La troisième clé de notre série dévoile l'univers des normes ISO/IEC 27000, un ensemble de documents normatifs essentiels pour la sécurité de l'information. Bien que tous ne servent pas de référence pour une certification, ils offrent une vue d'ensemble précieuse et de nombreuses bonnes pratiques. Plongeons dans les détails de cette famille de normes.
👉 Regardez la vidéo ici : https://youtu.be/AMkR61vLg6c
Une structure normative claire et évolutive
Les normes ISO 27000 appartiennent à la catégorie des "Technologies de l'information" et plus précisément aux "Techniques de sécurité".
Elles forment une véritable boîte à outils pour structurer, mettre en place et améliorer un Système de Management de la Sécurité de l’Information (SMSI).
Découvrons les principales normes de cette famille et leurs apports concrets en le mettant en oeuvre dans le cadre d'une entreprise de télécommunication que nous appellerons RoseTel ^^
ISO 27000 – Le socle du vocabulaire et des concepts
📅 Publiée en 2009 par l’ISO et adoptée par l’AFNOR en 2011, cette norme pose les bases du SMSI.
Elle fournit une vue d'ensemble et un vocabulaire commun pour la gestion de la sécurité de l'information au travers d'un SMSI. En standardisant les termes et leur définition, les composantes d'un SMSI, et les raisons de son importance. Elle permet une meilleure compréhension entre les acteurs de la sécurité, des directions aux équipes techniques.
Vocabulaire :
- Actif : Toute ressource ayant de la valeur pour l’organisation.
- Menace : Une cause potentielle d’incident de sécurité.
- Vulnérabilité : Une faiblesse exploitable dans un système.
Terminologie :
- Exigence : Ce qui doit être strictement respecté (doit / ne doit pas).
- Recommandation : Ce qui est souhaitable mais pas obligatoire (il convient de / ne convient pas de).
- Permission : Une possibilité qui peut être adoptée (peut / n’a pas besoin).
- Possibilité : Une option qui peut ou non exister (peut / ne peut pas).
La norme décrit également l'établissement, la surveillance, la mise à jour et l'amélioration d'un SMSI.
Mais qu'est-ce qu'un SMSI ?
Un SMSI (Système de Management de la Sécurité de l’Information) est un ensemble de politiques, de processus, de procédures et de contrôles mis en place par une organisation pour protéger la confidentialité, l’intégrité et la disponibilité de ses informations.
Le SMSI est une approche systématique de gestion des informations sensibles de l’entreprise, visant à assurer leur sécurité à travers une gestion des risques adaptée.
Pourquoi mettre en place un SMSI ?
- Maintenir le triangle CID su SI
- Se protéger contre les cyberattaques et les fuites de données.
- Respecter les réglementations comme le RGPD et la loi NIS2.
- Se conformer aux standards internationaux comme ISO 27001.
- Renforcer la confiance des clients et partenaires en prouvant, au travers d'un tiers de confiance, que la sécurité est une priorité.
Un SMSI suit le cycle de développement PDCA (Plan-Do-Check-Act)
Plan (Planifier) : Identifier les risques et établir une stratégie de sécurité.
Do (Déployer) : Mettre en œuvre les mesures de sécurité et former les équipes.
Check (Vérifier) : Surveiller et auditer la performance du SMSI.
Act (Améliorer) : Apporter des améliorations continues basées sur les audits et incidents.
Le PDCA est une méthode adaptable de différentes manières, ici il est par exemple adapté à l'organisation des équipes : Kaizen kézaco ? Comment s'améliorer et améliorer son équipe au quotidien ?
Un SMSI bien structuré permet donc de gérer les risques de sécurité de manière proactive et efficace. Il est propre à chaque entreprise.
Cas pratique de RoseTel :
RoseTel, un opérateur télécom national, propose des services mobiles, Internet et téléphonie fixe. Face à la montée des cyberattaques et aux exigences réglementaires, la direction décide d’implémenter un SMSI conforme à la famille de normes ISO 27000.
🚨 Problématiques identifiées :
- Augmentation des cyberattaques ciblant les infrastructures télécoms (DDoS, espionnage, détournement de communications).
- Exigences réglementaires accrues (RGPD, NIS2, ISO 27011).
