Dans un précédent article, on vous racontait tout sur la nouvelle directive européenne NIS et le choix de la Belgique de se baser sur la norme ISO 27001 pour accroître la sécurité des Opérateurs de Services Essentiels (OSE) avec tout ce que ça entraînait pour les organisations nouvellement désignées.
Qui dit directive européenne ne dit pas règlement européen : il revient donc à chaque pays membre de transposer les exigences de la directive NIS dans son droit national. La Belgique a fait le choix d’un standard existant (la norme ISO 27001) alors que certains de ses voisins, dont la France, ont choisi une approche basée sur la définition d’un référentiel d’exigences précis mêlant à la fois des mesures techniques et de gouvernance (SI d’administration, cloisonnement, démarche d’homologation, etc.).
Intéressons-nous aujourd’hui à ce que ça implique pour les OSE belges, et plus largement pour toutes les organisations attirées par les normes internationales, de suivre les exigences de la norme ISO 27001.
La norme ISO 27001, adulée par certains et critiquée par d’autres
Des voix se lèvent contre la référence du milieu, fustigeant notamment son aspect bureaucratique et sa paperasserie qui, pourtant, peuvent aider à mettre en place un référentiel utile à la continuité des services et la formation des personnes via le partage des pratiques – surtout lorsqu’il est pensé avec pragmatisme. Les critiques vont également bon train sur le niveau de complexité ajouté, encore plus présent pour les plus petites structures. Là encore, la règle est au pragmatisme et les mesures doivent être adaptées à la taille de l’organisation et s’intégrer à l’existant pour éviter les structures ex nihilo trop lourdes à gérer.
Enfin, certains aprioris ont la vie dure et réduisent souvent une conformité ISO 27001 à une liste de cases à cocher, dépourvues d’implications réelles sur la sécurité de l’organisation. Mais la fameuse déclaration d’applicabilité (DdA), exigée par la norme ISO 27001 à tous ceux qui visent une certification, ne revient pas uniquement à lister tous les contrôles de la norme ISO 27002. Elle demande une véritable évaluation au regard des enjeux et des risques. De quoi apporter des éléments concrets pour la sécurité de l’organisation.
ISO 27001, ISO 27002, il y en a beaucoup comme ça ?
Dans la famille des ISO, beaucoup, vraiment beaucoup. En revanche pour la cybersécurité, ce sont bien ces deux-là qui sont les plus utilisées, avec l’ISO 27005 pour la gestion des risques (si c’est la protection des données qui vous intéresse, lisez aussi notre article sur la nouvelle venue ISO 27701).
La norme ISO 27001 apporte un cadre à la cybersécurité et vise à mettre en place un SMSI (Système de Management de la Sécurité de l’Information). Pour aider les organisations dans cette direction, elle est accompagnée de la norme ISO 27002 qui détaille les bonnes pratiques sécurité présentées dans l’annexe A de l’ISO 27001. La certification (le graal des OSE belges) porte sur la norme ISO 27001 mais les deux normes fonctionnent bien de pair.
La certification s’obtient sur un périmètre délimité d’un point de vue métier et IT sur lequel les principaux risques sont identifiés. Cette évaluation par les risques, mêlée à la prise en compte du contexte de l’organisation, aide à sélectionner les bonnes pratiques ISO 27002 pertinentes pour formaliser la Déclaration d’Applicabilité (DdA) et à exclure les contrôles qui ne sont pas applicables (attention à bien justifier ces exclusions : elles seront analysées par l’organisme de certification). Si on peut retirer des pratiques moins utiles, on peut aussi en rajouter d’autres : l’organisation peut ainsi compléter la liste existante des 114 mesures de sécurité au regard de ses risques. La norme ISO 27002 n’adresse pas l’exhaustivité des mesures de sécurité possibles. C’est là qu’une expertise cybersécurité prend tout son sens.
5 conseils pour trouver le bon équilibre et réussir sa mise en conformité ISO 27001
Bien entendu, vu dans son ensemble, un programme de mise en conformité à la norme ISO 27001 peut rapidement donner le vertige… Voici 5 réflexes à avoir en tête pour faciliter le lancement d’un SMSI et le maintien de ses performances dans le temps :
1. Identifier un sponsor investi au service de l’objectif de sécurisation. Comme pour le cinéma, il n’y a pas de film sans réalisateur, et pas de réalisateur sans le soutien du producteur. Le match parfait doit avoir pleine conscience de la valeur ajoutée de la mise en conformité à la norme ISO 27001 pour améliorer le niveau de sécurité, au-delà de la pure conformité au cadre légal. Il doit utiliser les cadres normatifs au profit d’un meilleur niveau de sécurité et doit donc voir ce projet comme un chantier de sécurisation plutôt qu’un chantier de conformité.
Implémenter un SMSI pérenne demande des ressources et moyens humains, organisationnels, physiques et financiers. Le pilotage du projet de mise en conformité ne fonctionnera que s’il est soutenu par un responsable qui a le pouvoir d’allouer les ressources et les moyens nécessaires pour piloter les risques et assurer un niveau de sécurité acceptable au regard des enjeux métier. Le respect de la directive NIS, à l’échelle européenne ou à l’échelle belge via une mise en conformité à la norme ISO 27001, constitue avant tout un moyen d’augmenter le niveau de sécurité et non une fin en soi.
2. Piloter par les risques. C’est la base de la sécurité ; le concept clé à toujours garder en tête. Ce pilotage permet d’identifier les risques du périmètre et de s’assurer que les enjeux métier sont bien pris en compte. La gestion des risques ne s’arrête pas à leur identification et au traitement initial. Elle demande la mobilisation des équipes et des activités pour traiter les risques existants et suivre l’évolution des risques (existants et nouveaux qui apparaissent) et leurs traitements, via une mise à jour périodique et lors d’évènements majeurs sur le périmètre.
