SUP’COM

INDP3 CySeD

Audit de Sécurité

Fatma KAABI
[email protected]
 Mise en place et audit SMSI
Objectifs
 Maitriser le contenu de la norme ISO 27001 en corrélation avec d’autres
normes et cadres réglementaires en particulier l’ISO 27002;
 Maitriser les meilleures pratiques en management de la SI selon une
démarche « pratique »;
 Maîtriser les concepts, approches, méthodes et techniques nécessaires pour
mettre en œuvre et gérer efficacement un SMSI ;
 Interpréter les exigences de la norme ISO 27001 dans le cadre de:
 la mise en place d’un SMSI selon le contexte spécifique de l’organisation ;
 l’audit d’un SMSI ;
 Acquérir l’expertise nécessaire pour planifier, mener, conclure et faire le suivi
d’un audit conformément à l’ISO 27007/19011 en particulier l’audit SMSI.
2
 Mise en place et audit SMSI
Programme

1 Cadre normatif
▶ ISO
▶ SMSI
▶ Présentation de la famille ISO 27000
▶ Présentation de la norme ISO 27001
▶ Présentation de la norme ISO 27002
▶ Présentation des normes ISO 27007/ISO 19011
▶ Schéma de certification ISO 27001
3
 Mise en place et audit SMSI
Programme

2 Phase PLAN : Etablissement du SMSI

▶ Compréhension de l’organisme
▶ Analyse du système de management existant
▶ Approbation du projet SMSI
▶ Définition du domaine d’application
▶ Rédaction de la politique de sécurité de l’information
▶ Management des risques
▶ Définition des rôles et des responsabilités
4
 Mise en place et audit SMSI
Programme

3 Phase DO : Mise en œuvre et fonctionnement du SMSI

▶ Mise en œuvre de la documentation
▶ Mise en œuvre des processus et des mesures de sécurité
▶ Communication, sensibilisation et formation
▶ Gestion des opérations du SMSI

5
 Mise en place et audit SMSI
Programme

4 Phase CHECK : Surveillance et réexamen du SMSI

▶ Surveillance et mesure du SMSI
▶ Audit interne
▶ Revue de direction

6
 Mise en place et audit SMSI
Programme

5 Phase ACT : Maintien et amélioration du SMSI

▶ Gestion des non-conformités
▶ Amélioration continue

7
 Mise en place et audit SMSI
Programme

6 Certification du SMSI
▶ Processus de certification
▶ Préparation à l’audit de certification

8
 Mise en place et audit SMSI
Programme

7 Concepts et principes fondamentaux d’audit

▶ Notion de l’audit
▶ Normes d’audit
▶ Principes d’audit
▶ Preuves d’audit
▶ Méthodes d’audit

9
 Mise en place et audit SMSI
Programme

8 Activités d’audit
▶ Déclenchement de l’audit
▶ Audit d’étape 1
▶ Préparation de l’audit d’étape 2
▶ Audit d’étape 2
▶ Rédaction des constats d’audit
▶ Audit de suivi

10
 Mise en place et audit SMSI
Programme

1 Cadre normatif
▶ ISO
▶ SMSI
▶ Présentation de la famille ISO 27000
▶ Présentation de la norme ISO 27001
▶ Présentation de la norme ISO 27002
▶ Présentation des normes ISO 27007/ISO 19011
▶ Schéma de certification ISO 27001
11
 Qu’est ce que ISO ?

─ ISO est un réseau d’instituts nationaux de normalisation de l’ensemble des

pays membres (169 pays)
─ Les résultats finaux des travaux de l’ISO sont publiés en tant que normes
internationales
12
 Qu’est ce que ISO ?

Représentation égale : 1 vote par pays

Adhésion volontaire: ISO n’a pas

d’autorité légale pour leur mise en
application
AVANTAGES

Orientation d’Affaires

Approche par consensus

Coopération internationale

13
 SMSI
Sécurité de l’information
la protection de l’information en terme de:
 Confidentialité: propriété selon laquelle l'information n'est pas rendue
disponible ni divulguée à des personnes, des entités ou des processus non
autorisés.
 Intégrité: propriété
d'exactitude et de complétude.
 Disponibilité: propriété
d'être accessible et utilisable à
la demande par une entité
autorisée.

