01net informatique high-tech : actu, produits, téléchargement logiciels et jeux

S'abonner :

Newsletters

Magazines

01men.

Administration - Secteur public

Banque – Finance – Assurance

BTP – Transports – Réseaux

Commerce – Distribution – Services

Industrie

Pour la cinquième année consécutive, 01 informatique honore les RSSI issus
de chacun de ces secteurs d’activités.

Savoir faire face aux audits de contrôle

L'ISO 27001 fait entrer la sécurité du système d'information dans l'ère de la normalisation, à l'image de ce qui existe pour la qualité. Pour le RSSI, c'est la garantie de bonnes pratiques et d'améliorations.

Signe de maturité, la sécurité des systèmes d'information dispose désormais de sa propre norme ISO, la 27001. Celle-ci est à la sécurité ce que la norme ISO 9001 est à la qualité. Elle ouvre l'ère des bonnes pratiques, reconnues, approuvées. Les RSSI auraient tort de ne pas s'y intéresser. Hervé Schauer, fondateur de la société de conseil en sécurité HSC, désigne l'ISO 27001 comme « une révolution dans un secteur souffrant d'opacité entre les mondes de la direction et de la technique ».

Plan, Do, Check, Act...
La démarche conduisant à la certification assure l’orchestration des mesures de sécurité selon un modèle dit PDCA : Plan, Do, Check, Act. La tâche n’est pas mince. Elle est estimée entre neuf mois et un an selon les entreprises et le périmètre. Toutefois elle garantit au RSSI un pilotage de la sécurité par les risques, couplé à un contrôle permanent des moyens mis en œuvre. Ceux-ci doivent être organisationnels... [lire la suite]

L’avis du cabinet de conseils

	Alexandre Fernandez-Toro, Consultant chez HSC, il dirige les activités ISO 27001 de cette société de conseil en sécurité des systèmes d’information.
« La certification ne dispense pas les parties prenantes de faire preuve de discernement. Une entreprise certifiée connait les risques qu’elle court. Car la norme ISO 27001 impose de débuter par une appréciation des risques. Cependant une entreprise peut se faire certifier sur un périmètre très restreint ou mettre en œuvre une politique peu ambitieuse. Dans le cadre d’une relation client-fournisseur, la certification n’est pas un blanc-seing. Le client doit comprendre et s’intéresser au périmètre et à la politique de son fournisseur, afin de contrôler qu’elle est en adéquation avec ses exigences et besoins. » « Ne pas se focaliser sur l’appréciation des risques. L’estimation des risques est un point clé de la démarche de normalisation, mais elle ne doit pas occulter le reste. Un système de management fonctionne correctement lorsque l’audit interne, la gestion de la documentation et le suivi des actions sont aboutis. Ce sont des briques de base tout aussi importantes que l’appréciation des risques. »