ISO 27002 : Présentation de la norme
1. Introduction
ISO/IEC 27002 version 2005 est le volet qui traite des techniques de Sécurité de l’information. C’est un guide de pratique pour la gestion de la Sécurité de l’information. En complément d’IS/IEC 27001 il permet d’accompagner le processus de mise en œuvre d’un SMSI.
La norme ISO/IEC 27002 fournit des recommandations de gestion de la Sécurité de l’information au lecteur responsable d’initier, implémenter et maintenir la sécurité.
2. Évaluation et traitement des risques. [section 4 de la norme]
La présente section de la norme ISO/IEC 27002 couvre les aspects de gestion des risques. En revanche la norme de donne aucune indication quant à la méthode de gestion des risques. Afin d’aller plus loin dans la gestion des risques nous vous invitons à lire ISO/IEC 27005 ou à vous intéresser aux méthodes telles que EBIOS ou MÉHARI.
3. Politique de Sécurité [section 5 de la norme]
La Direction ou le management doit formaliser une politique de sécurité. Cette politique est une déclaration d’intention quant à la direction prise par l’organisme, à sa volonté de soutenir la sécurité de l’information.
La politique est un manuel décrivant les normes appliquées et applicables, les procédures et processus mises en œuvre et l’ensemble des directives de sécurité de l’entreprise.
4. Organisation de la sécurité de l’information [section 6 de la norme]
ISO/IEC 27002 nécessite qu’une structure appropriée de gestion de la sécurité de l’information doit être désignée et mise en œuvre.
4.1 Organisation interne
L’organisme doit définir un cadre de gestion de la sécurité de l’information. La direction doit donner la direction du projet et assurer son engagement en validant formellement la politique de sécurité par exemple.
Les rôles et responsabilités doivent être définis dans la gestion de la sécurité de l’information. Les revues du SMSI doivent être réalisées par des équipes indépendantes.
4.2 Tierces parties
La mise en service de produits et services provenant de tierce partie (fournisseurs, mainteneurs, etc.) ne doivent en aucun cas compromettre la sécurité de l’information.
Les risques concernant les tierces parties doivent être évalués et réduits autant que possible lorsque l’organisme contractualise soit avec des clients soit avec des fournisseurs externes.
Les risques identifiés et les mesures de réduction des risques doivent être enregistrés pour apporter la preuve de cette activité.
5. Gestion des actifs [section 7 de la norme]
L’organisme doit être en mesure de connaitre l’ensemble des actifs (Serveurs, Routeurs, Logiciels, Applications, etc.) qu’il possède afin de gérer efficacement leur sécurité.
5.1 Responsabilité des actifs (assets)
Tous les actifs inventoriés doit être affectés à un possesseur. L’inventaire des actifs doit être maintenu et mis à jour et doit contenir le possesseur et la localisation des actifs.
5.2 Classification de l’information
Les informations doivent être classifiée en fonction de leur besoin respectif de protection.
Les actifs doivent être identifiés et étiquetés. Notez que selon leur classification et leur importance les actifs doivent être groupés et que des contrôles appropriés doivent être mis en œuvre afin de s’assurer de l’efficacité des dispositions sécuritaires.
6. Sécurité des ressources humaines [section 8 de la norme]
L’organisation qui initie un projet ISO/IEC 27 002 doit mettre en œuvre et maintenir un système de gestion des accès., notamment concernant le personnel entrant ou quittant l’entreprise.
L’organisme doit par ailleurs s’assurer que des actions de sensibilisation aux enjeux de sécurité sont entreprises, et des actions de formations sont mises en œuvre conformément aux besoins identifiés.
6.1 En amont de l’embauche
Lors d’un recrutement l’entreprise doit prendre en compte les futurs prérogatives sécurité du salarié. Cela concerne aussi les prestataires externes et intérimaires.
Les responsabilités, en termes de sécurité, doivent faire l’objet d’une formalisation dans le contrat de travail. Il s’agit par exemple du respect de la charte informatique, des rôles et responsabilité de tout un chacun dans l’entreprise.
6.2 Durant l’emploi
L’entreprise doit en outre définir les responsabilité en termes de gestion de la Sécurité. A ce titre les employés et tierces parties doivent être sensibilisés, formés et informés quant aux procédures sécurité et à leur responsabilité dans le respect et la mise en oeuvre de ces directives.
En outre il est nécessaire de formaliser les sanctions disciplinaires encourues pour traiter le cas des infractions à la sécurité.
6.3 Rupture du contrat ou changement d’employeur
L’organisme doit mettre en œuvre les dispositions permettant de s’assurer que le personnel sortant est géré et spécifiquement concernant les habilitations et droits d’accès.
7. Sécurité physique et environnementale [section 9 de la norme]
Les actifs et particulièrement ceux qui revêtent une importance supérieure pour l’entreprise doivent être protégé physiquement contre les malveillances, le dommage, la perte accidentelle, etc.
7.1 Zones de sécurité
L’organisme doit s’assurer qu’un dispositif de contrôle physique est mis en œuvre afin de protéger les équipements sensibles contre les accès non autorisés.
