Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Club 27001 : La norme avance en France

décembre 2009 par Gérôme Billois – Manager Sécurité – Solucom

Pour la troisième année consécutive, le Club 27001 a tenu sa conférence annuelle le 19 novembre dernier. Ce sont plus de 50 personnes qui se sont retrouvées pour échanger autour des normes de la famille ISO 2700x : de leur élaboration à l’implémentation de SMSI et leur maintien, tous les aspects ont été abordés.

La journée a commencé par un état des lieux de la normalisation. Alain de Greve, coordinateur pour la Belgique des experts ISO du comité dédié à la sécurité de l’information, a donné un aperçu général du processus de normalisation et des travaux en cours. Le ujet d’actualité majeur est la révision des deux normes clés que sont l’ISO 27001 et l’ISO 27002.

De nombreux retours d’expérience d’utilisation de la norme ISO 27001 ont ensuite été présentés tout au long de la journée. Eric Wiatrowski, (Orange Business Services) a exposé la démarche de certification initiale d’un site au Caire, tandis que Sandrine Lanery (Easynet France), Loïc Guezo (IBM France) et Gérôme Billois (Solucom) ont successivement pris la parole pour présenter leur retour d’expérience sur la certification ISO 27001 et son maintien dans les années qui suivent l’effort initial. Pour compléter ces présentations, Jean-Louis Coulon (Réunica) a apporté le point de vue d’une Direction Générale sur la certification ISO 27001 et ses apports en termes métier.

L’adoption de la norme sans objectif de certification a également été abordée sous des angles très différents : si Nicolas Mayer (centre de recherche public Henri Tudor) a évoqué les expérimentations en cours auprès des PME luxembourgeoises pour l’implémentation de SMSI, François Morris (CNRS) a à l’inverse exposé une démarche de mise en place d’un SMSI large dans une organisation complexe.

La journée s’est conclue par une table ronde animée par Anne Confolant (ITesspresso.fr) et regroupant les représentants des principaux organismes de certifications (Béatrice Porrot, LRQA France, Philippe Bourdalé, AFNOR Certification et Philippe Bouchet, LSTI) qui ont pu apporter un retour d’expérience avec une vision différente de celle des utilisateurs de la norme.
Ces différentes interventions ont bien montré l’appropriation progressive de la norme ISO 27001 en France. Si l’an passé de nombreuses interventions portaient sur des bilans de maturité ou sur la mise en place initiale d’un SMSI, les retours d’expérience de cette année abordent avec plus de recul les apports de la certification et les actions nécessaires à son maintien. Cette journée a démontré une fois de plus que l’utilisation de l’ISO 27001 apporte d’incontestables avancées en termes de confiance des clients et de facilitation des démarches de mise en conformité réglementaire.

De nombreuses astuces de mise en œuvre ont également été évoquées, en particulier l’émulation que peut apporter la certification d’un site parmi d’autres ou encore les possibilités de limitation d’un périmètre précis par l’utilisation de contrats de service internes. L’importance de l’aspect humain dans la mise en œuvre, et surtout dans le maintien de la certification, a été abordé. Les périmètres ayant déjà franchis l’étape d’une certification qualité ont un avantage indéniable pour viser l’ISO 27001.

De l’avis des participants la journée a été riche d’échanges et a montré l’avancée progressive de la France sur le domaine de l’ISO 27001. Notre retard est toujours important mais gageons que toutes les initiatives présentées a cette occasion seront des accélérateurs pour les structures qui envisagent d’utiliser la norme, soit pour une certification soit dans un objectif d’alignement.

Nous vous donnons rendez-vous dès le 14 janvier pour les réunions habituels du Club 27001 (www.club-27001.fr) et à l’année prochaine pour notre prochain grand rendez-vous !


Voir les articles précédents

    

Voir les articles suivants