La norme de sécurité ISO 27001 est-elle utile à l'entreprise ?

C'est la question que s'est posée récemment le Club de la sécurité de l'information français au cours d'une conférence. Seules 11 entreprises françaises sont aujourd'hui certifiées ISO 27001.

Christophe Elise

01net.

le 03/11/08 à 16h40

laisser un avis

Le Clusif (Club de la sécurité de l'information français) s'interrogeait à la fin du mois d'octobre sur l'utilité de la certification ISO 27001. Cette norme est à la sécurité des systèmes d'information ce que l'ISO 9001 est à la qualité. Depuis 2005, elle donne aux entreprises un cadre de bonnes pratiques reconnues et une démarche visant à la mise en place d'un Système de management de la sécurité de l'information (SMSI). Ce dernier établit une politique de sécurité, des objectifs et les moyens mis en ?"uvre pour les atteindre (Voir encadré ci-dessous).

Toutes les entreprises sont concernées

Malgré l'aspect vertueux de la norme ISO 27001, elle est très peu utilisée en France. Sur les 4 500 sociétés certifiées dans le monde, seulement 11 d'entre elles sont françaises. Difficile de dire à quoi est due cette frilosité. Toutes les entreprises sont concernées, surtout celles qui doivent démontrer à leurs clients et à leurs partenaires la mise en place de bonnes pratiques de sécurité.

La conférence du Clusif a en outre mis en avant les bénéfices de la 27001 et combattu les préjugés. Le coût ne saurait être un frein. ' La certification permet d'éviter l'accumulation d'audits externes, très consommateurs en ressources ', note ainsi Stéphane Duproz, directeur général de TelecityGroup. Selon l'entreprise et le périmètre de la certification, la durée d'un projet 27001 varie de 9 mois à plus de 1 an. D'où un coût jours/homme en fonction de la taille de l'entreprise et du périmètre choisi. Coût auquel il faut ajouter l'audit initial (entre 5 et 10 jours), puis le contrôle tous les 6 mois afin de conserver la certification.

De fait, si nombre d'entreprises entreprennent la démarche, peu vont jusqu'au bout de la certification. La méthode, structurante pour la sécurité, suffit à beaucoup. Les coûts sont réduits en n'allant pas jusqu'à l'obtention du cachet. Cependant, cette approche semble risquée.

' Un SMSI est entropique et a tendance à partir dans tous les sens, prévient Alexandre Fernandez-Toro, auditeur de certification et assistant dans la mise en ?"uvre, du cabinet HSC. La certification sert d'objectif et de couperet afin de s'assurer de tenir les objectifs et de lutter contre l'impopularité en interne, conséquente des efforts mis en ?"uvre. '

Zoom sur le SMSI et sur la démarche de certification

Le Système de management de la sécurité de l'information, SMSI, vise à l'amélioration continue du niveau de sécurité, dans le contexte des risques métiers d'une entreprise. La démarche conduisant à la certification assure l'orchestration des mesures de sécurité selon un modèle dit PDCA : Plan, Do, Check, Act, soit Planifier, Mettre en ?"uvre, Contrôler, Améliorer.

Le point de départ d'une démarche de certification est l'appréciation des risques. Ce qui implique de faire le point sur les pratiques internes en matière de sécurité, de vérifier que les mesures déjà en place sont en cohérence avec des objectifs.

Sont définies dans la norme 133 mesures de sécurité, classées dans 11 sections. La rédaction d'une documentation prend une place importante, selon le principe ' écrire ce que l'on a fait et faire ce que l'on a écrit '. Ce canevas structure la conduite de la sécurité de l'entreprise en instaurant des contrôles et des indicateurs de mesure de la performance et de l'efficacité du SMSI.