DURÉE
2 jours
DATES
18-19 novembre 2010
19-20 mai 2011
PRIX
1 680 € ht (2 009,28 € ttc)
Sommaire du seminaire
    Séminaires technique Institut Capgemini
     

    ISO 27001/27002
    et “best practices”
    en Sécurité


    > comment utiliser les normes ISO pour améliorer la sécurité de votre SI




    		 Ce séminaire a pour objectif de vous permettre une mise en œuvre optimale et rapide d’un Système de Management de Sécurité de l’Information, d’une analyse de risques pragmatique et d’un référentiel de sécurité.

    Il vous servira de guide et vous accompagnera dans vos projets de sécurité afin :
    • d’identifier les avantages techniques et organisationnels spécifiques pour votre organisme à la mise en œuvre des normes ISO 2700x ;
    • de vous assurer avantage compétitif et retour sur investissement maximum en abordant les normes sous un angle métier ;
    • de mieux conduire un projet de préparation/certification ISO 27001 et/ou 27002 ;
    • d’éviter les écueils classiques de l’analyse de risques avec la norme ISO 27005 ;
    • de vous appuyer sur les référentiels ISO pour évaluer votre niveau de sécurité actuel et ouvrir les pistes d’amélioration dans le temps.

    Appuyé par de nombreux exemples de démarches ISO réussies, de cas pratiques d’audit et d’analyse de risques ISO, ce séminaire vous permettra de structurer et bâtir votre démarche vers la conformité recherchée.

     

    Les normes ISO 27000

    • Quelques fondamentaux (rappels)
      • La sinistralité informatique en France et dans le monde : repères, évolutions et tendances.
      • Définitions ISO du Système de Management de la Sécurité du SI (ISMS).
      • La classification des actifs selon le vecteur CID (confidentialité, intégrité, disponibilité).
      • De la vulnérabilité au risque en passant par la menace et son impact.
      • Principe général de la gestion du risque selon l’ISO 31000.
      • La maîtrise du risque : évaluation, détection, prévention, protection, transfert, etc.
    • La famille des normes ISO 27000
      • Vocabulaire ISO 27000 et ISO Guide 73 : un langage universel.
      • Les standards britanniques comme référence historique (BS 7799).
      • Définition et objectifs généraux des normes actuelles (ISO 27001, 27002, 27003, etc.).
      • La norme 27004 : indicateurs et mesures d’efficacité.
      • La norme 27005 : management des risques.
    • Les normes connexes
      • Les différences avec la norme ISO 15408 (critères communs).
      • Les normes ISO de système de management qualité (ISO 9001) et environnemental (ISO 14001) : vers une convergence méthodologique entre les systèmes de management.
      • Les normes 19011 et 27006 comme guides d’audit interne et externe.
      • Le modèle de maturité SSI ISO 21827 et son usage par rapport aux normes 2700x.

    Les cadres réglementaires et juridiques versus ISO

    • Les réglementations incontournables
      • Les réglementations financières SOX/COSO, LSF, etc.
      • Les réglementations sectorielles (BALE II, PCI-DSS, etc.).
      • Réglementations financières versus certification ISO : différences, complémentarité.
    • Les cadres référentiels liés à l’ISO
      • Le cadre référentiel CobiT : pour qui, pourquoi ?
      • La sécurité selon CobiT : critères supplémentaires conformité et fiabilité.
      • La gestion des incidents de sécurité selon ITIL, liens avec CobiT et ISO.
      • La complémentarité entre ITIL, CobiT et ISO 27002.
      • Normes ISO versus cadres référentiels : différences, complémentarité.
    • Le cadre juridique national et européen
      • Le contexte juridique incontournable : les lois LCEN, LSQ, Informatique et libertés.
      • Concilier les exigences ISO et la loi Informatique et libertés.
      • Comment l’ISO prend en compte la législation française : exemple de mesures de sécurité du domaine 15 “conformity” de la norme 27002.
      • Les bonnes pratiques ISO à adopter pour un usage juridiquement conforme du SI.

