Bertrand Arquilliere : Systèmes, réseaux et sécurité - Tag - Lead Auditor ISO 27001

Certifié Lead Auditor ISO 27001

Bertrand Arquilliere — Sat, 10 May 2008 10:57:00 +0200

Dans la boite aux lettres, ce matin, une grande enveloppe m'attendait ...

Une enveloppe format A4 avec l'entête de LSTI m'attendait ce matin.
Lors de la formation, je savais qu'on connaissait les résultats à la taille de l'enveloppe : A4 = réussite, format standard = échec.
C'est donc trés content que j'ai décachetté cette enveloppe qui comme je m'y attendais contient mon certificat "Lead Auditor ISO 27001" délivré par le LSTI, organisme accrédité par le COFRAQ.

Les métiers de l'audit sécurité informatique s'ouvrent maintenant à moi !

Sur cette excellente nouvelle, je retourne réviser mon examen ... d'audit pour le master.

Bonne jounrée.

Début des examens pour le master 2 Organisation et Protection des Systèmes d'Informations en Entreprise (OPSIE)

Bertrand Arquilliere — Wed, 30 Apr 2008 10:07:00 +0200

Alors que je suis toujours dans l'attente du résultat de ma certification Lead Auditor ISO 27001, les examens pour l'obtention de mon Master 2 OPSIE ont commencés lundi soir.

Lundi soir, l'épreuve que j'attendais le plus pour faire le plein de points d'avance s'est déroulée : L'examen de sécurité.
Un ensemble de question très ouvertes où le principal danger résidait dans le fait de trop parler (écrire) et donc se faire prendre par le temps. Ce qui a failli m'arriver !
En effet, à la fin de la première question j'avais déjà écrit deux pages et il me restait encore une quinzaine de questions a traiter. J'ai donc pris l'option de moins détailler mes réponses.
Globalement je suis un peu déçu car certaine questions m'ont surpris :
Exemple : Pourquoi le chiffre de César ne respecte pas le principe de Kerchekofs. Ce sont des principes vus en octobre ou novembre dernier et je dois admettre que lors des révisions de la crypto je me suis plus concentré sur les aspects clé publiques/clés privées, chiffrement symétrique et asymétrique.
Par manque de temps, je n'ai pas détaillé autant que je le souhaitait certaines questions.
Déçu donc car je n'aurai pas pris autant de points d'avance que je ne l'espérai.
Mon pronostic sécurité : 15/20

Mardi soir épreuve de gestion des risques, très bien préparé, je maîtrise la méthode sur le bout des doigts, je ne fais parfaitement la différence entre une menace, une vulnérabilité et un risque (Le principal piège de cette épreuve consiste à confondre les trois).
Par contre, je n'ai pas réussi a m'habituer à la façon de rendre l'appréciation des risques de l'enseignant, qui consiste a produire un tableau pour chacune des 4 phases de l'analyse des risques. Je comptais donc sur ma connaissance de la méthode et mon bon sens pour m'en sortir dans cette épreuve.
Le sujet : Une étude de cas pour une entreprise de transport. Beaucoup de détails sur l'activité de l'entreprise et ses processus, des bilans comptable, et quelques informations informatiques.
Sur une épreuve de deux heures, il m'a fallu prés de 45 minutes pour bien lire et assimiler le sujet et 15 minutes de plus pour répondre à la première question qui consiste à établir une cartographie du Système d'Information. L'entreprise étant plutôt énorme en terme de S.I, j'ai choisis de représenter le S.I dans un tableau représentant en colonne les processus et en ligne les acteurs. Une croix à l'intersection Acteur/Processus permet ainsi d'identifier rapidement quel acteur communique avec qui et à travers quel processus. Au vu de la taille de l'entreprise, ce tableau m'a semblé plus pratique qu'un dessin avec des patatoïdes et des flèches dans tous les sens pour représenter les flux d'informations. malheureusement pris par le temps, je n'ai pas justifier mon choix ...
Les questions suivantes déroulant la méthode dans le bon ordre, je me suis contenter de répondre aux questions sans justifier en regard de la méthode. Il fallait proposer 5 menaces majeures pour l'entreprise et son S.I, ensuite il fallait proposer 10 vulnérabilités majeures en regard des menaces de la question 2.
La question 4 a été la plus déstabilisante, il fallait présenter les risques majeurs à la mise en place d'un site marchand ... Or à aucun moment l'énoncé ne faisait référence à l'éventuelle mise en place d'un site internet marchand, donc j'étais dans le flou le plus complet. J'ai donc fait des hypothèses comme quoi l'entreprise voulait ouvrir un site afin de vendre ses services en Europe aux particuliers (Il existait déjà un process de B2B via Internet) => du B2C. Il me restait à ce moment là 3 minutes ... J'ai donc fait un tableau d'appréciations des risques contenant une colonne pour les menaces, une colonne pour les vulnérabilités, une colonne pour l'impact, une colonne pour le degré d'occurrence et enfin une colonne d'appréciation du risque. J'ai rempli deux ou trois lignes en piochant dans mes menaces de la question 2 et les vulnérabilités de la question 3, afin d'imaginer l'impact et un degré d'occurence pour évaluer à partir de tous ces éléments le niveau de risque.

