Mise en œuvre d’un système de management de la sécurité de l’information

”… Le travail de la mise en œuvre d’un système de management de la sécurité de l’information (SMSI), présenté dans ce rapport a été effectué dans le cadre de mon projet de fin d’études du Master Optimisation et Modernisation de l’Entreprise à l’Université … “

République Tunisienne
Ministère De L’enseignement Supérieur Et De La Recherche Scientifique
Université Virtuelle de Tunis

Mastère en Optimisation et Modernisation des Entreprises : MOME

Mémoire Pour l’obtention d’un Diplôme de Mastère Professionnel(1ère Promotion)

Mise en œuvre d’un système de management de la sécurité de l’information (SMSI)
au sein de l’Ambassade du Royaume du Maroc à Tunis

Encadré par :
– M. Moez Yeddes (UVT)
– M. Mounir Arjdal (Structure d’accueil)

Réalisé par :
Ali Ben Mouloud

Année universitaire :
2010 / 2011

RemerciementsJ’exprime toute ma reconnaissance et gratitude à l’administration et à l’ensemble du corps enseignant de l’Université Virtuelle de Tunis pour leurs efforts à nous garantir la continuité et l’aboutissement de ce programme de Master.

Je tiens à remercier aussi et chaleureusement mes encadreurs MM. Moez Yeddes et Mounir Arjdal ainsi que Son Excellence l’Ambassadeur du Roi du Maroc en Tunisie de m’avoir permis de mener ce travail au sein de l’Ambassade malgré la sensibilité du tel sujet dans une structure pareil.

Je remercie enfin tous ceux qui, d’une manière ou d’une autre, ont contribué à la réussite de ce travail et qui n’ont pas pu être cités ici.

Résumé :

Initialement, notre principale motivation était liée à la volonté de se démarquer dans le domaine de la protection des systèmes d’informations par la mise en place d’un premier Système de Management de la Sécurité de l’Information dans le secteur diplomatique.
/>Aujourd’hui, les bénéfices ne se mesurent pas seulement en termes d’image mais également sur le fonctionnement en interne.

En effet, la mise en œuvre du SMSI a été l’occasion de mettre en avant l’importance de la sécurité du SI, de la faire reconnaître dans les différents services et de donner aux actions un rythme clair et partagé. Les exigences pour la mise en place du SMSI sont décrites par la norme ISO/CEI 27001.
Cette norme s’adapte à tout type d’entreprise, quelque soit le secteur d’activité, sa structure, sa taille et la complexité de son système d’information.

L’application de cette norme passe par une démarche qualiticienne classique : la roue de Deming (Planifier, Développer, Contrôler, Agir) qui permet de prendre en compte des dysfonctionnements le plus en amont possible et d’amener une amélioration continue du système.

Mots clés : Sécurité de l’information, SMSI, ISO/CEI27001, PDCA,

Abstract :

In the beginning, our main motivation was related to the will of standing out in the field of information systems protection by the installation of a first Information Security Management System in the diplomatic sector.

Today, profits are not appeared only in terms of branding but also on the internal tasks.
Indeed, the implementation of the ISMS was an opportunity to highlight the importance of the information’s system security, to make it recognized in the various services and to give to the actions a clear and shared rate.
The requirements for the implementation of the WSIS are described in ISO/ECI 27001. This standard adapts to any type of business, whatever the sector of activity, structure, size and complexity of its information system.

Applying this standard requires a classic approach of quality: the Deming wheel (Plan, Do, Check, Act), which can take into account the failures as early as possible and bring a continuous improvement of the system.

Key words: Information Security, ISMS, ISO/CEI 27001, PDCA.

Introduction :

L’omniprésence des informations croissante soutenue par la révolution numérique des technologies de l’information et de la communication TIC a amplifié le besoin d’assurer l’intégrité, la confidentialité et la disponibilité de l’information.

Malgré des moyens techniques permettant de les contrôler et des compétences pour les mettre en œuvre, la complexité des systèmes d’information exige une planification rigoureuse de la supervision.

Des outils sous forme de « codes de bonnes pratiques » et méthodes d’appréciation des risques permettent aux entreprises de fixer des objectifs, des priorités et coordonner les actions à entreprendre.

Néanmoins ces outils, bien qu’ayant prouvé leur efficacité, souffrent d’un manque de reconnaissance au plan international à cause de leur trop grande diversité.

Pour remédier à l’hétérogénéité des méthodes et pallier le manque de reconnaissance des « codes de bonnes pratiques », l’ISO (Organisation Internationale de Normalisation) a publié en 2005 la norme ISO/CEI 27001.

L’ISO/CEI 27001, clef de voûte d’une famille de normes encore en développement, apporte une dimension supplémentaire à la politique de sécurité de l’information en y intégrant le concept de « système de management ». Cette norme est à la base de notre réflexion pour ce mémoire.

Le travail de la mise en œuvre d’un système de management de la sécurité de l’information (SMSI), présenté dans ce rapport a été effectué dans le cadre de mon projet de fin d’études du Master Optimisation et Modernisation de l’Entreprise à l’Université Virtuelle de Tunis.

Ce travail, réalisé dans les locaux de l’Ambassade du Royaume du Maroc en Tunisie et a pu mené à terme grâce à la collaboration du staff du Ministère des affaires étrangères et de l’Ambassade.