14
 SMSI
Sécurité de l’information

 La sécurité de l’information détermine quelles informations doivent

être protégées, la raison pour laquelle elles doivent l’être, comment les
protéger et de quoi il faut les protéger.
 En protégeant l’organisme contre les menaces et les vulnérabilités, la
sécurité de l’information réduit le niveau de risques et leur impact sur
l’organisme.

15
 SMSI
Système de management
ensemble d'éléments corrélés ou interactifs d'un organisme visant à établir
des politiques, des objectifs et des processus afin d'atteindre ces objectifs
Note 1: Un système de management peut recouvrir une ou plusieurs
disciplines.
Note 2: Les éléments du système comprennent la structure de l'organisme,
les rôles et responsabilités, la planification et les opérations.
Note 3: Le domaine d'un système de management peut comprendre
l'organisme dans son ensemble, certaines de ses fonctions spécifiques et
identifiées, certaines de ses sections spécifiques et identifiées, ou une ou
plusieurs fonctions au sein d'un groupe d'organismes.
(ISO 27000)

16
 SMSI
Notion de SMSI
 Système de Management de la Sécurité de l’Information: un système de
management concernant la sécurité de l’information.
 Utilise une approche fondée sur la gestion du risque et visant à établir,
mettre en œuvre, exploiter, surveiller, réexaminer, maintenir et améliorer la
sécurité de l’information d’un organisme afin que celui-ci atteigne ses
objectifs métier.
 Un SMSI inclut l’organisation, les politiques, les activités de planification,
les responsabilités, les procédures, les processus et les ressources.
 Le SMSI présente les mesures à mettre en œuvre par un organisme qui
entend réduire les risques de sécurité de l’information et accroître la
sensibilisation à la sécurité de l’information au sein de l’organisme.

17
 SMSI
Pourquoi un SMSI?
 Organisation:
 Implication de la DG en matière de sécurité de l'information

 Engagement et implication du personnel à l'application des mesures

de sécurité
 Aspect légal: Conformité aux exigences légales et règlementaires (par
exemple les lois nationales et régionales).
 Aspect opérationnel: Une bonne maîtrise des risques et amélioration
continue de la sécurité de l’information.
 Commercial:
 Crédibilité et confiance de la clientèle, des fournisseurs et des
partenaires.
Différenciation, fournir un avantage concurrentiel
 Finances: Baisse des coûts
 ROSI (Return on Security Investment): Concept d’évaluation
financière pour le domaine de la SI.
18
 SMSI
SMSI: approche fondé sur le management des risques

19
 SMSI
Principales normes permettant à un organisme d’établir un système de
management certifié: en total 16

ISO 45001
ISO 14001 ISO 27001
ISO 9001 Santé &
Environne Sécurité de
Qualité sécurité au
ment travail l’information
420433 529853
420433-> 294420->397339 58687->71549
1 077 884->1265216
280->235
280 214->172 32->16
1110->903

ISO 22000 ISO ISO 22301

Sécurité 20000 Continuité
alimentaire Services TI des activités Nbre Certificats valides
36124->45459 2559->3200
En 2022 (source:iso.org )
11769->27009
115->123 1 0
Total
En Tunisie
20
 SMSI
Approche processus
─ Pour qu’un organisme fonctionne de manière efficace, il doit appliquer
l’approche processus par mettre en œuvre et gérer de nombreux
processus corrélés et interactifs.
─ Un résultat souhaité est obtenu plus efficacement lorsque les activités et
les ressources associées sont gérées en tant que processus.
─ Déterminer les processus de l'entreprise, leurs interactions et des critères
de surveillance. Sur cette base, il sera possible de piloter chaque
processus, d'analyser leurs performances, de faire des propositions
d'amélioration et de les mettre en œuvre afin de contribuer aux objectifs
stratégiques de l'entreprise.
─ Comprendre et gérer l'entreprise comme un système de processus
interdépendants en vue d'un objectif donné permet d'améliorer son
efficacité et son efficience.

