En 2005, l’ISO/IEC publie l’ISO 27001, la première norme d’une nouvelle famille dédiée à la sécurité de l’information. Depuis 3 ans, les principes de cette norme ont entraîné des modifications profondes dans les démarches sécurité des organisations. Aujourd’hui, ces principes, en particulier la prise en compte systématique des risques et le cycle d’amélioration Plan-Do-Check- Act (PDCA), contribuent à faire de cette norme une véritable référence pour les organisations.

Une norme arrivant à maturité

Issue de la norme britannique BS7799-2, l’ISO 27001 s’intéresse à la gouvernance de sécurité de l’information et prône la mise en place d’un système de management de la sécurité de l’information (SMSI). Ce système peut également être audité par les organisations souhaitant obtenir une certification.

La norme a connu un succès rapide initialement dans les pays anglo-saxons et en Asie avec plusieurs milliers de certificats délivrés. Sa publication en tant que standard international ISO a décuplé sa renommée, et les principes avancés sont considérés comme une réponse viable et pérenne aux problématiques des organisations de toute taille.

Au-delà de la norme phare ISO 27001 de définition du système de management, l’ISO affiche également la volonté de décliner dans un ensemble d’autres normes support, les axes-clés de mise en oeuvre : analyse de risques (ISO 27005), indicateurs et tableau de bord (ISO 27004), etc. Des déclinaisons spécifiques à certains métiers sont aussi publiées ou en cours de finalisation (télécommunication, pharmacie…).

Une préoccupation majeure pour les RSSI

Ces normes arrivent alors que la majorité des organisations ont déjà engagé des démarches de sécurisation de l’information. Ces chantiers sont plus ou moins avancés selon les organisations ou les secteurs d’activité, et ces organisations évoluent toutes dans le même sens, avec une transformation importante du rôle de RSSI.

D’experts techniques il y a encore quelques années, les RSI sont en effet devenus de véritables chefs d’orchestre, animant la relation entre les métiers et la DSI. Leur rôle principal consiste désormais à organiser, à fiabiliser, à contrôler et à communiquer. Les normes ISO 27000 apportent une aide incomparable aux RSI dans cette évolution de leur positionnement.

La norme ISO 27001 fait donc son chemin en France, où elle commence à acquérir une base importante d’utilisateurs. L’analyse ci-dessous, réalisée auprès de 50 grands comptes, montre que plus de la moitié des organisations ont lancé des actions orientées vers l’ISO 27001.

Ces initiatives sont aujourd’hui très variées et restent majoritairement centrées sur une analyse d’écarts avec les exigences de la norme. Mais c’est un premier pas vers une adoption des principes de la norme, voire vers une certification de certaines activités comme pour quasiment 10 % des sondés.

Choisir son utilisation de la norme

L’ISO 27001 peut certainement être utilisée comme un recueil de bonnes idées dans lequel on peut piocher, même si cette approche réductrice n’est pas un bon conseil. En effet, la norme ne donnera sa pleine efficacité que si les principes fondateurs qu’elle propose sont effectivement mis en oeuvre. Deux grandes orientations se dégagent :

• L’adoption partielle ou complète des principes sans viser la certification, permet une mise en place progressive des concepts et autorise une mise en oeuvre sans s’obliger à suivre à la lettre certains principes pouvant être fastidieux dans leur réalisation opérationnelle (gestion documentaire, collecte des enregistrements…).
• La certification externe apportera une vraie reconnaissance au travail réalisé en interne pour s’aligner sur la norme 27001. Elle va exiger un effort supplémentaire de formalisation et la contractualisation avec un organisme certificateur qui viendra auditer régulièrement la bonne application des mesures de la norme. Cette démarche est néanmoins facilitée si une certification ISO 9001 a déjà été obtenue.

Aujourd’hui, l’adoption de l’une ou l’autre de ces orientations dépend fortement des structures concernées et avant tout de l’intérêt métier à obtenir une certification externe. Sur le panel de clients interrogés, la proportion de ceux ayant adopté l’une ou l’autre des orientations a fortement augmenté depuis un an.

En France, plus d’une dizaine de sociétés ont obtenu la certification. Ces sociétés ont certifié des processus particuliers proches de leur coeur de métier. C’est le cas par exemple de Quanta Medical sur ses activités d’essais thérapeutiques et/ ou épidémiologiques ou encore de la Française des Jeux sur les activités liées à la loterie.

A l’international, le niveau d’adoption de la certification ISO 27001 est très hétérogène d’un pays à l’autre. Certains sont très en avance, en particulier le Japon. D’autres (États-Unis, Inde, Allemagne…) sont en train de rattraper leur retard suite à la publication de l’ISO 27001 comme norme internationale. Début janvier 2009, 5190 certifications ISO 27001 ont été prononcées dans le monde (source : www.iso27001certificates.com).