Compte rendu de Granit du 22/09/08 sur ISO27001
Que dire sur cette norme ISO 27001 qui est en train d’exploser depuis cette dernière année ? Je n’ai certainement pas assez d’un billet pour tout conter, mais il est nécessaire d’en dire un petit mot tellement elle devient importante, et comme un effet de mode toutes les SSII essaient de profiter du business qui en découle…
En quelques mots la norme ISO 27001 est une méthodologie, une trousse à outil permettant d’établir un SMSI (Système de Management de la Sécurité de l’Information) sur un périmètre donné. L’héritage de la BS 7999 et de l’ISO 17799 a donné l’ISO 27002. L’amalgame est souvent effectué avec la 27001, mais celle-ci est vraiment une méthodologie, que je qualifierai de moins monolithique que les précédentes permettant de mettre en place des processus organisationnels, des mesures techniques de sécurité centrées autour de la politique de sécurité.
La méthodologie ISO 27001 est construite de manière similaire à l’ISO 9001, sous forme cyclique PLAN->DO->CHECK->ACT. La mise en place d’un SMSI conforme ISO 27001 se passe en plusieurs étapes, les plus importantes sont :
- Définition du périmètre
- Appréciation des risques
- Traiter les risques (acceptation, transfert, rejet, réduction du risque)
- Sélectionner les mesures de sécurité (SOA – Statement Of Applicability)
- Définir un plan de traitement des risques
- Définir et suivre les indicateurs
- Former et sensibiliser les utilisateurs
- Audit interne
- Contrôle permanent
- Revue du management
- Actions correctives
- Actions préventives
Devenir un « lead auditor ou lead implementer » sur un projet ISO 27001 demande des compétences de réel chef de projet, et des compétences communicatives pour convaincre la direction de prendre des engagements vis-à-vis de la sécurité.
La dernière partie de la présentation nous a emmené vers des interrogations, concernant la légitimité des auditeurs ISO 27001, au niveau des contrôles techniques effectués lors de l’audit. Même si beaucoup de points seront toujours à remettre en cause, je trouve que l’ISO 27001 est une bonne initiative apportant un cadre intéressant pour le management de la sécurité. Tout ne sera jamais rose mais je trouve qu’il ne faut jamais se perdre dans des combats de chapelle (organisationnel vs technique) en décriant certaines certifications, en décriant la conviction et les compétences de l’auditeur. Même si celui-ci ne peut pas être expert technique dans tous les domaines, même si l’audit est parfois totalement documentaire, et très peu technique, il est toujours plus intéressant de faire un geste vers la mise en place de procédures cadrées et reconnues, que de refuser la marche vers l’avant.