Déjà Membre?

Mot de passe oublié? | Créer votre compte !
facebook  linkedin
It Expert
La référence technique on-line
des professionnels de l'informatique
Accueil
ISO 27001 normalise la sécurité de l’information
PostDateIcon lun, 02/02/2009 - 13:56 | PostAuthorIcon amg
4
Votre notation : Aucun (1 vote)
nodeid: 
ISO 27001 normalise la sécurité de l’information
sous titre: 
ISO27001-securite-information
Chapeau
chapeau: 

Si les normes peuvent apparaître austères, elles résultent pourtant du travail de spécialistes bénéficiant d’années d’expérience pratique. Une garantie qui devrait suffit à attirer l’attention de tout informaticien, surtout lorsqu’il s’agit de sécurité. Une plongée salutaire dans les arcanes de l’ISO 27001 !

Contenu
pages de contenu: 

En 2005, l’ISO/IEC publie l’ISO 27001, la première norme d’une nouvelle famille dédiée à la sécurité de l’information. Depuis 3 ans, les principes de cette norme ont entraîné des modifications profondes dans les démarches sécurité des organisations. Aujourd’hui, ces principes, en particulier la prise en compte systématique des risques et le cycle d’amélioration Plan-Do-Check- Act (PDCA), contribuent à faire de cette norme une véritable référence pour les organisations.

Une norme arrivant à maturité

Issue de la norme britannique BS7799-2, l’ISO 27001 s’intéresse à la gouvernance de sécurité de l’information et prône la mise en place d’un système de management de la sécurité de l’information (SMSI). Ce système peut également être audité par les organisations souhaitant obtenir une certification.

La norme a connu un succès rapide initialement dans les pays anglo-saxons et en Asie avec plusieurs milliers de certificats délivrés. Sa publication en tant que standard international ISO a décuplé sa renommée, et les principes avancés sont considérés comme une réponse viable et pérenne aux problématiques des organisations de toute taille.

Au-delà de la norme phare ISO 27001 de définition du système de management, l’ISO affiche également la volonté de décliner dans un ensemble d’autres normes support, les axes-clés de mise en oeuvre : analyse de risques (ISO 27005), indicateurs et tableau de bord (ISO 27004), etc. Des déclinaisons spécifiques à certains métiers sont aussi publiées ou en cours de finalisation (télécommunication, pharmacie…).

 

Une préoccupation majeure pour les RSSI

Ces normes arrivent alors que la majorité des organisations ont déjà engagé des démarches de sécurisation de l’information. Ces chantiers sont plus ou moins avancés selon les organisations ou les secteurs d’activité, et ces organisations évoluent toutes dans le même sens, avec une transformation importante du rôle de RSSI.

D’experts techniques il y a encore quelques années, les RSI sont en effet devenus de véritables chefs d’orchestre, animant la relation entre les métiers et la DSI. Leur rôle principal consiste désormais à organiser, à fiabiliser, à contrôler et à communiquer. Les normes ISO 27000 apportent une aide incomparable aux RSI dans cette évolution de leur positionnement.

La norme ISO 27001 fait donc son chemin en France, où elle commence à acquérir une base importante d’utilisateurs. L’analyse ci-dessous, réalisée auprès de 50 grands comptes, montre que plus de la moitié des organisations ont lancé des actions orientées vers l’ISO 27001.

Ces initiatives sont aujourd’hui très variées et restent majoritairement centrées sur une analyse d’écarts avec les exigences de la norme. Mais c’est un premier pas vers une adoption des principes de la norme, voire vers une certification de certaines activités comme pour quasiment 10 % des sondés.

