Créée en 2005, la certification ISO 27001 permet aux entreprises de démontrer à leurs clients qu’elles ont mis en œuvre de bonnes pratiques en matière de sécurité de l'information. La démarche vise à instaurer un système de management de la sécurité de l’information (SMSI). Encore peu utilisée en France, la norme sert en revanche de guide ou de cadre aux RSSI.

Une certification, pourquoi faire ?

Parce que la sécurité n'est plus aujourd'hui une option et que le marché, de plus en plus exigeant, exerce de fortes pressions sur les entreprises, beaucoup d'entre elles sont amenées à remettre en question leurs méthodes. La norme ISO 27001 pose les fondamentaux en matière de sécurité des systèmes d'information : planification des actions à entreprendre, mise en pratique et amélioration des opérations en ré-alimentant le cycle vertueux de progrès. La certification est une garantie du maintien dans le temps du niveau de sécurité acquis. Elle fait l'objet d'un audit externe tous les six mois.

ISO 27001 permet d'intégrer la sécurité du système d'information dans une gouvernance globale. Les entreprises sont soumises à une multitude d'audits, fondés sur des règlements qui font autorité. En facilitant les échanges avec les auditeurs externes (LSF, Sarbanes-Oxley, Bâle II, Commission bancaire, etc.), la certification permet d'éviter l'accumulation chronophage d'audits.

Pourquoi choisir de se conformer à cette norme ?

Toutes les entreprises n'entreprennent pas une démarche ISO 27001 dans le but d'être obligatoirement certifiées. L'étape n'est pas systématiquement franchie. Certaines veulent simplement adopter de bonnes pratiques. Elles sont d'accord pour appliquer ISO 27001 mais sans le cachet officiel ! La norme permet d'identifier plus efficacement les risques et les coûts associés. Les bonnes pratiques ont un effet positif sur l'efficacité et l'allocation du budget en fonction des risques. La norme permet aussi de gérer, de manière cohérente dans le temps, les mesures de protection et les mises en conformité légale. Véritable mode d'emploi, elle guide vers l'accession aux bonnes pratiques.

Tout en apportant aux RSSI et aux DSI, un outil (SMSI) pour qualifier les risques du système d'iSnformation, la norme fournit aussi des indicateurs clairs et fiables ainsi que des éléments de pilotage financier aux directions générales.

Certains RSSI choisissent de suivre une formation 27001 pour devenir Lead Auditor. Ce label permet d'être fonctionnellement performant. Il atteste de l'acquisition des compétences nécessaires à la mise en place d'un SMSI, mais aussi, et surtout, il donne en interne la légitimité à le faire. Pour certains RSSI, c'est le moyen de sensibiliser direction et employés aux risques et à la nécessité de mettre en place un SMSI viable et fonctionnel.

La certification ISO 27001 revêt d'autres avantages encore, notamment vis-à-vis de l'extérieur. Dans un contexte économique adapté et avec une communication pertinente, elle constitue un élément différenciateur de confiance et de respect.

Comment mettre en place ISO 27001 ?

Tout d'abord en délimitant avec précision le périmètre. Ce qui se traduit notamment par une analyse de risques macroscopique et une cartographie des flux, outils et processus de sécurité. Ensuite, est analysé l'écart par rapport à la norme - identification des plans d'actions, utilité de l'implémentation, intérêt d'adopter les principes, de se certifier globalement, par sous-système ou métier spécifique.

A qui est destiné ISO 27001 ?

La certification ISO 27001 demande un effort de formalisation et d'évaluation des risques, se rapprochant de la certification qualité ISO 9000. La définition et la mise en place d'une méthodologie sont des tâches lourdes. Cela ne peut pas se faire sans le soutien de la direction générale de l'organisation. Le temps de mise en place est long - une année en moyenne - avec un effort interne et une assistance externe importants.

En France, les certifications ISO 27001 restent peu nombreuses bien qu'en légère augmentation. Le nombre d'organisations certifiées serait (statistiques 2008) de 12 à égalité avec l'Iceland ou les Pays-Bas mais loin derrière l'UK avec 400 entreprises certifiées ou l'Allemagne avec environ 180. Sans parler du Japon avec plus de 3000 entreprises certifiées !

La certification ISO 27001 se justifie par une réalité économique et réglementaire. Le choix de devenir 'certifié ISO 27001' dépend du métier de l'organisation et de sa criticité mais aussi, de l'importance de la criticité de la sécurité aux yeux de ses clients ! Pour une entreprise dont les données personnelles de millions d'usagers sont, par exemple, la "matière première", une certification de la sécurité est un plus et une nécessité.

La motivation des entreprises dépend aussi de leur cycle concurrentiel et de leur développement. Bien expliquée par une communication adaptée, la certification ISO27001 peut être un bras de levier concurrentiel puissant. Les coûts, les délais et, bien sûr, l'état réel de la sécurité en place (processus, équipe, outils, enjeux, étendue...) peuvent la rendre nécessaire.

En conclusion, il est parfaitement possible de dire oui à la norme, sans aller jusqu'à la certification de l'entreprise ou en certifiant uniquement un sous-périmètre de l'organisation (tel un data center ou une activité sensible). La certification ne se révèle pas indispensable en France alors qu'elle est dans certains pays où, si l'on n'est pas certifié, on ne vend pas.