La démarche vise à instaurer un système de management de la sécurité de l'information (SMSI). Encore peu utilisée en France, la norme sert en revanche de guide ou de cadre aux RSSI.
Une certification, pourquoi faire ?
Parce que la sécurité n'est plus aujourd'hui une option et que le marché, de plus en plus exigeant, exerce de fortes pressions sur les entreprises, beaucoup d'entre elles sont amenées à remettre en question leurs méthodes. La norme ISO 27001 pose les fondamentaux en matière de sécurité des systèmes d'information : planification des actions à entreprendre, mise en pratique et amélioration des opérations en réalimentant le cycle vertueux de progrès. La certification est une garantie du maintien dans le temps du niveau de sécurité acquis. Elle fait l'objet d'un audit externe tous les six mois.
ISO 27001 permet d'intégrer la sécurité du système d'information dans une gouvernance globale. Les entreprises sont soumises à une multitude d'audits, fondés sur des règlements qui font autorité. En facilitant les échanges avec les auditeurs externes (LSF, Sarbanes-Oxley, Bâle II, Commission bancaire, etc.), la certification permet d'éviter l'accumulation chronophage d'audits.
Pourquoi choisir de se conformer à cette norme ?
Toutes les entreprises n'entreprennent pas une démarche ISO 27001 dans le but d'être obligatoirement certifiées. L'étape n'est pas systématiquement franchie. Certaines veulent simplement adopter de bonnes pratiques. Elles sont d'accord pour ISO 27001 mais sans le cachet officiel ! La norme permet d'identifier plus efficacement les risques et les coûts associés.
Les bonnes pratiques ont un effet positif sur l'efficacité et l'allocation du budget en fonction des risques. La norme permet aussi de gérer, de manière cohérente dans le temps, les mesures de protection et les mises en conformité légale. Véritable mode d'emploi, elle guide vers l'accession aux bonnes pratiques. Tout en apportant aux RSSI et aux DSI, un outil (SMSI) pour qualifier les risques du système d'information, la norme fournit aussi des indicateurs clairs et fiables ainsi que des éléments de pilotage financier aux directions générales.
Certains RSSI choisissent de suivre une formation 27001 pour devenir Lead Auditor. Ce label permet d'être fonctionnellement performant. Il atteste de l'acquisition des compétences nécessaires à la mise en place d'un SMSI, mais aussi, et surtout, il donne en interne la légitimité à le faire. Pour certains RSSI, c'est le moyen de sensibiliser direction et employés aux risques et à la nécessité de mettre en place un SMSI viable et fonctionnel.
La certification ISO 27001 revêt d'autres avantages encore, notamment vis-à-vis de l'extérieur. Dans un contexte économique adapté et avec une communication pertinente, elle constitue un élément différenciateur de confiance et de respect.
Comment mettre en place ISO 27001 ?
Tout d'abord en délimitant avec précision le périmètre. Ce qui se traduit notamment par une analyse de risques macroscopique et une cartographie des flux, outils et processus de sécurité. Ensuite, est analysé l'écart par rapport à la norme - identification des plans d'actions, utilité de l'implémentation, intérêt d'adopter les principes, de se certifier globalement, par sous-système ou métier spécifique.
Lire la suite de l'article : A qui est destiné ISO 27001 ?
Auteur : (*) Théodore-Michel Vrangos est cofondateur et président d'I-Tracing pour ZDNet