La norme ISO 27002 est à la fois un ensemble de mesures techniques et organisationnelles que l'entreprise devrait mettre en place pour gérer de manière sécurisée ses informations.
Politique de sécurité
Necessité de disposer d'une politique de sécurité et d'un processus de validation et de révision de cette politique.
Organisation de la sécurité
La première partie traite de la nécessite de disposer au sein de l'entreprise d'une organisation dédiée à la mise en place et au contrôle des mesures de sécurité en insistant sur :
l'implication de la hiérarchie et sur la coopération qui devrait exister entre les différentes entités de l'entreprise,
la désignation de propriétaires de l'information, qui seront responsables de leur classification,
l'existence d'un processus pour la mise en place de tout nouveau moyen de traitement de l'information.
La deuxième partie traite des accès aux informations de l'entreprise par une tierce partie. Ces accès doivent être encadrés par un contrat qui stipule les conditions d'accès et les recours en cas de problèmes.
La troisième partie indique comment traiter du cas où la gestion de la sécurité est externalisée (outsourcing).
Classification des informations
Répertorier l'ensemble des informations (ou types d'information) de l'entreprise et de déterminer leur classification. La mise en place d'une classification de l'information doit s'accompagner de la rédaction de guides pour la définition des procédures de traitement de chaque niveau de classification.
Sécurité du personnel
Types de mesures :
lors du recrutement de personnel, il est tout aussi important d'enquêter sur le niveau de confiance que l'on peut accorder aux personnes qui auront accès à des informations sensibles que de mentionner dans les contrats d'embauche des clauses spécifiques à la sécurité comme une clause de confidentialité.
une sensibilisation à la sécurité doit être proposée à toute personne accédant à des informations sensibles (nouvel arrivant, tierce partie),
l'ensemble du personnel doit être informé de l'existence et du mode d'emploi d'un processus de remontée d'incidents.
Sécurité de l'environnement et des biens physiques
Protection des bâtiments et des équipements :
délimitation de zone de sécurité pour l'accès aux bâtiments (attention aux accès par les livreurs),
mise en place de sécurité physique comme la lutte contre l'incendie ou le dégât des eaux,
mise en place de locaux de sécurité avec contrôle d'accès et alarmes, notamment pour les salles machines,
mise en place de procédures de contrôle pour limiter les vols ou les compromissions,
mise en place de procédures pour la gestion des documents dans les bureaux.
Administration
rédiger et mettre à jour l'ensemble des procédures d'exploitation de l'entreprise (que ce soit pour de l'exploitation réseau, système ou sécurité)
rédiger et mettre à jour les critères d'acceptation de tout nouveau système
prévoir un planning pour l'achat de composants ou matériels pour éviter toute interruption de service
mettre en place un certain nombre de politique organisationnelle et technique (anti-virus, messagerie, diffusion de document électronique en interne ou vers l'extérieur, sauvegarde et restauration, etc)
Contrôle d'accès
Propositions de mesures par rapport aux autres chapitres. Sans être exhaustif, on peut cependant retenir :
la nécessité pour l'entreprise de disposer d'une politique de contrôle d'accès (qui a droit à quoi et comment il peut y accéder),
la mise en place d'une gestion des utilisateurs et de leurs droits d'accès sans oublier la révision de ces droits (gestion de droits, gestion de mot de passe ou plus généralement d'authentifiant),
la responsabilité des utilisateurs face à l'accès aux informations (ne pas divulguer son mot de passe, verrouiller son écran quand on est absent par exemple),
des propositions de mesures pour mettre en ouvre la politique de contrôle d'accès comme l'utilisation de la compartimentation de réseaux, de firewalls, de proxies, ..., la limitation horaire d'accès, un nombre d'accès simultanés limité, etc.,
la mise en place d'un système de contrôle de la sécurité et de tableaux de bord,
l'existence et la mise en place de procédures concernant le télétravail.
Développement et maintenance
Proposition des mesures incontournables comme des exemples de mise en oeuvre. Sans être exhaustif, on peut retenir :
la nécessité d'intégrer les besoins de sécurité dans les spécifications fonctionnelles d'un système
des conseils de développement comme la mise en place d'un contrôle systématique des entrées sorties au sein d'un programme
des propositions d'intégration de services de sécurité comme le chiffrement, la signature électronique, la non-répudiation, ce qui nécessiterait pour l'entreprise la définition d'une politique d'usage et de contrôle d'outils à base de cryptographie ainsi qu'une politique de gestion des clés associées
la mise en place de procédures pour l'intégration de nouveaux logiciels dans un système déjà opérationnel
la mise en place d'une gestion de configuration
Plan de continuité
Nécessité pour l'entreprise de disposer de plans de continuité ainsi que de tout le processus de rédaction, de tests réguliers et de mise à jour de ces plans.
Conformité légale et audit de contrôle
Ce chapitre traite pour l'essentiel de deux points :
la nécessité pour l'entreprise de disposer de l'ensemble des lois et règlements qui s'appliquent aux informations qu'elle manipule et des procédures associées
la mise en place de procédures pour le déroulement d'audit de contrôle.
Web&Co
Inscription à :
Publier les commentaires (Atom)
Aucun commentaire:
Enregistrer un commentaire