Blog professionnel de Georges Dick

(ou la norme ISO 17799 démystifiée en quelques questions).

Qu'est ISO 17799 ?

ISO 17799 est une norme internationale (issue de la norme britannique BS7799-1) définissant un ensemble de « bonnes pratiques » dans le domaine de la sécurité de l'information ; c'est à dire une collection de règles « à faire » et « à ne pas faire » afin de s'assurer que chaque donnée est accessible à qui est autorisé à la consulter au moment où il en a besoin, et en permanence inaccessible à qui ne doit pas en avoir connaissance.

Pourquoi mon organisation doit-elle implémenter ISO 17799 ?

Parce qu'il en va de sa survie. Des études ont démontré que le taux de mortalité des entreprises suite à la perte de données est extrêmement élevé : plus de 90% auront disparu moins de deux ans après avoir perdu toutes leurs données. A cette menace on peut ajouter le coût des heures de travail perdues quand une tâche est bloquée à cause de l'inaccessibilité des données, et celui de la divulgation de données confidentielles. Le but de la norme ISO 17799 est de limiter au maximum ces risques, donc les coûts induits.

Comment fonctionne ISO 17799 ?

ISO 17799 est un ensemble de recommandations. Le mode de fonctionnement d'ISO 17799 est de dicter un ensemble de règles et de buts à atteindre : définition d'une politique de sécurité, maintenance de systèmes, gestion de la reprise sur incident, continuité de l'activité après un désastre, méthodes de communication, contrôles d'accès, etc. Une entreprise respectant ISO 17799 est une entreprise qui respecte toutes les règles obligatoires de cette norme. ISO 17799 ne fournit pas de méthode absolue ou spécifique, et prévoit même que toutes ses spécifications ne pourront pas être respectées par toutes les structures, et que des contrôles qu'elle n'a pas prévu puissent être nécessaires : il s'agit d'un outil de contrôle de haut niveau et non pas d'un ensemble de méthodes.

Et si mon organisation décide de respecter ISO 17799 ?

Elle devra mettre en place un audit sur ses méthodes de sécurisation de l'information. En d'autres termes, elle devra s'assurer qu'elle contrôle parfaitement la sécurité de ses informations.

Quelle est l'origine de ISO 17799 ?

ISO 17799 est issue du standard britannique BS 7799-1. BS 7799-1 a été transformée en norme ISO 17799 selon une procédure d'adoption accélérée dite « fast track ». Incidemment cette méthode beaucoup plus rapide que la traditionnelle lui aura valu de ne pas être reconnue de certains pays, dont la France. En 2002 a commencé la révision selon la procédure normale (et beaucoup plus longue) qui passe par le consensus, aboutissant à une deuxième publication en juin 2005.

Qui a fait ISO 17799 ?

L'ISO regroupe des délégations nationales d'experts choisis par les organismes nationaux de normalisation. Ils participent à des comités techniques chargés de dégager un consensus basé sur les points de vue défendus par chacun de leurs pays.

Quand ?

BS 7799-1 est parue en 1995. Le schéma de certification autour de cette norme (BS 7799-2) a été mis en place en 1998. En 2000, BS 7799-1 est convertie en norme ISO 17799 selon une procédure dite « fast track » (c'est à dire une transcription sans nécessiter de consensus). En 2002 a été lancé le processus de révision de la norme ISO 17799 qui a abouti en juin 2005 à une norme ISO 17799 « nouvelle mouture » adoptée suivant le schéma du consensus, ce qui lui assurera une bien plus large reconnaissance et donc diffusion.

Comment être certifié ?

Il n'existe pas de « certification ISO 17799 » à proprement parler. ISO 17799 décrit uniquement des moyens à mettre en oeuvre. Cependant, il est possible d'utiliser ISO 27001, qui définit l'ensemble des tests et contrôles à effectuer pour s'assurer du bon respect d'ISO/CEI 17799.

Quel est le rapport entre ISO 17799 et ISO 15408 (critères communs) ?

ISO 17799 est un standard de management et s'intéresse aux aspects non techniques de la sécurité. ISO 15408 est un standard technique. En résumé, ISO 15408 permet de durcir la technique, et en ce sens peut aider à respecter ISO 17799.