 

Choisir son utilisation de la norme

L’ISO 27001 peut certainement être utilisée comme un recueil de bonnes idées dans lequel on peut piocher, même si cette approche réductrice n’est pas un bon conseil. En effet, la norme ne donnera sa pleine efficacité que si les principes fondateurs qu’elle propose sont effectivement mis en oeuvre. Deux grandes orientations se dégagent :

  • L’adoption partielle ou complète des principes sans viser la certification, permet une mise en place progressive des concepts et autorise une mise en oeuvre sans s’obliger à suivre à la lettre certains principes pouvant être fastidieux dans leur réalisation opérationnelle (gestion documentaire, collecte des enregistrements…).
  • La certification externe apportera une vraie reconnaissance au travail réalisé en interne pour s’aligner sur la norme 27001. Elle va exiger un effort supplémentaire de formalisation et la contractualisation avec un organisme certificateur qui viendra auditer régulièrement la bonne application des mesures de la norme. Cette démarche est néanmoins facilitée si une certification ISO 9001 a déjà été obtenue.

Aujourd’hui, l’adoption de l’une ou l’autre de ces orientations dépend fortement des structures concernées et avant tout de l’intérêt métier à obtenir une certification externe. Sur le panel de clients interrogés, la proportion de ceux ayant adopté l’une ou l’autre des orientations a fortement augmenté depuis un an.

En France, plus d’une dizaine de sociétés ont obtenu la certification. Ces sociétés ont certifié des processus particuliers proches de leur coeur de métier. C’est le cas par exemple de Quanta Medical sur ses activités d’essais thérapeutiques et/ ou épidémiologiques ou encore de la Française des Jeux sur les activités liées à la loterie.

A l’international, le niveau d’adoption de la certification ISO 27001 est très hétérogène d’un pays à l’autre. Certains sont très en avance, en particulier le Japon. D’autres (États-Unis, Inde, Allemagne…) sont en train de rattraper leur retard suite à la publication de l’ISO 27001 comme norme internationale. Début janvier 2009, 5190 certifications ISO 27001 ont été prononcées dans le monde (source : www.iso27001certificates.com).

4 principes en cohérence avec les meilleures pratiques de management

L’ISO 27001 instaure quatre principes essentiels qui sont mis en oeuvre de plus en plus couramment. Ces principes représentent une évolution importante de la manière dont la sécurité de l’information est aujourd’hui prise en compte et formalisée. Ces principes visent à ancrer la démarche de gestion de la sécurité dans la vie de l’organisation.

  • Le pilotage par les risques : L’ISO 27001 impose l’analyse de risques comme pilier essentiel pour sélectionner et définir les mesures de sécurité à appliquer. Cette analyse permet de traiter en priorité les risques jugés les plus importants par l’entreprise. Elle justifie en effet la prise en compte ou non de mesures de sécurité, et surtout la manière dont ces mesures seront implémentées. La méthodologie d’analyse n’est pas imposée, mais doit être définie au préalable et répondre à certaines contraintes : identification des processus et actifs critiques, identification des propriétaires, analyse des impacts, identification des menaces et des vulnérabilités, description et pondération des risques puis validation des risques résiduels.
  • L’amélioration continue : Comme les systèmes de management de la qualité (ISO 9001) et de l’environnement (ISO 14001), un SMSI ISO 27001 repose sur le cycle de progrès PDCA : Plan, Do, Check, Act, également appelé Roue de Deming. Ce cycle vise une amélioration continue reposant sur une logique simple : dire ce que l’on fait, faire ce que l’on a dit, puis contrôler et corriger les écarts. Il est donc nécessaire de créer un cycle de réévaluation annuel pour l’intégralité du SMSI. Les revues de direction marqueront la finalisation d’un tel cycle, avec la réalisation d’un bilan visant à évaluer l’efficacité du SMSI , mais également à valider les orientations à venir.
  • L’implication du management : Le management joue un rôle clé dans le fonctionnement d’un SMSI . Son implication ne se résume pas à un accord officiel pour lancer le projet. Il s’agit d’une interaction bien plus forte, car c’est bien le management qui va orienter le SMSI et prendre les décisions relatives aux risques qu’il est prêt à accepter. Son implication est essentielle pour réussir les étapes de l’analyse de risques, mais aussi pour nommer les différents acteurs mettant en oeuvre le SMSI et fournir les moyens nécessaires. Le management doit aussi communiquer vers les acteurs du périmètre pour marquer sa volonté de mettre en oeuvre cette démarche d’amélioration de la sécurité de l’information. Le management intervient dans la durée, il est l’acteur clé de la revue de direction qui se déroule a minima annuellement.
  • L’approche processus : La norme ISO 27001 préconise que toutes les activités liées au SMSI soient conçues et formalisées sous la forme de processus. Cette approche processus est probablement un des éléments les plus importants de la norme, mais aussi l’un des moins explicités par celle-ci. Les porteurs et acteurs des différentes actions contribuant à la sécurité doivent donc être identifiés tout comme l’enchaînement des actions à mener pour chaque processus de sécurité. Attention il ne s’agit pas ici de formaliser les processus métier (comme pour l’ISO 9001) mais uniquement les processus liés à la sécurité de l’information.