- Manque de formalisation des processus de gestion des risques et des politiques de sécurité.
- Besoin de renforcer la confiance des clients et partenaires.
🎯 Objectif :
Mettre en place un SMSI efficace basé sur ISO 27001, avec le soutien des autres normes de la famille ISO 27000 :
Étape 1 :
ISO 27001 – La référence pour la certification
📅 Publiée en 2005 et adoptée par l’AFNOR en 2007, elle définit les exigences pour mettre en place un SMSI robuste et certifiable.
Cette norme est le cœur du SMSI, et la seule de la série pouvant mener à une certification.
Elle couvre le domaine d'application, les références normatives, les termes et définitions, ainsi que les responsabilités de la direction et les audits internes.
Elle établit des exigences strictes pour assurer la protection des informations sensibles et la gestion des risques.
Cas RoseTel :
Définition des actifs à protéger :
- Infrastructures réseau : fibres optique, antennes, satellites.
- Infrastructures critiques : Datacenters, équipements réseau, signalisation SS7.
- Données clients : Communications, facturation, informations personnelles.
- Services Cloud et applications mobiles associées.
Identification des parties prenantes :
- Direction & conseil d’administration : prise de décisions et validation des budgets.
- Clients et partenaires : banques, fournisseurs d’accès, États.
- Équipes techniques : DevOps, ingénieurs réseau, RSSI.
Définition des objectifs stratégiques :
- Réduction des cybermenaces via un contrôle strict des accès et du trafic réseau.
- Amélioration de la conformité réglementaire pour éviter sanctions et amendes.
- Renforcement de la surveillance et mise en place d’une réponse aux incidents rapide.
Étape 2 :
ISO 27005 – La gestion des risques en cybersécurité
📅 Publiée en juin 2011, cette norme présente le processus général de gestion des risques liés à la sécurité de l'information.
Elle décrit pragmatiquement les critères d'évaluation des risques, le processus d'analyse et d'appréciation des risques, le traitement des risques pour réduire, maintenir, éviter ou transférer les risques vers une assurance ou un prestataire.
Cas RoseTel :
Analyse des menaces et vulnérabilités
- Attaques DDoS massives visant les infrastructures réseau.
- Intrusions via le protocole SS7, permettant l’écoute téléphonique ou la captation de code OTP (One Time Password).
- Exfiltration de données clients par des acteurs malveillants (Interne/externe).
- Failles de sécurité sur les applications mobiles et portails client.
Évaluation du niveau de risque
- Probabilité : Élevée (Les télécoms sont des cibles privilégiées des hackers).
- Impact : Critique (Vol de données, interruption de service, sanctions RGPD).
- Priorité : Traitement immédiat avec mise en œuvre de mesures de réduction.
Traitement des risques
- Réduction : Renforcement de la sécurité des accès (MFA, segmentation réseau).
- Évitement : Abandon des protocoles obsolètes et migration vers des solutions plus sûres.
- Transfert : Souscription à une assurance cyber-risque.
- Acceptation : Pour certains risques résiduels après mesures de mitigation.
Étape 3 :
ISO 27002 – Des recommandations pour sécuriser l’information
📅 Issue de la norme ISO 17799, cette norme de 2005 et amélioré en 2022 fournit un cadre détaillé pour mettre en place des mesures de sécurité adaptées.
Elle propose des objectifs de sécurité et des mesures détaillées pour les atteindre.
C'est LA boîte à outils pour les entreprises souhaitant renforcer leur posture de sécurité en couvrant des thèmes tels que l'appréciation et le traitement des risques, la politique de sécurité, et la gestion des incidents.
ISO 27011 – Sécurité spécifique aux télécommunications
📅 Publiée en 2008, la norme ISO 27011 est une adaptation spécifique de ISO 27002 pour les organismes de télécommunications.
Elle décrit les conditions de mise en oeuvre d'un SMSI spécifique aux télécommunications en tenant compte de la politique de sécurité, et la gestion des actifs, des ressources humaines, et des incidents de sécurité.
Cas RoseTel :
Sécurité des réseaux et infrastructures
- Pare-feu & IDS/IPS avancés pour filtrer le trafic réseau.
