Savoir faire face aux audits de contrôle
par mail
l'article
Signe de maturité, la sécurité des systèmes d’information dispose désormais de sa propre norme ISO, la 27001. Celle-ci est à la sécurité ce que la norme ISO 9001 est à la qualité. Elle ouvre l’ère des bonnes pratiques, reconnues, approuvées. Les RSSI auraient tort de ne pas s’y intéresser. Hervé Schauer, fondateur de la société de conseil en sécurité HSC, désigne l’ISO 27001 comme “ une révolution dans un secteur souffrant d’opacité entre les mondes de la direction et de la technique ”. Avec cette norme, la sécurité s’inscrit plus que jamais dans la culture de l’audit. Mais il ne s’agit ni spécifiquement ni exclusivement de celle des tests techniques. L’ISO 27001 recouvre la notion de système de management de la sécurité de l’information (SMSI). Un tel système se définit par l’établissement d’une politique de sécurité, d’objectifs, et de moyens mis en œuvre pour les atteindre. Le SMSI vise à l’amélioration continue du niveau de sécurité, dans le contexte des risques métier d’une entreprise.
Plan, Do, Check, Act...
La démarche conduisant à la certification assure l’orchestration des mesures de sécurité selon un modèle dit PDCA : Plan, Do, Check, Act. La tâche n’est pas mince. Elle est estimée entre neuf mois et un an selon les entreprises et le périmètre. Toutefois elle garantit au RSSI un pilotage de la sécurité par les risques, couplé à un contrôle permanent des moyens mis en œuvre. Ceux-ci doivent être organisationnels, techniques et humains, établis selon un référentiel, validés par la direction, et auditables.
Le responsable de la sécurité des sustèmes d’information a nécessairement un rôle majeur à jouer. Deux certifications le concernent directement : auditeur de certification (lead auditor) et responsable de mise en oeuvre (lead implementor). “ Si le RSSI veut savoir comment raisonne un auditeur, il choisira la première afin de ne pas être surpris lors de l’audit. S’il veut être plus orienté terrain, implémentation, la seconde lui conviendra mieux ”, conseille Alexandre Fernandez-Toro, consultant pour les deux labels.
Une démarche très contrôlée
La formation à chacune des certifications dure une semaine. La certification du SMSI s’étend entre cinq et dix jours selon le périmètre et le nombre de personnes impliquées. Un audit de contrôle doit être mené tous les six mois ou un an pour conserver le label ISO. Des RSSI s’inspirent de la démarche sans pour autant souhaiter aller jusqu’à la certification. “ Sans le couperet de la certification, un RSSI aura le plus grand mal à mobiliser les directions métier dans l’appréciation du risque, à maintenir la motivation nécessaire à la gestion de la documentation… prévient Alexandre Fernandez-Toro. La certification sert à ternir les objectifs et de levier pour la mise en place des moyens de contrôle. ”
01net. - 01men - RMC - BFM Radio - BFM TV - TousLesPodcasts - 01informatique.fr - Association RMC-BFM