21
 SMSI
Processus
 ensemble d’activités utilisant des ressources et gérée de manière à
permettre la transformation d’éléments d’entrée en éléments de sortie.
 « ensemble d'activités corrélées ou interactives qui transforme des
éléments d'entrée en éléments de sortie » (ISO 27000)

22
 SMSI
Principe d’amélioration continue
─ Il convient d’inscrire le SMSI dans une dynamique d’amélioration
continue de ses performances.
─ Le principe de l'amélioration continue est souvent représenté par un
cycle d'actions, appelé "roue de Deming" ou cycle PDCA :
 Plan (Planifier, prévoir): planifier ce qui doit être fait
 Do (faire): le faire comme prévu
 Check (Vérifier):surveiller et mesurer que les choses ont été faites
comme prévu
 Act (Réagir): corriger les écarts entre la réalisation et la planification

23
 SMSI
Principe d’amélioration continue
Plan
Planifier
Mettre à jour Établir le SMSI
et améliorer le SMSI

Parties intéressées Cycle de Parties intéressées

développement,
Attentes et exigences Act maintenance et
Do Sécurité effective
en terme de sécurité Améliorer Déployer fournie
d’amélioration

Contrôler et Mettre en œuvre

évaluer et exploiter le SMSI
le SMSI Check
Contrôler

Modèle PDCA
24
 SMSI
Principe d’amélioration continue

Confiance
Maîtrise
A P
Progrès
C D
A P
C D Deming dit : "Commençons
par améliorer ce que nous
savons faire, mais pas encore
Certification assez bien. Ensuite nous
innoverons. Mais pas
l'inverse ".

Temps
25
 La famille ISO 270XX
Dates importantes
La famille ISO 2700X
Avril 2007 - ISO 27002
Mars 2006 - BS7799:3

Septembre 2005 - Nouvelle BS7799:2 =

ISO 27001
Juin 2005 - Nouvelle ISO 17799:2005

Septembre 2002 - Nouvelle version BS 7799:2

revue et corrigé
2001 - Révision du BS 7799:2
Décembre 2000 - ISO/IEC 17799:2000
1999 - Nouvelles versions de BS 7799 1 et 2
1998 - BS 7799 partie 2
1995 - BS 7799 partie 1
26
 La famille ISO 270XX

Norme Description

ISO 27000: 2018 Vue d'ensemble et vocabulaire

ISO 27001: 2022 Exigences du SMSI

ISO 27002: 2022 Code de bonne pratique MSI

ISO 27003: 2017 Guide de mise en œuvre du SMSI

ISO 27004: 2016 Mesure de l'efficacité du SMSI

ISO 27005: 2022 Gestion des risques liés à la sécurité de l'information

27
 La famille ISO 270XX
Norme Description
ISO 27006:2015 Exigences pour les organismes procédant à l'audit et à la
certification des SMSI
ISO 27701:2019 Extension des normes ISO 27001 et 27002 pour le
management de la protection de la vie privée
ISO 27007: 2020 Lignes directrices pour l'audit des SMSI

ISO 27008: 2019 Lignes directrices pour les auditeurs des contrôles de
sécurité de l'information
ISO 27031: 2011 Guide pour la préparation des TIC pour la continuité
d’activité
ISO 27033-16 Sécurité de réseau -- Partie 1Partie 6

ISO 27034-17 Sécurité des applications -- Partie 1Partie 7

28
 La famille ISO 270XX
Norme Description
Gestion des incidents de sécurité de l'information
ISO 27035-13 -- Partie 1Partie 3
ISO 27011:2016 Code de bonne pratique MSI pour les organismes de
COR 1:2018 télécommunications
ISO 27019: 2017 Code de bonne pratique MSI pour les opérateurs de
l'énergie
ISO 27799: 2016 Code de bonne pratique MSI pour la santé

