[Tribune rédigée en collaboration avec Marion Couturier]
Aujourd’hui la norme ISO 27001 est indéniablement devenue le modèle de gouvernance de la sécurité de l’information. Amenant un pilotage de la sécurité par les risques couplé à une approche système de management, elle permet de structurer et rationaliser le pilotage de la sécurité tout en construisant une vision stratégique à moyen terme. Mais comment se lancer dans sa mise en œuvre en répondant au mieux aux enjeux de sécurité des métiers et en en tirant le meilleur parti ?
Avant de démarrer : se poser les bonnes questions !
Une étude d’opportunité et de faisabilité permet de répondre rapidement aux questions clés : pourquoi et pour qui implémenter la norme ? Quels sont les enjeux métiers et les grands risques sécurité ? D’où part-on ?
Si la lecture linéaire des exigences de la norme s’avère vite peu adaptée pour évaluer le niveau de conformité actuel de l’entreprise, une analyse des écarts en adoptant une vision « processus » (pilotage du système de management de la sécurité de l’information, gestion des risques, contrôle et mesure de l’efficacité, etc.) est plus facile à mener et souvent bien plus parlante. Conduite avec les métiers, les interlocuteurs sécurité, SI et les fonctions support, elle est également l’occasion de les sensibiliser, de comprendre leurs enjeux business et d’identifier de manière macroscopique leurs risques sécurité.
Alignement ou certification : trouver sa voie
Ces deux voies correspondent à des enjeux différents . L’alignement à la norme permet d’apporter cohérence et implication à la démarche de sécurité. Il donne également la possibilité dela légitimer et communiquer sur celle-ci.. Il s’agit dès lors de se fixer son propre référentiel d’exigences en sélectionnant les processus présentant le meilleur ratio efficacité / coût dans le contexte, et le degré de conformité visé. L’alignement s’inscrit dans une démarche de progrès sur plusieurs années, en fonction de la maturité initiale et de la cible. C’est la voie choisie par la majorité de nos clients.
La certification répond quant à elle à des enjeux commerciaux, sectoriels, réglementaires ou opérationnels forts. Au-delà des apports de l’alignement, elle constitue un élément différenciant, la garantie externe d’un pilotage de la sécurité maîtrisé aux yeux des clients, partenaires et régulateurs. Bien souvent, les organismes qui s’engagent dans la certification manipulent des données sensibles soumises à des réglementations fortes (santé, banque, assurance) ou sont des hébergeurs qui voient dans la certification un intérêt d’image, mais aussi opérationnellement réduction du nombre d’audit de leurs clients !
Identifier les scénarios gagnants à présenter à sa Direction
Le périmètre est un élément structurant du système, centré sur les enjeux métiers. Il peut prendre la forme d’un site – un datacenter, d’une organisation – la DSI, d’un processus ou encore d’une offre proposée aux clients.
Au-delà de ce qu’il comprend, il est important d’identifier précisément ses frontières avec les différentes interfaces (fournisseurs internes, externes, clients, etc.) pour évaluer les charges internes et les futurs besoins de contractualisation pour assurer la maîtrise des mesures de sécurité.
La stratégie de définition du système de management et de l’organisation est intimement dépendante de ce périmètre et de l’organisation de l’entreprise. Un SMSI, des SMSI ? Quel cycle de vie ? Quel(s) responsable (s), entité(s) de management, instances ?
Les différents scénarii imaginés doivent être confrontés en s’appuyant sur l’apport de la démarche par rapport aux enjeux métiers et aux investissements. N’oublions pas que ces derniers sont en partie déjà prévus : les risques doivent dans tous les cas être traités et les chantiers sécurité budgétés, et le pilotage du SMSI est une évolution du rôle du RSSI déjà intégré aux charges récurrentes de l’entreprise. Des arguments qui peuvent faire mouche auprès de la Direction à qui le projet sera présenté !
Après cette phase de décision, la construction doit commencer et cela fera l’objet de d’un prochain article sur l’ISO 27001 !
A suivre : rendre la norme ISO 27001 – épisode 2 : construire efficacement son SMSI