ISO 17799 la norme de la

scurit de l'information
Maury Infosec
Conseils en scurit de l'information

Claude Maury

La scurit de linformation
Linformation constitue le capital
intellectuel de chaque organisation.
Cest un lment important de lactivit
de lorganisation qui ncessite une
protection adquate.

La norme ISO/CEI 17799 (International

Standard Organisation/Commission

tablit des
lignes directrices et des principes
gnraux dans la gestion de la
scurit de linformation
Electronique Internationale)

Elle a t labore par le comit

technique ISO/TC JTC 1

Janvier 2006

Claude Maury

ISO/CEI 17799:2005
La norme ISO/CEI 17799:2005 a t publie en juin 2005
Cest un code de bonne pratique (rfrentiel) pour la
gestion de la scurit de linformation
Nouvelle numrotation en 2007: ISO/CEI 27002:2005
Cette norme contient 15 articles (chapitres):
Les 4 premiers chapitres dfinissent le cadre de la norme
Les 11 chapitres suivants composs de 39 rubriques et 133 mesures
dfinissent les objectifs de scurit et les mesures prendre

Sites web:
www.iso-17799.com
www.iso17799software.com
www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=39612&ICS
1=35&ICS2=40&ICS3= (pour lachat de la norme 200.-CHF)
Janvier 2006

Claude Maury

Primtre couvert par la norme

L'information qu'elle soit sous forme crite,
parle, image, enregistre, transmise, etc..

Janvier 2006

ACTIFS D'INFORMATION
ACTIFS
D'INFORMATION
Bases
et fichiers
de donnes,
Bases
et
fichiers
de donnes,
Mthodes de fabrication,
Mthodes de
fabrication,
Procdures
d'exploitation,
Procdures
d'exploitation,
Manuels
utilisateurs,
Manuels utilisateurs,
Archives,
Archives,
etc
etc

ACTIFS PHYSIQUES
ACTIFS
PHYSIQUES
Salle
informatique,
Salle informatique,
Serveurs,
PC, imprimantes,
Serveurs,
PC, imprimantes,
scanner, etc..
scanner, etc..
Portables,
Portables,
Rseaux
locaux, PABX,
Rseaux
locaux, PABX,
etc
etc

ACTIFS APPLICATIFS
ACTIFS APPLICATIFS
Systmes
d'exploitation,
Systmes
Applicationsd'exploitation,
de mtier,
Applications
de mtier,
Progiciels et logiciels,
Progiciels et logiciels,
Utilitaires,
Utilitaires,
Outils
de dveloppement,
Outils
etc de dveloppement,
etc

FOURNITURES DE SERVICES
FOURNITURES
DE SERVICES
Services
informatiques
Servicesdeinformatiques
Services
communication
Services
de
communication
Services gnraux
(alimentation
Services
gnraux
(alimentation
lectrique, climatisation,
etc..)
lectrique,
climatisation,
etc..)
etc.
etc.

Claude Maury

ISO/CEI 17799:2005 n'est pas:

Une norme technique oriente produit ou logiciel.
Une mthode d'analyse et de gestion de risques, de
classification de l'information et des actifs, etc.
Une mthode est un moyen d'arriver efficacement un objectif et un
rsultat dfini, c'est un outil utilis pour satisfaire une norme.

Un ISMS (Information Security Management System), systme

de gestion de la scurit de linformation.
Une certification ISO de la scurit de l'information.
La norme ISO/CEI 27001:2005 spcifications pour un ISMS permet la
certification, elle utilise la norme ISO/CEI 17799:2005 comme rfrentiel.

