UNIVERSITÉ NATIONALE DU VIETNAM, HANOÏ INSTITUT FRANCOPHONE INTERNATIONAL( IFI ) OUARME Arouna Mise en conformité ISO/CEI 27001 de StreamScan Tuân thủ chuẩn chất lượng ISO/CEI 27001 cho StreamScan Spécialité : Réseaux et Systèmes Communicants Code : 8480201.01 MÉMOIRE DE FIN D’ÉTUDES DU MASTER INFORMATIQUE HANOÏ : 2021 UNIVERSITÉ NATIONALE DU VIETNAM, HANOÏ INSTITUT FRANCOPHONE INTERNATIONAL(IFI) OUARME Arouna Mise en conformité ISO/CEI 27001 de StreamScan Tuân thủ chuẩn chất lượng ISO/CEI 27001 cho StreamScan Spécialité : Réseaux et Systèmes Communicants Code : 8480201.01 MÉMOIRE DE FIN D’ÉTUDES DU MASTER INFORMATIQUE Encadrant : Nom : Dr Karim GANAME HANOÏ : 2021 ATTESTATION SUR L’HONNEUR J’atteste sur l’honneur que ce mémoire a été réalisé par moi-même et que les données et les résultats qui y sont présentés sont exacts et n’ont jamais été publiés ailleurs La source des informations citées dans ce mémoire a été bien précisée LỜI CAM ĐOAN Tôi cam đoan cơng trình nghiên cứu riêng tơi Các số liệu, kết nêu Luận văn trung thực chưa công bố cơng trình khác Các thơng tin trích dẫn Luận văn rõ nguồn gốc Signature de l’étudiant OUARME Arouna Remerciements « Au nom de Dieu le clément et miséricordieux » La réalisation de ce mémoire a été possible grâce au concours de plusieurs personnes qui je voudrais adresser ma profonde gratitude Je voudrais tout d’abord adresser mes sincères remerciements mon mtre de stage, Dr Abdoul Karim Ganamé, PDG de StreamScan inc Canada, pour la confiance, la disponibilité et surtout l’autonomie qu’il m’a offert pendant ce stage Mes remerciements vont également l’endroit de monsieur Yassia Savadogo, lead auditor ISO27001, ISO 27032 Lead Cybersecurity Manager, pour sa disponibilité et son accompagnement, pour toutes les fois ou j’avais des questions concernant mon travail Je saisis également cette occasion pour remercier le Dr Nguyen Hong Quang, responsable du Master Réseaux et Systèmes Communicants ainsi que tout le personnel pédagogique et administratif de l’Institut Francophone International - Universitộ National de Vietnam Hanoi, pour la formation reỗue durant ces deux années académiques Je ne saurais terminer sans exprimer ma profonde gratitude ma famille et mes amis qui m’ont apporté un soutien indéfectible et des encouragements constants pour la réussite de ce mémoire Je vais ici remercier toute la famille OUARME, en particulier mon père et ma mère, pour leur bénédictions, leur confiance et leur soutien indéfectible Mes sincères et chaleureuses reconnaissances vont l’endroit des personnes qui sont les plus chères mon cœur, mon épouse SAVADOGO Guemiratou dont l’indulgence et la complicité discrète m’ont aidé tenir et mener bien ce projet d’étude, mes enfants Ahmed et Alyah qui ont consenti et bravé d’innombrables sacrifices durant ces deux années d’absence Trouvez ici l’expression de ma reconnaissance, de mon estime et de ma haute considération OUARME Arouna Résumé Le projet de mise en conformité ISO/CEI 27001 au sein de StreamScan, est un projet dans lequel nous avons menés une étude dans le but d’accompagner StreamScan dans son processus de certification ISO/CEI 27001, propre son centre MDR (Managed Detection and Response) L’étude a été subdivisé en plusieurs grands points, parmi lesquels : • Une revue de la littérature, afin de semer le décor dans lequel se tiendra la suite de notre travail, • Une identification des exigences de la certification ISO/CEI 27001, • Une analyse d’écarts, afin de déterminer le niveau de conformité actuel de StreamScan, • Une identification des mesures, processus et procédures nécessaires pour la mise en conformité ISO/CEI 27001 de