Comment intégrer à un SMSI des référentiels réglementaires ?
Nous l’avons vu dans la partie 1 de l’article , le SMSI prend en entrée des mesures de sécurité. La certification ISO 27001 demande par ailleurs que l’organisme candidat à la certification réalise une déclaration d’applicabilité sur l’annexe A de la norme 27001. Ce document consiste à prendre l’ensemble du catalogue des mesures fourni en annexe A pour décider de celles qui sont pertinentes pour son activité et celles-qui ne le sont pas. Il s’agit, grosso modo, d’un pense bête utile au gestionnaire du SMSI mais il ne s’agit absolument pas d’une liste d’exigence à mettre en œuvre !
Par ailleurs, il également tout à fait possible, voire recommandé, d’ajouter à ce catalogue des mesures des exigences issues de référentiels applicables à l’organisme. Pour un établissement de santé, par exemple, il peut être pertinent de rajouter des exigences de sécurité importées du référentiel HDS dans le cadre d’un traitement de données de santé.
Dans ce cas nous aurons bien un pilotage de la sécurité par le SMSI et des exigences SSI par le référentiel HDS.
Le second intérêt de ce double usage est également de pouvoir orienter en douceur l’organisme vers des certifications ou agréments.
En effet, le pilotage de la sécurité n’implique pas une conformité immédiate, il implique une orientation vers une amélioration continue de la sécurité. A cet effet, il est pertinent de penser que ce pilotage peut être orienté de manière à amener l’organisme à respecter des exigences de sécurité lui permettant de prétendre à un agrément ou une certification.
Les limites du SMSI et de la certification ISO 27001
Nous avons dégrossi les traits relatifs à la norme 27001 et au fonctionnement du SMSI, il est désormais temps de se concentrer sur les limites d’une telle approche.
Le SMSI est du pilotage, ce n’est pas de la sécurité à proprement parler, il est donc un non-sens de parler d’assurance de sécurité vis à vis de la norme ISO 27001. Nous avons une assurance d’amélioration, pas d’un niveau de sécurité fixé. Bien entendu la SSI et le SMSI marchent main dans la main et il est rare de voir des organismes certifiés ISO 27001 posséder un niveau de sécurité bas mais il n’y a pas d’implication stricte de l’un vers l’autre. Il est d’ailleurs relativement “facile” d’être certifié ISO 27001, cependant il est beaucoup plus dur de maintenir cette certification car le gestionnaire du SMSI doit être en mesure de prouver que le cycle PDCA est respecté et utilisé et doit prouver à un organisme certificateur que le SMSI fonctionne et fait monter progressivement le niveau de sécurité de l’organisme. Un audit de surveillance est, par ailleurs, réalisé tous les ans par l’organisme certificateur, il n’est donc pas possible de “tricher” bien longtemps, la certification pouvant être retirée par le certificateur si celui-ci estime que le SMSI ne marche pas ou n’est pas réellement utilisé.
D’un autre côté, une approche par “exigences” peut être délicate à mettre en œuvre dans le milieu de la santé, globalement peu mature en terme de sécurité (les extrême se côtoyant). Imposer de but en blanc un niveau de sécurité peut se révéler être délicat en terme de budget ou de ressources globales pour un établissement hospitalier. Pour autant, il n’est pas non plus concevable de ne pas imposer d’exigences de sécurité stricte pour s’assurer de la sécurité de données aussi sensibles que des données médicales!
Il parait donc pertinent de combiner les deux approches, une approche par amélioration continue et une approche par exigences réglementaires. L’idée serait alors de partir sur une démarche SMSI/ISO 27001 en modifiant la déclaration d’applicabilité en y ajoutant des exigences spécifiques sécurité santé (qui ne pourront donc pas être jugées “inapplicables” sauf cas particulier). Ce serait donc une approche très pertinente qui combinerait douceur du changement, amélioration continue et atteinte d’un niveau de sécurité considéré comme fiable par des autorités.
Dans tous les cas la démarche SMSI ne doit plus être vue comme un barrage ou une atteinte impossible mais un atout, une approche logique et douce de la sécurité, loin des clichés véhiculés par les consultants de tout bord!
