Quotidien finance innovation, innovation financière journal
Financial Year with Finyear
 
 
 
 


              

Les entreprises françaises boudent-elles la certification ISO 27001 ?


Créée en 2005, cette certification permet pourtant aux entreprises de démontrer à leurs clients qu’elles ont mis en oeuvre de bonnes pratiques en matière de sécurité de l'information. La démarche vise à instaurer un système de management de la sécurité de l’information (SMSI). Encore peu utilisée en France, la norme sert en revanche de guide ou de cadre aux RSSI.




Une certification, pourquoi faire ?
Parce que la sécurité n'est plus aujourd'hui une option et que le marché, de plus en plus exigeant, exerce de fortes pressions sur les entreprises, beaucoup d’entre elles sont amenées à remettre en question leurs méthodes. La norme ISO 27001 pose les fondamentaux en matière de sécurité des systèmes d'information : planification des actions à entreprendre, mise en pratique et amélioration des opérations en ré-alimentant le cycle vertueux de progrès. La certification est une garantie du maintien dans le temps du niveau de sécurité acquis. Elle fait l’objet d’un audit externe tous les six mois.

ISO 27001 permet d’intégrer la sécurité du système d’information dans une gouvernance globale. Les entreprises sont soumises à une multitude d’audits, fondés sur des règlements qui font autorité. En facilitant les échanges avec les auditeurs externes (LSF, Sarbanes-Oxley, Bâle II, Commission bancaire, etc.), la certification permet d’éviter l’accumulation chronophage d’audits.

Pourquoi choisir de se conformer à cette norme ?
Toutes les entreprises n’entreprennent pas une démarche ISO 27001 dans le but d’être obligatoirement certifiées. L'étape n'est pas systématiquement franchie. Certaines veulent simplement adopter de bonnes pratiques. Elles sont d’accord pour ISO 27001 mais sans le cachet officiel ! La norme permet d’identifier plus efficacement les risques et les coûts associés. Les bonnes pratiques ont un effet positif sur l'efficacité et l'allocation du budget en fonction des risques. La norme permet aussi de gérer, de manière cohérente dans le temps, les mesures de protection et les mises en conformité légale. Véritable mode d'emploi, elle guide vers l’accession aux bonnes pratiques. Tout en apportant aux RSSI et aux DSI, un outil (SMSI) pour qualifier les risques du système d’iSnformation, la norme fournit aussi des indicateurs clairs et fiables ainsi que des éléments de pilotage financier aux Directions Générales.

Certains RSSI choisissent de suivre une formation 27001 pour devenir Lead Auditor. Ce label permet d'être fonctionnellement performant. Il atteste de l'acquisition des compétences nécessaires à la mise en place d'un SMSI, mais aussi, et surtout, il donne en interne la légitimité à le faire. Pour certains RSSI, c’est le moyen de sensibiliser direction et employés aux risques et à la nécessité de mettre en place un SMSI viable et fonctionnel.

La certification ISO 27001 revêt d'autres avantages encore, notamment vis-à-vis de l'extérieur. Dans un contexte économique adapté et avec une communication pertinente, elle constitue un élément différenciateur de confiance et de respect.

Comment mettre en place ISO 27001 ?
Tout d’abord en délimitant avec précision le périmètre. Ce qui se traduit notamment par une analyse de risques macroscopique et une cartographie des flux, outils et processus de sécurité. Ensuite, est analysé l'écart par rapport à la norme - identification des plans d’actions, utilité de l’implémentation, intérêt d'adopter les principes, de se certifier globalement, par sous-système ou métier spécifique.

A qui est destiné ISO 27001 ?
La certification ISO 27001 demande un effort de formalisation et d'évaluation des risques, se rapprochant de la certification qualité ISO 9000. La définition et la mise en place d'une méthodologie sont des tâches lourdes. Cela ne peut pas se faire sans le soutien de la direction générale de l’organisation. Le temps de mise en place est long - une année en moyenne - avec un effort interne et une assistance externe importants.

En France, les certifications ISO 27001 restent peu nombreuses bien qu’en légère augmentation. Le nombre d’organisations certifiées serait (statistiques 2008) de 12 à égalité avec l’Iceland ou les Pays-Bas mais loin derrière l’UK avec 400 entreprises certifiées ou l’Allemagne avec environ 180. Sans parler du Japon avec plus de 3000 entreprises certifiées !

La certification ISO 27001 se justifie par une réalité économique et réglementaire. Le choix de devenir ‘certifié ISO 27001’ dépend du métier de l’organisation et de sa criticité mais aussi, de l’importance de la criticité de la sécurité aux yeux de ses clients ! Pour une entreprise dont les données personnelles de millions d’usagers sont, par exemple, la « matière première », une certification de la sécurité est un plus et une nécessité.

La motivation des entreprises dépend aussi de leur cycle concurrentiel et de leur développement. Bien expliquée par une communication adaptée, la certification ISO27001 peut être un bras de levier concurrentiel puissant. Les coûts, les délais et, bien sûr, l’état réel de la sécurité en place (processus, équipe, outils, enjeux, étendue…) peuvent la rendre nécessaire.
En conclusion, il est parfaitement possible de dire oui à la norme, sans aller jusqu’à la certification de l’entreprise ou en certifiant uniquement un sous-périmètre de l’organisation (tel un data center ou une activité sensible). La certification ne se révèle pas indispensable en France alors qu’elle est dans certains pays où, si l’on n'est pas certifié, on ne vend pas.

Par Théodore-Michel Vrangos, cofondateur et président d’I-Tracing

Théodore-Michel VRANGOS, cofondateur et président d’I-TRACING, entreprise de conseil et ingénierie entièrement dédiée à la traçabilité de l’information et à la gestion de la preuve. Ancien Président de Cyber Networks, aujourd’hui BT France, qu’il avait fondée avec Laurent Charvériat, Théodore-Michel Vrangos a démarré sa carrière en tant que IT Business Manager au sein du Groupe Générale des Eaux (Vivendi) à Paris.
Master of Science en technologie de l‘information de l‘Université de Manchester (UK) et diplômé en technologie électrique du Groupe ESIEE.

I-TRACING est une société française dans le domaine de la traçabilité des informations, de la gestion des preuves et de la sécurité. Elle intervient sur toutes les déclinaisons de la traçabilité de l’information et propose des prestations à valeur ajoutée de conseil, d’audit, d’investigation, de formation, d’ingénierie et d’infogérance. I-TRACING combine la compréhension et l’anticipation des besoins fonctionnels de chaque métier à une grande expertise technologique des protocoles et solutions Internet, de la mobilité et des télécommunications.

Mercredi 7 Octobre 2009
Notez




DISCUSS / DISCUTER

1.Posté par catelin le 08/10/2009 12:21 | Alerter
Utilisez le formulaire ci-dessous pour envoyer une alerte au responsable du site concernant ce commentaire :
Annuler

Si la norme concernant la sécurité d'un système d'information est peu répandue je peux rassurer M. Vrangos, dans d'autres domaines bon nombre de certifications sont inappliquées.
Les grands groupes adhèrent au système de certification les concernant, mais leurs sous-traitants sont rarement ISO... Ainsi derrière une certification officielle l'ont cache une absence en sous-traitance. La norme protège ainsi de toute procédure ou contestation éventuelle d'un client ou fournisseur.
Quand j'étudie de nombreux conflits ou simplement des procédures, les normes sont malheureusement oubliées et considérées comme procédurières..

Nouveau commentaire :
Twitter

Your email address will not be published. Required fields are marked *
Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *



Recevez la newsletter quotidienne


évènements


Lettres métiers


Livres Blancs