Mid e-News : Hervé Schauer, vous faites la promotion de la norme ISO 27001, pouvez-vous nous la définir en quelques mots ?

Hervé Schauer : La norme ISO 27001 permet aux entreprises et aux administrations d'obtenir une certification qui atteste de la mise en place effective d'un Système de Management de la Sécurité de l'Information (SMSI).
Cette norme garantit aux parties prenantes (clients, actionnaires, partenaires, etc.) que la sécurité des systèmes d'information a été sérieusement prise en compte et que l'entreprise s'est engagée dans une démarche d'amélioration constante.

Mid e-News : Quelles sont les entreprises qui sont concernées ?

HSC : Toutes les tailles d'entreprise ou d'organismes sont concernés, dès que l'on doit montrer à des parties prenantes, souvent des clients, que l'on a pris en compte la sécurité, la brique de base est la certification ISO 27001. Parmi nos clients se trouvent des PME parfois de moins de 50 salariés, qui doivent être certifiées ISO 27001 pour leur clients qui sont des grands comptes, et pour lesquels elles apportent un service important. D'un autre coté les opérateurs de télécom annoncent tous aller vers la certification.

Mid e-News: Quels sont les bénéfices apportés aux entreprises par la mise en place d'une politique ISO 27001 ?

HSC : Prenons l'exemple de T-Systems qui était intervenu lors de la conférence que j'avais animé à Paris en Novembre dernier. T-Systems à Zurich travaille principalement pour des établissements financiers. Ceux-ci font faire des audits de sécurité régulièrement. Certains des ces audits sont plus techniques, d'autres plus organisationnels.
Dans tous les cas, ils ont un coût très important en monopolisant des équipes pour suivre les auditeurs, les accompagner, ou répondre à leurs questions. En un an, après la certification, le nombre d'audits de sécurité est passé de 40 à 20. Mieux encore, ils estiment que environ 8 audits sont dus à la législation bancaire suisse actuelle qui exige ces audits de sécurité mais qu'à terme, la moyenne de 40 audits de sécurité par an passera à 12. Dans tous les cas, le retour sur investissement est atteint en un an pour eux. Du coté des banques, sont sont autant d'audits de sécurité organisationnels à payer qui deviendront superflu. Cependant les audits de certification ISO27001 ne remplacent pas les audits classiques, il faudra toujours réaliser des audits techniques, des audits de sécurité applicatifs, etc, mais il y a une mutualisation.

Mid e-News : Comment la norme ISO 27001 s'inscrit-elle dans une politique ISO9000 ?

HSC : C'est complémentaire.
Les normes ISO9000 permettent la mise en place et la certification d'un système de management de la qualité. ISO27001 se place dans la même idée que ISO9001 pour la qualité ou ISO14001 pour l'environnement, de même que d'autres systèmes de management comme la sécurité alimentaire ou la sécurité dans la santé. La différence à mes yeux est que la norme ISO27001, avec la sécurité de l'information, adresse un public plus large. Par exemple au Japon l'administration des impôts est certifiée pour apporter la confiance auprès des citoyens. C'est donc très large.

Mid e-News: Est-il facile de mettre en oeuvre une norme ISO 27001 ? Quel coût cela peut représenter ?

HSC : Le processus est conçu pour être accessible et pragmatique. Il ne prouve pas que vous avez atteint un niveau de sécurité, il démontre que vous avez un management qui a pris conscience des enjeux de la sécurité de l'information, que vous avez réfléchi en connaissance de cause, appliqué les mesures de sécurité appropriées là où cela était réellement critique et utile à votre métier, et surtout, que vous êtes dans un processus d'amélioration constante. Il faut écrire ce que l'on a fait et faire ce que l'on a écrit, mais le référentiel documentaire reste très accessible, et la durée des audits est elle-même normalisée. Pour une entreprise de 1000 personnes les auditeurs ne resteront pas plus de 13 jours sur place à vous auditer lors de l'audit initial par exemple. Après ils reviennent tous les 6 mois, donc le coût correspond à ces jours d'audit.

Mid e-News : Par rapport à la norme ISO17799 comment se place l'ISO27001 ? Laquelle est la plus utile au responsable sécurité ?

HSC : La norme ISO17799 change de nom prochainement pour s'appeler ISO27002, il y aura moins d'ambiguïté. Les normes 27XXX sont un projet global de normes en sécurité de l'information.
La norme de base est la norme ISO27001 qui introduit la notion de Système de Management de la Sécurité de l'Information (SMSI). Le cycle Plan-Do-Check-Act (PDCA) ou Planifier, Implanter, Surveiller, Améliorer, utilisé dans de nombreux domaines, est ce qui permet de garantir une amélioration constante et au travers de la certification d'apporter la confiance.
La norme ISO17799 (bientôt ISO27002), est un catalogue dans lequel le responsable sécurité sélectionne les mesures de sécurité dont il a besoin. Le management doit exprimer sa vision pour que des actifs critiques ou biens sensibles fassent l'objet d'une analyse de risque qui déterminera quels sont les mesures de sécurité de l'ISO17799 à sélectionner.
D'autres normes sont en cours d'élaboration, comme ISO27004 sur les métriques permettant de mesurer l'efficacité de son SMSI, pour vérifier que les mesures de sécurité sélectionnée sont efficaces, ou ISO27006 sur les plans de continuité d'activité. C'est tout une suite qui se construit et qui va avoir un impact majeur dans le secteur de la sécurité.

Mid e-News: La c'est encore une certification ?

HSC: Il y a les certifications d'organisme, c'est ce que permet l'ISO27001.
Et puis là c'est une certification de personne, c'est le candidat qui va passer un examen. Le système est conforme encore à une autre norme, l'ISO17024, qui indique comment concevoir une certification de personnes.
L'examinateur est totalement indépendant du formateur. L'examen n'est pas un questionnaire à choix multiple, il faut écrire, justifier ses réponses, préparer des réunions sur le papier, bref montrer que l'on est apte à être un véritable auditeur sur le terrain, ce qui requière d'une part de la compétence, mais aussi un état d'esprit et une démarche intellectuelle.

Propos recueillis par Frédéric Dessort , MID e-NEWS
Cette adresse email est protégée contre les robots des spammeurs, vous devez activer Javascript pour la voir.