Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Gérôme Billois Solucom Group : ISO 27001 : l’arme anti-crise du RSSI

février 2009 par Gérôme Billois – Manager Sécurité – Solucom

En ces périodes économiques troublées, il est parfois difficile pour les RSSI de démarrer de nouveaux projets ou d’avoir une bonne visibilité sur les budgets qu’ils peuvent engager. Il faut « batailler » sur chaque sujet pour obtenir les ressources nécessaires en cherchant à justifier l’intérêt ou le retour sur investissement de chaque euro engagé. Et nous savons tous combien il est difficile de justifier une dépense dans le domaine de la sécurité !

L’ISO 27001 apporte une réponse réelle à cette problématique. Elle permet d’atteindre ce que les approches classiques de la sécurité n’avaient pas pu faire : concrétiser l’efficience des mesures de sécurité et l’adéquation entre les coûts et les risques. Ceci est possible grâce à la mise en place du système de management de la sécurité de l’information (SMSI), qui repose sur les principes suivants :

- Une meilleure connaissance des risques qui pèsent réellement sur les activités de l’entreprise. Une évaluation annuelle des risques est exigée. Elle permet de comprendre et de concrétiser les risques auxquels l’organisation est exposée.

- La garantie de mieux dimensionner et justifier le budget sécurité. L’analyse de risques justifie la sélection de mesures de sécurité et la mise en œuvre de projets auxquels il est nécessaire d’associer des coûts d’investissement et de fonctionnement. La liaison entre les risques et les investissements est alors directe.

- L’assurance d’un investissement maitrisé et régulièrement réévalué. Chaque année, une phase d’évaluation de l’efficacité des mesures de sécurité doit être conduite. Elle est réalisée sur la base de l’analyse d’indicateurs, de résultats d’audits et/ou de contrôles et de suivi des incidents. Cette analyse entraîne la réévaluation des efforts à fournir et peut conduire à l’arrêt ou au redimensionnement de certaines mesures de sécurité.

Il est évident que cette maturité ne sera pas atteinte immédiatement et qu’elle nécessite la réalisation de plusieurs itérations annuelles de cette « boucle » de progrès, mais le RSSI a tout intérêt à s’engager dans cette voie pour prioriser ses projets, justifier les budgets associés et légitimer ses actions.

De plus, l’ISO 27001 dispose d’atouts spécifiques qui permettent son implémentation même dans le cadre d’une phase de réduction de coûts, et ceci, pour les raisons suivantes :

- Il s’agit d’un projet majoritairement organisationnel nécessitant peu d’investissements en matériel ou en licence grâce à la réutilisation et à la rationalisation de l’existant.

- Il est facile d’obtenir des gains en interne sans être obligé de viser la certification, et donc en limitant les coûts externes d’audits certifiants. Il est possible d’adopter la norme progressivement, en suivant un rythme propre à chaque structure.

Au-delà de ces apports essentiels dans le contexte économique actuel, il est important de noter également que la mise en place d’une démarche ISO 27001 apporte également les gains suivants :

- La facilitation d’autres démarches liées à la sécurité de l’information, comme la mise en conformité à PCI-DSS (protection des données de carte bancaire), à Bâle II, à Sarbanes-Oxley ou encore à la loi informatique et libertés. L’ensemble des exigences peut alors être regroupé (en particulier dans le cadre de la déclaration d’applicabilité) et traité comme un ensemble cohérent, évitant les redondances rencontrées communément dans le cadre de ces projets.

- En cas de certification, l’ISO 27001 apporte une reconnaissance externe utile dans certains secteurs d’activités pour disposer d’avantages concurrentiels dans le cadre d’appels d’offres. Ceci est vrai dans le domaine de l’informatique (externalisation de la sécurité, hébergement, prestataire de paiement, audits...) et de plus en plus dans des domaines métiers où la confidentialité est cruciale (secret industriel, recherche et développement, secret des affaires…).

L’ISO 27001 est donc bien l’arme anti-crise du RSSI ! Elle lui permet d’afficher une démarche cohérente (implication du management dans les décisions) permettant de réaliser des choix en toute connaissance de cause (risques affectés par les réductions éventuels de budget). Elle est en phase avec les exigences de rationalisation et de réduction des coûts (revue annuelle des efforts en fonction de l’efficacité des mesures), et ceci sans pour autant transiger sur les efforts essentiels pour couvrir les risques majeurs !


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants