Interview du mois
 |
Hervé Schauer Président de HSC |
La norme ISO 27001 : une norme incontournable et centrale pour gérer la SSI
Pouvez-vous nous dire brièvement en quoi consiste les activités d’HSC ?
Prestataire de conseil et d’expertise en sécurité des systèmes d’information depuis 1989, nous formalisons depuis longtemps déjà la manière d’exploiter les systèmes en toute sécurité à l’aide de procédures, par exemple pour gérer de manière sécurisée une façade de sécurité internet ou une plate-forme de bourse en ligne. C’est d’ailleurs par ce biais que nous sommes arrivés à des prestations plus organisationnelles telles que celles que l’on trouve dans la norme ISO 27001 (et son ancêtre, la norme britannique BS 7799-2:1999), tout en gardant notre expertise technique très pointue. Nous proposons également des prestations de conseil pour l’accompagnement à la mise en place de SMSI (Systèmes de Management de la Sécurité de l’Information) et mettons à disposition de nos clients, des consultants qui sont auditeurs de certification pour plusieurs organismes de certification.
Concrètement quels sont les plus de la norme 27001 et comment l’implémenter au mieux ?
La norme 27001 relative à la définition de la Politique du Management de la Sécurité des SI au sein d’une entreprise, est l’application pragmatique des principes de la qualité (type ISO 9000) à la sécurité de l’information. Elle porte moins sur l’efficacité des dispositifs mis en place, que sur leur existence et la mise en oeuvre de facteurs d’amélioration (PDCA), comme par exemple, des audits internes, procédures de gestion des incidents et mesures de sécurité (y compris pré techniques) pertinentes selon le type d’actifs à protéger. C’est au travers d’un dialogue avec les responsables métier que l’on peut vérifier qu’on a « intuité » les bons actifs à protéger et les procédures à mettre en place. Aussi pour optimiser son implémentation, il vaut mieux que les RSSI commencent à travailler d’abord seul pour avoir des éléments concrets et notamment des scénarii de vrais risques sur de vrais actifs. Par exemple, la protection des bases de données de l’ingénieur commercial qui travaille à distance nécessite de chiffrer les disques durs.
Dans certains métiers où les prises de commande se font essentiellement en réseau, la messagerie sera un actif « critique » qu’il faudra à tout prix sécuriser car il peut affecter complètement l’activité de l’entreprise s’il vient à s’arrêter pendant plusieurs heures. La norme ISO 27001 n’impose pas une méthode d’appréciation des risques particuliers mais donne un cahier des charges très précis de ce que doit faire au minimum une telle méthode. Un guide va prochainement sortir pour accompagner la norme, d’exigences permettant d’apprécier les risques dans le cadre d’un SMSI. Ce sera une vraie révolution car on aura une synthèse de tous les travaux tant en France qu’à l’étranger.
Qu’avez-vous à dire aux entreprises qui sont encore réticentes à se faire certifier 27001 ?
C’est une norme conçue pour s’adapter à tous les métiers et à toutes les échelles. Même une petite société de 15 personnes qui offre une prestation de sauvegarde en ligne sur internet, a besoin d’apporter une certaine confiance à ses clients. Etre certifié peut apporter un atout compétitif. Le coût de la certification peut être considérablement réduit pour les entreprises déjà soumises à des audits internes de type Sarbanes-Oxley (SOX) puisque les structures utilisées seront les mêmes. Enfin, à la différence des autres normes, l’ISO 27001 définit une politique de sécurité qui tient compte des exigences légales et confère donc au SI une présomption de fiabilité aux yeux des tribunaux. En cas de litige avec un client ou un partenaire, elle permet de constituer des dossiers de preuve et de préjudice plus facilement et de rendre leur contestation beaucoup plus difficile. De nombreuses entreprises Européennes sont certifiées (Italie, Espagne, Allemagne, Angleterre, etc.).
HSC (Hervé Schauer Consultants) est leader des formations en français sur les normes ISO 27001.
Interview réalisée par Isabelle Pottier, avocat.
Parue dans la JTIT n°71/2007