ING : IT New Generation - ITnation
ING : IT New Generation - ITnation
ING : IT New Generation - ITnation
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Technical Development Manager<br />
le grand dossier<br />
Sécurité<br />
ISO : lifting sous contrôle<br />
Considérée souvent à tort comme allant de soi, voire sans intérêt<br />
et, surtout, coûteuse, la sécurité informatique prend un coup de<br />
jeune sous l’effet d’une normalisation strictement encadrée.<br />
La conclusion est connue depuis plus de 2500 ans : «L'épaisseur d'un rempart<br />
compte moins que la volonté de le défendre», selon Thucydide, l'auteur<br />
de la Guerre du Péloponnèse. De l’avis unanime de la profession, la sécurité<br />
informatique est l’activité la moins exaltante qu’il puisse exister. Cette pratique<br />
a bien évolué récemment pour suivre, comme bien d’autres, la voie de<br />
la normalisation. Tendance nouvelle, la normalisation souligne l’implication du<br />
management et de l’ensemble des acteurs des organisations qui décident de<br />
s’approprier le sujet.<br />
Une nouvelle approche a été établie à l’initiative<br />
de l’International Organization for Standardization<br />
(ISO) au travers de la famille de<br />
normes ISO 2700x, qui ont succédé à celles<br />
de 1995 de la British Standards Institution.<br />
L’automne 2005 a vu naître la norme ISO/<br />
IEC 27001:2005. Cette norme est en fait un<br />
document traitant des Systèmes de Management<br />
de la Sécurité Informatique (SMSI).<br />
En annexe A de la norme sont énumérées<br />
133 mesures de sécurité. Ces mesures<br />
sont toutes obligatoires, toutefois la norme<br />
envisage la possibilité d’écarter certains<br />
contrôles et autorise l’extension des mesures.<br />
L’ISO a ainsi pris soin de laisser la porte<br />
ouverte à une certification facultative.<br />
ALLO L’OLAS<br />
Il existe un organisme accréditeur (l’OLAS<br />
à Luxembourg) unique dans chaque pays,<br />
lequel accrédite des organismes en vue<br />
de pouvoir certifier d’autres organisations.<br />
Ces certifications, limitées dans le temps,<br />
ont un poids identique pour tout pays : une<br />
organisation certifiée au Canada est à même<br />
de certifier un organisme au Grand-Duché.<br />
De même, il existe des auditeurs certifiés<br />
par ces organismes, capables d’effectuer<br />
des missions de contrôle (certification ISO<br />
27001 Lead Auditor).<br />
Un cadre normatif de la sécurité informatique<br />
apporte une sécurité accrue par son cycle<br />
d’amélioration continue, une gestion davantage<br />
maîtrisée des risques, une harmonisation<br />
par la création d’un langage commun,<br />
une approche commune de l’audit, ainsi<br />
que la rationalisation des contrôles et donc<br />
les économies résultantes. La norme est<br />
d’un intérêt majeur pour Luxembourg et en<br />
particulier pour les professionnels du secteur<br />
financier qui se doivent d’agir comme l’imposent<br />
la circulaire CSSF 05/178 et la loi Mifid.<br />
CLIMAT CONFIANT<br />
La norme décrit un certain nombre d’exigences<br />
en vue de mettre en place, d’exploiter et<br />
d’améliorer un SMSI (qui se doit d’être documenté)<br />
et donc in fine d’établir des mesures<br />
adaptées à l’organisation concernée en vue<br />
de protéger ses actifs (assets) et par conséquence<br />
d’établir un climat de confiance pour<br />
toutes les parties prenantes (stakeholders).<br />
Cependant, la norme n’impose pas que<br />
l’établissement d’un SMSI vise également<br />
à conserver et à faire évoluer certains intérêts<br />
stratégiques de l’organisation, tels sa<br />
profitabilité ou bien son image de marque. Si<br />
ces finalités ne sont pas exigées, elles sont<br />
certainement une des heureuses conséquences<br />
de la mise en place d’un SMSI.<br />
Le système de management<br />
doit établir une<br />
politique de sécurité<br />
validée et supportée par<br />
le management, mise en<br />
place par des mesures<br />
techniques et organisationnelles<br />
ainsi que définir des<br />
objectifs, les atteindre, les<br />
maintenir et surtout pouvoir<br />
les améliorer (et donc pouvoir<br />
faire l’objet d’audits réguliers).<br />
Le cœur de la norme exige<br />
la mise en place d’un modèle<br />
d’activités du type cycle de<br />
Deming, illustré par l’approche<br />
Plan-Do-Check-Act bien connue<br />
des spécialistes de la qualité. Au<br />
final, l’implémentation de la norme<br />
ISO 27001:2005 donne une forme<br />
raisonnable de confiance, synonyme<br />
d’un possible accroissement<br />
du business.<br />
40 AVRIL 08