Laurent Bellefin (Solucom) : "ISO 27001 apparaît comme un outil de qualification des risques essentiel pour les RSSI"

	Laurent Bellefin (Solucom)

Quelles sont les caractéristiques et atouts de la norme ISO 27001 ?

La norme ISO 27001, apparue en 2005, fait partie de la famille des normes ISO 27000 dédiées au domaine de la sécurité de l'information. ISO 27001 concerne plus précisément la définition et la mise en place d'un système de management de la sécurité de l'information appelé également SMSI.

A la différence des normes ISO 27002 et ISO 27003 qui sont des normes de recommandations, l'ISO 27001 est une norme dite certifiante. L'un des points clés de la norme ISO 27001 est de décrire les exigences nécessaires à la mise en œuvre d'un SMSI et notamment l'ensemble des ressources à mobiliser pour gérer au jour le jour la sécurité de l'information.

Pourquoi choisir de se conformer à cette norme plutôt qu'une autre ?

L'objectif pour les entreprises est de parvenir à aligner l'ensemble de leur dispositif de planification des risques sur l'analyse des risques. Or aujourd'hui, les organisations sont confrontées à plusieurs approches dans le domaine de la sécurité qui les incitent à se conformer à un certain état de l'art, en appliquant des recommandations existantes comme la mise en place de l'authentification forte sur un réseau interne. Mais cela ne suffit pas.

Car si cela peut s'avérer pertinent pour une application, elle ne le sera pas nécessairement pour d'autres. Le principe de la mise en conformité à la norme ISO 27001 est d'avoir justement une réflexion sur cet état de l'art, un recul sur le situation et la maturité de son organisation vis-à-vis de la sécurité de son SI pour identifier plus efficacement les risques.

Cette démarche constitue un véritable apport pour les organisations car elle apparaît comme un outil de qualification des risques essentiel pour les RSSI, tout en apportant des indicateurs suffisamment clairs et compréhensibles pour la direction générale. Pour réussir la certification ISO 27001, il est toutefois nécessaire de se doter de certains pré-requis.

Avec parmi eux, le fait que la démarche de certification soit adoubée par la direction générale et que des actions de mise sous contrôle de la sécurité soient engagées. Pour cela, il est nécessaire d'impliquer et de faire travailler ensemble le service des études et de l'exploitation autour de projets de sécurité structurants.

Quelles sont les entreprises visées par la ISO 27001 ?

La certification ISO 27001 nécessite un effort de formalisation et d'évaluation des risques qui se rapproche d'une certaine manière de la certification ISO 9000. Mais ce n'est pas parce que les entreprises ont intérêt à appliquer les bons principes de cette norme qu'elles devront nécessairement envisager de se certifier.

La certification ISO 27001 est pour le moment encore peu développée en France, on compte moins d'une dizaine d'entreprises certifiées. Mais ce n'est pas le cas du Japon, où la certification touche 2 300 entreprises.

La France est en retard mais cela devrait s'arranger au fil des mois, même si pour le moment, les entreprises ne jugent pas encore la certification ISO 27001 comme une priorité absolue.

Actuellement, bon nombre d'entreprises remettent à plat leur politique de sécurité des systèmes d'information et d'ici 5 à 10 ans, la très grande majorité des RSSI l'auront aligné sur le principe de la norme ISO 27001. Certains iront même jusqu'à viser la certification.

Laurent Bellefin est directeur des opérations Sécurité de Solucom et dispose de plus de15 ans d'expérience dans le domaine du conseil en sécurité SI. Il est diplômé de l'INT.