels. Le risque informatique n'est qu'un des risques opérationnels parmi d'autres. Il y a un besoin de rapprochement des RSSI vers le contrôle interne et le RM.

Hervé Schauer propose de faire part à l'ITsmf des travaux de recherche sur la mutualisation entre ITIL (ou ISO 20000) et ISO 27001. Il aurait été intéressant d'en faire part à l'AFNOR/SC27 mais il n'y a pas de miroir ISO 20000 actuellement.

 

Informations générales :

Création d'un groupe ISO 27001 régionnal à Toulouse avec Anne Mur (EdelWeb) et Dominique Pourcelier (CNAM).
Airbus est en cours de certification ISO 20000

Point sur l'avancement des normes :

  • ISO/IEC 17799
    L'ISO/IEC 17799:2005 devrait déjà avoir été officiellement renommée en ISO/IEC 27002 mais cette officialisation n'est pas visible sur le site.
  • ISO 27005
    L'ISO 27005 Security Risk Management est au statut FCD (Final Committee Draft) c'est-à-dire en phase finale. Elle devrait être pibliée en norme ISO en janvier 2008. Elle est utilisable en l'état.
    Hervé Schauer propose d'en faire une présentation (une présentation sera également faite au club EBIOS).
    Les traductions françaises feront apparaître les termes suivants : Risk analysis -> Analyse des risques
    Risk assessment -> Appréciation des risques.

    La 27005 décrit le processus de gestion des risques et on y retrouve le noyau commun à toutes les méthodes connues depuis une quinzaine d'années. Contrairement à EBIOS, qui a une approche séquentielle, la 27005 permet un parallélisme des actions sans recherche immédiate d'exhaustivité, puis agit ensuite par actions itératives. Elle est conçue pour prendre la situation de l'entreprise dans sa situation présente.

    Thierry Jardin précise que ce n'est pas une méthode d'analyse des risques en soi mais une démarche générale. Il indique l'intérêt de l'annexe B de la norme 25700.

    Hervé Schauer précise que la norme ISO 25700 a été entamée après le début des travaux de la 27005 mais qu'elle a un scope beaucoup plus large puisqu'elle vise à l'analyse des risques aussi bien industriels que d'environnement, de la santé ou tout autre secteur d'activité, les systèmes d'information pouvant être un secteur parmi les autres.

    A noter que la 25700 sera prochainement renommée en ISO 31000

    Thierry Jardin indique que l'annexe B introduit six approches d'analyse des risques modulées en fonction de l'incertitude, de l'ampleur du scope et de l'expertise disponible (brainstorming, questionnaire, tatistiques, incidents, etc...). L'idéal serait d'utiliser la 27005 accompagnée de l'annexe B de la 25700.

 

 

  • ISO 27005
    Indicateurs
    Le CLUSIF est en train d'en faire un résumé. Cette norme est très pragmatique et présente un schéma entre l'ISO 27001 et les indicateurs.

 

 

 

  • ISO 27003
    Guide de mise en oeuvre d'un SMSI.
    La norme est à l'étape CD (Committee Draft) et peut encore être remaniée. Il n'est donc pas prudent de trop l'utiliser en l'état. Elle est néanmoins bien avancée sur la partie PLAN en décrivant chaque étape. Compte-tenu de sa création postérieure à l'ISO 27001, de nouvelles notions ont été introduites qui devraient être intégrées dans la future révision de la 27001 (exemple : Security Plan = ensemble des actions correctives, des formations, etc...) Par ailleurs, certains termes ont pu prendre une nouvelle signification comme le "Risk acceptance" actuel qui a été renommé en "Risk retention" (conservation du risque) alors que le "Risk acceptance" est maintenant compris comme la prise en compte par le management des moyens (financier, humais, etc...) pour traiter un risque.