Le chapitre précédent vous a convaincu, je l'espère, de l’importance de la mise en oeuvre d’une PSSI pour garantir une bonne prise en compte des risques qui pèsent sur le SI de votre entreprise. Le plan type proposé fournit un canevas que vous pourrez utiliser dans des contextes différents.
Vous vous demandez certainement, comment, concrètement, on met en oeuvre cette démarche projet ? Je vous propose les axes de réponses dans ce chapitre.
Suivez les normes ISO
L’industrie de la sécurité informatique recommande aux DSI et aux chefs de projet un ensemble de standards et de bonnes pratiques pour réaliser leurs travaux de sécurisation des SI. L’application de ces normes garantit un cadre éprouvé et reconnu pour déployer une PSSI. L’écosystème le plus répandu est l’ensemble des normes 2700x. C’est l'outil indispensable avec lequel je vous propose de vous familiariser maintenant.
Tout d’abord, la famille de normes ISO 27000 est un recueil de bonnes pratiques dans le domaine de l’élaboration d’un système de management de la sécurité des SI (SMSI). Dans cette famille, il existe de nombreuses normes ; toutefois seules les quelques premières nous sont réellement utiles dans le périmètre de ce cours. Pour ceux qui voudrait approfondir les autres, je vous invite à faire les recherches adéquates sur le Net.
Normes | Date et révision | Descriptif | Lien avec la PSSI |
ISO 27001 | 2005 - 2022 | Ce standard définit les exigences à mettre en place pour l’élaboration d’un système de management de la sécurité de l’information. Basé sur l’amélioration continue de type « roue de Deming » Plan / Do / Check / Act, il précise les points de contrôle à respecter et propose dans son annexe A 114 mesures issues de l’ISO 27002. | C’est la base pour la mise en place d’un SMSI (système de management de la sécurité de l’information). |
ISO 27002 | 2005 - 2022 | Ce standard présente un guide de bonnes pratiques à mettre en oeuvre pour des contrôles au regard des risques pesant sur l’information (confidentialité, intégrité et disponibilités). Il présente 114 mesures classées en 14 thèmes. | La méthodologie présentée dans le cours s’inspire directement des thèmes de l’ISO 27002 pour fixer les exigences et règles de sécurité. |
ISO 27003 | 2010 - 2017 | Cette norme présente un guide d'implémentation d’un SMSI. Il décrit le processus de conception. | Base pour la mise en place d’un SMSI. |
ISO 27005 | 2008- 2022 | Cette norme se focalise sur la gestion des risques : définition du contexte, évaluation des risques, contrôle des résultats, révision. Par exemple, les méthodes EBIOS et MEHARI se basent de manière extensive sur la norme 27005. | Pas de lien direct, mais la PSSI se nourrit d’une analyse des risques qui peut s’appuyer sur l’ISO 27005. C’est même recommandé. :) |
À la lecture de ce chapitre, vous aurez compris que ces normes énoncent des principes essentiels, qui vont permettre un alignement progressif de la sécurité de l’information avec les meilleures pratiques de management : pilotage par les risques, formalisation des processus, contrôle, amélioration continue…
Pour autant, ces normes ne sont pas le Graal du RSSI :
elles n’aident pas à choisir le bon niveau de granularité et de détail pour conduire les analyses de risques ;
elles n’aident pas non plus à sélectionner les mesures de sécurité adaptées au contexte.
Planifiez votre projet
Avant d’entrer dans le vif du sujet dans la partie suivante, je vous propose de voir les lignes macroscopiques de la méthodologie proposée ici pour construire la PSSI de votre entreprise.
La méthode proposée se décompose en 4 phases principales :
Phase 1 : Donner un cadre à la démarche
Cette étape consiste à déterminer les orientations stratégiques et le périmètre de la PSSI au regard du SI, ainsi qu’à en préciser les enjeux.
Phase 2 : Faire l’inventaire des moyens du SI
On s’intéresse ici aux biens à protéger. Au sens d’EBIOS, on considère les systèmes informatiques, les organisations et les locaux. Vous devrez répertorier le patrimoine physique et l’organisation que les règles de la PSSI vont protéger.
Phase 3 : Analyser les risques
Par une méthode reconnue (EBIOS, MEHARI), vous aurez ici à déterminer une cartographie des risques qui pèsent sur le SI. Cet inventaire des risques, hiérarchisés par criticité, permet de sensibiliser les acteurs du SI aux différents scénarios potentiellement dangereux. Ensuite, vous devrez choisir pour chaque risque principal identifié, la manière dont il sera traité.
Phase 4 : Choisir les mesures de sécurité
Dans cette étape, il s’agit d’associer à chaque risque cartographié, les exigences de sécurité (exprimées sous forme fonctionnelle et peu technique) qui doivent être mises en oeuvre pour le réduire. Pour vous aider, vous pouvez utiliser les thèmes de la norme ISO 27002 pour guider le travail. Enfin, il vous faudra décliner ces exigences en règles de sécurité, en les attachant à un des composants de l’inventaire, et en précisant l’acteur qui en aura la responsabilité !
En résumé :
la famille de normes 2700x donne les lignes directrices pour élaborer une PSSI ;
le cours propose une méthodologie en 4 temps pour l’écrire :
cadrer la démarche,
recenser les biens à protéger,
analyser les risques,
choisir les mesures de sécurité.