Par la mise en place de cette démarche globale des risques, l’organisation s’assure une vision transverse des risques qui permet de focaliser les efforts des mesures de sécurité là où il y a le plus d’enjeux. Cette validation et cet arbitrage doivent se faire en concertation avec les propriétaires des risques (métier ou IT) qui portent la responsabilité du risque sur leurs périmètres et doivent se positionner sur les traitements possibles (acceptation, réduction, transfert ou évitement). Un pilotage affiné et resserré des risques permet ainsi de prendre de véritables décisions éclairées, par des acteurs parfois éloignés de la sécurité.
3. Constituer un référentiel documentaire pragmatique. Cette étape aide à définir et documenter les pratiques et ainsi favoriser la continuité des opérations, leur contrôle et leur amélioration continue. Cette documentation doit être le reflet de la réalité tout en assurant la cohérence avec les exigences de la norme ISO 27001 pour aider à définir les pratiques à mettre en œuvre et les gérer au quotidien (implémentation et mises à jour au gré des évolutions, etc.).
Les maîtres-mots lors de la constitution de ce référentiel sont pragmatisme et utilité : il doit s’intégrer à l’existant en complétant les procédures existantes et en en créant de nouvelles qui manquaient ; il ne doit pas compliquer inutilement la situation mais se baser sur une interprétation pertinente de la norme ; il doit être utile aux équipes qui assurent les activités pour permettre le maintien des opérations. Evitez donc les copier-coller des exigences des normes. Ils créent un référentiel inutile aux équipes terrain et attiseront la curiosité de vos auditeurs qui douteront alors de l’effectivité des mesures…
4. Évaluer régulièrement les performances. Tout système de management qui se respecte nécessite une boucle de contrôle pour évaluer ses performances et, dans le cas du SMSI, ses non-conformités à la norme ISO 27001 et au référentiel en place dans l’organisation (synthétisé dans la DdA). L’identification de ces non-conformités doit permettre de remonter jusqu’à leur source et d’initier la réflexion sur la meilleure manière de les gérer. La réflexion à mener doit porter sur la manière dont la non-conformité va être résolue pour assurer l’augmentation du niveau de sécurité tout en s’assurant que les mesures correspondent aux exigences de la norme et sont adaptées au contexte, aux risques et aux enjeux de l’organisation.
Les différents niveaux de contrôles (auto-contrôles par les équipes, audits internes/externes, revues de direction) doivent tous garder l’objectif d’amélioration du niveau de sécurité en tête en utilisant de manière pragmatique les exigences de la norme et le référentiel de l’entreprise, et au besoin faire évoluer ce dernier au regard de la réalité pratique de l’organisation. Il s’agit de trouver le bon équilibre entre le contexte de l’organisation et la gestion des risques identifiés. Si vos enjeux portent essentiellement sur la disponibilité d’une activité, focalisez vos efforts (mesures et contrôles) sur cet enjeu en priorité. Pour être pertinent, ce cycle d’évaluation doit distribuer les efforts sur les périmètres les plus pertinents pour l’organisation (selon ses risques et enjeux) et alimenter les prochaines étapes du cylce de vie du SMSI.
5. Engager les équipes. Un projet de mise en place d’un SMSI n’est pas uniquement l’apanage du RSSI ou d’une équipe de documentalistes. Il s’agit avant tout d’un projet d’envergure qui demande un large éventail d’expertises allant de la cybersécurité au business en passant par l’IT, le juridique, les achats, les ressources humaines, etc. C’est une véritable conduite du changement qui est à organiser avec l’implication pleine et complète des différentes équipes et du management de l’organisation pour assurer un SMSI qui sert l’amélioration durable du niveau de sécurité pour l’ensemble du périmètre.
La certification ISO 27001, oui mais pragmatique !
La véritable force de la certification ISO 27001 est avant tout d’enclencher une dynamique de sécurité dans l’organisation. La documentation peut certes alourdir les pratiques mais n’enlève rien de la philosophie d’amélioration continue du niveau de sécurité. Par l’apport d’un socle minimal pour la cybersécurité, sans définir des exigences strictes, la norme laisse à l’organisation le choix de placer le curseur sécurité à un niveau qui lui est adapté et d’obtenir des résultats positifs – à condition de s’entourer de bonnes personnes sensibilisées au sujet !
Traitée avec un regard critique et pragmatique, la norme apporte ainsi un cadre pour installer la gouvernance de la cybersécurité au sein de chaque organisation en mobilisant les concepts clés tout en laissant la marge nécessaire pour proposer des mesures complémentaires qui, ensemble, servent l’amélioration du niveau de sécurité.
Au-delà de l’approche traditionnelle de la conformité, la mise en conformité à la norme ISO 27001 doit servir de boîte à outils à toute les équipes et non constituer une fin en soi.
La liberté de mise en œuvre de la directive NIS au niveau européen offre un nouveau terrain d’expérimentation où se mêlent cultures différentes et visions divergentes de la cybersécurité. Seul l’avenir pourra nous dire ce qui fonctionne au niveau européen, mais l’approche belge démontre une nouvelle fois la culture du compromis entre cadre strict et liberté de mouvement. Pour les OSE belges comme pour les organismes de certification, l’inconnue demeure avant tout sur le positionnement du curseur entre les deux extrêmes.
Il leur faudra alors éviter une approche scolaire et mettre à profit une interprétation utile et pragmatique de la norme en gardant l’objectif final en tête : plus de cybersécurité.