Les points qui seront abordés :
1- Faire un état-des-lieux clairvoyant,
2- Délimiter un périmètre réaliste … mais évolutif,
3- Etablir un plan d’actions pragmatique en s’appuyant sur ses points forts !
Participez au webinaire animé par Sébastien RABAUD, Consultant Senior SCASSI : En route vers ISO 27001!
Cours SE Le système Linux : La ligne de commande bash - IG IPSET
PECB Webinaire: Certification ISO 27001, mythes et réalités
1. ISO 27001, mythes et réalités
Webinar PECB – 23 septembre 2015
Ce webinar est proposé et animé par Sébastien RABAUD,
Consultant Senior & Associé chez SCASSI
2. ISO 27001, pour quoi faire ?
Pour quels objectifs ?
Pour quels bénéfices ?
Avec ou sans certification ?
ISO27001, quoi faire ?
Révisions
Points-clés, pièges, bonnes pratiques, …
ISO 27001, comment faire ?
Un état des lieux et un plan d’action détaillé
En route vers la certification …
Agenda
2 Reproduction interdite sans autorisation explicite de SCASSI
3. ISO 27001, pourquoi faire ?
Pour quels objectifs ?
Pour quels bénéfices ?
Avec ou sans certification ?
ISO27001, quoi faire ?
Révisions
Points-clés, pièges, bonnes pratiques, …
ISO 27001, comment faire ?
Un état des lieux et un plan d’action détaillés
En route vers la certification …
En route vers ISO 27001
3 Reproduction interdite sans autorisation explicite de SCASSI
4. ISO 27001, pourquoi faire ?
Quels objectifs* ?
4 Reproduction interdite sans autorisation explicite de SCASSI
Avantage
concurrentiel
Confiance
Conformité
(*) Arguments « directs », « traditionnels » …
5. ISO 27001, pourquoi faire ?
Pour quels objectifs ?
Pour quels bénéfices ?
Avec ou sans certification ?
ISO27001, quoi faire ?
Révisions
Points-clés, pièges, bonnes, pratiques, …
ISO 27001, comment faire ?
Un état des lieux et un plan d’action détaillés
En route vers la certification …
Agenda
5 Reproduction interdite sans autorisation explicite de SCASSI
6. ISO 27001, pourquoi faire ?
Quels bénéfices (« indirects » / « réels ») ?
6 Reproduction interdite sans autorisation explicite de SCASSI
Image de
marque
Adhésion /
responsabilisation
Optimisation
des coûts *
(*) Diminution de la charge des audits externes
(*) Baisse du coût des incidents (occurrence / impact)
(*) Rationalisation des activités sécurité
Sécurité =
positif !
7. ISO 27001, pourquoi faire ?
Pour quels objectifs ?
Pour quels bénéfices réels ?
Avec ou sans certification ?
ISO27001, quoi faire ?
Révisions
Points-clés, pièges, bonnes, pratiques, …
ISO 27001, comment faire ?
Un état des lieux et un plan d’action détaillés
En route vers la certification …
Agenda
7 Reproduction interdite sans autorisation explicite de SCASSI
8. ISO 27001, pourquoi faire ?
Avec ou sans certification ?
8 Reproduction interdite sans autorisation explicite de SCASSI
AVEC SANS
Objectifs de délais, de « niveau de
risque », …
Best effort *
Adhésion / support de la direction Best effort *
Investissement des acteurs Best effort *
Niveau de priorité important Best effort *
(*) Avec tout ce que cela implique …
9. ISO 27001, pourquoi faire ?
Pour quels objectifs espérés ?
Pour quels bénéfices réels ?
Avec ou sans certification ?
ISO27001, quoi faire ?
Révisions
Points-clés, pièges, bonnes, pratiques, …
ISO 27001, comment faire ?
Un état des lieux et un plan d’action détaillés
En route vers la certification …
Agenda
9 Reproduction interdite sans autorisation explicite de SCASSI
10. ISO27001, quoi faire ?
ISO 27001 décrit un système de management (clauses 4 à 10) de
la sécurité de l’information (Annexe A)
Révisions …
10 Reproduction interdite sans autorisation explicite de SCASSI
Analyse de risques
Plan de traitement des risques
Organisation
Rôles et responsabilités
Sensibilisation
Projets sécurité
Clauses
4 à 10
Politiques
Annexe A
DdA / SoA
Opérations
Audit interne
Incidents / Problèmes
Indicateurs
Tests d’intrusions
Pilotage / SuiviRevues périodiques
Annexe A
DO
PLANCHECK
ACT
11. ISO 27001, pourquoi faire ?
Pour quels objectifs espérés ?
Pour quels bénéfices réels ?
Avec ou sans certification ?
ISO27001, quoi faire ?
Révisions
Points-clés, pièges, bonnes, pratiques, …
ISO 27001, comment faire ?
