Newsletter ISO27001 mois de mai 2018
Lieu et date de l'évènement
Le Club 27001 a organisé le 28 Mars 2018 les 11èmes rencontres du club à l'espace Saint-Martin, dans le cadre des GS-Days.
Programme de la journée
- 8h30 : Accueil des participants et café offert
- 9h00 : Conférence plénière : "Sécurité de l’Internet des Objets par les usages" Table ronde avec un représentant de l'ANSSI, Philippe Loudenot (FSSI Ministère chargé des Affaires Sociales) et Marc-Antoine LACOSTE (expert sécurité des services, aux Orange Labs)
- 10h30 : Pause café
- 10h50 : "Que faire des normes sur la protection de la vie privée ?", par Matthieu Grall, chef du service de l’expertise technologique à la CNIL
- 11h30 : Retour d'expérience : "Le SMSI, socle de la conformité au RGPD" par Adèle Adam, DPO & chargée de conformité eSanté (Claranet)
- 12h15 : Déjeuner assis
- 14h00 : "Normes et réglementation, une vue de l’ANSSI", par Claire Anderson, responsable du bureau Ingénierie du cadre réglementaire (ANSSI)
- 14h45 : Retour expérience : "Devenir et rester ISO27001 par le ’serious game’ non virtuel" par Philippe Tourron, RSSI (Assistance Publique-Hôpitaux de Marseille)
- 15h30 : Pause
- 16h00 : Retour d'expérience: "Certification ISO27001 d’une entreprise de service numérique (ESN)" par Anthony Guillerm, RSSI-adjoint (Proservia, ManpowerGroup France)
- 16h45 : Retour d'expérience "Lorsque la norme devient une opportunité et un levier plutôt qu’un simple cadre de contraintes" par Sylvie Lacep, Directrice Excellence Sécurité & Communication (AFNIC)
- 17h30 : "Conclusion de la journée" par Emmanuel Garnier, RSSI et président du Club 27001
- 18h00 : Cocktail de clôture
CNIL, Matthieu GRALL
- Sujet: CNIL, présentation des normes utiles à la protection de la vie privée,
- Présentateur: Matthieu GRALL, chef du service de l’expertise technologique, CNIL
- Résumé: l'ISO 27001 est la brique de base, la CNIL milite maintenant pour une protection des données personnelles au niveau international avec la norme 27552 qui sera la suite logique du RGPD.
Rappel sur l’arbre des normes ISO du SC27: racines avec vocabulaire, certification type 27001, ensuite bonnes pratiques et méthodes. Les normes d’exigence servent à faire de la certification.
Focus sur le projet ISO/IEC 27552: peut être vu comme un plugin vie privée pour l'ISO 27001.
En protection de la vie privée, il s’est passé la même chôse mais en retard et plutôt en commençant par des sujets des feuilles de l’arbre / chiffrement des données par exemple.
Normes utiles à la protection de la vie privée:
- 29100 (terminologie et principes),
- 29134 (mener une analyse PIA),
- 29190 pour la maturité dans le domaine de la protection de la vie privée,
- 29151 bonnes pratiques génériques, Ramassis inutile Equivalent de la 27002
- 27018 bonnes pratiques pour le cloud computing,
- 20889 techniques de désidentification,
- 29184 bonnes pratiques pour l’information et le consentement en ligne,
- 27552 exigences additionnelles à l’ISMS pour la protection de la vie privée.
27009 normes sectorielles => 27552
- PIMS exigences spécifiques ajoutées à l’ISO 27001,
- PIMS Des guidances pour l’ISO27002.
Et en plus guidance pour resp de traitement 1 et sous-traitant 2.
- Compléments annexe A
- Liste de mesures pour Responsable de Traitement et Sous-Traitant (Annexes C, D, E)
En synthèse, intégralité des exigences dans le slide 8:
- Risques sur la vie privée pris en compte en plus de la sécurité (impact sur les personnes).
- Catalogues nouveaux qui complètent l’annexe A de l’ISO27001.
- On cherche systématiquement à faire des DdA sur tout ce qui concerne la vie privée.
Précisions additionnelles + nouvelles bonnes pratiques (inexistantes dans 27002) + distinction entre Responsable de Traitement et Sous-Traitant.
Discussions animées en avril 2018 à Wuhan: DE et US. Publication prévue en avril 2019 au mieux sauf échec des discussions Wuhan.
29151 et 27018 seraient effacés par l’ISO 27552.