Etant donné que les questions suivaient dans l'ordre la méthode proposée, je n'ai quasiment pas justifier mes réponses, ma cartographie du S.I sort des sentiers battus car non formalisée comme l'enseignant l'attendait, enfin un cruel manque d'imagination sur la proposition de 5 menaces majeures et pourtant je cherchais parmi les éléments constitutifs d'une menace (Malveillance, Accident, Erreur).
Mon pronostic Gestion du risque : entre 6/20 et 10/20

Examen de certification Lead Auditor ISO 27001 passé

Bertrand Arquilliere — Fri, 18 Apr 2008 21:16:00 +0200

L'épreuve d'examen Lead Auditor ISO 27001 a eu lieu cette après midi...
Retour sur une semaine excellente et exceptionnelle, comme j'aimerai en vivre plus souvent !

Ayant signé des clauses de confidentialité sur la teneur de l'examen, je ne peux donc pas vous en dire plus sur les questions de l'examen, je pense tout de même pouvoir dire, que 3h30 d'épreuve passent très vite, et que 30 minutes pour se relire ne seraient pas de trop.
Globalement je n'ai aucune idée sur l'issue de cet examen il faut, pour être certifié, obtenir 70%.
Résultat dans 3 semaines environ ...

Cet examen a marqué le point final d'une semaine de formation riche en enseignements et en rencontre de fortes personnalités, avec qui il ne me déplairait pas de travailler en équipe d'audit

Des formateurs tout simplement humain, et ouverts, ponctuant la formation d'exemples vécus, des jeux de rôles parfois déstabilisant, cette semaine a été pour moi un réel plaisir.
En contact journalier avec MONSIEUR Hervé Schauer, qui est, pour moi en tout cas, une sacré référence en terme de sécurité informatique, peut être même LA référence. Je connaissais un peu Hervé, pour avoir participé une fois à une réunion de l'OSSIR à Paris, du temps de Renaud Deraison (l'auteur de Nessus, qui est un outil de scan de vulnérabilités), et pour l'avoir contacté par email et téléphone du temps où j'avais ma société de consulting en sécurité informatique (Kr@g à Béziers).
Je ne connaissais pas du tout Alexandre Fernandez et j'attends avec beaucoup d'impatience d'être en mesure de lire son livre.
De vraies rencontres aussi avec les collègues formés, tous d'horizons plus ou moins différent, qui étaient tous prêts à faire part de leur expérience et a partager leurs connaissances.
Avec en souvenir que je vais sûrement garder longtemps : Un jeu de rôle où Hervé se prenait pour un admin système bourru, qui a réponse à tout et qui ne voulait pas admettre, reconnaître une non conformité dans son système de management de la sécurité de l'information (SMSI), sans parler de l'architecture soit-disant sécurisée du réseau de cet admin...

Nous étions parfaitement bien préparé à l'examen de certification Lead Auditor ISO 27001, par HSC, rien dans le sujet d'examen qui ne nous avait été présenté soit par Hervé soit par Alexandre.
Malheureusement, un ou deux trous de mémoire me vaudront de perdre quelques points sur les premières parties de l'examen, et un manque de temps pour affiner mes réponses dans les dernières parties, mais c'est entièrement de ma faute, peut être que finalement j'avais un peu plus de stress que je n'osais me l'avouer !
Parti pour suivre la formation, la certification était pour moi un bonus, je suis arrivé à l'examen avec l'envie forte de repartir avec ce bonus !

Comme je le disais précédemment, je recommande vivement la formation Lead Auditor ISO 27001 d'HSC

Merci à HSC pour la qualité de son enseignement, merci à mes compagnons de formations pour leur partage de connaissance et expériences. Je leur souhaite une belle réussite à cette certification et pourquoi pas leur dire :

Au plaisir de faire un audit avec un ou plusieurs d'entre vous !

J'allais oublier : Hervé Schauer nous a fait remarquer qu'il n'existe pas de club OSSIR à Lyon .... pour le moment...