Editions ENI Livres | Vidéos | e-Formations
Pour aller plus loin
Introduction
Nous avons étudié tout au long de cet ouvrage le rôle de la norme ISO 27005 dans la gestion des risques liés à la sécurité de l’information. Nous verrons dans ce chapitre comment cette norme peut s’imbriquer dans d’autres normes, mais aussi dans des réglementations et autres standards ou bonnes pratiques. Ainsi, nous détaillerons les chapitres et exigences d’ISO 27001 qui sont touchés par ISO 27005, et nous ferons de même pour les réglementations NIS et RGPD, et les standards NIST et CIS.
ISO 27001
La norme ISO/IEC 27001:2022 définit les exigences fondamentales pour la mise en œuvre d’un système de management de la sécurité de l’information (SMSI). Elle intègre pleinement le principe de gestion des risques, aligné sur les recommandations d’ISO 31000 et mis en œuvre concrètement grâce à ISO 27005.
La gestion des risques est désormais omniprésente dans la norme : elle guide la définition des objectifs, le choix des mesures de sécurité, et les décisions d’acceptation ou de traitement des risques.
La mise en œuvre structurée d’ISO 27005:2022 permet donc de répondre efficacement aux exigences de plusieurs clauses clés de la norme ISO 27001:2022, notamment en matière de :
-
compréhension du contexte,
-
évaluation et traitement des risques,
-
implication des parties intéressées,
-
amélioration continue.
Voici les principales clauses concernées :
|
Numéro de clause |
Titre |
Lien avec ISO 27005:2022 |
|
4.1 |
Compréhension de l’organisation et de son contexte |
Établir le contexte de l’analyse des risques. |
|
4.2 |
Parties intéressées |
Prendre en compte les besoins et attentes des parties prenantes dans le processus de gestion des risques. |
|
6.1.2 |
Appréciation des risques liés à la sécurité de l’information |
Mise en œuvre d’un processus d’appréciation conforme à ISO 27005. |
|
6.1.3 |
Traitement des risques liés à la sécurité de l’information... |
La directive NIS
La directive NIS (Network and Information System Security) concerne la mise en œuvre de mesures de sécurité permettant d’assurer un niveau de sécurité élevé et commun pour les réseaux et les systèmes d’information de l’Union européenne. Cette directive a été adoptée le 6 juillet 2016 par les institutions européennes. La directive NIS 2 (Network and Information Security), adoptée en 2022 et transposée au niveau national dans les États membres de l’Union européenne, renforce les exigences de cybersécurité pour les entités dites essentielles et importantes.
|
Numéro de règle |
Titre |
Détail |
|
1 |
Analyse de risques |
L’opérateur de services essentiels effectue et tient à jour, dans le cadre de l’homologation de sécurité, une analyse de risques de ses systèmes d’information essentiels (SIE). Cette analyse de risques prend notamment en compte l’analyse que l’opérateur a menée pour identifier ses systèmes d’information en tant que SIE. |
|
5 |
Audit de la sécurité |
L’opérateur de services essentiels réalise, dans le cadre de l’homologation de sécurité, un audit de la sécurité de chaque système d’information essentiel (SIE). Il doit aussi être réalisé lors de chaque renouvellement de l’homologation en prenant notamment en compte les résultats de la mise à jour de l’analyse de risques du SIE. Cet audit vise à vérifier l’application et l’efficacité des mesures de sécurité du SIE et notamment le respect des présentes règles de sécurité. Il doit permettre d’évaluer le niveau de sécurité du SIE au regard des menaces et des vulnérabilités connues et comporte notamment la réalisation d’un audit d’architecture, d’un audit de configuration et d’un audit organisationnel et physique. |
|
7 |
Configuration |
L’opérateur installe sur ses SIE les seuls services et fonctionnalités qui sont indispensables à leur fonctionnement ou à leur sécurité. Il désactive les services et les fonctionnalités qui ne sont pas indispensables, notamment ceux installés par défaut, et les désinstalle si cela est possible. Lorsque cette dernière n’est pas possible, l’opérateur le mentionne dans le dossier d’homologation du SIE concerné en précisant les services et fonctionnalités concernés et les mesures de réduction du risque mises en œuvre. |
|
11 |
Comptes d’administration |
Lorsque la gestion d’une ressource ne peut pas techniquement être... |
Référentiel de sécurité du NIST
Le NIST (National Institute of Standards and Technology) est une agence du département du Commerce des États-Unis. Leur standard (Cybersecurity Framework, nommé aussi CSF) s’applique en sept étapes :
-
Établir l’ordre de priorité et déterminer la portée. Il s’agit d’identifier les objectifs et les priorités de l’organisation.
-
L’orientation, en identifiant les actifs liés au cadre établi précédemment et aux exigences légales ou réglementaires, et d’une manière générale, au risque.
-
Création d’un profil actuel. Il s’agit d’un état des lieux du programme actuel en matière de cybersécurité au sein de l’organisation. L’évaluation inclura les personnes, les processus, les technologies, etc.
-
Réaliser une évaluation des risques. L’utilisation d’ISO 27005 est tout à fait possible.
-
Créer un profil cible. Il s’agit de définir les résultats de cybersécurité souhaités par l’organisation.
-
Déterminer, analyser et hiérarchiser les lacunes, en comparant le profil actuel et le profil cible. Un plan d’actions voit le jour, visant à combler les brèches.
-
Mettre en œuvre le plan d’actions.
Le standard est divisé en cinq fonctions (Identifier, Protéger, Détecter, Répondre et Récupérer), divisées en 23 catégories, elles-mêmes segmentées en 108 sous-catégories. Celles-ci représentent les recommandations à suivre pour améliorer son programme de sécurité de l’information.
Nous verrons dans le tableau ci-dessous, certaines exigences du standard NIST qui sont orientées vers la gestion des risques.
|
Fonction |
Numéro du contrôle |
Détail |
|
Gouvernance |
||
|
Identifier |
ID.GV-4 |
Les processus de gouvernance et de gestion des risques traitent les risques de cybersécurité. |
|
Évaluation du risque |
||
|
Identifier |
ID.RA-1 |
Les vulnérabilités des actifs sont identifiées et documentées. |
|
ID.RA-2 |
Les renseignements sur les cybermenaces sont reçus de forums et de sources de partage d’informations. |
|
|
ID.RA-3 |
Les menaces, tant internes qu’externes, sont identifiées et documentées. |
|
|
ID.RA-4 |
Les impacts commerciaux potentiels et les probabilités sont identifiés. |
|
|
ID.RA-5 |
Les menaces, les vulnérabilités, les probabilités et les impacts sont utilisés pour déterminer le risque. |
|
|
ID.RA-6 |
Les réponses aux risques sont identifiées et hiérarchisées. |
|
|
Stratégie de gestion des risques |
||
|
Identifier |
ID.RM-1 |
Les processus de gestion des risques sont établis, gérés et acceptés par les parties prenantes de l’organisation. |
|
ID.RM-2 |
La tolérance au risque organisationnel est déterminée et clairement exprimée. |
|
|
ID.RM-3 |
La détermination de la tolérance au risque de l’organisation est éclairée par son rôle dans l’infrastructure critique et l’analyse des risques spécifiques au secteur. |
|
|
Gestion des risques de la chaîne d’approvisionnement |
||
|
|
ID.SC-1 |
Les processus de gestion des risques de la chaîne... |
CIS V8
Les contrôles de sécurité du CIS (Center for Internet Security) sont un ensemble de bonnes pratiques en matière de sécurité de l’information. Ces contrôles sont des conseils spécifiques et techniques pour la plupart, permettant d’aider les organisations à obtenir un haut niveau de conformité aux multiples cadres juridiques et réglementaires.
Les 153 contrôles qui composent les bonnes pratiques CIS sont divisés en 18 catégories. Ils sont tous classés par ordre de priorité et divisés en trois groupes :
-
Groupe d’implémentation 1, concerne les petites et moyennes entreprises ayant une expertise limitée en informatique.
-
Groupe d’implémentation 2 (groupe 1 inclus), concerne les entreprises qui emploient des responsables dans la gestion de la protection informatique, stockent et traitent des informations sensibles.
