ING : IT New Generation - ITnation

Technical Development Manager
le grand dossier
Sécurité
ISO : lifting sous contrôle
Considérée souvent à tort comme allant de soi, voire sans intérêt
et, surtout, coûteuse, la sécurité informatique prend un coup de
jeune sous l’effet d’une normalisation strictement encadrée.
La conclusion est connue depuis plus de 2500 ans : «L'épaisseur d'un rempart
compte moins que la volonté de le défendre», selon Thucydide, l'auteur
de la Guerre du Péloponnèse. De l’avis unanime de la profession, la sécurité
informatique est l’activité la moins exaltante qu’il puisse exister. Cette pratique
a bien évolué récemment pour suivre, comme bien d’autres, la voie de
la normalisation. Tendance nouvelle, la normalisation souligne l’implication du
management et de l’ensemble des acteurs des organisations qui décident de
s’approprier le sujet.
Une nouvelle approche a été établie à l’initiative
de l’International Organization for Standardization
(ISO) au travers de la famille de
normes ISO 2700x, qui ont succédé à celles
de 1995 de la British Standards Institution.
L’automne 2005 a vu naître la norme ISO/
IEC 27001:2005. Cette norme est en fait un
document traitant des Systèmes de Management
de la Sécurité Informatique (SMSI).
En annexe A de la norme sont énumérées
133 mesures de sécurité. Ces mesures
sont toutes obligatoires, toutefois la norme
envisage la possibilité d’écarter certains
contrôles et autorise l’extension des mesures.
L’ISO a ainsi pris soin de laisser la porte
ouverte à une certification facultative.
ALLO L’OLAS
Il existe un organisme accréditeur (l’OLAS
à Luxembourg) unique dans chaque pays,
lequel accrédite des organismes en vue
de pouvoir certifier d’autres organisations.
Ces certifications, limitées dans le temps,
ont un poids identique pour tout pays : une
organisation certifiée au Canada est à même
de certifier un organisme au Grand-Duché.
De même, il existe des auditeurs certifiés
par ces organismes, capables d’effectuer
des missions de contrôle (certification ISO
27001 Lead Auditor).
Un cadre normatif de la sécurité informatique
apporte une sécurité accrue par son cycle
d’amélioration continue, une gestion davantage
maîtrisée des risques, une harmonisation
par la création d’un langage commun,
une approche commune de l’audit, ainsi
que la rationalisation des contrôles et donc
les économies résultantes. La norme est
d’un intérêt majeur pour Luxembourg et en
particulier pour les professionnels du secteur
financier qui se doivent d’agir comme l’imposent
la circulaire CSSF 05/178 et la loi Mifid.
CLIMAT CONFIANT
La norme décrit un certain nombre d’exigences
en vue de mettre en place, d’exploiter et
d’améliorer un SMSI (qui se doit d’être documenté)
et donc in fine d’établir des mesures
adaptées à l’organisation concernée en vue
de protéger ses actifs (assets) et par conséquence
d’établir un climat de confiance pour
toutes les parties prenantes (stakeholders).
Cependant, la norme n’impose pas que
l’établissement d’un SMSI vise également
à conserver et à faire évoluer certains intérêts
stratégiques de l’organisation, tels sa
profitabilité ou bien son image de marque. Si
ces finalités ne sont pas exigées, elles sont
certainement une des heureuses conséquences
de la mise en place d’un SMSI.
Le système de management
doit établir une
politique de sécurité
validée et supportée par
le management, mise en
place par des mesures
techniques et organisationnelles
ainsi que définir des
objectifs, les atteindre, les
maintenir et surtout pouvoir
les améliorer (et donc pouvoir
faire l’objet d’audits réguliers).
Le cœur de la norme exige
la mise en place d’un modèle
d’activités du type cycle de
Deming, illustré par l’approche
Plan-Do-Check-Act bien connue
des spécialistes de la qualité. Au
final, l’implémentation de la norme
ISO 27001:2005 donne une forme
raisonnable de confiance, synonyme
d’un possible accroissement
du business.
40 AVRIL 08