Ce rapport sera organisé comme suit :
Première partie : Etat de l’art des systèmes de management de la sécurité de l’information.
Deuxième partie : La norme ISO/CEI 2700x et principalement ISO/CEI 27001
Son approche en quatre phases (Plan, Do, Check, Act).
Troisième partie : Implémentation et Mise en œuvre de la norme au sein de l’Ambassade.
Première partie : Etat de l’art des systèmes de management de la sécurité de l’information

1. Introduction

L’objectif de cette première partie est de présenter les normes, les concepts, les processus et les acteurs qui ont permis aux organismes d’aboutir à un système de management de la sécurité de l’information.

Acronymes :
AESC : American Engineering Standards Committee
AFNOR : Association Française de Normalisation
ANSSI : Agence Nationale de la Sécurité des Systèmes d’Information
ASA : American Standards Association
BSI : British Standards Institute
CEI : Commission Electronique Internationale
CEN : Comité Européen de Normalisation
CFISE : Catalogue des Fonctions des Informations de Sécurité d’Etat
CLUSIF : Club de la Sécurité de l’Information Français
CSD : Conseil Supérieur de Défense
EBIOS : Etude des Besoins et Identification des Objectifs de Sécurité
ENISA : European Network and Information Security Agency
ISNC : Information Sensible Non Classée
ISE : Information de Sécurité d’Etat
ISO : Organisation Internationale de Normalisation
JTC : Joint Technical Committee
MARION : Méthode d’Analyse de Risques Informatiques Optimisée par Niveau
MEHARI : Méthode Harmonisée d’Analyse des Risques
MELISA : Méthode d’Evaluation de la Vulnérabilité Résiduelle des Systèmes d’Armement
OCTAVE : Operationally Critical Threat, Asset, and Vulnerability Evaluation
PDCA : Plan, Do, Check, Act
PME : Petites et Moyennes Entreprises
SAS : Statistical Analysis System
SMI : Système de Management de l’Information
SMSI : Système de Management de la Sécurité de l’Information
SoA : Statement of Applicability
TI : Technologies de l’Information
TIC : Technologies de l’Information et de la Communication
VPN : Virtual Private Network
WD : Working Draft
WG : Working Group

Table des matières :
Introduction
Première partie : Etat de l’art des systèmes de management de la sécurité de l’information
1. Introduction
2. Définitions
2.1- L’ISO (Organisation Internationale de Normalisation)
2.2- Les normes
2.3- La normalisation
2.4- Historique des normes en matière de sécurité de l’information
3. Les SMSI (Systèmes de Management de la Sécurité de l’Information)
3.1- Les systèmes de management
3.2- Sécurité de l’information
4. Les normes de la famille ISO/CEI 2700x
4.1- L’ISO/CEI 27000
4.2- L’ISO/CEI 27002
4.3- L’ISO/CEI 27003
4.4- L’ISO/CEI 27004
4.5- L’ISO/CEI 27005
4.6- L’ISO/CEI 27007
4.7- L’ISO/CEI 27008
4.8- L’ISO/CEI 27006
4.9- Normes ISO/CEI 270xx en préparation
Deuxième partie : La norme ISO/CEI 27001 : Son approche en quatre phases (Plan, Do, Check, Act)
1. Introduction
2. Phase « PLAN » du PDCA
2.1- Politique et périmètre du SMSI
2.2- Appréciation des risques
3. Phase « DO » du PDCA
3.1- Plan de traitement
3.2- Choix des indicateurs
3.3- Formation et sensibilisation des collaborateurs
3.4- Maintenance du SMSI
4. Phase « CHECK » du PDCA
4.1- Les audits internes
4.2- Les contrôles internes
4.3- Revues de direction
5. Phase « ACT » du PDCA
5.1- Actions correctives
5.2- Actions préventives
5.3- Actions d’améliorations
Troisième partie : Implémentation et Mise en œuvre de la norme ISO / CEI 27001
1. Introduction
2. Structure d’accueil
3. Audit Préalable de l’existant
3.1- Démarche de l’audit préalable
3.2- Conclusion de l’audit
4. Article « A.5 POLITIQUE DE SECURITE »
4.1- Fondements
4.2- Définitions
4.3- Champ d’application
4.4- La classification
4.5- Mentions particulières de confidentialité et les Informations Sensibles Non Classées (ISNC)
4.6- L’accès aux informations traitées à l’ambassade (Information de Sécurité d’Etat)
4.7- Lieux abritant des informations de sécurité d’Etat
4.8- Contrôles et inspections
5. Article « A.6 ORGANISATION DE LA SECURITE DE L’INFORMATION »
5.1- Principe
5.2- Implication de la direction
5.3- Elaboration du Catalogues des Fonctions des Informations de Sécurité d’Etat de l’Ambassade (CFISE)
5.4- Candidats à l’habilitation et gestion de l’habilitation
5.5- Procédure d’habilitation
5.6- La décision d’habilitation
5.7- La notification de la décision
5.8- Habilitation et changement d’affectation
5.9- Conservation des décisions 72
5.10- Répertoire des habilitations
5.11- Fin de l’habilitation
6. Conclusion



Leave a Reply

Your email address will not be published. Required fields are marked *