Pascal Lointier, Président du Clusif, lance le débat à travers deux exemples significatifs. En 2008, la chaîne de magasins d’alimentation américaine Hannaford a été victime d’une fraude informatique qui a vu les données confidentielles de plus de quatre millions de ses clients subtilisées. Un logiciel espion interceptait les données de cartes de crédit et de guichet des clients, au moment où elles étaient transmises aux banques par les établissements pour approbation. Pourtant, cette société était conforme à la norme PCI-DSS. La Dubai Bank a, quant à elle, été victime de fraudes à la carte bancaire alors qu’elle était conforme à la norme ISO 27001. Des centaines de transactions frauduleuses ont été constatées à l’étranger en quelques heures. Cette fraude aurait touché 42 % des clients de la banque de Dubaï.

Paul Grassart et Laurent Hugou

Paul Grassart, Consultant chez Ageris Group, et Laurent Hugou, Chef de projet sécurité de la Bibliothèque publique d’information (BPI), Centre Georges Pompidou, étaient présents pour nous faire part de leur retour d’expérience. Chaque jour, la bibliothèque accueille plus de 5.000 visiteurs gratuitement et anonymement. Ces derniers ont accès aux livres, aux données multimédias, aux films, à Internet, … Cependant, depuis l’apparition de nouvelles technologies, la BPI a été victime de tests d’intrusion, de détournements de postes informatiques, …, devant ainsi faire face à la problématique de sécurité. Pour ce faire, la BPI a fait appel à Ageris Group afin d’effectuer un audit. L’objectif était de faire un état des lieux de manière à pouvoir établir ensuite un plan d’action. Dans ce cadre, Ageris a testé toutes les vulnérabilités inhérentes à la bibliothèque, cartographié les scénarios de risques et évalué la robustesse du SI.

Ageris a choisi d’utiliser le référentiel MEHARI dans sa démarche. Le résultat fut plutôt inquiétant, car peu de « bonnes pratiques » de sécurité apparaissaient, selon le référentiel, mises en œuvre, pourtant dans la réalité, un certain nombre de mesures de sécurité avaient été déployées en interne. La réalité des risques était donc beaucoup plus rassurante. Les pratiques mises en œuvre sont efficaces, adaptées aux besoins et au contexte, et économiquement efficientes. La posture de risque est bonne alors pourquoi devenir conforme au référentiel ? Quelle pertinence a-t-il dans ce contexte ?

La conformité est une aide à la dynamique, pas une finalité en soi

Pour conclure, Paul Grassart en déduit qu’il n’existe pas de référentiel conçu pour les environnements comme la BPI, pourtant certains référentiels sont sensés pouvoir s’adapter à tous les secteurs. La logique de conformité est-elle pertinente en tant que telle ? Ce n’est pas parce que je fais de la conformité que je fais de la sécurité. La sécurité est un processus. La conformité est une aide à la dynamique, pas une finalité en soi.

Anne Coat, Consultante chez Sekoia, aborde, quant à elle, le thème de la conformité dans le milieu de la santé. Un établissement hospitalier dépend aujourd’hui pleinement de son SI et le contexte réglementaire y est relativement lourd : droit d’auteur, CNIL, confidentialité des données médicales, … Les besoins de base en terme de sécurité sont la disponibilité des données, leur intégrité et enfin leur confidentialité. Mais, selon elle, l’important est de trouver un équilibre entre ce que l’on appelle « safety » et « security ». Quand la vie du patient est en jeu, la sécurité et l’accès aux données passe en second plan.

Thierry Autrey, RSSI du Groupement Carte Bancaire, revient sur le standard PCI DSS, enclin à la protection des données sensibles liées à la carte. Environ 2.000 millions de Cartes Bancaires sont actuellement en circulation dans le monde, toutes gérées au travers de SI. « Personne ne peut être contre la finalité de la protection des informations liées aux Cartes Bancaires. Le problème provient de la façon dont cette norme a été présentée. Nous n’avons pas attendu la norme PCI DSS pour faire de la sécurité en France. En France, le niveau de sécurité est beaucoup plus élevé qu’aux USA, puisque toutes les cartes sont à puce. Nombreux sont les commerçants français qui n’ont pas envie de voir débarquer des auditeurs anglo-saxons venus changer leur système de fonctionnement. A cause d’organismes américains peu scrupuleux, qui vérifient à peine la date de validité des cartes, le globe entier doit mettre en place ce standard… Pourtant la sécurité d’un SI peut être efficace sans être strictement en conformité ».

La sécurité d’un SI peut être efficace sans être strictement en conformité

Les commerçants aujourd’hui s’y mettent. Pour lui, malgré les différents écueils et paradoxes liés à cette norme, l’avantage qui en ressort est qu’elle oblige à se poser des questions sur l’organisation de son SI, à faire un inventaire exhaustif et une cartographie du SI. Les utilisateurs seront, de ce fait, plus sensibilisés à la sécurité et les RSSI auront peut-être plus de budget. Cependant, il ne faut pas omettre que la plupart des entreprises n’ont pas de RSSI ni les moyens de répondre à ces exigences. Tout le monde n’est pas égal devant la norme.

Paul Richy, Perrine Diligent, Jacques Perrault, Serge Saghroune

Pour Jacques Perrault, Consultant Manager chez Audisoft Consultants, la conformité c’est une obligation mais en même temps on observe certaines dérives. Ce n’est pas une garantie de sécurité. Elle améliore néanmoins la prise de conscience des besoins de sécurité. Le milieu bancaire est l’un des plus réglementés, mais cette pression réglementaire permet de garder le contrôle et la maîtrise. Perrine Diligent, Consultant Expert chez Byward France, le confirme. Pour elle, la norme ISO 27001 permet d’avoir une vision sur les besoins de sécurité, l’objectif étant le maintien dans le temps du niveau de sécurité et l’amélioration continue. Selon Paul Richy, Expert France Télécom, environ 17.000 normes sont en cour. Elles sont nombreuses à prendre en compte la sécurité. L’avantage des normes 27000 est qu’elles sont relativement globales. L’important est de s’intéresser aux points les plus constructifs.

La normalisation doit être un arsenal pour le RSSI

Pour Serge Saghroune, RSSI du Groupe Accor, la sécurité impose déjà de nombreuses contraintes, alors pourquoi aller en rajouter une couche. Le critère de la disponibilité est primordial. Pour lui, la conformité est parfois même antinomique avec la sécurité. Les mesures liées à la conformité ne sont que temporaires et, en plus, coûtent très cher, sachant que ce budget sera, en outre, soutiré à celui dédié à la sécurité. La normalisation doit être un arsenal pour le RSSI et être utilisée à bon escient. En aucun cas, elle ne doit devenir une contrainte. Les normes permettent de se remettre en cause. Le problème est, selon lui, lié à la certification, qui s’apparente à une déviance.