CEN équivalent AFNOR au niveau européen.
CNIL aujourd’hui:
- Des labels (formations, procédures d’audit, gouvernance, coffre-fort).
- A l’avenir: dans le cadre du RGPD, la CNIL s’oriente vers des certifications délivrées par des tiers, approbation de référentiels et agrément de certificateurs ou laisser le COFRAC faire,
- Prochaines actions: la première certification portera sur les DPO (référentiel sera proposé d’ici 1 mois, sera fait par la CNIL directement), les projets de référentiels seront soumis à des commentaires publics, les labels CNIL existants seront transformés ou abandonnés, réflexion en cours sur les processus d’anonymisation.
En clair: labels transformés en certification (peut-être, en discussion).
Au niveau UE, “on ne se comprend pas” ...
Au-dessus de l’ISO/IEC 27552 qui pourraient servir de certification, d’autres référentiels peuvent également être créés: codes de conduite, PIAF, ...
A noter: Guide de protection des données personnelles AFNOR gratuit (les différentes normes de protection de la vie privée).
En résumé du résumé: 27552 (PIMS) + 29100 (et qui est gratuite)
Contenu 27018 se retrouve dans l’annexe des Sous-Traitant de la 27552.
Pour nous signaler une erreur ou compléter ce CR
Claranet, Adèle ADAM
- Sujet: Le SMSI, socle de la conformité au RGPD,
- Présentateur: Adèle ADAM, DPO chargée de la conformité eSanté, Claranet
- Résumé: un infogérant doit mettre en place 2 SMSI (sous-traitant et responsable de traitement) pour le RGPD, le socle qui facilite, c'est d'avoir déja des propriétaires de risque impliqués et d'avoir mis en place l'ISO 27001 + cpntrôles 27018,
Présentation du périmètre:
- Claranet, hébergement et infogérance, 8 pays, 24 bureaux, 1800 collaborateurs, 6500 clients, 360 MEuros de CA
- France 1er partenaire AWS, > 100 MEuros de CA
- Sont Responsable de Traitement et Sous-Traitant.
En 2011 Certification ISO27001, qui a été enrichie par PCI-dSS, (2013), HDS (2014), 27001 eSanté (2016).
Leadership affirmé et chef d’orchestre désigné: DG, Direction des Opérations, RSSI, DPO.
Ont des procédures d’audit interne qui ont été réutilisées.
Le coeur du système, c’est l’accountability, les propriétaires des risques sont connus et les risques évalués et gérés.
Historiquement, une mention aux DCP existait dans la PSSI/PGSI.
Pour le RGPD Claranet a fait 2 politiques: une en tant que Sous-Traitant, une en tant que Responsable de Traitement.
Réutilisation des analyses de risque SSI avec des impacts différents: pour la personne concernée (matériel, corporel, moral).
Il faut des mesures techniques et organisationnelles appropriées. La déclaration d’applicabilité doit introduire des mesures de conformité RGPD. Alimenté par les contrôles de la 27018.
Pour la notification des violations, le processus de gestion des incidents, certifié depuis des années, a été complété pour notifier la CNIL en cas de risque sur les droits et libertés des personnes, notification à la personne concernée si le risque est élevé.
Sensibilisation et communication: réutilisation des outils existants comme le eLearning (parcours protection DCP).
Pour la gestion des fournisseurs (Sous-Traitant) ce qui est important, c’est de prendre les exigences amont et de les répercuter en aval (+ contrat et surveillance).
L’article 28 du RGPD donne des clauses obligatoires.
Des clauses de réversibilité/auditabilité ont été également ajoutées (par exemple pour constater que les données ont été effacées).
Claranet a fait évoluer leur système documentaire: dans le système de management, en particulier mise en place d’un registre des traitements, des procédures pour la gestion des droits (accès, modification, …).
Procédure de contrôle CNIL également intégrée dans le référentiel.
Privacy by design et PIA rajoutés.
Les sous-traitants sont soumis à des contrats contenant une dizaine de clauses obligatoires.
Limites du rapprochement entre SMSI et conformité RGPD / scope/périmètre du SMSI peut être restreint:
- La loi impose la totalité du périmètre pour le RGPD,
- L’audit de la CNIL ne peut pas être préparé à l’avance,
- Questions un peu plus éthiques que lors des analyses sécurité,
- Loi informatique et libertés à prendre également en compte avec les avis et mesures qui arrivent au fil de l’eau (beaucoup d’informations sectorielles).
