Gérôme Billois (Solucom) Gérôme Billois (Solucom) : "L'avenir des RSSI c'est d'arriver à prouver que les actions qu'ils entreprennent couvrent des risques"

Sans viser la certification, les responsables de la sécurité du système d'information s'inspirent de plus en plus de la norme ISO 27 001. Apports de la norme et recommandations de mise en œuvre.

En quoi consiste concrètement l'ISO 27 001 ?

C'est une norme internationale qui définit la mise en place d'un système de management, c'est-à-dire un modèle d'organisation interne à la société qui va reposer sur quatre principes. Il s'agit d'une approche orientée processus. Seront écrits les processus relatifs à la sécurité de l'information.

ISO 27 001 s'appuie sur l'engagement du management en s'assurant qu'au plus haut niveau de la société l'implication soit bien présente aussi bien en termes de moyens que de volonté d'aller vers la sécurité. L'amélioration continue est véritablement la base de l'ensemble des systèmes de management. Enfin surtout, dernier principe, l'analyse de risque pour une approche menée par les risques pour contrôler que ce qui est fait en matière de sécurité est bien cohérent vis-à-vis du positionnement de l'entreprise.

Mais qu'elle est la finalité d'une démarche ISO 27 001 ?

Il y a deux finalités. Soit vous décidez de vous certifier, dans ce cas vous allez afficher à l'extérieur que vous avez mis en place un certain nombre de processus de sécurité et donc que vous garantissez que vous atteignez un certain niveau de sécurité.

Autre objectif, adopter la norme sans nécessairement se certifier. Auquel cas, l'entreprise va reprendre toutes les bonnes pratiques pour les adopter en interne. Ces bonnes pratiques vont finalement parler au management puisqu'il sera question d'efficacité, d'allocation de budget en fonction de risques, etc. Et cette approche est réellement positive aujourd'hui.

gerome billois assises2008
Gérôme Billois (Solucom) aux Assises 2008 de la sécurité. © Christophe Auffray, JDN Solutions

Lorsque des RSSI expliquent ne pas viser la certification en raison de son coût, mais en faire une base de travail, cela vous paraît cohérent ?

Tout à fait. Notre message c'est adoptez les principes aujourd'hui et se certifiez en partant d'opportunités. Il faut vraiment qu'il y ait un besoin métier, par exemple réglementaire, pour déclencher la certification.

Si la certification n'est pas une fin en soi, le RSSI doit-il néanmoins s'orienter vers une formation à la norme ?

C'est important que les personnes qui vont intervenir sur les projets connaissent la norme et sachent l'appliquer. Il y a deux types de formation : les Lead Auditor qui ont plutôt vocation à faire des contrôles de la mise en place de la norme, et les Lead Implementor qui prennent quant à eux en charge la partie mise en œuvre.

Le RSSI dans son double rôle aussi bien de mise en œuvre que de contrôle peut ainsi choisir soit l'une soit l'autre soit les deux. En fonction des personnes intervenant dans l'équipe projet, c'est bien que l'auditeur interne soit lui certifié Lead Auditor à titre personnel, tandis que les autres s'orientent de préférence vers la certification de Lead Implementor.

Quelles sont vos recommandations dans la mise en place d'ISO 27 001 ?

Le premier conseil c'est de bien choisir le périmètre. C'est cela qui est essentiel parce que suivant le périmètre, l'effort sera démesuré ou atteignable. Ce que nous conseillons très régulièrement c'est de commencer par faire une analyse de risque macroscopique. C'est-à-dire qu'on regardera de manière assez large, sans rentrer dans le détail pour justement savoir où sont les risques à l'intérieur de la structure de la société.

Ensuite, il conviendra de réaliser une analyse d'écart vis-à-vis de la norme pour identifier l'enjeu, l'intérêt d'adopter au moins les principes, sinon de se certifier sur telle ou telle partie de l'entreprise.

Autre recommandation, le contrôle, auquel il faut penser immédiatement. Dès la mise en place d'une mesure de sécurité, il est indispensable de définir le moyen de la contrôler ; pas seulement pour s'assurer que la mesure est effectivement réalisée, mais aussi et surtout qu'elle soit efficace.

