Gérôme Billois, Solucom : Bilan de la journée ISO 27001 organisé par le Club 27001
décembre 2008 par Gérôme Billois – Manager Sécurité – Solucom
La 2ème journée ISO 27001 a eu lieu le 26 novembre dans le cadre du salon Infosecurity à la porte de Versailles. Cette journée a pour objectif la promotion de l’usage des normes de la famille IS0 27001.
Les échanges ont été nourris avec un public avoisinant les 70 personnes et provenant de tous les horizons : grands-comptes, PME, fournisseurs, cabinets de conseil… Ils ont clairement montré que l’ISO 27001 est un sujet d’actualité dans de nombreuses organisations, avec ou sans objectifs de certification. Les principes de la norme ont été unanimement reconnus par les intervenants et par les participants comme une solution pérenne et viable de maîtrise des risques.
La journée a débuté par une présentation sur les normes ISO 27001 par Alain de Grève, coordinateur du groupe belge de normalisation SSI. Ensuite des témoignages d’utilisateurs de la norme sans objectif de certification ont démontré la capacité d’utilisation des principes au quotidien que ce soit dans le milieu bancaire avec François Jolivet de la Société Générale, ou au niveau des administrations avec Nicolas Bunoust du Conseil Général de Loire Atlantique. Sur les aspects méthodologiques, Alain Huet du ministère belge FedICT a exposé la méthode d’analyse de risque inspirée de la norme 27005 et simplifiée utilisée par son administration, et Stéphane Sciacco d’Orange Business Service a exposé les liens existant entre l’ISO 20000-1 (norme basée sur les concepts d’ITIL) et l’ISO 27001. Des sociétés certifiées sont également venues faire part des raisons réglementaires et éthiques qui les ont poussées à la certification et explicité la démarche qu’elles ont suivi aussi bien dans le secteur médical avec le Docteur Othar Zourabichvili, Président et CEO, Quanta Medical et Patrick Bosch, RSSI de la Loterie Luxembourgeoise.
La journée s’est ensuite continuée par une présentation des travaux du Club (en particulier Eric Doyen du Crédit Immobilier, Liliane Tonon d’Alcatel Lucent et Alexandre Fernandez-Toro du cabinet HSC) sur les liens entre ITIL et l’ISO 27001 avec la présentation des premières fiches de synthèse issues des travaux des membres du Club. Ces fiches ont pour objectif de présenter concrètement une démarche de mise en œuvre commune d’ITIL/ISO 20000-1 et de l’ISO 27001 dans le cadre d’une étude de cas.
Et finalement une table ronde où se sont notamment exprimés Gérôme Billois (Solucom), Paul Grassart (Ageris), Thierry Jardin (Logica), Hervé Schauer (HSC) et Stéphane Siacco (Orange) sur le sujet de la mutualisation des systèmes de management a clôturé l’événement. En effet les systèmes de management issus de la qualité (ISO 9001) ou encore des services IT (20000-1) partagent des principes communs : amélioration continue, gestion documentaire, revue de direction, audit interne… Il est donc envisageable de mutualiser ces différents éléments entre plusieurs systèmes de management et d’obtenir des gains de temps, aussi bien en interne que pour les audits certifiants. Cependant cette pratique peut également entraîner le risque d’une perte de l’ensemble des certifications en cas d’écart majeur sur un des systèmes. Les intervenants de la journée ont donc débattu sur l’opportunité de mettre en œuvre ces mutualisations.
Créé en 2006, l’objectif du Club 27001 est de réunir les personnes intéressées par la série des normes ISO 27000, sous la forme d’un groupe de travail, de réflexion et d’échanges. Le groupe est ouvert à tous, utilisateurs comme fournisseurs. Le Club 27001 vient récemment de se structurer en association afin de rendre possible son développement sur les prochaines années. Vous trouverez un compte-rendu détaillé et les présentations de la journée sur le site du Club www.club-27001.fr.
]
Et rendez-vous en 2009 pour la 3ème journée !
Articles connexes:
- Gérôme Billois, Solucom Group : Décentraliser les accès Internet, une stratégie gagnante ?
- Eric Doyen et Hervé Schauer, Club 27001 : une démarche pragmatique des normes
- Edouard Jeanson, Sogeti : Les password managers, Sésame ouvre-toi !
- Christophe Maira, Devoteam Consulting : Homogénéiser la sécurité des Systèmes d’Information, une question de méthode ?
- Scanners de vulnérabilité : une nécessité, mais le test d’intrusion humain est irremplaçable
- Jean-Marc Rietsch, FedISA : Dématérialisation et archivage électronique
- Sébastien Roman, ITekia : La gestion des risques IT peut-elle se faire sans les départements métiers ?
- Edouard Jeanson, Sogeti : quelques conseils de sécurisation d’Exchange 2007
- Thierry Jardin, Logica Management Consulting : Contrôle interne et SMSI
- Tristan Savalle, Solucom : La maîtrise des risques, nouveau cheval de bataille des RSSI
- Gérome Billois, Solucom : Du château fort à l’aéroport, l’évolution des modèles de sécurité
- Edouard Jeanson, Sogeti : La Certification de Sécurité de Premier Niveau (CSPN), la bouffée d’air de la SSI basée sur le pragmatisme
- Edouard Jeanson, Sogeti : Le cryptage des laptops avec Biltocker Drive Encryption
- Guillaume Durand, Solucom group : Sensibilisation à la sécurité de l’information : traiter le « maillon faible »
- Biométrie « sans traces » : une nouvelle génération de techniques biométriques
- Gérôme Billois Solucom Group : ISO 27001 : l’arme anti-crise du RSSI
- Gérôme Billois, SoluCom : La confiance mutuelle, un nouveau modèle de sécurité ?