- Chiffrement des communications (TLS, VPNs).
- Firewalls SS7 (Signaling System 7) & Firewalls Diameter (Successeur de SS7) pour bloquer les attaques télécoms.
Contrôle des accès et gestion des identités
- Zero Trust : restriction des accès non justifiés.
- Authentification forte (MFA, biométrie) pour les accès critiques.
Conformité et protection des données (RGPD)
- Anonymisation et chiffrement des données clients.
- Audit des partenaires et fournisseurs.
Gestion des incidents et réponse aux crises
- Création d’un SOC (Security Operation Center) 24/7 pour une surveillance proactive.
- Développement de scénarios de réponse aux incidents et tests réguliers.
Un peu à la manière de la sécurité en Oignon : Voir La Sécurité en Oignon : Faites Pleurer les Hackers, Pas Vos Utilisateurs !
L'ISO
Étape 4 :
ISO 27003 – Guide de mise en œuvre d’un SMSI
📅 Publiée en 2010, elle accompagne les organisations dans le déploiement d’un SMSI.
Elle décrit les étapes essentielles pour concevoir et structurer un projet de sécurité de l'information en passant par la mise en œuvre, l'approbation de la direction, la définition du champ du projet et l'évaluation des risques.
Cas RoseTel :
Lancement du projet SMSI
- Nomination d’un RSSI et création d’un Comité de Sécurité.
- Définition des politiques et procédures de sécurité.
Délimitation du périmètre du SMSI
- Alignement avec ISO 27011 pour les exigences spécifiques aux télécoms.
- Conformité avec RGPD et NIS2.
Planification et suivi du projet
- Développement d’une feuille de route sur 24 mois.
- Allocation des ressources nécessaires (outils, formation, budget).
Étape 5 :
ISO 27004 – Mesurer l’efficacité de la sécurité
📅 Publiée en 2009, elle fournit un cadre pour évaluer la performance des mesures de sécurité.
Elle décrit une approche méthodique pour suivre, analyser et améliorer la protection des informations via des indicateurs de performance (KPI) basés sur le cycle Plan-Do-Check-Act (PDCA).
Elle décrit également les responsabilités en face de chaque indicateur quant à leur mise en oeuvre et leur amélioration.
Cas RoseTel :
PLAN > Définition des indicateurs de performance (KPI)
- Taux d’intrusions bloquées par les firewalls.
- Temps moyen de réponse aux incidents.
- Respect des politiques de sécurité.
DO > Appliquer les contrôles à surveiller
- Déploiement des outils de supervision et collecte de logs.
- Surveillance des activités suspectes via SIEM et SOC 24/7.
- Automatisation des alertes et réaction immédiate aux incidents détectés.
CHECK > Mise en place d’un programme d’audit et surveillance continue
- Audits internes et externes réguliers.
- Tests de pénétration pour simuler des cyberattaques.
- Analyse des journaux d’événements (logs) pour détecter les anomalies.
ACT > Améliorer la stratégie de sécurité
- Mise à jour des politiques de sécurité en fonction des audits.
- Formation continue des équipes.
- Ajustement des indicateurs de performance pour suivre les évolutions des menaces.
Conclusion : Pourquoi adopter les normes ISO 27000 ?
La famille des normes ISO 27000 offre un cadre complet et structuré pour la gestion de la sécurité de l'information. Ces normes sont essentielles pour les entreprises qui cherchent à protéger leurs actifs informationnels et à se conformer aux meilleures pratiques internationales.
La norme se résume en une phrase : Je dis ce que je fais, je fais ce que je dis, je le vérifie et le corrige si nécessaire.
📢 Ne manquez pas la suite de la série ! Abonnez-vous et suivez-moi sur les réseaux pour être informé dès la sortie du prochain épisode.
📺 Regardez la vidéo complète ici : https://youtu.be/AMkR61vLg6c
📩 Besoin d’un accompagnement pour mettre en oeuvre votre système d'information ? Contactez-moi !
🔔 Abonnez-vous à ma chaîne YouTube pour suivre toute la série et sécuriser vos informations !
Les 10 clés pour la sécurité de l'information : La norme ISO 27000 qu'est-ce que c'est ? 🔍