La première réponse qui viendrait naturellement à l'esprit est : tout !

Pourtant dans une entreprise bien gérée ce n'est pas le cas. En effet, à quoi bon protéger ce qui n'a pas de valeur ? Et pourquoi utiliser des protections qui coûteraient plus que le bénéfice attendu ? Stocke-t-on ses photos de famille dans une chambre forte digne de Fort Knox ?

Avant de commencer à mettre en place des mesures de protection, il est utile de s'interroger sur la valeur des informations, et sur le coût d'une mauvaise protection :

• Est-ce une information stratégique ?
• La structure peut-elle fonctionner sans ?
• Est-ce une information recherchée par la concurrence ?
• Combien coûterait la reconstitution en cas de perte ?
• Le risque est-il financier ou non (image de marque, ...) ?
• etc.

Ce n'est qu'une fois la réponse à toutes ces questions (et bien d'autres) connue qu'une stratégie de protection pourra être mise en oeuvre.

Il n'y a malheureusement pas de recette miracle.
Toute information est susceptible d'être captée, modifiée, détruite, etc. Personne n'est à l'abri. Les ordinateurs de certaines des plus puissantes entreprises, ou même d'organisations devant assurer la sécurité d'un très grand pays ont étés piratés. Bien avant les ordinateurs l'espionnage existait et a réussi des exploits similaires.

Cependant, l'expérience a montré que certains facteurs sont capitaux dans la réussite de l'implémentation d'une politique de sécurité au sein d'une organisation. Le respect de ces quelques règles simples augmente considérablement les chances de succès :

1. Une politique de sécurité, avec des cibles et des activités qui reflètent clairement les objectifs de l'organisation.
2. Une approche de l'implémentation de la politique de sécurité qui soit cohérente avec la culture de l'entreprise.
3. Un support et un engagement visibles de la part de l'encadrement et de la direction.
4. Une bonne compréhension des nécessités et de la gestion de la sécurité.
5. Une bonne présentation (ou « vente » ) de la sécurité à tous les dirigeants et employés.
6. La distribution de guides pratiques d'information sur les règles et standards de sécurité à tous les employés et contractants.
7. La fourniture d'une formation appropriée à l'ensemble des intervenants.
8. Une méthode détaillée et équilibrée pour mesurer les performances du système de sécurité de l'information et prendre en compte les retours et suggestions d'amélioration.

Il est important de montrer l'implication de l'entreprise, par exemple par un document décrivant la politique de sécurité de l'entreprise (C'est d'ailleurs une des recommandation de la norme ISO 17799).

Ce document doit être approuvé par la direction et largement diffusé dans l'entreprise à destination de tous les employés. Son but est de décrire les engagements et définir l'approche du problème. Il doit au minimum inclure :

1. Une définition de la sécurité de l'information, des objectifs généraux, et de l'importance de la sécurité dans les mécanismes de partage de l'information.
2. Un rapport sur les intentions de la direction, énonçant les principes et objectifs de la sécurité de l'information.
3. Une rapide explication des politiques, principes, standards de sécurité et des impératifs les plus importants pour l'organisation, comme :
   1. La conformité avec les obligations légales et contractuelles.
   2. Les connaissances indispensables sur la sécurité.
   3. La prévention, détection, élimination des virus et autres programmes indésirables.
   4. La continuation de l'activité.
   5. Les conséquences des violations de la politique de sécurité.
4. Une définition des responsabilités générales et spécifiques pour la gestion de la sécurité, y compris la tenue des rapports d'incidents de sécurité.
5. Des références à des documents qui traitent de la sécurité, par exemple décrivant plus en détail la politique de sécurité, les procédures selon les systèmes d'informations spécifiques, ou les règles de sécurité que les usagers doivent respecter.

Que signifie exactement "sécurité des systèmes d'information" ?

• J'ai un antivirus donc je suis tranquille ?
• J'ai un firewall donc je suis protégé ?
• Je fais des sauvegardes donc je ne risque rien ?
• Rien de ce qui précède ?

