Qualité Références n°55

  • Leger
  • Mise
  • Ainsi
  • Outils
  • Janvier
  • Mars
  • Risques
  • Certification
  • Travail
  • Entreprises
  • Gestion
LA GESTION DE L’INFORMATION DE L’ENTREPRISE

13 - 14 juin 2012 Paris

13 - 14 juin 2012 Paris - Porte de Versailles - Hall 5.1 INFORMATION, VEILLE ET CONNAISSANCE L’événement des acteurs de l’information et de la connaissance CONGRÈS www.i-expo.net SALON Les acteurs du marché de l’information et de la connaissance

SYSTÈMES D’INFORMATION ET QUALITÉ Sécurité de l’information L’âge de la maturité Cinq ans après sa publication, l’ISO 27001 traduit l’entrée dans l’âge de la maturité pour les systèmes de management de la sécurité de l’information. Membre actif du Club 27001, Gérôme Billois fait le point… Véritable outil de gouvernance grâce au système de management de la sécurité de l’information (SMSI), la norme ISO 27001 permet de structurer et rationaliser le pilotage de la sécurité tout en construisant une vision stratégique. Elle définit les processus essentiels à la sécurité des organisations : analyse de risques, gestion des incidents de sécurité, contrôle, sensibilisation, veille juridique et technique… Sortie en 2005, la norme ISO 27001 a aujourd’hui atteint sa maturité et est devenue « le » référentiel de la sécurité de l’information. Alignement ou certification ? Différentes possibilités d’utilisation pour des enjeux différents L’alignement à la norme permet de fixer son propre référentiel d’exigences en sélectionnant les processus présentant le meilleur ratio efficacité/coût. Il s’inscrit dans une démarche de progrès continue, en fonction de la maturité initiale et de la cible. C’est aujourd’hui la majorité des implémentations que nous rencontrons. La certification doit quant à elle répondre à des enjeux forts. Elle constitue un élément différenciant et garantit un pilotage de la sécurité maîtrisé aux yeux des clients, partenaires et régulateurs. Elle devient une référence clé pour les sous-traitants informatiques. Malgré un démarrage lent en France par rapport à d’autres pays, la progression est continue. Une mise en place progressive possible, voire souhaitée ! Comme pour l’ensemble des systèmes de management, le choix du périmètre est crucial. Il peut prendre la forme d’un site (par exemple un datacenter), d’une entité, DR d’un processus ou encore d’une offre client. Il est important d’identifier les frontières avec les interfaces (fournisseurs internes, externes, clients…). La mise en place d’un SMSI demande de définir les processus en débutant par le pilotage puis en enchaînant sur la gestion des risques. Pilier de la démarche, elle va définir à la fois les moyens nécessaires et les priorités de traitements. Elle permettra d’affiner et de compléter les chantiers de sécurité nouveaux ou existants. Les autres processus peuvent être déployés progressivement (sensibilisation, contrôle, veille, incidents…). L’amélioration continue occupe une place clé dans les principes de l’ISO 27001. Il est envisageable de définir une première cible pragmatique tout en se projetant dans une stratégie d’évolution plus ambitieuse à moyen terme. Le premier cycle Plan-Do- Check-Act est celui de la mise en place et de la découverte mais également celui où les fondations du SMSI sont posées, la définition et la mise en place des processus devant pouvoir survivre aux changements de périmètre et d’organisation sans subir une refonte complète. La mise en place du SMSI est également un tremplin pour assurer la pérennité de la démarche et l’adhésion des acteurs dans le temps. En effet si le responsable SMSI – bien souvent le RSSI, voire un acteur métier – et son équipe pilotent le projet, la contribution des opérationnels n’est pas à négliger : leur implication garantira la pérennité du niveau de sécurité visé. Faire de l’audit de surveillance un marqueur clé Le suivi des incidents mais aussi des nonconformités et des actions correctives et préventives est essentiel pour montrer l’apport du SMSI. Cette analyse ne doit pas être un travail isolé mais une démarche collaborative avec les équipes. L’audit de surveillance, voire de renouvellement, est un marqueur clé de cette stratégie d’évolution. Il doit être vécu comme un aboutissement chaque année. Finalement, le responsable du SMSI doit avoir un esprit d’écoute et de conquête pour comprendre les évènements qui marquent son périmètre métier (nouvelles offres, fusions, rapprochement, évolution du marché…) mais aussi pour identifier les actions pour faire évoluer son SMSI. Une norme en révision mais dont les fondamentaux sont stables La force de l’ISO 27001 est d’avoir permis aux filières sécurité de progresser à la fois sur leur management et leur niveau de sécurité. Actuellement en cours de révision, les changements attendus sur le fond restent mineurs, preuve de la solidité de son modèle et de ses qualités éprouvées depuis plusieurs années. Bien au-delà de la certification, cette norme a su devenir un outil de référence pour tous les RSSI ! ■ Gérôme Billois* * Manager au sein de la practice Sécurité & risk management de Solucom, il est membre du comité AFNOR concernant l’ISO 27001 et participe activement au Club 27001. QUALITÉ RÉFÉRENCES ➤ JANVIER, FÉVRIER, MARS 2012 ➤ PAGE 45

Qualité Références - Découvrez la revue en version digitale

Pour vous abonner, joindre la rédaction, communiquer dans la revue ou simplement avoir plus d'informations sur votre métier, rendez-vous sur notre site internet :

www.qualite-references.com