Adopter l’ISO 27001, le remède anticrise pour la sécurité ?

Dans ces périodes économiques difficiles, l’ISO 27001 peut être un sujet porteur pour les RSI ! En effet, les principes de la norme permettent d’atteindre ce que les approches classiques de la sécurité n’avaient pas pu faire, et notamment une véritable efficience et une adéquation entre les coûts et les gains. L’ISO apporte notamment :

  • Une meilleure maîtrise des risques qui pèsent réellement sur les activités de l’entreprise.
  • La garantie de mieux dimensionner le budget sécurité et surtout de l’affecter aux mesures les plus pertinentes.
  • Une réponse plus proche des attentes des clients qui vont maintenant utiliser cette norme comme référence pour les appels d’offres ou les audits externes.
  • Une association plus systématique des acteurs métiers et du management aux décisions, et donc une meilleure acceptation des contraintes amenées par les mesures de sécurité.
  • La facilitation d’autres démarches liées à la sécurité de l’information, comme la mise en conformité à Bâle II, à Sarbanes- Oxley ou à la loi informatique et libertés.

De plus, l’ISO 27001 dispose d’atouts spécifiques qui lui permettent d’être implémentée même en phase de réduction de coûts, et ceci, pour les raisons suivantes :

  • La possibilité d’une adoption progressive, en suivant un rythme propre à chaque structure.
  • Un projet majoritairement organisationnel nécessitant peu d’investissement en matériel ou en licence grâce à la réutilisation et à la rationalisation de l’existant.
  • La capacité à utiliser les principes sans viser la certification, et donc en limitant les coûts externes.

Première étape de la mise en oeuvre : la définition du périmètre

Le SMSI se définit par l’ensemble des ressources mises en place pour organiser et gérer au quotidien la sécurité de l’information sur un périmètre défini.

Ce périmètre peut être de multiples formes : toute l’entreprise, un métier ou un processus particulier, une application, un centre de production… Il s’agit d’un choix déterminant dans la mise en oeuvre de la démarche et le périmètre doit répondre à des enjeux métiers clairs et partagés.

7 processus essentiels à mettre en oeuvre progressivement

La norme ISO 27001 recommande l’utilisation d’une approche par processus, mais sans expliciter la nature des processus essentiels. Notre retour d’expérience nous a amenés à distinguer sept processus devant être mis en oeuvre :

  • Piloter le système de management : le premier processus est transverse à l’ensemble du SMSI. Il a pour but de définir la manière dont le SMSI lui-même va être géré. Ses objectifs principaux sont de gérer les revues de direction, de permettre le pilotage du cycle d’amélioration continue PDCA , et de suivre l’engagement des compétences et des ressources intervenant dans le fonctionnement du SMSI. Il s’agit d’un processus qui concerne majoritairement la direction de l’organisation.
  • Analyser les risques : le processus d’analyse de risques est le coeur du SMSI . Il décrit la manière dont l’analyse de risques sera menée, et surtout complétée et mise à jour. Les activités sont assez classiques : classification des actifs, identification des menaces et des vulnérabilités, définition des scénarios de risques associés aux impacts et aux probabilités d’occurrence. Son objectif principal est d’obtenir de la part de la direction un engagement sur les risques acceptables et ceux devant être traités. Cet engagement sera bien entendu revu a minima annuellement.
  • Gérer le traitement des risques : il consiste à piloter l’avancement du traitement des risques, en passant par la formalisation des mesures sélectionnées (consignées dans la Déclaration d’Applicabilité) et par le suivi des différents chantiers sécurité afin d’atteindre la cible de diminution des risques validée par la direction. Les activités telles que la conception de la politique de sécurité ou le déroulement des projets d’infrastructure sécurité sont rattachées à ce processus.