Bilan: du reuse, quelques nouveaux processus, mais globalement renfort de l’existant.
Reste un fort enjeu de veille avec objectif d’adapter le système rapidement.
Et pour la suite, se faire certifier ? En attente des référentiels à venir.
Question de security.com:
- La démarche devient-elle un avantage concurrentiel ?
- Il faut savoir donner une visibilité des mesures de sécurité + 2/3 demandes de clients par semaine sur la protection des données suffisent à valoriser la démarche auprès des parties prenantes
Question de Sylvie LOCEN de l’AFNIC, Système s’appelle SMIL chez eux.
- Sur l’approche risque, est-ce qu’il y a plus de risques et scénarios ? Démarche SMI à l’AFNIC (réponses qui fait quoi vers système de management intégré ?)
- Non, pas de multiplication des scénarios sur la partie existante, par contre RH, gestion de paye … nouveaux. SMSI est un SMI, s’appelle SMC = Système de Management de Claranet avec Qualité, SMSI, DCP.
Autre question de la salle :
- Doit-on attendre des avenants aux contrats ou est-ce qu’on applique directement la loi dans le rôle de sous-traitant ?
- Le contrat est proposé au SUR-traitant (le Responsable de Traitement) directement par Claranet.
ANSSI, Claire ANDERSON
- Sujet: Normes et réglementations, point de vue de l’ANSSI,
- Présentateur: Claire ANDERSON, responsable du bureau ingénierie du cadre réglementaire à l’ANSSI,
- Résumé: La structuration de base de toutes les normes et réglementation type eIDAS tend à devenir la famille ISO27000 qui est citée directement (sans forcément donner de révision).
L'ANSSI intervient du décrêt au référentiel technique à travers 2 pôles: juridique, expertise technique, projet/coordination,
La norme est une colonne vertébrale commune avec le réglement.
Homologation = acte formel par lequel on atteste de la connaissance/matrise du SI et de sa protection + acceptation du niveau de risque résiduel, RGS, IGI1300 article 90, II901, PSSIE, LPM.
Points communs de chacune de ces réglementations ?
Autorité d’homologation, objectifs de sécurité, analyse de risque, homologation puis audits/PDCA.
L’ISO27001 partage ces points communs.
==> Dès lors que plusieurs référentiels réglementaires s’appliquent, la norme est particulièrement pertinente (soutien du réglement).
La norme brique du réglement, exemple avec eIDAS
23 Juillet 2014 services de confiance et identification, succède à la directive de 99 sur la signature électronique.
Identifaction et services de confiance.
Volonté du législateur de s’appuyer sur des normes techniques considerants 71 et 72 (numéros des normes peut être géré par la commission).
Considérants 2 et 4 de la directive 2016/650 mandat M/460
Au final, le réglement eIDAS appelle plus d’une 12aine de normes.
L’ISO27001 citée directement dans le réglement d’exécution / cadre d’interopérabilité pour les schémas d’identification électronique
2015/1501 article 10
Les normes sont issues d’un conscensus et régulièrement mises à jour.
Pour nous signaler une erreur ou compléter ce CR
APHM, Philippe TOURRON
- Sujet: Retour d’expérience sur comment devenir et rester ISO27001 par le serious game non virtuel,
- Présentateur: Philippe TOURRON, RSSI APH Marseille,
- Résumé: Le jeu permet d'intégrer les bonnes pratiques de sécurité et une réelle adhésion des personnels là ou des séances plus classiques ou des obligations peuvent être un échec.
Constats :
- Référentiel lourd, procédures nombreuses, contraintes fortes, ...
- Culture de la lecture de moins en moins présente telos d’acquisition limité pour certains acteurs, respect des process pas un penchant naturel ...
- Jeu d’Entreprise s’applique avec la formule At = Attention * temps
- Pour acquérir de la connaissance et de la pratique, c’est mieux de vivre une situation plutôt que de la regarder,
- Observer le jeu permet de révéler les mécanismes qui marchent et ceux qu’il faut améliorer.
==> une approche holistique s’impose !
3 populations visées: managers, développeurs, métiers/utilisateurs.
Par le vécu, accélérer la connaissance par mimétisme provoquer/accélérer le cycle essai/erreur.
