...elle a mené une démarche de certification ISO 27001
Afin de décrocher le précieux sésame, Sandrine Lanery a constitué une équipe de choc en recrutant ses collaborateurs dans divers services d'Easynet France.
01net.
le 11/09/08 à 00h00
Le problème
Dans un contexte réglementaire devenu de plus en plus contraignant en matière de maîtrise des risques, la filiale française de l'opérateur de réseaux et d'hébergement Easynet a voulu s'associer aux préoccupations de ses clients en obtenant la certification ISO 27001. Ce projet a avant tout nécessité l'adhésion des opérationnels concernés.
La méthode
1. Commencer par un périmètre restreint
Pour Sandrine Lanery, directrice des opérations d'Easynet France, les normes ont du bon. Tant pour les entreprises que pour les collaborateurs qui les mettent en place. Après avoir activement participé, en 2004, à la démarche de certification ISO 9001 (gestion de la qualité) imposée par la maison mère à toutes ses filiales, c'est elle qui a proposé à Easynet France de se faire estampiller ISO 27001. ' La sécurité est devenue une préoccupation majeure de nos clients, commente-t-elle. La mise en place d'un système de management de la sécurité de l'information (SMSI) allait nous permettre de les rassurer. ' Déjà responsable du processus qualité, elle prend, à l'automne 2007, la conduite de ce nouveau projet dont le contour a été défini par la direction générale. La certification concernera les solutions d'hébergement sur le site de Nanterre. Un périmètre restreint qui engage pourtant, à des degrés divers, l'ensemble des départements de l'entreprise. La complexité de la démarche amène la directrice des opérations à suivre la formation dispensée par le cabinet HSC. Et à obtenir dans la foulée la certification de responsable d'implémentation ISO 27001. ' Le cursus est très pratique et j'ai vite compris ce que nous allions avoir à faire. '
2. Constituer une équipe d'opérationnels motivés
Au-delà de l'avantage compétitif, Sandrine Lanery voit dans l'implémentation de la norme un projet local fédérateur, bienvenu après le rachat d'Easynet par le groupe British Sky Broadcasting en 2006. Pour mener à bien la démarche, elle doit s'adjoindre le concours d'un collaborateur de chaque département concerné, avec l'aval de son directeur. ' Dans les équipes techniques, j'ai fait appel au volontariat. Je savais, pour les avoir rencontrés en entretien, que certains ingénieurs systèmes et réseaux avaient justement envie de développer leur expérience ', note la directrice des opérations. Dans les services ne comptant qu'un seul individu (ressources humaines, achats...), celui-ci est enrôlé d'office. Le projet regroupe une douzaine de personnes. ' Toutes motivées, assure Sandrine Lanery. Leur contribution est valorisée en interne et c'est une expérience qui leur permet d'acquérir une compétence peu répandue sur le marché. '
3. Profiter de l'expérience allemande et britannique
Novices en la matière, ses coéquipiers suivent une formation de deux jours qui leur présente les tenants et aboutissants de la norme. ' Ils se demandaient comment ils allaient procéder et, durant la formation, ils ont pris conscience de l'ampleur de la tâche ', confie-t-elle. Mais l'entraide est de rigueur et l'équipe dispose d'atouts majeurs : leurs collègues d'Allemagne et de Grande-Bretagne ont déjà décroché le label, ce qui permet les échanges d'expérience. ' Nous avons également un spécialiste de la sécurité au niveau du groupe qui a défini la feuille de route de chacun ', ajoute-t-elle. Depuis le mois d'octobre, un atelier hebdomadaire réunit les différents intervenants. Lesquels ont consacré, six mois durant, un cinquième de leur temps au projet. ' En mars, nous sommes passés à deux jours par semaine, voire plus à l'approche de l'audit. '
4. Participer à la réflexion collective
Les ateliers sont l'occasion d'un brainstorming entre les membres de l'équipe qui doivent, pour leur service respectif, recenser les actifs, lister les vulnérabilités et les menaces et évaluer les risques en leur attribuant une note et un statut en fonction de leur importance. ' Nous nous référons ensuite aux bonnes pratiques de l'ISO 27002 (anciennement ISO 17799 ?" NDLR) pour mettre en place des mesures de réduction des risques appropriées ainsi que des indicateurs pour en mesurer l'efficacité ', détaille Sandrine Lanery. Le responsable RH intervient, par exemple, dans la formalisation des procédures d'entrée et de sortie des collaborateurs (gestion des accès physiques et logiques, clause de confidentialité dans les contrats de travail...) ou encore dans l'élaboration du plan de continuité d'activité. Tout a été passé au crible avant l'audit, réalisé par l'organisme certificateur BSI en juillet. ' Nous devrons ensuite maintenir cette mécanique, avec des réunions régulières pour analyser les incidents et renforcer les procédures, des audits de contrôle étant prévus tous les six mois. '
Easynet France
Activité : administration de réseaux et hébergement de serveurs. Filiale d'Easynet (groupe British Sky Broadcasting), dont le siège est basé à Londres.
Création : 1995.
Effectif : 140 collaborateurs.
Le projet de certification d'Easynet France
Implémentation de la norme ISO 27001 pour obtenir la certification afférente dans une démarche de service aux clients. Cette norme, publiée par l'ISO en 2005 et basée sur la structure de la BS 7799-2 du British Standard Institute, est une référence pour la mise en ?"uvre d'un système de management de la sécurité de l'information (SMSI).
Les solutions d'hébergement sur le site de Nanterre, siège de la filiale française. Le périmètre inclut 70 personnes.
BSI (dont la maison mère est cliente).
Septembre 2007 : constitution de l'équipe (la formation est dispensée en novembre).
D'octobre à décembre 2007 : identification des actifs.
De décembre 2007 à février 2008 : identification et évaluation des risques.
De mars à juin 2008 : traitement des risques et audits internes de contrôle.
Juillet 2008 : audit final et obtention du certificat.
400 jours homme auxquels il faut ajouter la formation des collaborateurs, plusieurs dépenses en infrastructure (renfort des moyens d'accès et de surveillance du centre de données) et le coût de la certification (fonction du nombre de personnes incluses dans le périmètre du SMSI).
L'avis d'un consultant : Hervé Schauer, fondateur du cabinet de conseil Hervé Schauer Consultants (HSC)
Expert reconnu dans la sécurité, il dispense également des formations en sécurité des SI.
' La norme ISO 27001 n'impose pas un niveau de sécurité '
' Il s'agit simplement de mettre en ?"uvre des procédures de sécurité qui fonctionnent et qui peuvent ensuite être améliorées. Cette norme est comme une loi dont il faut respecter tous les articles. Cela peut paraître rébarbatif au premier abord, mais c'est avant tout du bon sens. '
' La direction doit s'impliquer dans le projet '
' Elle doit expliquer à tous qu'il s'agit d'une démarche importante pour l'entreprise. Elle doit aussi donner le budget nécessaire et laisser les mains libres au RSSI ou au chef de projet dont la contribution doit être valorisée. La mise en place d'un système de management de sécurité de l'information (SMSI) implique de la transparence : on est obligé de justifier, de formaliser ce que l'on fait. C'est positif à plus dun titre. '
nos newsletters
Abonnez-vous à Micro Hebdo : 4,90 €/mois
Abonnez-vous à l'Ordinateur Individuel : 3 €/mois
Abonnez-vous à la version digitale
Abonnez-vous à 01Business et Technologies : 19 €/mois