-
Groupe d’implémentation 3 (groupes 1 et 2 inclus), concerne les entreprises qui emploient des experts en cybersécurité, traitent des données sensibles et sont soumis à une surveillance réglementaire et de conformité.
Le tableau ci-dessous reprend certains de ces contrôles liés à l’analyse du risque.
|
Numéro du contrôle |
Type d’actif |
Fonction |
Détail |
|
Inventaire et contrôle des actifs logiciels |
|||
|
2.2 |
Logiciels |
Identifier |
Assurez-vous que seuls les logiciels actuellement pris en charge sont désignés comme autorisés dans l’inventaire des logiciels pour les actifs de l’entreprise. Si l’applicatif n’est pas conforme, mais nécessaire à l’accomplissement de la mission de l’entreprise, documentez une exception détaillant les contrôles d’atténuation et l’acceptation du risque résiduel. Pour tout logiciel non pris en charge sans documentation d’exception, désignez-le comme non autorisé. Consultez la liste des logiciels pour vérifier leur prise en charge au moins une fois par mois ou plus fréquemment. |
|
Gestion continue des vulnérabilités |
|||
|
7.2 |
Logiciels |
Répondre |
Établissez et maintenez une stratégie de correction basée sur les risques documentée dans un processus de correction, avec des examens mensuels ou plus fréquents. |
|
Sensibilisation à la sécurité et formation aux compétences |
|||
|
14 |
N/A |
Protéger |
Développez un processus pour évaluer les fournisseurs de services qui détiennent des données sensibles ou qui sont responsables des plates-formes ou des processus informatiques critiques d’une entreprise, afin de garantir qu’ils protègent ces plates-formes et ces données de manière appropriée. |
|
Gestion des prestataires de services |
|||
|
15.3 |
N/A |
Identifier |
Classez les fournisseurs de services. La prise en compte de la classification peut inclure une ou plusieurs caractéristiques, telles que la sensibilité des données, le volume de données, les exigences de disponibilité, les réglementations applicables... |
RGPD/AIPD
Nous ne reviendrons pas ici sur le Règlement général sur la protection des données car nous l’avons déjà brièvement détaillé lors du chapitre Normes et cadres réglementaires. En revanche, nous expliquerons ce qu’est l’Analyse d’impact relative à la protection des données (AIPD).
L’AIPD est un outil permettant de se conformer au RGPD et ainsi de respecter la vie privée et les données personnelles des citoyens européens. Il s’agit ici de mener une analyse d’impact, qui n’est pas sans nous rappeler l’analyse de risque d’ISO 31000. La démarche d’une conformité RGPD en menant une AIPD repose sur deux piliers :
-
Les principes et droits fondamentaux qui sont fixés par la réglementation et sont donc par nature obligatoires, et ce quels que soient la nature, la gravité et la vraisemblance des risques.
-
La gestion des risques sur la vie privée, permettant de sélectionner les mesures techniques et organisationnelles adéquates pour la protection des données.
La démarche de l’analyse d’impact se décompose en quatre étapes qui sont le contexte, les principes fondamentaux, l’appréciation des risques et la validation. Il s’agit ici aussi d’un processus d’amélioration continue, qui requiert donc plusieurs itérations pour atteindre un niveau acceptable de protection des données. Une surveillance doit également être mise en place afin de détecter toute évolution que ce soit du contexte, des mesures, des risques et autres. Il conviendra alors de mettre à jour l’analyse si un changement notable est constaté.
Pour les nouveaux traitements de données personnelles, le travail doit être effectué en amont pour garantir la sécurité des données par défaut. Il s’agira d’intégrer ensuite ce nouveau traitement dans le processus d’amélioration continue pour maintenir le niveau de sécurité.
1. Le contexte
L’objectif de cette étape est d’avoir une vue plus détaillée des traitements des données personnelles que l’on souhaite analyser. En principe, cette étape est réalisée par les services opérationnels, accompagnés par le délégué à la protection des données.
a. Vue générale
L’établissement du contexte commence par présenter le traitement en question en définissant sa nature, sa portée, son contexte, ses objectifs et ses enjeux, et déterminer quels sont les bénéfices attendus pour l’organisation. Il s’agira ensuite d’identifier le responsable du dit traitement, les acteurs et éventuellement les sous-traitants.