Un état des lieux et un plan d’action détaillés
En route vers la certification …
Agenda
11 Reproduction interdite sans autorisation explicite de SCASSI
12. ISO27001, quoi faire ?
Obtenir la certification, c’est surtout et avant tout …
Points-clés, pièges, bonnes pratiques …
12 Reproduction interdite sans autorisation explicite de SCASSI
Organiser
Rôles et responsabilités : données,
risques, systèmes, réseaux, applis, …
Référents
Instances / comités
Piloter / animer en cohérence
avec les risques
Analyse et plan de traitement des risques,
DdA
Décrire / Formaliser
Politiques, Continuité d’activité,
Procédures (incidents, …)
Contrôler et améliorer
Indicateurs, revues, audits, ACP, …
Mettre en œuvre
Sensibilisation, Activités, …
13. ISO27001, quoi faire ?
Et cela principalement avec :
Des ressources humaines « existantes »
De « l’huile de coude » et du bon sens
Le « delta » avec ce que l’on aurait fait « de toute façon » n’est pas
forcément si important …
Sans forcément « d’investissements » importants
Points-clés, pièges, bonnes pratiques …
13 Reproduction interdite sans autorisation explicite de SCASSI
14. ISO27001, quoi faire ?
Domaine d’application / périmètre
S’exprime en termes d’activités, sites, entités organisationnelles,
personnels, …
Ne pas hésiter à partir « petit » … (de toute façon, les activités
périmétriques en bénéficieront)
Ex : Exploitation vs Développement
Périmètre SMSI peut-être différent du périmètre de certification
Peut-être fixé définitivement « plus tard »
Points-clés, pièges, bonnes pratiques …
14 Reproduction interdite sans autorisation explicite de SCASSI
15. ISO27001, quoi faire ?
S’appuyer sur l’existant, réutiliser en améliorant
Ne pas forcément remettre en cause immédiatement l’analyse de
risque, les politiques de sécurité, s’il en existe déjà … mais les améliorer
(ex : analyse de risque orientée « continuité »)
Intégrer les besoins liés à la sécurité de l’information dans les processus,
méthodologies et outils
Gestion de projet
Gestion des incidents
Gestion des accès
Gestion de configuration / CMDB
Points-clés, pièges, bonnes pratiques …
15 Reproduction interdite sans autorisation explicite de SCASSI
16. ISO27001, quoi faire ?
Importance de l’humain dans le dispositif …
Car les personnels sont une composante essentielle du système de
management, au même titre que l’organisation
Un bonne partie de l’audit de certification consiste à interviewer des
acteurs du SMSI …
S’appuyer sur des référents / correspondants
Points-clés, pièges, bonnes pratiques …
16 Reproduction interdite sans autorisation explicite de SCASSI
… et donc de la sensibilisation / formation
L’huile dans les rouages …
L’humain « convaincu » est plus efficace que
l’humain « contraint » !
17. ISO27001, quoi faire ?
(Comment) Impliquer la direction ?
« Utiliser » des risques « qui parlent » : parts de marché, chiffre
d’affaire, rentabilité, productivité, …
Sur les aspects communication …
Ne pas oublier les tiers … ils font partie du SMSI !
Points-clés, pièges, bonnes pratiques …
17 Reproduction interdite sans autorisation explicite de SCASSI
18. ISO 27001, pourquoi faire ?
Pour quels objectifs espérés ?
Pour quels bénéfices réels ?
Avec ou sans certification ?
ISO27001, quoi faire ?
Révisions
Points-clés, pièges, bonnes, pratiques, …
ISO 27001, comment faire ?
Un état des lieux et un plan d’action détaillés
En route vers la certification …
Agenda
18 Reproduction interdite sans autorisation explicite de SCASSI
19. ISO27001, comment faire ?
Basés principalement sur des entretiens avec « l’ensemble » des
acteurs impliqués dans le SMSI
Une première étape en matière de sensibilisation
Approche résolument « participative » : comment çà marche ? Échanges sur les
améliorations possibles ? les risques ?
Sur l’ensemble des thèmes :
Transverses : politiques, rôles et responsabilités, risques, …
Spécifiques à l’activité
Un « entrainement » pour l’audit de certification
Avec un compte-rendu détaillé
Liste des documents « identifiés »
Non-conformités
Recommandations
Points « à traiter »
Etat des lieux et plan d’actions
19 Reproduction interdite sans autorisation explicite de SCASSI
Entretiens
20. ISO27001, comment faire ?
En route vers la certification …
20 Reproduction interdite sans autorisation explicite de SCASSI
Iso 27001 be ready: séquencé,sur ladurée,
orientérésultat
Etat des lieux et plan d’actions
Mise en œuvre du plan d’actions
Audit de certification
Audit à blanc
Entretiens, analyse documentaire, visites...
Organisation SMSI, plan traitement des risques, mesures de sécurité,
indicateurs et tableaux de bord, formation & sensibilisation
Simulation d’un audit de certification
Préparation au déroulement de l’audit, présence
physique lors de l’audit
21. www.scassi.com
TOULOUSE
Bât. Agora 1
209 rue Jean Bart
31670 Labège
+33 (0) 561 17 08 54
PARIS
52, Bd Sébastopol
75003 Paris 3
MADRID
Calle Capitan Haya, 38 – 4°
28020 Madrid
+34 91 360 51 18
contact@scassi.com
Merci de votre attention
Des questions ?
La reproduction de ce document est interdite sans la permission écrite de Scassi. 12