StreamScan, ainsi que, • La rédaction des politiques, processus et procédures nécessaires A l’issue de ces étapes nous avons pu déterminer le niveau de conformité de l’organisme, travers les mesures de sécurité prédéfini par la norme elle même Il faut savoir que dans ce processus nous avons dessellés des non-conformités qui ont été corrigées en définissant des politiques et procédures de correction de ces points de contrôles non-conforme, afin de rendre les mesures de sécurité mise en oeuvre au sein de StreamScan entièrement conforme ISO/CEI 27001 Mots clés : Mise en conformité, Normes ISO/CEI 27001, SMSI, Mesures de sécurités, Politique de Sécurité du Système d’Information, Certification ISO/CEI 27001 Abstract The ISO/IEC 27001 compliance project within StreamScan, is a project in which we conducted a study with the aim of supporting StreamScan in its ISO / IEC 27001 certification process, specific to its MDR (Managed Detection and Response) center ) The study was subdivided into several major points, among which : • A review of the literature, in order to set the scene in which the rest of our work will take place, • Identify the requirements of ISO / IEC 27001 certification, • A gap analysis, to determine StreamScan’s current level of compliance, • An identification of the measures, processes and procedures necessary for the ISO 27001 compliance of StreamScan, as well as, • Writing the necessary policies, processes and procedures At the end of these steps we were able to determine the level of compliance of the organization, through the security measures predefined by the standard itself You should know that in this process we have unsealed non-conformities which have been corrected by defining policies and procedures for correcting these non-conforming control points, in order to make the security measures implemented within StreamScan fully compliant with ISO / IEC 27001 Keywords : Compliance, ISO / CEI 27001 Standards, ISMS, Security measures, Information System Security Policy, ISO / CEI 27001 Certification Table des matières Liste des tableaux iv Table des figures v Liste des tables v INTRODUCTION GÉNÉRALE 1.1 Présentation de l’établissement d’accueil 1.1.1 StreamScan inc Canada 1.2 Contexte 1.3 Objectifs 2 5 5 6 8 10 10 11 13 État de l’art des systèmes de management de la sécurité de l’information 2.1 Introduction 2.2 Définitions 2.2.1 L’Organisation Internationale de Normalisation (ISO) 2.2.2 Les normes 2.2.3 La normalisation 2.2.4 Historique des normes relatives au système de sécurité de l’information 2.3 Les SMSI (Systèmes de Management de la Sécurité de l’Information) 2.3.1 Les systèmes de management 2.3.2 Sécurité de l’information 2.4 La famille de normes du SMSI 2.4.1 Informations générales 2.4.2 Les normes de la famille ISO/CEI 2700x 2.4.3 Normes ISO/CEI 270xx La norme ISO/CEI 27001 : Exigences 15 3.1 Contexte et objectifs 15 3.2 La structure de la norme 16 i TABLE DES MATIÈRES 3.2.1 Description 3.3 Phases de mises en oeuvre du SMSI 3.3.1 Phase d’établissement (Plan) 3.3.1.1 Politique et périmètre du SMSI 3.3.1.2 Appréciation des risques A Processus d’appréciation des risques B Méthodes d’appréciation des risques 3.3.1.3 Traitement des risques 3.3.1.4 Sélection des mesures de sécurité 3.3.2 Phase d’implémentation (DO) 3.3.3 Phase de maintien (CHECK) 3.3.4 Phase d’amélioration (ACT) 3.4 Audit initial de l’existant 3.4.1 Phase de réalisation de l’audit de sécurité de système de l’information 3.4.1.1 Définition de la charte de l’audit 3.4.1.2 Préparation de l’audit 3.4.1.3 Audit organisationnel et physique 3.4.1.4 Audit technique 3.4.2 Synthèse de l’audit préalable 16 17 17 18 18 18 20 23 