ISO 27017: 2015 Code de bonne pratique MSI pour le cloud

29
 La famille ISO 270XX
Vocabulaire

ISO 27000
Vocabulaire

ISO 27001 ISO 27006

Exigences

ISO 27701 Exigences organismes de

protection de la vie Exigences SMSI certification
privée
généraux

ISO 27002 ISO 27003 ISO 27004 ISO 27005 ISO 27007-27008
Guides

Guide de mise en Mesure Gestion du Guides d‘audit

pratiques œuvre
risque
d‘industrie

ISO 27011 ISO 27799 ISO 27019 ISO 27017

Guides

Télécommunications Santé Energie Cloud

30
 La norme ISO 27002
Présentation
- ISO 27002: Mesures de sécurité de l'information/ Code de bonnes
pratiques pour le management de la sécurité de l'information.
- Cette norme se présente sous la forme de notes d'orientation et de
recommandations.
- Celles-ci ont été rassemblées à la suite des consultations menées auprès
des plus grandes entreprises.
- Ce standard donne aux responsables qui veulent initier, implémenter ou
maintenir la sécurité dans leur organisation des recommandations pour
la gestion de la sécurité de l’information.
- Son but est d’aider les organisations à s’assurer qu’aucune mesure
nécessaire n’a été omise.

- Utilise le verbe « il convient » (« should ») pour définir les préconisations

de mise en œuvre.

31
 La norme ISO 27002: 2013
Structure de la norme

- Des articles: Chaque article contient plusieurs objectifs de sécurité.

- Des catégories: chaque catégorie contient :
• Un objectif à atteindre.
• Des mesures possibles afin d’atteindre cet objectif.
• Des préconisations de mise en œuvre: des informations détaillées
pour mettre en œuvre chaque mesure.

- La norme ISO 27002:2013 contient:

- 14 articles (11 articles version 2005)
- 35 objectifs (39 objectifs version 2005)
- 114 mesures (133 mesures version 2005)

32
 La norme ISO 27002: 2013
Les clauses de la norme

0- Introduction
1- Domaine d’application
2- Références normatives
3- Termes et définitions
4- Structure de la présente norme
- Des articles: Chaque article contient plusieurs objectifs de sécurité.
- Des catégories: chaque catégorie contient :
o Un objectif à atteindre.
o Des mesures possibles afin d’atteindre cet objectif.
o Des préconisations de mise en œuvre: des informations détaillées
pour mettre en œuvre chaque mesure.

33
 La norme ISO 27002: 2013
Les clauses de la norme

5- Politiques 6- Organisation de
7- Sécurité liée aux
18- Conformité de sécurité la sécurité
ressources humaines
de l’information de l’information

8- Gestion des actifs

17- Aspects de la
Sécurité de l’information
dans la gestion de la ISO 27002:2013
continuité de l’activité • 14 articles 9- Contrôle
• 35 catégories/ objectifs d’accès
16- Gestion des
incidents liés • 114 mesures
à la sécurité de
l’information
10- Cryptographie
12- Sécurité liée 13- Sécurité des
14- Acquisition, à l’exploitation télécommunications
15- Relations avec développement
et maintenance 11- Sécurité physique
les fournisseurs Gestion de l’exploitation et environnementale
des systèmes
et des télécommunications

34
 La norme ISO 27002: 2022
Changement du titre

ISO 27002:2013 ISO 27002:2022

Technologies de l’information — Sécurité de l'information, cybersécurité

Techniques de sécurité —Code de bonne et protection de la vie privée —Mesures
pratique pour le management de la de sécurité de l'information
sécurité de l’information

35
 La norme ISO 27002: 2022
Les changements

4 93

Articles/ Mesures/
Thèmes Contrôles

Mesures organisationnelles (37)

Mesures technologiques (34)

Mesures d'ordre physique (14)

Mesures liées aux personnes (8)