7.2 Équipement de sécurité
Les composants IT, les câbles, les équipements électriques, les onduleurs, etc. doivent être protégés contre les dommages physiques, les incendies, les inondations, le vol. Ces dispositions doivent intégrer à la fois les équipements sur site et hors des locaux de l’entreprise.
Les équipements d’alimentation électriques ainsi que les câblages doivent être assurés par l’entreprise.
Enfin tous les équipements doivent être entretenus et faire l’objet de procédure de recyclage intégrant des dispositions sécuritaires, telle que l’effacement des données sur les disques durs.
8. Gestion des communications et des opérations [section 10 de la norme]
Cette section de la norme ISO/IEC 27 002 décrit les dispositions spécifiques aux contrôles de sécurité des systèmes ainsi qu’a la gestion de la sécurité des réseaux.
8.1 Responsabilités et procédures opérationnelles
L’organisme s’engage à formaliser les responsabilités opérationnelles et à documenter les procédures. A ce titre toutes les modifications apportées sur des équipements informatiques ou des systèmes doivent être contrôlés.
Les habilitations sur les système doivent être alignés sur les prérogatives des collaborateurs et permettre ainsi de cloisonner par exemple une administrateur système d’un utilisateur simple sur un système de fichier.
8.2 Livraison de service par des tierces parties
Les exigences de sécurité doivent être prises en compte lors du recours à des tierces parties telles que des fournisseurs externes, des constructeurs, des mainteneurs. Les exigences concernant les changements et la maintenance par des tiers doivent être formalisées contractuellement.
8.3 Planification et acceptation des Systèmes
Cette sous-section d’ISO/IEC 27 002 couvre les dispositions spécifiques à la planification de la capacité de production et les processus d’acceptation.
8.4 Protection contre le code mobile et malicieux
L’organisme doit mettre en œuvre un dispositif de lutte et de contrôle contre le code mobile, et disposer de logiciels permettant de lutter efficacement contre les logiciels malveillants tels que les « spyware ».
8.5 Sauvegarde
Cette section couvre tous les aspects concernant la sauvegarde des données, mais aussi et surtout des tests de restauration.
8.6 Gestion de la sécurité des réseaux
L’organisme doit mettre en œuvre une gestion sécurisé des réseaux, ainsi que les moyens nécessaires à la surveillance de la sécurité des réseaux. Ces dispositions incluent les réseaux internes, externes (liaisons avec des partenaires) et réseaux externalisés et/ou infogérés.
8.7 Gestion des supports
L’organisme doit mettre en place des procédures opérationnelles pour protéger :
- les documents,
- les supports informatiques,
- les données,
- le système d’information,
L’organisme doit s’assurer que les données sont éliminées conformément a leur cycle de vie.
Enfin, des procédures doivent être définies pour la sécurité des opérations de manutention, de transport et de stockage d’une part des supports de sauvegarde et d’autre part des documentation sur le système.
8.8 Échange des informations
L’organisme doit s’assurer que tous les échanges d’information avec des organisations externes sont contrôlés. Non seulement les échanges doivent être conformes aux procédures et politiques applicables, mais aussi conformément à la législation en vigueur.
Des dispositions sécuritaires doivent être mise en place afin de s’assurer de la protection des informations et documents transitant hors et à l’intérieur de l’entreprise, tels que les emails, les échanges de données EDI, les données échangées entre les systèmes d’information, etc.
8.9 Services de commerce électronique
Pour le cas ou l’organisme a recours ou met en oeuvre des services de commerces electronique, les enjeux potentiels en termes de sécurité doivent être évalués et faire l’objet de contrôles appropriés.
L’intégrité et la disponibilité des informations publiées, notamment sur des sites Internet, doivent être assurées.
8.10 Monitoring
La surveillance et le monitoring couvre :
- la détection d’événements de sécurité
- les alertes de surveillance,
- les détections d’utilisation non autorisées,
- les tentatives d’exploit,
- les failles du systèmes,
- etc.
9. Contrôles d’accès [section 11 de la norme]
Les accès « logiques » aux systèmes informatiques, aux réseaux et aux données doivent être contrôlés afin de prévenir toute utilisation non autorisée.
9.1 Exigences business sur les contrôles d’accès
Une politique de contrôle d’accès doit être formalisée. Elle doit inclure à minima l’accès aux actifs, aux informations.
En fonction des profiles et des rôles du personnel la politique de contrôle doit spécifier qui peut avoir accès à quoi.
9.2 Gestion des accès utilisateurs
Des procédures administratives doivent être mises en œuvre afin de s’assurer que les droits d’accès affectés aux utilisateurs sont correctement enregistré et suivi.
9.3 Responsabilités des utilisateurs
Les utilisateurs doivent avoir conscience de leur implication et de leur responsabilité quant au maintien de l’efficacité des contrôles d’accès. Cela se traduit par la sensibilisation a l’utilisation de mots de passe complexes et confidentiels.
Enfin l’accès aux poste de travail doit être sécurisé lorsque le collaborateur quitte son bureau.
9.4 Contrôles d’accès au réseau
L’accès à tous les services réseau doit être contrôlé, tant en interne que lors des relations avec l’extérieur.
