La norme ISO 27001 veut sortir la sécurité de son ghetto
Chercher à atteindre l’état de l’art, en matière de sécurité, n’est plus de mise. Avec ISO 27001, il s’agit plutôt d’intégrer la sécurité du système d’information dans un processus plus large de gestion des risques, et de se concentrer sur ce qui semble essentiel à l’entreprise. Une démarche séduisante en temps de crise ?
Insister « là où le bât blesse. » Voilà, pour Solucom, le sens d’ISO 27001. Cette norme vise en effet à inscrire la sécurité du système d’information dans une démarche en plusieurs étapes qui dépasse le simple cadre technique : analyse métier des risques SI, définition d’une politique de sécurité des SI, plan d’actions annuel, formalisation des procédures, sensibilisation des utilisateurs, association de la direction générale… Une définition qui résonne en écho aux exhortations de Patrick Pailloux, directeur de la DCSSI (Direction Centrale de la Sécurité des Systèmes d’Information, un service spécialisé dépendant du Premier ministre), ou encore à celles de Jean-Pierre Gagnepain, représentant d’Air Liquide au Cigref, qui s'exprimait ce vendredi 17 octobre au matin, sur les Assises de la sécurité, à Monaco.
Le changement d’approche, d’une recherche d’absolu au pragmatisme ciblé, devrait réconforter les RSSI épinglés dans l’étude sur la sécurité des SI français publiée par le Clusif fin juin dernier. Concentrée sur les outils déployés, elle mesurait une performance déplorable face un état de l’art lointain.
Reste que, pour Laurent Bellefin (en photo ci-contre), directeur des opérations sécurité de Solucom, l’adoption large et complète d’ISO 27001 n’est pour demain : « les démarches de certification ne sont pas naturelles en France. » De fait, selon une étude lancée par la SSII – dont l’activité d’audit de sécurité est certifiée ISO 27001 – en septembre dernier, seuls 5 grands comptes clients de Solucom se seraient engagés dans la démarche complète. Il faut dire que le processus a de quoi rebuter : « il faut compter 1 an minimum, voire deux ans si l’entreprise manque de maturité vis-à-vis de l’approche. » Et la maturité, on ne la trouve que chez… « 10 % des rencontres » avec des clients ou des prospects. Du coup, aujourd’hui, « la majorité des prestations porte sur des bilans », des états des lieux.
Certification : pas un objectif en soi
Ceux qui se lancent dans la démarche, ce sont d’abord des entreprises qui supportent une contrainte réglementaire forte, mais aussi les prestataires, pour lesquels « il s’agit de crédibiliser la proposition commerciale », ou encore les entreprises avec une importante activité à l’international.
Mais, pour les autres, Laurent Bellefin relève que la certification n’est pas nécessairement un objectif en soi : l’important est de mettre en place une démarche de sécurité basée sur des bonnes pratiques. Et si Laurent Bellefin ne sent pas encore d’impact de la crise économique sur l’activité de Solucom, il estime qu’elle pourrait aider au développement des prestations relatives à ISO 27001 « parce que la norme permet de se limiter à ce qui est le plus utile. » Et donc de limiter les frais.