24 24 25 25 25 26 27 27 27 28 29 GAP ANALYSIS ISO 27001 ou ANALYSE D’ÉCARTS 30 4.1 Résultats de l’analyse des écarts 30 4.2 Détermination du niveau de conformité 31 4.3 Amélioration des non-conformités 34 4.3.1 Définition de politiques et procédures d’amélioration des non-conformités 40 4.3.1.1 Définition de la politique de sécurité des systèmes d’information et de la procédure de mise jour de la politique de sécurité 40 4.3.1.2 Définition de fiche de poste et procédure d’attribution des responsabilités 41 4.3.1.3 Mise en place d’un statut et règlement intérieur 42 4.3.1.4 Politique et Procédures d’inventoring 42 4.3.1.5 Définition de Politique de gestion des accès, Procédure contrôle d’accès réseau, Procédure Identification et authentification de l’utilisateur 43 4.4 Problèmes rencontrés 44 CONCLUSION & PERSPECTIVES 45 5.1 Conclusion générale 45 5.2 Perspectives 45 ii TABLE DES MATIÈRES A 48 A.1 Annexe I : Questionnaire Sécurité des systèmes d’information 48 A.2 Annexe II : bilan de mise en œuvre des mesures de sécurité 52 A.3 Annexe III : Politique de sécurité des systèmes d’information 62 A.4 Annexe IV : Procédure de mise jour de politique de sécurité des systèmes d’information 64 A.5 Annexe V : Définition de fiche de poste 65 A.6 Annexe VI : Procédure d’attribution des responsabilités 67 A.7 Annexe VII : Politique d’inventoring 68 A.8 Annexe VIII : Procédure d’inventoring 70 A.9 Annexe IX : Politique de gestion des accès 73 A.10 Annexe X : Procédure contrôle d’accès réseau 76 A.11 Annexe XI : Procédure Identification et authentification de l’utilisateur 78 iii ANNEXE A A.11 Annexe XI : Procédure Identification et authentification de l’utilisateur Numéro procédure : Procédure Identification et authentification de l’utilisateur Date de prise Courriel : d’effet : Version : 1- Contact : Téléphone : Objet Il convient d’attribuer chaque utilisateur un identifiant unique et exclusif, il va s’en dire aussi que le mot de passe est une méthode parmi d’autres pour effectuer une authentification Ce qui veut dire qu’il permet de vérifier qu’une personne correspond bien l’identité déclarée Il doit être tenu secret pour éviter qu’un tiers non autorisé puisse accéder la ressource ou au service 2- Champ d’application Cette procédure s’applique dans le cadre de l’authentification et de l’identification d’un utilisateur lors de l’accès une ressource 3- Procédure Logigramme 78 ANNEXE A Règles * R1 : Définir les règles de choix et de dimensionnement de mot de passe : Choisir un mot de passe qui n’est pas lié une identité (mot de passe composé d’un nom de société, d’une date de naissance, etc.) Choisir un mot de passe d’une longueur minimale de douze caractères et constitué d’au moins trois des quatre groupes de caractères (minuscules, majuscules, caractères spéciaux et chiffres) * R2 : Mettre en place des moyens techniques permettant de faire respecter les règles relatives aux mot de passe Les moyens permettant de faire respecter la politique de mots de passe pourront être : Le blocage des comptes tous les six mois tant que le mot de passe n’a pas été changé ; Renouveler le mot de passe avec une fréquence raisonnable Tous les 90 jours est un bon compromis pour des systèmes comprenant des données sensibles ; La vérification que les mots de passe choisis ne sont pas trop faciles retrouver ; 79 ANNEXE A la vérification que les anciens mots de passe ne facilitent pas la découverte des nouveaux * R3 : Ne pas conserver les mots de passe sur les systèmes informatique Les mots de passe ou les éléments secrets stockés sur les machines des utilisateurs sont des éléments recherchés ou exploités en priorité par les