Archive édito septembre 2007

Edito

Les systèmes de management de la sécurité informatique bientôt normalisés par l’AFNOR

La norme ISO 27001 permet de gérer la sécurité des SI

La norme ISO 27001 définit la Politique du Management de la Sécurité des SI au sein d’une entreprise (1). Elle est issue de la BS 7799-2:1999 « Specification for information security management systems » qui définit les exigences à respecter pour créer un ISMS (Information Security Management System). Elle spécifie en annexe certains contrôles de sécurité, tirés de la 17799, dont la mise en oeuvre est obligatoire. La norme ISO 27001 comprend 6 domaines de processus :

  • Définir une politique de la sécurité des informations,
  • Définir le périmètre du Système de Management de la sécurité de l’information,
  • Réaliser une évaluation des risques liés à la sécurité,
  • Gérer les risques identifiés,
  • Choisir et mettre en oeuvre les contrôles,
  • Préparer un SoA ( « statement of applicability »).

    L’interconnexion des systèmes d’information et le commerce électronique donnent à cette norme un poids grandissant. Elle vise à mettre en place les bonnes pratiques en matière de sécurité des systèmes d’information pour mieux gérer la sécurité des SI entre partenaires. Recueil des bonnes pratiques de sécurité des systèmes d’information, certaines de ses recommandations peuvent en effet être contractualisées.

    Une homologation d’ici fin 2007

    Comme l’ISO 9000, l’ISO 27001 porte moins sur l’efficacité des dispositions mises en place, que sur leur existence et la mise en place de facteurs d’amélioration (PDCA). Pour former sa position, l’AFNOR a soumis le projet ISO 27001 à une enquête probatoire nationale qui s’est terminée le 20 juillet 2007. Notifiée au Journal Officiel du 1er juillet 2007, cette enquête a été ouverte à tous (2). Les résultats sont actuellement dépouillés par la commission compétente, la « Commission Générale des Technologies de l’Information » (CGTI). Cette commission est une structure ouverte qui rassemble, sur la base d’un engagement volontaire, des industriels de l’informatique, opérateurs de télécommunication, sociétés de service spécialisées, représentants de l’administration, groupements d’utilisateurs, etc. Après traitement des résultats de l’enquête, la norme sera alors l’homologuée NF, peut être avant la fin de l’année !

    On ne peut que recommander d’y faire référence dans les contrats passés avec des prestataires ou des sous-traitants pour la rendre obligatoire.

    (1) Projet PR NF ISO 27001 (indice de classement : Z74-221PR).
    (2) Avis relatif à l’instruction de projets de normes paru au JO du 1er juillet 2007.

    Isabelle Pottier

    Directrice du département Etudes et Publications.

    isabelle-pottier@alain-bensoussan.com

    Paru dans la JTIT n°68/2007