Technical Development Manager le grand dossier Sécurité ISO : lifting sous contrôle Considérée souvent à tort comme allant de soi, voire sans intérêt et, surtout, coûteuse, la sécurité informatique prend un coup de jeune sous l’effet d’une normalisation strictement encadrée. La conclusion est connue depuis plus de 2500 ans : «L'épaisseur d'un rempart compte moins que la volonté de le défendre», selon Thucydide, l'auteur de la Guerre du Péloponnèse. De l’avis unanime de la profession, la sécurité informatique est l’activité la moins exaltante qu’il puisse exister. Cette pratique a bien évolué récemment pour suivre, comme bien d’autres, la voie de la normalisation. Tendance nouvelle, la normalisation souligne l’implication du management et de l’ensemble des acteurs des organisations qui décident de s’approprier le sujet. Une nouvelle approche a été établie à l’initiative de l’International Organization for Standardization (ISO) au travers de la famille de normes ISO 2700x, qui ont succédé à celles de 1995 de la British Standards Institution. L’automne 2005 a vu naître la norme ISO/ IEC 27001:2005. Cette norme est en fait un document traitant des Systèmes de Management de la Sécurité Informatique (SMSI). En annexe A de la norme sont énumérées 133 mesures de sécurité. Ces mesures sont toutes obligatoires, toutefois la norme envisage la possibilité d’écarter certains contrôles et autorise l’extension des mesures. L’ISO a ainsi pris soin de laisser la porte ouverte à une certification facultative. ALLO L’OLAS Il existe un organisme accréditeur (l’OLAS à Luxembourg) unique dans chaque pays, lequel accrédite des organismes en vue de pouvoir certifier d’autres organisations. Ces certifications, limitées dans le temps, ont un poids identique pour tout pays : une organisation certifiée au Canada est à même de certifier un organisme au Grand-Duché. De même, il existe des auditeurs certifiés par ces organismes, capables d’effectuer des missions de contrôle (certification ISO 27001 Lead Auditor). Un cadre normatif de la sécurité informatique apporte une sécurité accrue par son cycle d’amélioration continue, une gestion davantage maîtrisée des risques, une harmonisation par la création d’un langage commun, une approche commune de l’audit, ainsi que la rationalisation des contrôles et donc les économies résultantes. La norme est d’un intérêt majeur pour Luxembourg et en particulier pour les professionnels du secteur financier qui se doivent d’agir comme l’imposent la circulaire CSSF 05/178 et la loi Mifid. CLIMAT CONFIANT La norme décrit un certain nombre d’exigences en vue de mettre en place, d’exploiter et d’améliorer un SMSI (qui se doit d’être documenté) et donc in fine d’établir des mesures adaptées à l’organisation concernée en vue de protéger ses actifs (assets) et par conséquence d’établir un climat de confiance pour toutes les parties prenantes (stakeholders). Cependant, la norme n’impose pas que l’établissement d’un SMSI vise également à conserver et à faire évoluer certains intérêts stratégiques de l’organisation, tels sa profitabilité ou bien son image de marque. Si ces finalités ne sont pas exigées, elles sont certainement une des heureuses conséquences de la mise en place d’un SMSI. Le système de management doit établir une politique de sécurité validée et supportée par le management, mise en place par des mesures techniques et organisationnelles ainsi que définir des objectifs, les atteindre, les maintenir et surtout pouvoir les améliorer (et donc pouvoir faire l’objet d’audits réguliers). Le cœur de la norme exige la mise en place d’un modèle d’activités du type cycle de Deming, illustré par l’approche Plan-Do-Check-Act bien connue des spécialistes de la qualité. Au final, l’implémentation de la norme ISO 27001:2005 donne une forme raisonnable de confiance, synonyme d’un possible accroissement du business. 40 AVRIL 08
Technical Development Manager Christophe Burtin, Independent Information Technology and Services Professional à Luxembourg AVRIL 08 41
- Page 1 and 2: LUXEMBOURG AVRIL 2008 / N°09 IT FI
- Page 3 and 4: est un magazine 83 rue de Hollerich
- Page 5 and 6: LE GRAND ENTRETIEN Philippe Gusbin
- Page 7 and 8: le grand entretien AVRIL 08 7
- Page 9 and 10: BUSINESS DECISION MAKER Avez-vous d
- Page 11: leasing made smarter leasing made s
- Page 14 and 15: BUSINESS DECISION MAKER niveau de l
- Page 16 and 17: BUSINESS DECISION MAKER toujours au
- Page 18 and 19: BUSINESS DECISION MAKER CONFÉRENCE
- Page 21 and 22: it finance > New Access présente B
- Page 23 and 24: Secure your business sites with dig
- Page 25 and 26: Laurent Gateau, Assistant Manager e
- Page 27 and 28: le grand dossier > Clussil p 28 > L
- Page 29 and 30: BUSINESS DECISION MAKER «Au Luxemb
- Page 31 and 32: BUSINESS DECISION MAKER PLATEFORME
- Page 33 and 34: François Thill, Chargé de mission
- Page 35 and 36: Who needs expensive, proprietary vi
- Page 37 and 38: BUSINESS DECISION MAKER La source d
- Page 39: Daniel Soriano, Sales Department Ma
- Page 43 and 44: Jérôme Jacob, expert sécurité c
- Page 45 and 46: Et si notre ouverture multiculturel
- Page 47 and 48: Technical Development Manager Alert
- Page 49 and 50: Technical Development Manager Un en
- Page 51 and 52: esponsabilité directe du top manag
- Page 53 and 54: Managed services that deliver conti
- Page 55 and 56: Christophe Bianco, Business Develop
- Page 57 and 58: Technical Development Manager le gr
- Page 59 and 60: Technical Development Manager le gr
- Page 61 and 62: ? Sh..!! Where are my data today? S
- Page 63 and 64: actual it > Microsoft 2008 p 65 > e
- Page 65 and 66: Developer / Consultant actual it Lo
- Page 67 and 68: BUSINESS DECISION MAKER actual it B
- Page 69 and 70: UN MARCHÉ PLUS TRANSPARENT Namesto
- Page 71 and 72: Technical Development Manager L’e
- Page 73 and 74: Grégory, Laurence, Patrick, Stepha
- Page 75 and 76: plus de produits sont lancés dans
- Page 77 and 78: Quel est votre sens de l’innovati
- Page 79 and 80: Déposez votre CV, présentez votre
- Page 81 and 82: Vous recrutez ? Votre annonce ici p
- Page 83 and 84: SOUS LE HAUTPATRONAGE DU MINISTÈRE