     

    La norme fédératrice ISO 27001

    • Les objectifs
      • La spécification d’un Système de Management de la Sécurité de l’Information.
      • Les objectifs à atteindre et les moyens pour y parvenir.
      • À qui s’adresse la norme et comment l’adapter à ses spécificités ?
      • De l’importance du périmètre initial et de l’analyse de risques.
      • Les limites de la norme ISO 27001 ; compléments indispensables.
      • L’approche alternative “modèle de maturité” ISO 21827.
    • Le modèle dynamique “Plan Do Check Act”
      • La norme ISO dans une démarche d’amélioration continue.
      • Le modèle “Plan Do Check Act” ; la roue de Deming.
      • Les clauses (sections) obligatoires, l’annexe normative A comme référence.
      • Le plan d’action PDCA de la section 4 : les procédures, la documentation.
      • Faire vivre son SMSI dans la durée.
    • Les ressources indispensables
      • Les contraintes associées de gestion du temps, identification des ressources nécessaires.
      • Les documents à produire : de la politique du SMSI aux procédures décrivant les écarts et les mesures correctives et préventives.
      • La conception du “Statement of Applicability” : un document incontournable.
      • La mise en conformité normative : comment évaluer les efforts à produire ?
      • L’implication obligatoire du management : ce que dit et impose la norme.
      • Vers un “RSMSI” : le rôle clé du RSSI dans l’animation de la démarche ISO.
      • La conduite d’un projet de mise en conformité ISO : les étapes obligatoires.
      • L’inventaire et le suivi des écarts dans le temps : comment maîtriser les dérives ?
    • La norme ISO 27003 – lignes directrices : implémentation du SMSI
      • Utiliser la norme ISO 27003 comme guide structurant la démarche SMSI.
      • Comment choisir et définir son domaine d’application et la politique SMSI associée.
      • Définir une organisation optimale, s’assurer l’implication du management.
      • Élaborer une check-list d’actions conforme aux exigences normatives 27001.
      • Produire une planification assurant l’efficacité du modèle PDCA.

    L’analyse du risque selon l’ISO

    • Une analyse des risques ISO pour une certification ISO ?
      • La démarche type 27001 : ce que dit la norme dans la section 4 (phase Plan).
      • Identification des critères d’acceptation des risques et niveaux de risque acceptables.
      • L’inventaire des actifs sensibles, des menaces et vulnérabilités ; calcul de l’impact (vecteur DIC).
      • Évaluation de l’impact business d’une faille de sécurité sur l’organisation.
      • Identification du type de traitement du risque (acceptation, évitement, maîtrise, transfert).
      • Réduction ISO du risque : mesures de sécurité de l’annexe A 27001 - 27002.
    • La gestion des risques selon l’ISO 27005 : intérêts et limites
      • La démarche structurée de la norme 27005 : de la théorie à la mise en pratique.
      • Élaboration des critères d’évaluation, d’impact et d’acceptation des risques.
      • Mise en œuvre d’une démarche d’appréciation pragmatique des risques.
      • Comment estimer son niveau de risque – techniques de valorisation – exemples de calculs.
      • La convergence vers l’ISO des analyses de risques publiées : exemple EBIOS 2010.
    • La gestion du risque dans le modèle PDCA
      • Comment améliorer son analyse de risques ?
      • Identifier et inventorier les événements critiques externes conduisant à la mise à jour d’une analyse de risques.
      • La planification des revues d’analyse : comment créer un plan d’analyse des risques ?