36
 La norme ISO 27002: 2022
Les clauses de la norme
0- Introduction
1- Domaine d’application
2- Références normatives
3- Termes, définitions et abréviations
4- Structure du présent document
- Des articles ou thèmes: représente une nouvelle classification des
contrôles de sécurité en quatre grandes catégories.
Chaque thème contient plusieurs mesures de sécurité.
- Des mesures de sécurité: chaque mesure se présente comme suit:
o titre de la mesure,
o tableau de 5 attributs,
o description de la mesure,
o objectif,
o préconisations de mise en œuvre,
o Informations supplémentaires.
37
 La norme ISO 27001
Présentation

- ISO 27001: exigences relatives aux systèmes de management de la

sécurité des informations (SMSI).
- Permet à une entreprise d’obtenir une certification à son SMSI.
- Contient les critères d’audit utilisés dans le cadre des audits de
certification des SMSIs.

- Le verbe « doit » (« shall ») est utilisé pour exprimer une exigence

qui doit être respectée.

38
 La norme ISO 27001
Les clauses de la norme

0- Introduction
1- Domaine d’application
2- Références normatives – ISO 27000
3- Termes et définitions – ISO 27000
4- Contexte de l’organisation
enjeux externes et internes, exigences des parties intéressées,
domaine d’application SMSI, PDCA
5- Leadership
Engagement de la direction, PSI, Rôles et responsabilités
6- Planification
Appréciation et traitement des risques SI, Objectifs SI

39
 La norme ISO 27001
Les clauses de la norme
7- Support
Ressources, Compétence, Sensibilisation, Communication,
Documentation
8- Fonctionnement
Appréciation et traitement des risques SI
9- Evaluation des performances
Surveillance, mesures, analyse et évaluation,
Audit interne et Revue de Direction
10- Amélioration
Non-Conformité, amélioration continue

Les exigences sont spécifiées aux Articles 4 à 10

40
 La norme ISO 27001
Relation avec les autres normes de système de management

Exigences ISO 9001 v 2015 ISO 27001 v 2013 ISO 14001 v2015

Leadership et
5.1 5.1 5.1
engagement

Politique 5.2 5.2 5.2

Objectifs du SM 6.2 6.2 6.2

Documentation 7.5 7.5 7.5

Audit interne 9.2 9.2 9.2

Amélioration continue 10.3 10.2 10.3

Revue de direction 9.3 9.3 9.3

41
 Les normes ISO 19011/ISO 27007
Présentation

- ISO 19011: lignes directrices pour l'audit de systèmes de

management
- ISO 19011 est la norme pour l’audit des systèmes de management
qualité, environnement, de la sécurité alimentaire, de la santé et
sécurité au travail et même pour les SMSI.
- ISO 27007: Lignes directrices pour l'audit des SMSI.

- Il concerne le responsable du management du programme d'audit,

les auditeurs et les équipes d'audit.
- Il est applicable à tous les organismes qui doivent planifier et réaliser
des audits internes ou externes de systèmes de management ou
manager un programme d'audit.

42
 Les normes ISO 19011/ISO 27007
Présentation

- Il contient:
 les principes de l'audit,
 le management d'un programme d'audit,
 la réalisation d'audits de systèmes de management,
 des lignes directrices sur l'évaluation de la compétence des
personnes impliquées dans le processus d'audit.

43
 Concepts et principes fondamentaux de la sécurité de
l’information

Classification des mesures de sécurité

44
 Concepts et principes fondamentaux de la sécurité de
l’information

Classification des mesures de sécurité

45
 Concepts et principes fondamentaux de la sécurité de
l’information

Classification des mesures de sécurité

46
 Schéma de certification ISO 27001

Organisme mondial

Considère membre -- accord de

reconnaissance mutuelle

Organisme régional
Autorité d’accréditation

Accrédite -- ISO 27006

Organisme certificateur

Certifie -- ISO 27001

Organisation souhaitant être certifiée

47
47
 Schéma de certification ISO 27001

Accrédite selon
ISO 27006

48
49
50
51
52