La politique concernant les contrôles d’accès doit être formalisée et les utilisateurs distants doivent être dûment authentifiés.
9.5 Contrôles d’accès au système d’exploitation
Des dispositions concernant la gestion des postes de travail doivent être déployées. Il s’agit notamment de l’authentification systématique de l’utilisateur, de l’utilisation de compte individuels, d’enregistrement des privilèges accordés à l’utilisateur, etc.
L’accès aux outils d’administration systèmes doivent être contrôlés.
9.6 Contrôles d’accès aux applications et à l’information
L’accès aux applications doivent être contrôlés conformément à une politique de contrôle d’accès prédéfinies. Les applications particulièrement sensibles peuvent nécessité la mise en œuvre de plates-formes dédiées ou de contrôles supplémentaires.
9.7 Télétravail et informatique mobile
L’organisme doit formaliser une politique portant sur la sécurité de l’utilisation des PC portables, PDA, téléphones portables etc. Elle doit par ailleurs garantir la sécurité dans le cadre du télétravail, via par exemple un tunnel IPSEC.
10. Acquisition, développement et maintenance des systèmes d’information [section 12 de la norme]
La sécurité de l’information doit être prise en compte et intégrée lors de la spécification, la conception, l’acquisition, les tests, la mise en œuvre et le maintien des technologies de l’information.
10.1 Exigences de sécurité des systèmes d’information
Les contrôles automatique et/ou manuel de sécurité doivent être identifiés et analysés lors de la phase de développement de systèmes ou lors du processus d’acquisition.
Les logiciels acquis par l’entreprise doivent être officiellement testés d’un point de vue sécurité. Et les risques encourus doivent être évalués.
10.2 Contrôle des traitements dans les applications
La saisie, le traitement et la validation des données ainsi que les contrôles d’authentification doivent être assurés afin de s’assurer de l’intégrité des données.
10.3 Contrôles cryptographiques
Une politique en matière de cryptographie doit être définie. Elle porte sur les rôles et les responsabilités, les signatures numériques, la non-répudiation, la gestion des clés et certificats numériques, etc.
10.4 Sécurité des file systèmes
L’organisme doit s’assurer que l’accès au système de fichiers, ainsi qu’aux exécutables et au code source , sont contrôlés.
10.5 Sécurisation du développement et processus de soutien
L’organisme doit charger les gestionnaires d’applications de contrôler l’accès aux environnement de projet et de support.
Les processus de contrôle des changements doivent être formalisés et mis en œuvre. Ils doivent inclure des revues techniques exhaustives.
Enfin, l’organisme doit veiller a mettre en œuvre des surveillances et des contrôles de surveillance pour les développement externalisés.
10.6 Gestion des vulnérabilités techniques
Les vulnérabilités techniques concernant les systèmes et les applications doivent être contrôlées par la mise en place d’un suivi des annonces des failles de sécurité. L’évaluation des risques sur l’application et/ou le système d’un correctif de sécurité doit être réalisé avant son déploiement.
11. Gestion des incidents de sécurité de l’information [section 13 de la norme]
Les événements de sécurité, les incidents et les failles ou points faibles doivent être signalés rapidement et gérées promptement.
11.1 Rapports sur les événements et faille de sécurité
Chaque incident doit faire l’objet d’un compte rendu. Une procédure d’alerte doit exister et etre utilisée. Des procédures de réponse et de l’escalade doivent être associés aux alertes et aux incidents.
Un SPOC (point de contact unique) doit être informés des rapports d’incident qui les concernes, c’est à dire relatifs à la sécurité de l’information.
11.2 Gestion et amélioration des incidents de sécurité
Des responsabilités et des procédures sont requises pour
- gérer les incidents de manière cohérente et efficace,
- mettre en œuvre l’amélioration continue,
- recueillir des preuves concernant le suivi des incidents de sécurité et leur traitement.
12. Gestion de la continuité Business [section 14 de la norme]
Cette section décrit la relation entre le plan de continuité IT, la continuité Business, et la planification d’urgence. Elle couvre l’analyse, la documentation et les plans de test. Tous les contrôles sont conçus pour minimiser l’impact des incidents de sécurité pouvant survenir malgré les contrôles préventifs mis en œuvre par l’organisme. Il s’agit notamment des sinistres ou incidents majeurs.
13. Conformité [section 15 de la norme]
13.1 Conformité avec les exigences légales
L’organisation doit se conformer à la législation en vigueur, tel que le droit d’auteur, la protection des données ( y compris les données financières), etc.
13.2 Conformité technique, conformité avec les politiques de sécurité et les normes
La Direction et les propriétaires des systèmes doivent veiller au respect des politiques de sécurité et des normes. A cet effet des revues de sécurité doivent être réalisée afin de statuer sur l’efficacité du dispositif. Il peu s’agir en outre de revoir les résultats de tests d’intrusion, etc.
15.3 Considérations sur l’audit des SI
Les audits devraient être soigneusement planifié afin de minimiser les perturbations sur les systèmes opérationnels.
Bonne synthèse mais l’aspect BIA , BCM, et DRP n’est pas explicité