Bien que la certification ISO 27001 soit généralement perçue comme un gage de qualité et de sérieux pour les clients des entreprises certifiées, la certification fait peur et peu osent franchir le pas et s’engager dans une telle démarche.
La raison ? Bien souvent une mauvaise compréhension de la réalité terrain du SMSI, pièce centrale de la démarche ISO 27001.
Quelques rappels :
Qu’est-ce qu’un SMSI ? Il s’agit d’un Système de Management de la Sécurité de l’Information. Globalement, c’est un outillage permettant de piloter la sécurité de l’information d’un organisme à partir des risques évalués sur son périmètre d’activité.
La norme 27001 est très souvent confondue avec son annexe A (ensemble des bonnes pratiques de sécurité, repris dans la norme 27002), il s’agit pourtant de deux choses très différentes. Pour faire simple, la 27001 définit un SMSI qui servira à piloter la sécurité du système d’information (SSI), l’annexe A n’étant qu’ « un » catalogue de mesures pouvant enrichir ou inspirer les pratiques sécurité de l’organisme. L’annexe A n’est en aucun cas une liste d’exigences sécurité à respecter pour obtenir la certification ISO 27001 (il n’existe d’ailleurs pas de « certification ISO 27002 », c’est un non-sens dans l’esprit de la norme ISO 27001).
Donc d’un côté nous avons le SMSI qui consiste à manager la sécurité informatique de l’organisme, de l’autre côté nous avons divers référentiels ou guides de bonnes pratiques (comme l’annexe A/ISO 27002, le référentiel HDS/Santé, PCI-DSS, le Référentiel Général de Sécurité…) venant proposer (ou imposer, selon les cas) des mesures de sécurité. Nous sommes donc dans deux paradigmes complètement différent qu’il convient de ne pas confondre.
Que fait un SMSI réellement ?
Un SMSI sert, nous l’avons vu, à piloter la SSI mais comment fonctionne-t-il exactement ?
Le SMSI est organisé autour d’une démarche : le cycle PDCA (Plan-Do-Check-Act). Il s’agit d’une méthode d’organisation gérant le cycle de vie des mesures de sécurité en fonction des risques pesant sur le système.
Nous pouvons éventuellement schématiser ces étapes succinctement afin d’éclairer notre compréhension de la démarche :
– Plan : planifier les activités, réaliser/mettre à jour les analyses de risque et les politiques de sécurité ;
– Do : Mettre en place les mesures de sécurité décidées en phase « Plan » ;
– Check : Réaliser des contrôles sur les mesures de sécurité ;
– Act : évaluer le résultat des contrôles pour décider d’éventuellement améliorations ultérieures et annonçant un nouveau cycle PDCA.
Voici donc les grandes étapes globales d’une gestion de la sécurité informatique par un SMSI, essayons d’être un peu plus précis et pragmatique sur les actions à mettre en œuvre.
Le SMSI repose sur un élément central : la fameuse Analyse de risques.
Ces dernières années les analyses de risques ont été mises à toutes les sauces mais sont très souvent ou bien sous-estimées ou surévaluées.
L’analyse de risque est un point central du management de la sécurité informatique dans le sens où elles définissent les risques globaux portant sur un organisme ou un système afin de prioriser des choix techniques (ou organisationnels). Sans analyse de risque il est très facile d’oublier des composantes sensibles du système ou bien, au contraire, de surcharger de protection des actifs n’en nécessitant pas autant. L’analyse de risque permet donc d’évaluer à sa juste valeur les besoins de sécurité de l’organisme.
Ces besoins de sécurité peuvent être d’ordres techniques, organisationnels ou même réglementaires mais ce sont eux qui vont permettre de justifier des choix adéquats en terme de sécurité.
Le gestionnaire du SMSI (bien souvent le Risk Manager ou le RSSI) va donc partir des risques identifiés sur le système afin de mettre en place des mesures de sécurité (ou faire arbitrer par sa direction des risques non couverts dus à des moyens limités ou autre contrainte).
Une fois ces mesures décidées et validées par la Direction il conviendra de définir des contrôles (revues organisationnelles, audits, tests techniques, etc…) afin de vérifier le niveau de sécurité global de l’entreprise et la pertinence des moyens techniques mis en œuvre. Par la suite, il conviendra d’analyser les éléments obtenus pour ajuster les risques et les mesures de sécurité définis précédemment.
Le SMSI va garder une trace de tous ces éléments afin de permettre au gestionnaire SMSI de piloter la sécurité en se basant sur ces risques. La certification ISO 27001 a donc simplement pour but d’assurer que l’organisme certifié réalise bien un tel pilotage sur son activité.
La norme ISO 27001 a donc pour vocation de rendre les organismes indépendants en termes de gestion de la sécurité et d’être proactifs dans l’établissement des moyens de sécurité au lieu d’être réactifs (vis à vis d’audits réalisés par des tierces parties, ou vis à vis de contraintes réglementaires extérieures par exemple).
L’organisme certifié ISO 27001 créé ses propres référentiels sécurité et ceux-ci vivent, évoluent et s’adaptent en fonction des contextes.
A Suivre …Part 2 , jeudi 12 mai