  • Contrôler l’efficacité : ce processus permet de s’assurer que le SMSI est consistant et cohérent et que les actions entreprises sont efficaces. Ce processus est souvent séparé en deux volets. Le premier vise à contrôler le SMSI luimême à travers un plan d’audit interne et externe incluant par exemple des autocontrôles, des audits de conformité, des audits techniques… Le second volet du processus consiste à réaliser des tableaux de bord pertinents à partir des indicateurs prévus dans chaque processus : récupération des indicateurs, consolidation, publication… Ces tableaux de bord devront être orientés vers une mesure de l’efficacité et pas simplement vers une mesure de l’activité du SMSI, l’objectif étant de constater l’amélioration dans le temps.
  • Gérer les incidents et les vulnérabilités : La norme impose une gestion efficace des événements de sécurité, tant en correctif (incidents), qu’en préventif (vulnérabilités). Le processus traitera également des aspects préventifs : veille sécurité (réglementaire et technique), gestion des vulnérabilités, gestion des alertes, etc. Il est également possible de rattacher à ce processus la gestion des actions préventives et correctives si un objectif de certification est visé.
  • Former et sensibiliser : ce processus exigé explicitement dans la norme ISO 27001 a pour objectifs de former les acteurs ayant des responsabilités dans le cadre du SMSI (auditeurs internes, gestionnaire du SMSI, administrateurs, etc.) et de sensibiliser les utilisateurs du SMSI aux bonnes pratiques de sécurité. La limite entre sensibilisation et formation dépend des responsabilités qui incombent aux acteurs. Plus ces derniers sont responsabilisés, plus il faut correctement les former.
  • Gérer la documentation et les preuves : ce processus est essentiel lorsqu’une certification est recherchée. Il s’assure que l’ensemble des documentations nécessaires au SMSI (typiquement la formalisation des processus) est correctement géré (gestion des versions, archivage, validation…). Ce processus s’assure également que les preuves qui seront demandées lors de l’audit de certification sont collectées et conservées dans le respect de leur confidentialité et intégrité.

Dans le cadre d’une mise en oeuvre partielle, il est possible de sélectionner un ou plusieurs de ces processus et de les mettre en oeuvre progressivement. Cependant, l’alignement à la norme requiert a minima la mise en oeuvre du pilotage, de l’analyse de risque et du contrôle, ceci afin de permettre le fonctionnement de la boucle PDCA.

Adopter les principes dès aujourd’hui, et certifier sur opportunité !

La norme ISO 27001 constitue une avancée majeure dans le mouvement de professionnalisation des démarches de sécurité. Elle formalise des principes essentiels (pilotage par les risques, formalisation des processus, contrôle, amélioration continue…) qui vont permettre un alignement progressif de la sécurité de l’information avec les meilleures pratiques de management.

La légitimité de cette norme auprès des RSI n’est plus à démontrer : nombre d’entre eux ont déjà engagé des actions s’appuyant sur les principes qu’elle propose. Elle constitue pour les RSSI et les DSI un outil de communication efficace permettant d’asseoir la crédibilité et la cohérence des démarches d’amélioration de la sécurité, et de valoriser ces démarches vis-à-vis du top management, en particulier dans les périodes de crise ou la rationalisation et l’efficacité sont recherchées. Avec la certification, cette crédibilité deviendra même dans certains secteurs d’activité une reconnaissance externe incontournable.