attaquants, donc il ne faut pas les conserver sur les systèmes informatiques * R4 : Supprimer ou modifier systématiquement les éléments d’authentification par défaut sur les équipements Les éléments d’authentification par défaut sur les équipements (Switchs, routeurs, serveurs, imprimantes) sont souvent bien connus des hackers Par ailleurs, ils sont souvent trivaux (mot de passe identiques l’identifiant correspondant, mot de passe partagé entre plusieurs équipements d’une même gamme, etc.), donc il convient de les supprimer ou les modifier systématiquement 4- Approbation et propriété Propriété Titre Date Auteur de la propriété Approuvé par : Équipe de gestion 80 Signature CỘNG HOÀ XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự - Hạnh phúc BẢN NHẬN XÉT LUẬN VĂN THẠC SĨ RAPPORT DU MEMOIRE DE FIN D'ETUDE MASTER Về đề tài/ Sujet: Mise en conformité ISO/CEI 27001 de StreamScan Ngành/Secteur: Công nghệ thông tin/Informatique Chuyên ngành/Spécialité: Truyền liệu Mạng máy tính / Réseaux et Systèmes Communicants Mã số chuyên ngành/Code de la spécialité: 8480201.01 Của học viên/Nom de l'étudiant: OUARME Arouna Họ tên cán phản biện/Nom du rapporteur: Vũ Thị Hương Giang Cơ quan công tác/Établissement du rapporteur: Đại học Bách Khoa Hà Nội / Institut Polytechnique de Hanoi Tính cấp thiết, ý nghĩa lý luận thực tiễn đề tài luận văn / Nécessité, sens théorique et pratique du sujet de mémoire StreamScan est une entreprise offrant des solutions contre le vol de la propriété intellectuelle et des données clients et les perturbations majeures de services critiques dues aux cyberattaques, dont CDS Cette entreprise souhaite acquérir une certification de cybersécurité de type ISO 27001/CEI pour le compte de son centre MDR (Managed Detection and Response) afin d’administrer et gérer les risques de sécurité Phương pháp nghiên cứu / Méthodologie de recherche Ce stage vise d’accompagner StreamScan dans sa certification ISO 27001 Les principales tâches accomplir dans le cadre de ce stage sont : Identifier les exigences de la certification ISO/CEI 27001 Faire une analyse d’écarts afin de déterminer le niveau de conformité actuel de Streamscan ainsi que les mesures mettre en place pour aller vers la certification ISO/CEI 27001 Contribuer l’identification des mesures, processus et procédures nécessaires pour la mise en conformité ISO/CEI 27001 de Streamscan Contribuer la rédaction des processus et procédures nécessaires Implémenter ou contribuer l’implémentation des outils technologiques nécessaires Contribuer au processus de certification final ISO/CEI 27001 de Streamscan L’approche choisie n’est pas abordée Cơ sở lý luận tổng quan đề tài nghiên cứu / Fondement théorique et littérature du sujet de recherche Les travaux se basent sur le standard ISO/CEI 27001 et la collection des preuves de conformité fournies par Streamscan Những đóng góp luận văn / Apports du mémoire Dans le contexte d’une étude du processus de certification de cybersécurité de type ISO 27001 pour le compte du centre MDR (Managed Detection and Response) de l’entreprise StreamScan, l’étudiant décrit ses résultats lors de l’identification des exigences du ISO 27001 et de l’analyse de l’écarts Plus précisément, l’étudiant a listé les niveaux de conformité des exigences de la normes dans l’annexe Il a identifié des mesures, processus et procédures de sécurité nécessaires pour la mise en conformité ISO/CEI 27001 (dans l’annexe A1 et A2) Il a listé des idées d’amélioration des non-conformités (dans l’annexe A3) Il a décrit le template pour politiques et procédures Kết cấu, hình thức trình bày văn phong / Structure, présentation et style Le rapport se compose