Pour finir, il faudra effectuer un recensement des référentiels applicables au traitement. On parle ici des référentiels utiles aux traitements des données ou obligatoires. L’article 40 du RGPD fait référence aux codes de conduites approuvés, tandis que l’article 42 fait lui référence aux certifications en matière de protection des données. Il s’agira ici d’être en mesure de prouver le respect des principes fondamentaux et justifier que des mesures ont été mises en place, et ce dans l’état de l’art.
b. Données, supports et processus
Nous nous concentrerons ici sur la donnée, son traitement et le support sur lequel elle est traitée. Nous devrons donc définir un périmètre strict et le détailler.
Les données personnelles concernées par le traitement doivent être clairement identifiées, ainsi que leurs destinataires et leurs durées de conservation.
Les processus et les supports utilisés doivent être décrits, et ce pour l’ensemble du cycle de vie de la donnée, c’est-à-dire depuis le moment où l’organisation collecte la donnée, jusqu’au moment où elle l’efface.
2. Principes fondamentaux
Lors de cette étape, nous construirons le dispositif de conformité aux principes de protection de la vie privée. En principe, cette étape est réalisée par les métiers, validée ensuite par le délégué à la protection des données.
Nous analyserons ici deux types de mesures. Les unes garantissant la proportionnalité et la nécessité du traitement, les autres protégeant les droits des personnes concernées.
Les mesures mises en place pour respecter les exigences doivent être détaillées, expliquées et justifiées. Conformément au RGPD, la manière dont chacun des points cités ci-dessus est prévue ne doit pas pouvoir être améliorée. Le cas échéant, les justifications et explications devront être revues, ou d’autres mesures de sécurité complémentaires devront être mises en place.
a. Proportionnalité et nécessité
Voici les exigences à suivre, conformément au RGPD :
|
Exigences |
Détails |
Articles du RGPD |
|
Finalité |
Les données à caractère personnel doivent être collectées pour des finalités déterminées, explicites et légitimes. |
Article 5.1(b) |
|
Durées de conservation |
Les données à caractère personnel doivent être conservées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. |
Article 5.1(e) |
|
Fondement |
Licéité du traitement, interdiction du détournement de finalité. |
Article 6 |
|
Minimisation des données |
Les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire. |
Article 5.1(c) |
|
Qualité des données |
Les données à caractère personnel doivent être exactes et, si nécessaire, tenues à jour. |
Article 5.1(d) |
b. Protection des droits des personnes
Voici les exigences à suivre, conformément au RGPD :
|
Exigences |
Détails |
Articles du RGPD |
|
Information des personnes concernées |
Le traitement des données doit être loyal et transparent. |
Articles 12,13 et 14 |
|
Recueil du consentement |
Preuve du consentement, et le cas échéant démontrable et retirable. |
Articles 7 et 8 |
|
Droit d’accès et à la portabilité |
Les personnes peuvent demander accès à leurs données personnelles à tout moment. |
Articles 15 et 20 |
|
Droits de rectification et d’effacement |
Les personnes peuvent demander la rectification ou l’effacement de leurs données. |
Articles 16 et 17 |
|
Droits de limitation du traitement et d’opposition |
Les personnes ont le droit d’obtenir du responsable du traitement la limitation du traitement ou de s’y opposer. |
Articles 18 et 21 |
|
Sous-traitance |
Les sous-traitants doivent tous être identifiés et contractualisés. |
Article 28 |
|
Transferts |
Les transferts de données personnelles sont soumis à des obligations, notamment en dehors de l’Union européenne. |
Articles 44 à 49 |
3. Étude des risques...
Conclusion
La norme ISO 27005, permettant de réaliser une gestion des risques dans une démarche d’amélioration continue, permet également de se conformer à d’autres normes et standards. Elle nous aide surtout à appréhender les risques liés à la sécurité de l’information et de penser à sécuriser les projets dès leurs conceptions.