En résumé c'est un peu de chaque. La sécurité des systèmes d'information ne signifie pas forcément "mettre en place un firewall, un antivirus et faire des sauvegardes", son champ d'application est beaucoup plus vaste que cela. La sécurité des systèmes d'information est trop souvent confondue avec la seule sécurité des systèmes informatiques. La norme ISO 17799 nous fournit les définitions suivantes :

Sécurité de l'information : Préservation de la confidentialité, de l'intégrité et de la disponibilité de l'information. Confidentialité : L'information ne doit être accessible qu'à ceux qui ont le droit d'y avoir accès. Intégrité : Maintient de l'exactitude et de l'intégralité de l'information et des méthodes de traitement. Disponibilité : Les utilisateurs autorisés doivent avoir accès à l'information et à tout ce qui lui est associé à chaque fois qu'ils en auront besoin.

La sécurité des systèmes d'information s'intéresse donc à l'information sous toutes ses formes, qu'elle ait été formalisée ou pas, numérisée ou pas, informatisée ou pas.

Bien se souvenir que Information n'est pas informatique !
Pour illustrer, voici quelques pistes :

• Le téléphone.
  Alors que pirater une communication sur Internet nécessite de solides compétences informatique, écouter ce qui passe sur une ligne téléphonique ne demande que de savoir brancher deux fils, sans même prendre le risque de s'électrocuter : le courant est (heureusement !) beaucoup trop faible.
• Les journaux.
  C'est une des premières sources de veille concurrentielle. Par exemple, si vous recrutez dans un secteur autre que votre coeur de métier, c'est certainement que vous voulez l'investir. Vous pouvez aussi répondre à un journaliste. Etes-vous certain de ne pas avoir donné la moindre information qui pourrait servir à un concurrent ?
• Les corbeilles à papier.
  Factures, schémas explicatifs, brouillons de réponses à des appels à candidatures, notes confidentielles, etc. Utilisez-vous un destructeur de documents à chaque fois que nécessaire ?
• Cafés, restaurants (etc.).
  Les conversations ne portent-elles jamais sur des sujets internes ? Etes-vous certains que les personnes assises à la table d'à côté ne sont pas ravies de vous entendre ?
• le « social ingeneering » ou « ingénierie sociale ».
  Cet ensemble de techniques s'est récemment modernisée avec le « phishing » (ou « hameçonnage » ). Il s'agit de l'ensemble des méthodes visant à obtenir des informations en se faisant passer pour un interlocuteur digne de foi. Par exemple un prétendu technicien de maintenance qui pour mener à bien un soi-disant test de bon fonctionnement va demander un mot de passe pour être certain que le terminal de son interlocuteur fonctionne...
• Les employés temporaires (intérim, freelances, etc.), le nettoyage, etc.
  Prenez-vous toujours toutes les précautions pour qu'ils n'en apprennent pas plus que nécessaire ?

Vous avez décidé de renforcer la sécurité de votre système d'information, mais vous ne savez pas exactement comment vous y prendre, d'autant que la plupart de ceux qui se disent "spécialistes de la sécurité" ne sont en réalité que des vendeurs de firewalls et / ou d'antivirus.....

L'expérience a montré que certains facteurs sont capitaux dans la réussite de l'implémentation d'une politique de sécurité au sein d'une organisation. Le respect de ces quelques règles simples augmente considérablement les chances de succès :

1. Une politique de sécurité, avec des cibles et des activités qui reflètent clairement les objectifs de l'organisation.
2. Une approche de l'implémentation de la politique de sécurité qui soit cohérente avec la culture de l'entreprise.
3. Un support et un engagement visibles de la part de l'encadrement et de la direction.
4. Une bonne compréhension des nécessités et de la gestion de la sécurité.
5. Une bonne présentation (ou « vente » ) de la sécurité à tous les dirigeants et employés.
6. La distribution de guides pratiques d'information sur les règles et standards de sécurité à tous les employés et contractants.
7. La fourniture d'une formation appropriée à l'ensemble des intervenants.
8. Une méthode détaillée et équilibrée pour mesurer les performances du système de sécurité de l'information et prendre en compte les retours et suggestions d'amélioration.