du chapitre de l'introduction générale de pages, chapitres principaux de 36 pages, le chapitre de la conclusion de pages et 12 annexes de 39 pages Le 2ème chapitre nommé « l’état de l’art des systèmes de management de la sécurité de l’information » Le 3ème chapitre se focalise sur les exigences du norme ISO/CEI 27001 Le 4ème chapitre décrit l’analyse d’écart de ISO/CEI 27001 afin de déterminer le niveau de conformité actuel de Streamscan ainsi que les mesures mettre en place pour aller vers la certification ISO/CEI 27001 Le rapport est bien formé Le style d'écrit est très clair, facile suivre Những thiếu sót hạn chế nội dung hình thức luận văn (nếu có) / Lacunes et limites du mémoire (s'il y en a) - Về hình thức / Sur la forme: Certains parts du rapport ne sont pas très bien structurés Par exemple, certains contenus dans le chapitre (2.2.1, 2.2.4, 2.3.1) ne se trouvent pas la bonne place : le titre de chapitre/section ne correspond pas ses contenus et ses sous-sections Les annexes sont plus longues que les chapitres principaux - Về nội dung / Sur le contenu: L’étudiant n’arrive qu’à identifier les travaux faire - l’approche et les démarches ne sont pas identifiés La contribution de l’étudiant n’est pas bien présentée comme une contribution dans le domaine informatique ou sécurités informatiques dans les chapitres principaux Certaines contributions se trouvent dans les annexes sous forme des résultats, on ne sait pas comment il a fait pour obtenir ces résultats, comment valider ses résultats Par cette raison, il est difficile de déterminer le volume, la difficulté et le niveau de complétion du travail de l’étudiant Il serait plus pertinent si l’étudiant décrit de manière quantitative et pas pas les travaux effectués avec son entrée, sa sortie Par exemple, avec le questionnaire dans l’annexe A1 et A2, combien de documents qu’il doit étudier, combien de personnes qu’il doit interviewer, dans quelles conditions il peut conclure que le système est conforme un contrôle (il y en a en total 114), et pourquoi il peut dire ỗa sans montrant les preuves ? De même, on trouve les propositions d’amélioration des non-conformités de manière qualitative, sans savoir pourquoi ni comment, sans faire références des mesures concernés On voit le canevas pour les documents, sans savoir s’ils sont complets ou applicable Par exemple, dans l’annexe 7, on trouve la Procédure d’attribution des responsabilités avec l’objet vide Sauf l’annexe 6, on ne trouve pas les logigrammes de procédures mentionnés Mức độ đạt cơng trình nghiên cứu so với u cầu luận văn thạc sĩ / Conclusion générale par rapport aux exigences du mémoire de fin d'études du niveau Master Căn vào yêu cầu luận văn Thạc sĩ kết cơng trình nghiên cứu trình bày luận văn, đồng ý cho học viên OUARME Arouna bảo vệ luận văn trước Hội đồng En me basant sur les exigences d’un mémoire de fin d’études, je donne un avis favorable la soutenance du mémoire de fin d’études OUARME Arouna devant le jury Hà Nội, ngày tháng năm 2021 CÁN BỘ PHẢN BIỆN RAPPORTEUR Vũ Thị Hương Giang ... d’écarts, afin de déterminer le niveau de conformité actuel de StreamScan, • Une identification des mesures, processus et procédures nécessaires pour la mise en conformité ISO/CEI 27001 de StreamScan, ... nouvelles technologies de l’information et de la communication, les liens entre les entreprises deviennent de plus en plus étroits et les méthodes ainsi que les moyens de travail ne cessent d’évoluer... travers les notions de confidentialité, d’intégrité et de disponibilité CHAPITRE ÉTAT DE L’ART DES SYSTÈMES DE MANAGEMENT DE LA SÉCURITÉ DE L’INFORMATION * Confidentialité : seuls les entités, personnes