ISO 27001 de A-Z

La norme ISO 27001 a aujourd’hui atteint sa maturité et est devenue le référentiel de la sécurité de l’information. Véritable outil de gouvernance, elle permet de structurer et rationaliser le pilotage de la sécurité tout en construisant une vision stratégique à moyen terme.

Fort de l’accompagnement qu’il mène auprès de ses clients , PROTECTED Consulting vous apporte une vision consolidée de l’utilisation de cette norme basée sur de nombreux retours d’expérience.

Alignement ou certification ? Différentes possibilités d’utilisation pour des enjeux différents

L’alignement à la norme permet de fixer son propre référentiel d’exigences en sélectionnant les processus présentant le meilleur ratio efficacité / coût et le degré de conformité visé. Il s’inscrit dans une démarche de progrès sur plusieurs années, en fonction de la maturité initiale et de la cible.

La certification répond quant à elle à des enjeux commerciaux, sectoriels, réglementaires ou opérationnels forts. Au-delà des apports de l’alignement, elle constitue un élément différenciant et garantit un pilotage de la sécurité maîtrisé aux yeux des clients, partenaires et régulateurs. Ces entreprises manipulent des données sensibles soumises à des règlementations contraignantes (santé, banques, assurance, hébergeurs, fournisseurs…).

Identifier les scénarii gagnants

Le périmètre centré sur les enjeux métiers est un élément structurant du système. Il peut prendre la forme d’un site (un datacenter), d’une organisation (la DSI), d’un processus ou encore d’une offre proposée aux clients. Il est important d’en identifier les frontières avec les différentes interfaces (fournisseurs internes, externes, clients…) pour évaluer les charges et les besoins de contractualisation ; la stratégie de définition du système de management en dépend.

Mettre en place le SMSI (système de management de la sécurité Informatique) en deux étapes
La mise en place d’un SMSI en lui-même demande de définir les processus en débutant par le pilotage (puis la sensibilisation, contrôle et mesure de l’efficacité…) puis de les implémenter. Ensuite, la mise en place de la gestion des risques, pilier de la démarche, débute par la définition du processus de gestion des risques et la réalisation de l’appréciation des risques (PCA, IAM, chiffrement, etc.). Lors de cette deuxième étape, il s’agit de réaliser l’analyse détaillée des risques de sécurité répondant aux exigences de l’ISO 27001. Elle permettra d’affiner et de compléter les chantiers de sécurité qui auront été lancés en parallèle.

Faire adhérer les opérationnels à la démarche
Si le responsable SMSI – bien souvent le RSSI voire un acteur métier – et son équipe pilotent le projet, la contribution des opérationnels n’est pas à négliger : leur appropriation et implication garantiront la pérennité du niveau de sécurité visé.

Construire pour le futur avec l’amélioration continue
L’amélioration continue occupe une place clé dans les principes de l’ISO 27001. Il est tout à fait envisageable de définir une première cible pragmatique et modeste tout en se projetant dans une stratégie d’évolution du SMSI plus ambitieuse à moyen terme. Le premier cycle Plan-Do-Check-Act est non seulement celui de la mise en place et de la découverte mais également celui où les fondations du SMSI sont posées, la définition et la mise en place des processus devant pouvoir survivre aux changements de périmètre et d’organisation sans subir une refonte complète.

La mise en place du SMSI est non seulement un projet à part entière mais est également un tremplin pour assurer la pérennité de la démarche et l’adhésion des acteurs dans le temps.

Conserver la dynamique projet : un autre défi pour le RSSI

La dérive la plus fréquemment rencontrée est bien sûr la démobilisation des collaborateurs, passée la phase projet. Pour maintenir une dynamique, des chantiers permettront de garder un focus sur la sécurité et feront indirectement vivre le SMSI par des rendez-vous de comité de pilotage, des points projets avec les collaborateurs et la direction.

Pour éviter tout effet de lassitude dans le temps voire de rejet, le responsable du SMSI doit rester à l’écoute des collaborateurs sur le fonctionnement des processus de manière directe (rencontres, questionnaires…) ou indirecte pour déterminer les points d’amélioration.

Faire de l’audit de surveillance un marqueur clé
Le suivi des incidents, des crises mais aussi des non-conformités et des actions correctives et préventives sont essentielles pour montrer l’apport du SMSI. Cette analyse ne doit pas être un travail isolé mené mais une démarche collaborative avec les équipes opérationnelles. L’audit de surveillance, voire de renouvellement, est un marqueur clé de cette stratégie de communication. Il doit être vécu comme un aboutissement chaque année.

Finalement, le responsable du SMSI doit avoir un esprit d’écoute et de conquête pour d’une part comprendre les évènements qui marquent son périmètre métier (nouvelles offres, fusions, rapprochement, évolution du marché…) et d’autre part identifier les actions clés pour une potentielle évolution du SMSI.

Conclusion

La force de l’ISO 27001 est d’avoir permis aux filières sécurité de progresser à la fois sur leur management et leur niveau de sécurité. Bien au-delà de la certification, qui reste peu répandue en France, elle est devenue un outil de référence pour tous les RSSI.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

3 × deux =