3 jeux déployés:
- Cyber Battle pour la gestion des risques, une équipe attaque, 2 défendent, 5 mesures de prévention / protection / récupération. Une EBIOS sur 30’,
- Scène de crise = jeu de gestion de crise, analyse de crise menée par les acteurs de la crise,
- 2001 l’odysée de la transformation numérique, jeu autour du SMSI 27001.
Exemple de jeu avec les cartes en live / incident, mise en place des mesures, regrouper les acteurs avec les jeux de cartes.
Jeu des cyber battle avec d’autres acteurs que la cyber. Préparation de 4 équipes pour créer des mesures de sécurité.
On recrée un environnement de gestion de crise.
Bilan: adhésion forte pour ce type de jeux, appropriation des documents essentiels, meilleure compréhension des autres métiers, culture de réflexe.
Les 4 situations = cas d’usage du SMSI, vont mettre sous forme de carte les incidents sur intranet.
Prochain objectif = formation des managers de jeu qui feront ça lors des réunion des acteurs.
Pour nous signaler une erreur ou compléter ce CR
Proservia - Manpower Group, Anthony GUILLERM
- Sujet: Certification ISO27001 d’une ESN,
- Présentateur: Anthony GUILLERM, RSSI-adjoint, Proservia, ManpowerGroup France,
- Résumé: La certification ISO27001 est aujourd'hui obligatoire pour les ESN et permet de franchir des paliers de maturité, mais les clients ont parfois du mal à ne pas imposer leurs propres contraintes au lieu de s'appuyer sur le référentiel de la société sous-traitante.
Périmètre:
- Groupe Manpower = 6 sociétés
- Proservia = support technique (serice desk proximité), field (masters, logistique, recyclage), support aux infrastructures (supervision, exploitation), Support aux métiers (applicatif, administratif), ingénierie infra et postes de travail (conseil, conception, déploiements), consulting (gouvernance et pilotage de la DSI),
- 18 agences, 5 centres de service, 7 datacenter dont 4 externalisés, 1500 postes de travail, 400 serveurs (250 serveurs et VM + switches/Routeurs)
- Des parties intéressées nombreuses: DG (PSI certif) en 2014 demande une mise en oeuvre en 2017,
- ManpowerGroup contraint par SOX politique financière et sécurité,
- Clients et prospects (référencements, exigences de sécurité), état (législation et réglementaire), DSI filiales (mesures techniques), fournisseurs (confidentialité, questionnaires, exigences PAQ), Salariés (contrats, chartes, sensibilisation/formations).
L'ISO 27001 est devenue indispensable pour une ESN: répondre à minima pour les clients sensibilisés. Critère différentiant ou éliminatoire pour capter de nouveaux marchés. Et ... tous les concurrents certifiés ...
Planning de la mise en conformité:
- PSSI, Politiques,
- Mesures de sécurité: chiffrement, scan des postes de travail.
- Analyses de risque puis audits de sécurité,
- Gap analysis mi-2015,
- En 2016 un pen test puis identification d’un responsable sûreté,
- Fin 2016 audit initial audit de contrôle fin 2017,
- RMS début 2017, MFA et NAC fin 2017, SIEM début 2018.
Retour sur SMSI et RGPD - Analyses de risque:
- Basé sur 27005/EBIOS, données personnelles. Modification pour ajouter au DIC des DP (Donnes Personnelles) générique matériel/logiciel/moraux,
- L’objectif était de conseiller le DPO,
- Analyse de sensibilité excelware mais pas de perception du risque suffisament précise / reprise du document en fonction du type de projet pour pouvoir donner des conseils en amont.
Ex: Projet stratégique/nouveaux traitements de DCP ? Référencement de nouveau fournisseur ?
Plan d’assurance sécurité a évoluer pour tracer les mesures du RGPD.
Apports pour Proservia:
- Construction du SMI, Sûreté versus cybersécurité
- Amélioration des mesures de sécurité Respect de la DdA, PDCA,
- Pen test ... meilleure maturité globale
Langage commun avec les clients et fournisseurs tourne autour de l’annexe A de l’ISO27001.
Terminologie comprise et partagée avec les clients et les fournisseurs.
Meilleure maturité pour aborder le RGPD.
Mais des difficultés perdurent dans la relation client:
- Certains clients veulent imposer leur mesure de sécurité alors que des mesures peuvent déja couvrir côté Proservia,
- La notion d’incident de sécurité avec escalades et interfaces côté client pas souvent lu,
- A.17.1 / les clients demandent quasiment qu’on fasse leur analyse de risque pour mettre en place la continüité telle que le client devrait le faire (ce qui n’est pas la logique côté Proservia qui travaille à partir de son analyse de risques).