Janvier 2006

Claude Maury

Domaine d'application
La norme ISO 17799 fournit des recommandations sur la
gestion de la scurit de l'information. C'est un rfrentiel
pour l'laboration des normes de scurit des organisations
et une mthode de gestion efficace de la scurit.
La norme ISO 17999 s'adresse aux responsables de la mise
en uvre ou du maintien de la scurit de l'information.
Les recommandations de cette norme sont slectionner et
appliquer selon les besoins du mtier et des affaires de
lorganisation et conformment aux lois et rglements en
vigueur.
Equivalence USA: NIST handbook Introduction to

computer security

http://www.csrc.nist.gov/publications/nistpubs/

Janvier 2006

Claude Maury

Dfinition de la scurit de linformation

La scurit de l'information, c'est la prservation de:
La Confidentialit
Le fait que l'information n'est accessible qu'aux personnes qui sont

autorises l'accder.

LIntgrit
C'est la protection de l'exactitude et de l'intgrit de l'information et des

mthodes de traitement.

La Disponibilit
Le fait que les utilisateurs autoriss ont un accs scuris l'information et

ses ressources associes.

La Traabilit
La dfinition est donne dans la norme ISO 8402 : Aptitude retrouver

lhistorique, lutilisation ou la localisation dun produit ou dun processus de

dlivrance dun service au moyen didentifications enregistres.

Janvier 2006

Claude Maury

Articles
La norme contient 11 articles.
Ces 11 articles sont numrots par les chapitres 5 15 de la norme
N

Janvier 2006

Articles (chapitres) ISO/CEI 17799:2005

Nbre
objectifs de
scurit

Nbre
mesures

Politique de scurit

Organisation de la scurit de linformation

11

Gestion des biens

Scurit lie aux ressources humaines

Scurit physique et environnementale

13

10

Gestion de lexploitation et des tlcommunications

10

32

11

Contrle daccs

25

12

Acquisition, dveloppement et maintenance des systmes dinformation

16

13

Gestion des incidents lis la scurit de linformation

14

Continuit de lactivit

15

Conformit

10

Claude Maury

Rubriques
Les 11 articles (chapitres) contiennent:
39 rubriques de scurit qui sont structures de la faon
suivante:
Un objectif de scurit identifiant le but atteindre
Une ou plusieurs mesure(s) pouvant tre applique en vue
datteindre lobjectif de scurit

133 mesures contenues dans les 39 rubriques qui sont

structures de la faon suivante:
Mesure: spcifie la mesure adapte lobjectif de scurit
Prconisation de mise en uvre: propose des informations dtailles
pour mettre en uvre la mesure
Information supplmentaires: prsente des complments
dinformation considrer

Janvier 2006

Claude Maury

Exemple de structure de la norme

Objectif de scurit

Mesure

Janvier 2006

Claude Maury

Critres de succs
Une bonne comprhension et valuation des risques encourus
Une mise en uvre qui soit compatible avec la culture de
l'entreprise
Un soutien et un engagement visible de la direction
Des comptences et des moyens pour mettre en uvre la
politique et les processus de scurit
Une prsentation et une formation approprie de la scurit
tous les responsables et employs de l'organisation
L'accs pour tous les employs aux normes et directives de
scurit de l'information

Janvier 2006

Claude Maury

Audit de situation
Interview d~ 540 questions
bases sur les 11 chapitres de
la norme
Pas de tests in situ

chap 5
100%
90%
80%
70%
60%
50%
40%
30%
20%
10%
0%

chap 15

chap 14

Ce nest pas un jugement de

valeur ou de comptences

chap 7

chap 13

Donne une photo de ltat

actuel de la SSI par rapport
la norme

chap 8

chap 12

chap 9

chap 11

ISO 17799:2005

Janvier 2006

chap 6

Claude Maury

chap 10

Mesures existantes et prvues

Mesures existantes

Barrires
Rsistance humaine
Atteinte la libert (cyberflics)
Frein au business

Moyens financier et humain

Culture de lentreprise
Culture du pays
Us et coutumes, lois diffrentes

Besoins du business
Moyens coercitifs disposition
Qui peut obliger?

Coupes budgtaire
Janvier 2006

Claude Maury

Quelques liens intressants

http://www.quesaco.org/process.php?targt=question_securite

Questionnaire du risque en franais

http://www.humanfirewall.org

The security management index

Janvier 2006

Claude Maury