La norme ISO 27 001 a été créée en 2005 pour établir des règles dans l'organisation de la sécurité des systèmes d'information d'une entreprise. La 27 005, plus récente, vise la notion de gestion des risques en matière d'information dans l'entreprise.

Hervé Schauer, qui dirige le cabinet de conseil en sécurité informatique éponyme, en explique les arcanes.

Pouvez-vous rappeller les grandes lignes de la norme ISO 27001 ?

La norme ISO 27001 propose de mettre en oeuvre sa sécurité des systèmes d'information sous la forme d'un processus. Celui-ci s'améliore selon le principe de la qualité Plan-Do-Check-Act. C'est une démarche pragmatique et accessible à tous, qui impose de faire une gestion des risques. La mise en oeuvre de la norme ISO 27001 permet d'obtenir une certification qui atteste de la mise en place effective d'un Système de Management de la Sécurité de l'Information (SMSI).
Une telle certification garantit aux parties prenantes (clients, actionnaires, partenaires, etc.) que la sécurité des systèmes d'information a été prise en compte et que l'entreprise s'est engagée dans une démarche d'amélioration constante.

La norme ISO 27 005 a été lancée dans son sillage. De quoi s'agit-il et à quel besoin répond t-elle ?

La norme ISO 27005 explique en détail comment conduire l'appréciation des risques et le traitement des risques, dans le cadre de la sécurité de l'information. L'ISO 27005 définit une méthodologie de gestion de risques strictement conforme à la norme ISO 27001. Cependant la norme ISO 27005 demeure utilisable de manière autonome dans tous types de situations, dans un projet par exemple. La norme ISO 27005 applique à la gestion de risques le même cycle d'amélioration continue Plan-Do-Check-Act que dans l'ISO 27001. Ce qui lui octroie une souplesse et un pragmatisme pour être utilisée en toutes circonstances et notamment dans des entreprises où tout change sans arrêt.

Vous avez organisé une formation certifiante à la norme ISO 27 005. Comment est-elle perçue et assimilée par les professionnels qui ont participé ?

La formation est suivie par un examen défini par LSTI [www.lsti.fr], organisme de certification accrédité par le COFRAC [www.cofrac.fr]. Les résultats de l'examen permettent d'apprécier l'assimilation de la formation par les stagiaires. Si certains ont trouvé l'examen difficile ils étaient tous satisfaits et heureux de la formation.

Il existe un club ISO 27 001 a Toulouse. Qui réunit-il, quels sont ses objectifs et quels sont les liens avec le "milieu" de la sécurité régionale : OSSIR / Resist , Clusir, instances publiques (OCLCTIC, SRPJ, NTech...) ?

Le Club 27001 réunit tous les professionnels ou futurs professionnels de la SSI (Sécurité des Systèmes d'Information) qui utilisent ou souhaitent utiliser l'ISO 27001. A Toulouse il est animé par deux femmes remarquables : Dominique Pourcellié de la CNAM-TS et Anne Mur d' On'X / Edelweb, également membres du conseil d'administration du club. Le club 27001 permet à chacun de partager son expérience, au travers de présentations et de discussions sur les SMSI et ce qui s'y rapporte. La dynamique Toulousaine est importante avec une quarantaines de personnes qui participent sur les 400 personnes inscritent à la liste électronique du Club. [www.club-27001.fr]. L'OSSIR dont je suis également membre du conseil d'administration est un groupe sur la sécurité technique, le groupe RESIST à Toulouse propose des présentations et des échanges techniques là où le Club 27001 est orienté sur les aspects organisationnels et management de la sécurité. L'ensemble des associations se complètent et les autorités
jouent leur rôle de leur coté.

Propos recueillis par Frédéric Dessort, Mid e-News