Il ne faut pourtant pas tout attendre de l’ISO 27001 : en aucun cas la norme ne garantit que les processus qui seront définis seront les plus efficaces pour maîtriser les risques. Comme dans le domaine de la qualité, la norme fixe des objectifs, propose une méthodologie, mais seuls le bon sens et l’expertise assurent la pertinence des choix d’implémentation.

Et la cible à atteindre reste encore lointaine pour la plupart des grandes organisations. Le principe de l’évaluation des risques en collaboration avec les métiers est encore loin d’être généralisé, et les dispositifs de contrôle sont encore très pauvres. Le chemin à parcourir pour s’aligner complètement avec la norme s’avèrera souvent long et ambitieux. La certification externe doit donc être réservée pour le moment aux organisations qui peuvent y trouver un apport direct pour leur coeur de métier. Mais que cela n’empêche pas chaque entreprise d’appliquer dès maintenant les bons principes de la norme, et d’accélérer ainsi leur démarche d’amélioration de la sécurité !

Savoir évaluer le certificat d’une entreprise

L’obtention de la certification et sa valorisation lors d’échanges commerciaux sont soumises à des règles assez strictes définies par l’ISO. Cependant, il est important de rappeler que la certification ne garantit pas forcément le niveau de sécurité du partenaire et/ ou des infrastructures. En effet la norme impose uniquement la présence et le bon fonctionnement du système de management et son amélioration dans le temps. Il est donc important de vérifier les critères suivants pour bien évaluer un certificat :

  • Étudier le périmètre du certificat qui détaille quels processus de l’entreprise sont couverts par le SMSI.
  • Demander et analyser la déclaration d’applicabilité (SOA), qui précise quels contrôles (issus ou non de la norme ISO 27002) ont été sélectionnés et mis en oeuvre.
  • Évaluer la date de certification, qui indique la pérennité de la démarche chez le partenaire. Ce critère est à relativiser au vu de la récente publication de la norme, mais il est important que le SMSI ait au moins réalisé une fois le cycle PDCA.

C’est en focalisant dans un premier temps l’attention sur le traitement des risques majeurs que l’on pourra pleinement tirer partie des enseignements de la norme tout en se donnant un périmètre de travail raisonnable. Une fois ces risques majeurs maîtrisés, les cycles successifs de la boucle PDCA permettront d’élargir progressivement le périmètre des risques traités pour couvrir à terme l’ensemble du système d’information.

En résumé : appliquer dès aujourd’hui les bons principes de l’ISO 27001, mais viser la certification uniquement lorsque le jeu en vaut la chandelle !

Infos Auteurs
image1: 
auteur1: 

Gérôme Billois, Manager sécurité, Solucom Group

 

auteur: 

Gérôme Billois, Manager sécurité, Solucom Group

reference: 

Solucom group : le SI au service de la performance de nos clients
Solucom group est un cabinet de conseil en système d’information et management. Solucom group conseille les grandes entreprises sur leur stratégie en système d’information, et les accompagne dans la définition et le pilotage de leurs chantiers SI. En amont, Solucom conseille également les entreprises et opérateurs télécoms en matière de marketing, performance commerciale et transformation métier. Un positionnement qui se résume en une mission : le système d’information au service de la performance de nos clients.
Solucom group est le partenaire des plus grands comptes français sur leurs projets nationaux et internationaux : Air France-KLM, Alstom, ANPE, Banque de France, BNP Paribas, Bouygues Telecom, Carrefour, Crédit Agricole, EDF, GDF Suez, La Poste, L’Oréal, Ministères de l’Économie, de l’Éducation Nationale, de l’Intérieur, Neuf Cegetel, Orange, RTE, SFR, SNCF, Société Générale, Total. Solucom a obtenu la qualification « entreprise innovante » décernée par OSEO innovation.
Solucom a reçu la certification ISO/IEC 27001: 2005 pour ses prestations d’audits de sécurité des systèmes d’information.

Numero de base: 
77
pj PDF: 
application/pdf icon
77iso27001.pdf
categorie: 
Securite
is H1 section: 
non
Nos Rubriques
Informations Pratiques
Copyright © 2012 it-expert. All Rights Reserved.