Réglementation
– La nouvelle norme internationale ISO 27001 permet de bien appréhender
pratiques et politiques de sécurité informatique dans les entreprises. En
France, elle est encore peu connue. Entretien avec Hervé Schauer, consultant
en sécurité.
Récemment finalisée, la norme ISO 27001 (voir encadré “focus”) permet aux
entreprises de certifier les pratiques de sécurité qu’elles adoptent au sein
de leur système d’information. Elle constitue un socle commun et uniforme
permettant de comparer des approches de la sécurité jusqu’à présent
hétéroclites. Entretien avec Hervé Schauer, consultant en sécurité (*) et
évangélisateur de cette norme.
ZDNet Entreprise – Qu’est-ce que la
norme ISO 27001?
Hervé Schauer : C’est une norme ISO, comme l’on en trouve dans le
domaine de la qualité par exemple. Issue de la norme britannique, BS7799-2,
celle-ci permet de certifier des entreprises sur leurs pratiques de
sécurité.
Concrètement, à quoi va-t-elle
servir?
Elle va permettre de formaliser la confiance, ce qui est capital. Les
entreprises qui souhaitent, par exemple, externaliser une partie de leur
système d’information, se posent la même question: comment décider de faire
confiance à son prestataire? Jusqu’à présent, elles ne pouvaient que se fier
à sa réputation ou, dans le cas des grands groupes, exiger un audit de
sécurité préalable. La norme va permettre de faciliter cette décision. Pour
un prestataire, être certifié ISO 27001 indique qu’il a formalisé les choses
en matière de sécurité.
Le retour sur investissement peut-être rapide. Exemple: T-System, en Suisse,
devait se plier à environ 40 audits de sécurité demandés par ses clients,
chaque année. Depuis sa certification ISO 27001, ce chiffre a diminué de
moitié.
Enfin, outre une première sélection des partenaires, cela permettra
d’imposer de bonnes pratiques de sécurité dans des projets, ou de comparer
des entités ou même des entreprises.
Qu’exige cette norme en matière de
sécurité?
Elle ne certifie pas un “niveau” de sécurité, mais plutôt une approche de la
sécurité. Plus spécifiquement, ISO 27001 indique que l’entreprise a mis en
place des procédures et un système de gestion de la sécurité. C’est-à-dire
qu’elle a procédé à une analyse des risques, de la pertinence et de
l’efficacité des moyens mis en oeuvre pour y parer. Que les besoins de
sécurité soient forts ou plus faibles, cela ne change rien: ISO 27001
indique que l’entreprise a formalisé les choses en matière de sécurité, et
qu’elle a pris ses risques en compte.
La certification est-elle réservée
aux grandes entreprises?
Pas du tout. On peut aussi bien certifier un grand groupe qu’une PME d’une
quinzaine de personnes. L’essentiel est de définir le périmètre de la
certification. Par exemple, une entreprise peut décider de ne certifier
qu’une filiale ou un site. Mais attention: si seule une entité de
l’entreprise est ainsi auditée, le groupe entier ne pourra pas se dire
“certifié ISO 27001”. C’est d’ailleurs une clause de perte de la
certification.
Aujourd’hui, la plupart des entreprises françaises que je connais ont
certifié seulement une entité, ou une zone géographique.
Comment se déroule la certification?
C’est un audit de sécurité. La norme définit à l’avance le nombre de jours
qui seront nécessaires (à deux auditeurs) en fonction de la taille de
l’entreprise. Après l’audit initial, il y en a un autre de suivi tous les
six mois, afin de reprendre les points sur lesquels il y avait un écart
mineur lors du passage précédent. Ainsi, on est en mesure de tout passer en
revue. Et tous les trois ans, le cycle complet recommence.
Qui réalise ces audits?
Il faut impérativement que ce soit un organisme agréé. Il n’y en a qu’un en
France aujourd’hui: LSTI (**). Car on ne peut être à la fois société de
conseil et organisme certificateur. Cela n’empêche pas des consultants
d’intervenir sur des audits, mais la règle est précise: il faut que les deux
consultants soient de sociétés différentes, et que ces dernières ne soient
jamais intervenues en conseil dans l’entreprise entrain d’être certifiée.
Cette norme est-elle populaire? En
France, par exemple?
Elle est surtout populaire à l’étranger! En France, il faut se réveiller.
Les entreprises françaises estiment ne pas en avoir besoin, mais c’est une
erreur. La certification ISO 27001 risque fort de devenir un impératif dans
des appels d’offres internationaux. Et beaucoup de pays sont largement en
avance sur la France en terme d’entreprises certifiées. C’est le cas
essentiellement de ceux qui ont besoin de cette confiance pour faire la
différence, tels l’Inde ou certains pays de l’Est par exemple.
—————-
(*) Consultant en sécurité et fondateur
du cabinet HSC (Hervé Schauer Consultants).
(**) société privée, la LSTI est un organisme de certification. Comptant 3
personnes et dirigée par Armelle Trotin, elle est basée à Louveciennes et
oeuvre à l’international.
Focus : ISO est un raccourci dérivé de “International Organization for
Standardization”, soit l'”Organisation internationale de normalisation”, en
charge des diverses normes produites à travers 156 pays membres. Le mot a
été choisi pour sa proximité avec le grecque Isos, signifiant “égal”.
Ressources: www.iso.org/iso/en/ISOOnline.frontpage; le site
iso27001certificates.com donne la liste du nombre d’entreprises certifiées
par pays.