Jeudi 19 Mars 2009

La réunion a eu lieu au Crédit Immobilier de France à Paris.

La présentation de Nicolas Mayer et Thierry Valdevit est disponible ici

Guide d'implémentation 27001 pour PME TPE par Nicolas Mayer et Thierry Valdevit

Le Centre de Recherche Public Henri Tudor dispose de 5 départements :

  • santé
  • environnement
  • veille techno
  • veille industrielle
  • centre d'innovation et de la communication

Dans le département centre d'innovation et de la communication, la branche sécurité et continuité est composée de 5 à 10 personnes et cible essentiellement un travail pour les PME et le secteur financier. Ce projet est commandité par le ministère de l'économie et du commerce exterieur.

Methode de recherche

  1. Expérimentation initiale -> tests de solutions de gestion des compétences et de gestion des risques pour aller vers la certification
  2. Rédaction du guide -> un collège d'expert donne des avis ce qui conduit à une première amélioration
  3. Expérimentation -> La mise en pratique permet une deuxième phase d'amélioration du guide avec soumission aux experts. Cette phase est exécutée plusieurs fois.
  4. Diffusion publique

Résultats à mi projet

Expérimentation initiale : accompagnement de codasystem vers la certification. Cette expérience a permis de mettre en pratique les connaissances théoriques. Le projet s'est étendu de juin 2006 à mai 2008 et a nécessité environ 100j/h d'accompagnement.

Codasystem devient ainsi la première entreprise certifiée au Luxembourg. Ce projet a permet de créer une ébauche d'outils et de méthodes d'implémentation puis une mise à jour du guide.

Il est important que l'approche soit moins abrupte. Le guide ne doit pas orienter vers la certification mais implémenter une marche vers la certification. Les exigences sont réduites, surtout sur la mise en place des audits internes, coûteux et n'apportant pas de valeur ajoutée importante.

Comme dans tout SMSI, l'audit interne a un côut important pour une PME. Mais dans une PME, la qualité de l'audit interne est médiocre, ils ne donne pas de résultat satisfaisants permettants de s'améliorer. Aussi la solution pour permettre à une PME d'aller vers un SMSI est de supprimer l'audit interne, et remplacer celui-ci par une gestion des anomalies qui regroupe le réexamen des mesures correctives et la gestion des incidents de sécurité.
Pour les PME souhaitant par la suite être certifiées, la majorité du travail sera déjà mis en place et conforme au modèle PDCA, seuls les audits internes seront à mettre en œuvre.

Conclusion

La première expérimentation sur le terrain du guide s'effectue dans une administration

3 expérimentation en parallèle vont être menée avec formation et retours d'expérience en commun.
L'accompagnement est effectué au sein du réseau cassis.
Un framework d'outils est à l'etude.
La mise en place d'un label est étudié par le ministère pour assurer la conformité au guide.

Points sur les normes par Hervé Schauer

Les normes 27001 et 27002 sont en cours de révisions. Il y a peu de contributions actuellement. Cette refonte complète de la 27002 est une occasion de modifier l'organisation des mesures de sécurité.
Une réunion spéciale est prévue lundi 30 mars 2009 à l'afnor pour consolider un document envoyé à l'ISO.

Matthieu Grail (DCSSI) est un des éditeurs de la 27001.
La norme ISO 31000 de gestion de risques globales vient de sortir. L'ISO 27005 va donc rentrer en révision dans très
peu de temps afin d'être conforme avec cette norme.

Présentation ISO 27005 par Hervé Schauer

Hervé schauer a présenté sur un grand shéma une modélisation de la norme ISO 27005 sous forme d'activités avec leurs entrées et sorties successives :

Etablissement du contexte

Determination des objectifs de l'appréciation des risques à partir des informations relatives à la sécurité de l'information et des pilotages SMSI et projets.
Determination des critères de base (impact/évaluation des risques/acceptation/valorisation des actifs (annexe B))
Determination du périmètre de l'appréciation
Définition de l'organisation de la gestion des risques. Il est important d'arriver à un consensus sur les critères et ceux-ci ne devraient pas être revus après.
Ces critères doivent être pratiques/pragmatiques.
Dans beaucoup d'entreprises, les critères existent déjà (provenant de la gestion des risques opérationnels).

Identification des risques

Identification des :
- actifs
- menaces
- mesures de sécurité existantes
- vulnérabilités
- conséquences pour les actifs

On fait une première séléction grâce à la valorisation des actifs
Tout cela permet la construction du tableau :
- actifs avec valorisation / menaces / vulnérabilités

Puis on combine les menaces et vulnérabilités pour former des scénarios d'incidents.

Estimation des risques

- estimation des conséquences
- vraisemblance des scénarios
- estimation des niveaux de risques

Évaluation des risques -> determination de la priorité

Traitement des risques

-> doit faire intervenir le coût des mesures de sécurité
-> description des responsabilités
-> estimer et calculer les futurs risques résiduels (après réduction ou transfert)

permet la construction du tableau :
- plan de traitement du risque avec risque résiduel après traitement du risque

Autres processus en parallèle

- activité de surveillance et réexamen du processus de gestion de risque
- activité de surveillance des fateurs de risque
- activité de communication du risque