     

    Les best practices ISO 27002

    • Un référentiel unique incontournable
      • Recueil de bonnes pratiques techniques et organisationnelles.
      • Structuration de la norme en domaines/chapitres (niveau 1), objectifs de contrôles (niveau 2) et contrôles (niveau 3).
      • Adéquation entre les exigences de sécurité de l’entreprise et les mesures de sécurité ISO : exemples pratiques.
      • Liens entre mesures techniques et solutions technologiques.
      • Exemples concrets avec les principales solutions technologiques de protection de l’information du marché.
    • Les bonnes pratiques clés
      • Analyse des objectifs et mesures de sécurité de chaque domaine.
      • Les onze domaines de la norme : Politique de sécurité, Organisation de la sécurité, Classification et contrôle des actifs, Sécurité “ressources humaines”, Sécurité physique, Sécurité réseaux, Contrôle d’accès et identité, Développement et maintenance des systèmes, Gestion des incidents, Continuité de service, Conformité.
      • Exemples d’application pratique et adaptation du référentiel et des bonnes pratiques à son entreprise : les mesures de sécurité clés indispensables.
    • Comment bien utiliser la norme 27002
      • La norme 27002 comme référentiel unique pour son organisation.
      • La vision guide et classification universelle comme objectif.
      • Quelles mesures de sécurité choisir pour son organisation.
      • Identification des critères de choix, risques, vulnérabilité, analyse de l’existant.
      • La norme 27002 comme référentiel pour la certification 27001. Liens avec la norme ISO 27001 : l’annexe A.
      • La Déclaration d’Applicabilité (SoA) comme "passerelle" entre 27001 et 27002.
      • Quels efforts documentaires produire pour les auditeurs internes ou externes ?

     

    Le contrôle de la sécurité (indicateurs et tableaux de bord)

    • Les mesures indispensables dans “l’esprit” ISO
      • Les phases “Check” et “Act” du modèle d’amélioration continue.
      • Les mesures et contre-mesures des actions correctives et préventives.
      • La présentation des tableaux de bord, exemples de formats.
      • Comment choisir les bons indicateurs ? Cas pratiques.
    • Un projet “gestion des indicateurs” en mode PDCA
      • Quelles sont les étapes ? Quelles sont les priorités ?
      • Le support de l’annexe A et de la norme 27002 pour définir les indicateurs clés.
      • Un indicateur par mesure de sécurité 27002 comme objectif.
      • La norme ISO 27004 ; les apports théoriques et pratiques.
      • Vers une méthode de calcul unifiée et une métrique universelle.
      • La recherche d’indicateurs comparables entre deux organisations : utopie ou réalité ?
      • La conduite d’un programme de mesures, indicateurs.
    • La certification ISO 27001 et ses obligations
      • La corrélation entre indicateurs de sécurité et amélioration continue du SMSI en conformité avec ISO 27001.
      • La mesure des écarts mineurs et des écarts majeurs : comment disposer de données fiables ?
      • Les indicateurs clés comme données d’entrée du “management review” et réexamen du SMSI.

     

    La certification ISO comme objectif final


    • Quelles normes pour votre organisation ?
      • Objectif, intérêts et limites de la démarche ISO dans votre contexte.
      • Les enjeux business escomptés, identifier un intérêt concurrentiel et marketing.
      • La démarche ISO comme modèle structurant de sa démarche sécurité : ce qu’il faut prendre et laisser.
      • Référentiel de certification ou de “best practices” : différences et choix.
    • La certification ISO
      • La démarche d’audit de certification, les étapes et charges de travail types.
      • La réussite d’un audit de certification : bien borner son périmètre de certification.
      • La norme ISO 27006, les prérequis pour les certificateurs.
      • Les organismes certificateurs, le choix en France et en Europe.
      • Le coût réel de la certification : comment se préparer efficacement.
      • La détection “au plus tôt” des écarts majeurs et mineurs.
    • Et après la certification…
      • La France en retard de certification : les causes, l’évolution en cours.
      • Conditions d’utilisation de la certification : les limites à ne pas franchir.
      • Le renouvellement de la certification : audits, coûts et ressources nécessaires.