Eric Doyen et Hervé Schauer, Club 27001 : une démarche pragmatique des normes
août 2008 par Marc Jacob
Le Club 27001 est animé depuis sa création par Eric Doyen et Hervé Schauer. Sa naissance a répondu à une volonté de RSSI d’échanger des informations pragmatiques sur les normes et leurs évolutions. Aujourd’hui, le Club 27001 compte plus de 400 membres, organise des conférences, a conçu son site Web, et dispose d’antennes à Toulouse et Rennes… Comme l’an passé, il sera présent au mois de Novembre sur le salon Infosecurity, Porte de Versailles, à l’occasion de la tenue de sa deuxième conférence. Son succès amène ses animateurs à envisager la création d’une association afin de structurer leur club.
Eric Doyen
Global Security Mag : Le Club 27001 a été créé il y a environ un an et demi, quel bilan faites-vous ?
Eric Doyen et Hervé Schauer : A des degrés divers, tout le monde utilise les normes de la série ISO 27001. La création du club 27001 a répondu à un intérêt fort et réel pour partager les expériences entre professionnels de la SSI dans l’usage et la mise en oeuvre de ses normes.
La maturité des RSSIs vis-à-vis de la norme est un facteur marquant également, on ne parle pas exclusivement de certification mais d’une démarche pragmatique permettant d’améliorer son niveau de sécurité global en cohérence avec l’appréciation des risques des activités de l’entreprise.
La conférence annuelle a été d’un niveau élevé et un succès. Le Club a réalisé un site Web pour relayer nos travaux et ainsi diffuser les retours d’expérience, participant à la mutualisation des bonnes pratiques.
Il a trois groupes actifs et un sous-groupe qui produit des résultats, donc s’il fallait faire le bilan, il serait très positif !
Plus de 400 membres sur toute la France
Global Security Mag : Combien comptez-vous de membres après ce premier exercice ?
Eric Doyen et Hervé Schauer : Le Club 27001 réunit les personnes intéressées par la série des normes ISO 27001, leur usage, leur mise en oeuvre, etc.
La liste électronique principale du Club qui est celle de Paris compte 400 membres à juin 2008. Cependant, les réunions en province ont leurs propres listes avec parfois des participants qui ne sont pas dénombrés dans la liste principale.
Le Club est présent à Toulouse et Rennes. Nous projetons d’avoir une présence sur Nantes. Nous travaillons actuellement pour monter un groupe sur la Suisse.
Nous ne parlons pas exclusivement de certification, mais aussi d’une démarche pragmatique pour améliorer le niveau de sécurité global
Hervé Schauer
GS Mag : Quels principaux travaux avez-vous effectué durant cette période ?
Eric Doyen et Hervé Schauer : Nous avons échangé au travers d’une vingtaine de présentations, dont la grande majorité ont leurs transparents disponibles sur le site Web du Club et au travers de débats et discussions.
Le groupe de travail mutualisation ITIL et ISO 20000 avec ISO 27001 a lui produit un document qui sera, sans doute, publié dans les prochains mois. Nous avons créé un comité de programme qui a organisé la conférence du Club 27001.
La maturité des RSSIs vis-à-vis de la norme est un facteur également marquant. Nous ne parlons pas exclusivement de certification mais d’une démarche pragmatique permettant d’améliorer son niveau de sécurité global en cohérence avec sa propre appréciation des risques.
GS Mag : Vous serez présents pour la deuxième année à Infosecurity Paris, quels sont les thèmes qui seront abordés lors de votre conférence ?
Eric Doyen et Hervé Schauer : L’accent sera mis comme l’an dernier sur les retours d’expérience, cependant nous ouvrons ces retours d’expérience à d’autres acteurs que les grands comptes.
L’appel à communication a été lancé en mai ; nous avons déjà quelques propositions intéressantes pour la conférence, il est un peu tôt pour fixer les thèmes définitifs de la conférence. La principale nouveauté par rapport à 2007 sera sans doute la norme ISO 27005 qui normalise la gestion des risques car elle a été publiée le 4 juin 2008. Vous y retrouverez également des retours d’expériences d’administrations et de grandes entreprises. Un débat viendra clôturer l’événement sur le thème « SMSI et norme ISO 27001 ».
GS Mag : Quels sont vos projets pour 2009 ?
Eric Doyen et Hervé Schauer : Le club a décidé de se structurer en association, c’est notre grand projet. Avoir une structure associative permettra d’avoir un conseil d’administration élu par les membres, qui complétera les groupes de travail. Ce conseil pourra notamment prendre des décisions et formaliser ce qui ne l’était pas auparavant, comme par exemple :
– décider en commun de la réponse à donner aux interviews et émettre des communiqués de presse comme lorsqu’une norme importante est publiée,
– formaliser un partenariat avec d’autres associations,
– formaliser un partenariat avec un organisateur de manifestation,
– pouvoir assurer des actions de communication et d’événements à thème,
– développer la promotion des normes, faire une plaquette, etc.,
– financer les déplacements de conférenciers,
– gérer une trésorerie,
– financer l’hébergement du serveur Web en permettant à chaque groupe régional, groupe de travail de mettre à jour lui-même sa partie.
GS Mag : Quel est votre message ?
Eric Doyen et Hervé Schauer : Si vous avez encore des doutes, venez vous joindre à nous et assister à notre conférence annuelle lors des journées du 19 et 20 novembre dans le cadre d’Infosecurity Paris 2008.
Articles connexes:
- Gérôme Billois, Solucom Group : Décentraliser les accès Internet, une stratégie gagnante ?
- Edouard Jeanson, Sogeti : Les password managers, Sésame ouvre-toi !
- Christophe Maira, Devoteam Consulting : Homogénéiser la sécurité des Systèmes d’Information, une question de méthode ?
- Scanners de vulnérabilité : une nécessité, mais le test d’intrusion humain est irremplaçable
- Jean-Marc Rietsch, FedISA : Dématérialisation et archivage électronique
- Sébastien Roman, ITekia : La gestion des risques IT peut-elle se faire sans les départements métiers ?
- Edouard Jeanson, Sogeti : quelques conseils de sécurisation d’Exchange 2007
- Thierry Jardin, Logica Management Consulting : Contrôle interne et SMSI
- Tristan Savalle, Solucom : La maîtrise des risques, nouveau cheval de bataille des RSSI
- Gérôme Billois, Solucom : Bilan de la journée ISO 27001 organisé par le Club 27001
- Gérome Billois, Solucom : Du château fort à l’aéroport, l’évolution des modèles de sécurité
- Edouard Jeanson, Sogeti : La Certification de Sécurité de Premier Niveau (CSPN), la bouffée d’air de la SSI basée sur le pragmatisme
- Edouard Jeanson, Sogeti : Le cryptage des laptops avec Biltocker Drive Encryption
- Guillaume Durand, Solucom group : Sensibilisation à la sécurité de l’information : traiter le « maillon faible »
- Biométrie « sans traces » : une nouvelle génération de techniques biométriques
- Gérôme Billois Solucom Group : ISO 27001 : l’arme anti-crise du RSSI
- Gérôme Billois, SoluCom : La confiance mutuelle, un nouveau modèle de sécurité ?