Auditeur et consultant Sécurité des Systèmes d’Information (SSI) chez Digitemis, Mickaël Ferton accompagne les organisations dans la prise de conscience des risques liés à l’usage du numérique et dans la mise en place de solutions adaptées. Certifié ISO 27001 Lead Auditor depuis quelques semaines, il nous explique dans cet article ce qu’est la norme ISO 27001 et comment obtenir la certification ISO 27001 à titre individuel. Il rappelle l’intérêt pour une organisation de se conformer à cette norme ISO 27001 ou d’être certifiée.
Mickaël Ferton (auditeur et consultant SSI) : « Une entreprise qui respecte la norme ISO 27001 apporte la confiance nécessaire à tous ses interlocuteurs »
Les questions posées à Mickaël Ferton :
1. Quelles sont tes missions d’auditeur et de consultant SSI ?
Mickaël Ferton : « Mon métier d’auditeur et de consultant SSI consiste à accompagner les organisations de tout type et de toute taille – indépendamment de leur secteur d’activité – dans la prise de conscience des risques liés à l’usage du numérique ainsi que dans la mise en place de solutions adaptées.
Je le fais de manière informelle, à l’occasion de la sensibilisation des personnels techniques, des managers voire des directions générales. Par exemple, pour les techniciens, le focus se porte sur souvent sur l’état de l’art : quel sont les moyens les plus efficaces aujourd’hui pour répondre à la menace cyber ?
J’accompagne également les entreprises de manière formelle dans l’appréciation de leurs risques. C’est une démarche qui synthétise les risques auxquels l’organisation est soumise. Une fois les risques identifiés, je conseille sur les traitements possibles, aussi bien sur les aspects techniques, organisationnels et juridiques. Il y a des décisions à prendre – par la direction ou par les propriétaires des actifs par délégation – afin de traiter chaque risque (acceptation, évitement, réduction ou encore transfert).
Pour aboutir à une démarche de conseil, cela passe souvent par une démarche d’audit préalable. D’où ma double casquette d’auditeur et de consultant. À l’issue de l’audit, un plan d’action priorisé est fourni au client. Il a souvent besoin d’être accompagné pour le mettre en place. Il m’arrive de faire uniquement du conseil lorsque le client souhaite travailler un sujet sans audit préalable ou lorsque j’interviens en tant que RSSI externe chez ce dernier. »
2. Qu’est-ce que la norme ISO 27001 ? Pourquoi s’y conformer voire être certifié ?
Mickaël Ferton : « ISO 27001 est un cadre normatif, une norme internationale que les entreprises choisissent de suivre ou non. Cette norme contient une liste d’exigences permettant de mettre en œuvre et de maintenir un Système de Management de la Sécurité de l’Information (SMSI). L’objectif du SMSI est d’organiser efficacement la sécurité de l’information, sur un périmètre choisi, en considérant les risques identifiés et en adoptant une démarche d’amélioration continue.
Après application des exigences, une entreprise peut choisir d’être certifiée ISO 27001 pour répondre à des obligations liées à son marché (fournisseurs et clients notamment) ou tout simplement dans l’intention d’apporter la confiance nécessaire à ses parties prenantes. Une entreprise certifiée ISO 27001 par un organisme de certification accrédité l’est pour une durée de 3 ans. Durant cette période, elle est contrainte d’être auditée annuellement par le biais d’audits intermédiaires dits de surveillance puis d’un audit de renouvellement à l’issue de la période. »
3. En quoi consiste la certification ISO 27001 Lead Auditor et comment l’obtient-on ?
Mickaël Ferton : « Il s’agit d’une certification individuelle e cette fois-ci. L’examen atteste de la connaissance des exigences de la norme ISO 27001 – et par extension ISO 27002 – mais aussi le savoir-faire et les qualités personnelles nécessaires à la pratique de l’audit d’un Système de Management, tels que définis dans la norme ISO 19011.
