Votre entreprise a entamé un processus de certification ISO 27001 et le Directeur Général vous a désigné responsable de la mise en œuvre du SMSI (ISMS Lead Implementer). Après avoir défini le périmètre, vous avez procédé à une appréciation des risques et pour répondre aux exigences de la norme, vous avez identifié les mesures de sécurité pertinentes pour traiter les risques. Vous avez ensuite rédigé une déclaration d’applicabilité (DdA ou SoA en anglais) à partir de l’ensemble des mesures recommandées disponibles dans l’annexe A de la norme. Dans cette DdA, vous avez sélectionné les mesures pertinentes et justifié leur insertion. Parmi les énoncés suivants, lequel décrit le mieux le fait de passer en revue ces mesures de sécurité et de sélectionner les mesures pertinentes pour votre SMSI ?
[A] Risk mitigation
[B] Security control assessment (SCA)
[C] Scoping
[D] Tailoring
« Risk mitigation » n’est pas la bonne réponse et ceci pour 2 raisons : la première est que l’on parle ici de sélection de mesures dans un référentiel. Hors pour mitiger un risque, il ne faut pas seulement sélectionner des mesures de sécurité et les mettre dans un fichier Excel. Il faut les appliquer et vérifier que le risque résiduel est inférieur au risque initial. La question parle uniquement de sélection de mesures et non pas de leur application. Attention : dans les questions de l’examen CISSP les mots ont un sens et il faut beaucoup de rigueur dans la lecture des questions. La deuxième raison est liée au fait que certaines mesures (issues de la norme ISO 27002) ne correspondent pas toujours à un traitement du risque de type « risk mitigation » mais plutôt à du « risk sharing ». Ce n’est donc pas systématiquement du « risk mitigation ». Attention dans le programme officiel du CISSP on parle de « risk transfer » alors que ce terme a été abandonné au profit de « risk sharing » dans la norme ISO 27005 depuis sa révision de 2011.
« Security Control Assessment (SCA)» n’est pas la bonne réponse car le terme « assessment » signifie évaluation (ou test). Le SCA consiste à évaluer les mesures de sécurité afin de déterminer si elles sont correctement mises en œuvre, si elles fonctionnent comme prévu et si elles produisent le résultat souhaité en matière de sécurité. Et c’est d’ailleurs exactement comme cela que le NIST défini le SCA dans son glossaire :
« The testing and/or evaluation of the management, operational, and technical security controls in an information system to determine the extent to which the controls are implemented correctly, operating as intended, and producing the desired outcome with respect to meeting the security requirements for the system. »
Source : https://csrc.nist.gov/glossary/term/security_control_assessment
« Periodic assessment of your security controls is equally as important as the selection and implementation of those controls. In many cases, your organization may have legal or regulatory requirements that dictate how and when to conduct security control assessments (SCA), but in all cases, you should routinely conduct control assessments to ensure that your security and privacy controls remain effective. SCAs may take the form of self-assessments or external assessments conducted by third parties. »
Le « Tailoring » n’est pas la bonne réponse car le tailoring ne consiste pas à sélectionner des mesures dans un référentiel mais à modifier le référentiel et les mesures qu’il contient afin de l’adapter à l’organisme et au contexte des actifs à protéger.
« Tailoring is the process of modifying the set of controls to meet the specific characteristics and requirements of the organization. »
« Tailoring refers to modifying the list of security controls within a baseline to align with the organization’s mission. »
La bonne réponse est la proposition [C] : « Scoping »
Le « scoping » (que l’on pourrait traduire par cadrage) consiste à examiner toutes les mesures proposées dans un référentiel et de ne sélectionner que celles qui sont adaptées et pertinentes dans le contexte spécifique du système à protéger.
« Scoping is the process the organization undertakes to consider which security controls apply and what assets they need to protect. »
« Scoping is a part of the tailoring process and refers to reviewing a list of baseline security controls and selecting only those controls that apply to the IT systems you’re trying to protect. Or, in the simplest terms, scoping processes eliminate controls that are recommended in a baseline. »
Il y a souvent des questions concernant ces 2 termes scoping / tailoring à l’examen CISSP. Pour se souvenir de la différence, rappelez vous que scoping provient du mot « scope ». Le scope c’est le périmètre. Avec le scoping on définit dans le référentiel le périmètre des mesures pertinentes en sélectionnant des mesures alors que tailoring vient du mot « tailor ». Le verbe (to tailor) signifie façonner ou adapter à. Un « tailor », c’est un couturier, c’est à dire quelqu’un qui fait des vêtements sur mesure. Donc pour imager, le référentiel de mesures, c’est un catalogue de vêtements prêt à porter et si on y trouve son compte (taille, couleur,…), on fait du « scoping » c’est-à-dire qu’on choisit les éléments qui nous conviennent. Par contre, si le prêt à porter ne convient pas alors il faut adapter les vêtements et faire du sur-mesure, c’est du « tailoring ».
Questions et réponses rédigées par VERISAFE selon le programme officiel du CISSP actuellement en vigueur
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE