--- titre: Normes et méthodologie en SSI (Cours 2) description: Normes et méthodologie en SSI (Cours 2), 02/04/2020 tags: NMSS, jerome.tchan author: Jérôme Tchan --- # Normes et méthodologie en SSI (Cours 2) > Lien du drive (contenant le support de cours + autres documents): https://drive.google.com/drive/folders/12XxosfrDH4iQDJp6d39IMJlcnBl8UjEB --- ## Approche processus ***Le cours est sur les slides*** On peut mesurer la maturité d'un processus sur 5 niveaux Fiche CM&RR (contre mesures & risques résiduels) SPOC (Single Point of Contact) => Guichet unique ## Normes et méthodes de référence pour la SSI - Normes (ex: ISO 27002) - Référentiels (ex: COBIT) - Méthodes (ex: EBIOS) - Bonnes pratiques (ex: ITIL) EBIOS: Expression des Besoins et Identifications des Objectifs de Sécurité Normes: famille ISO27000 - 27001: mise en place d'un SMSI (système de management de la sécurité de l'information) - 27002: bonnes pratiques, mesures de sécurité - 27003: guide d'implémentation d'un SMSI - 27004: norme de mesures: métriques pour la gestion de la sécurité de l'information - etc. ### ISO 27001 Boucle "Plan Do Check Act" - Plan: - Définir la politique et le périmètre du SMSI - Ce choix est libre, la norme est générique; une entreprise peut être certifiée 27001 tout en définissant un périmètre très réduit et une politique de sécurité peu stricte (et sans répondre aux exigences de sécurité de ses clients) - Identifier et évaluer les risques liés à la sécurité et élaborer la politique de sécurité - Pas de directives sur la méthode d'appréciation des risques - Traiter le risque et identifier le risque résiduel par un plan de gestion - Acceptation du risque - Evitement du risque - Transfert du risque - Réduction du risque - Do - Check - Act Certification ISO 27001 ### ISO 27002 Bonnes pratiques pour la gestion de la sécurité de l’information Ces normes ISO sont "régulièrement" mises à jour pour prendre en compte les nouveaux besoins ### ISO 27004 Métriques pour estimer l'efficacité du SMSI ### ISO 27005 Propose un processus pour la gestion des risques SSI ### ISO 27701 - PIMS Extension 27001 pour la protection de la vie privée Ne garantit pas la conformité RGPD mais compatible ### RGPD ### ISO 19011 Conseils sur les principes à suivre pour réaliser un audit ### Critères Communs (ISO 15408) Processus d'évaluation du niveau de sécurité des logiciels et systèmes d'information ### NIST National Institute of Standards and Technology ### CSA Cloud Security Alliance ### PCI-DSS Standard s'appliquant aux cartes, visant à renforcer leur sécurité