Le schéma classique est de suivre une formation d’une semaine à l’issue de laquelle on passe l’examen. Pour ma part, je n’ai pas fait de formation mais cet examen a nécessité un travail préparatoire : même si nous sommes familiarisés avec la norme ISO 27001, il faut pouvoir maîtriser la terminologie et s’assurer d’un certain nombre de subtilités avant de passer l’examen de Lead Auditor, notamment celles liées à la pratique de l’audit d’un Système de Management (ISO 19011).
La certification ISO 27001 Lead Auditor est valable 3 ans. Elle est déclinée sur plusieurs niveaux :
– en fonction de l’expérience de l’auditeur : de Provisional Auditor à Confirmed Auditor puis Lead Auditor
– en fonction du score à l’examen : du niveau Élémentaire à Intermédiaire puis Avancé
Cette certification n’est pas obligatoire dans le cadre des audits de SMSI réalisés par Digitemis. Plusieurs collaborateurs disposent néanmoins aujourd’hui de cette certification, assurant à Digitemis une légitimité dans la pratique de l’audit de SMSI. »
4. Comment se déroulent les audits ISO 27001 chez Digitemis ?
Mickaël Ferton : « Trois types d’audits ISO 27001 sont couramment réalisés chez Digitemis :
– État des lieux : nous balayons les exigences de la norme ISO 27001 et nous vérifions l’état de conformité pour chaque exigence. Nous conseillons ensuite l’organisation pour qu’elle puisse atteindre le niveau de conformité nécessaire.
– Audit à blanc : de la même manière que l’état des lieux, il s’agit de balayer l’ensemble des exigences de la norme, après la démarche de mise en conformité réalisée par l’organisation et bien sûr avant l’intervention de l’organisme de certification. Nous conseillons ensuite l’organisation pour qu’elle puisse ajuster les éléments nécessaires avant l’audit de certification.
– Audit interne : nous intervenons régulièrement dans le cadre de l’audit interne annuel, l’une des exigences de la norme. Souvent, nos clients nous sollicitent car ils ne sont pas en mesure de s’appuyer sur des auditeurs internes compétents et impartiaux. Par exemple, il est impossible pour un RSSI d’auditer le SMSI qu’il a lui-même mis en place. Cet audit n’est pas forcément exhaustif, il peut aller de la simple revue des non-conformités détectées lors des précédents audits (interne et surveillance) ou à une démarche plus complète, selon la demande du client. De notre côté, nous participons également à l’impartialité de l’audit en nous assurant que l’auditeur choisi n’a pas conseillé l’organisation les deux dernières années. »
Je partage
Derniers articles
Renforcer la sécurité WordPress, du développement des plugins à la configuration serveur
Il y a peu, dans le cadre de recherches sur des plugins WordPress, notre pentester Vincent Fourcade a découvert une injection de code, côté client, dans un module du célèbre CMS. Celle-ci fut vérifiée et validée par les équipes de WPScan. Aujourd’hui, une CVE lui a été attribuée. L’occasion de revenir aujourd’hui sur la sécurité, au sens large, dans le CMS WordPress, que ce soit au niveau de la couche applicative, de la configuration du serveur ou du bureau. C’est parti !
Analyse des Métriques XSS : comprendre l’Impact des injections de code côté client
Lors des tests d’intrusion, l’injection de code côté client est généralement plus aisée à découvrir qu’une injection côté serveur. Le nombre de paramètres dynamiques transitant du back au front, la difficulté d’échapper correctement à l’entrée et à la sortie et la multitude d’encodage liés à l’affichage peuvent être des vrais casse-têtes pour qui souhaite faire la chasse à la XSS. Le JavaScript malveillant semble ainsi avoir de beaux jours devant lui. Cependant, il n’est pas rare qu’à l’issu de l’audit, la criticité d’une telle injection découle directement de la configuration des cookies présents sur l’application. En effet, l’absence de l’attribut HttpOnly majore irrémédiablement les risques liés à ce type d’attaque. Néanmoins, cela signifie-t-il que la présence de cet attribut doive absolument amenuiser la criticité d’une injection ?