Pour nous signaler une erreur ou compléter ce CR
Afnic, Sylvie LARCEP
- Sujet: Norme opportunité de levier,
- Présentateurs: Sylvie LARCEP, Directrice Excellence Sécurité & Communication, AFNIC et Mohsen SOUISSI, RSSI, AFNIC
- Résumé: mettre sur papier ce que font des chercheurs de haut niveau permet de valoriser le travail effectué et de cristalliser les valeurs autour d'une culture et d'objectifs communs tout en assurant la conformité avec plusieurs référentiels.
Périmètre:
- Présentation du cartouche des documents qui est le premier effet de la mise en oeuvre du SMSI
- Certification obtenue en 2016
- Afnic registre du .fr, structure associative qui fonctionne comme une PME. 80 personnes, 16 Meuros de CA, 3,2 Millions de noms de domaine.
- Régulation avec ICANN et ANSSI, Partenaires (conseil, points d’échange, …), Sociétés, Clients (bureaux d’Enregistrement, Revendeurs, Titulaires, Clients domaine de premier niveau générique.
- .ovh, .bzh, .paris, ...
Le projet a permi de formaliser les documentations et bonnes pratiques qui étaient déja en place / passage en amélioration continue (EFQM R4E4*).
Avant vision idéale = mise en orbite, mais souvent des 404, ressemble plus au schéma de lancement d’une navette avec de multiples retours.
Parcours initiatique de 15 mois pour coordonner tout ce petit monde.
Très bonne expérience d’audit malgré le fait que des équipes techniques de très haut niveau dont il fallait obtenir l’adhésion pour écrire les processus et gérer les écarts majeurs sur le SMSI lui-même.
Le 1er audit a eu lieu en mai après les resserements et s’est parfaitement bien passé => très valorisant.
La sécurité est dans l’ADN de l’AFNIC a été valorisé à travers la démarche qui a duré 20 mois au total.
SMSI a été créé sur la base du SMI qui préexistait (9001, RGPD 3ème étage de leur fusée).
DdA en 2016, actif primaire secondaire/tertiaire ... risques, mesures, actions en 2018.
Au fur et à mesure le vocabulaire et les “propriétaires” sont gérés de façon plus fine / montée en maturité de chacun des ingénieurs qui gèrent le périmètre Afnic => fait monter la maturité de l’organisation. Les risques/mesures viennent aujourd’hui de la base.
Les “owner” sont devenus des acteurs.
Tout le système est accessible à travers des images clickables sur un intranet.
Tout le monde est impliqué au moins dans un processus du SMSI.
Un tableau de bord (TdB) qui est partagé avec tous via l’intranet.
- 1er TdB moche Audit, Risques, Mesures, Incidents, Suivi des actions, Ressources.sensibilisations, continuité, Disponibilité des services, Pilotage SMSI.
- Le 1er avec avancement sur encours/fini/hors délai - rustique mais a chaque point ça “bouge”
- Simple et rustique car rend tangible boulot au long cours.
Intègrent NIS et RGPD aujourd’hui et les référents objectivés sur l’atteinte des objectifs de sécurité (prime pas proportionnelle au nombre de risques réduits tout de même).
Bénéfices ?
- Augmentation de la maturité dans la culture du risque,
- Réflexe du risque point d’entrée partagé,
- Sécurité devenu transversal et n’est plus que technique.
A faire (bonnes pratiques):
- Se faire accompagner par des professionnels,
- Commencer par un audit interne,
- Formaliser ce qu’est le rôle/mission des acteurs.
Pour nous signaler une erreur ou compléter ce CR
Conclusion, Emmanuel GARNIER
- Sujet: Conclusion de la journée,
- Présentateur: Emmanuel GARNIER, RSSI et président Club 27001.
Présentation des actions 2017 à voir sur le site du club 27001.
Province:
- 5 réunions se sont déroulées à Toulouse en 2017.
- Lyon, Rhône Alpes, Didier Savalie, Rémi Grivel, 3 réunions l’année dernière, la dernière le 15 mars.
- Nantes lancement en 2018.
- Marseille lancement en 2018
On recherche des volontaires pour faire fonctionner l’association avec comme projet de refondre tout ça: logo, forum de discussion...
Intéressé par la cybersécurité ? Formez-vous sur www.g-echo.fr