Et c'est bien ce que demande la norme : mesurer l'efficacité. La démarche de contrôle est celle qui va vous permettre de vous améliorer, savoir où vous en êtes et comment vous allez progresser dans le temps.

photo 024
"Il faut à minima que tous les RSSI s'intéressent à ce sujet" (G. Billois - Solucom) © Christophe Auffray, JDN Solutions

Si ISO 27 001 parle aux opérationnels de la sécurité, comment aborder et promouvoir le sujet auprès du management de l'entreprise ?

On ne va pas mettre aujourd'hui directement à l'ordre du jour ISO 27 001 car c'est encore un sujet peu connu, en tout cas moins que des normes comme ISO 9001. Ce qu'on va avant tout dire à la direction c'est qu'il s'agit d'entamer une démarche de management des risques. Et l'ISO 27 001 n'est finalement qu'un processus à mettre en œuvre pour manager les risques de l'entreprises vis-à-vis de la sécurité de l'information.

C'est comme cela qu'il faut aborder le management en apportant une nouvelle démarche, puis en expliquant les fondements, le fait qu'il s'agit d'une norme internationale. Il n'est pas question ici de réinventer la roue, mais s'appuyer sur des référentiels connus, adoptés, avec déjà de nombreuses sociétés certifiées à l'échelle mondiale.

Et que répondre face à une question traitant du ROI ?

C'est un sujet qui en sécurité est toujours très présent. Ce ROI il faut le voir à plusieurs niveaux ; en externe puisque sera affiché en externe le fait que l'entreprise s'assure de la sécurité. Chez Solucom nous le voyons sur notre propre certification. Cela a des répercussions sur le plan commercial. ISO 27 001 permet d'être plus visible, de décrocher de nouvelles affaires, etc.

Mais il faut voir un ROI interne aussi. Finalement, l'entreprise va rationaliser l'ensemble des mesures de sécurité mises en œuvre et s'assurer qu'elles sont efficaces. Et on n'hésitera pas à enlever des mesures qui ne le seraient pas et qui donc seraient coûteuses sans pour autant apporter un gain de sécurité. Dans la durée, l'entreprise va gagner de l'argent en s'assurant que le niveau d'investissement est bien cohérent avec les enjeux de la société.

ISO 27 001, ISO 27 002 ... les normes bougent beaucoup...

L'ISO 27 000 comprend ISO 27 001 qui définit le système de management, mais aussi un certain nombre d'autres normes qui vont être des aides à la mise en œuvre.

Ainsi ISO 27 002 est le catalogue des bonnes pratiques de sécurité dans lequel vous allez piocher en fonction de vos risques. Vous avez besoin d'un PCA ? Les mesures d'un PCA sont listées dans la 27 002. Vous pouvez ou non les sélectionner. Il en va de même pour les antivirus par exemple.

ISO 27 003 va vous aider à mettre en œuvre votre système de management, ISO 27 004 traite des indicateurs et ISO 27 005 de la gestion des risques. Toutes ces normes ne sont pas encore publiées. ISO 27 003, 4 sont actuellement en train d'être débattues au sein des comités de normalisation, en France en particulier à l'Afnor ou j'interviens également.

L'avenir de la sécurité, c'est finalement la normalisation ?

L'avenir des RSSI c'est d'arriver à prouver que les actions qu'ils entreprennent couvrent des risques. Et aujourd'hui le meilleur moyen pour atteindre cet objectif passe par la norme ISO 27 001 parce qu'elle met en place des processus qui sont connus, déployés et reconnus à l'échelle internationale.

Donc il faut à minima que tous les RSSI s'intéressent à ce sujet, qu'ils évaluent où ils en sont par rapport au processus dont on sait qu'il fonctionne aujourd'hui via de multiples retours d'expérience.

Charge ensuite à chaque RSSI de décider par rapport à sa structure s'il souhaite adopter les principes, se certifier ou peut-être inventer d'autres choses sur son périmètre.