La Sécurité des Systèmes d'Information – Test d'intrusion, Pentest, Audit ISO 27001

ISO 27001 – EST-IL INDISPENSABLE DE SE FAIRE CERTIFIER ?

iso

 

Notre département Conseil est régulièrement sollicité par les Organisations qui entreprennent une démarche Sécurité de leur Système d’Information.

Cette démarche est – à juste titre – associée au référentiel ISO 27001, dont les exigences, une fois satisfaites, permettent la formalisation de procédures et la valorisation d’indicateurs de sécurité.

Bien que certifiés Lead Auditor ISO27001, Lead Implementor ISO27001 et CISA, nos consultants ne poussent pas à la certification, loin de là ! Et je m’en explique.

  • La norme ISO27001 définit un cadre de management de la sécurité du système d’information.
  • Il s’agit d’une norme Qualité, adossée à l’IT.
  • La suivre ou l’implémenter est bénéfique et structurant pour toute organisation.
  • Elle permet un alignement de l’IT sur les métiers de l’Entreprise et impose aux différents services de communiquer entre eux.

Cependant, il faut se poser les bonnes questions avant de déclamer haut et fort : « Faisons de la sécu, passons la certif ISO27001 ! »

La première d’entre-elles consiste à comprendre les motivations d’une telle ambition. Le terme n’est pas emphatique, puisque l’implémentation réussie d’un tel référentiel nécessite un investissement financier et humain conséquent, sur une durée de 3 à 5 ans en moyenne.

Quel est donc le facteur déclencheur ?

  • Incident ?
  • Changement de Direction Générale ou de DSI ?
  • Impulsion par le Groupe ?
  • Besoin business ?

L’incident de sécurité pousse De Facto les entreprises victimes à se remettre en cause et à revoir le modèle de surveillance et de contrôle de ses actifs. Il est générateur de stress et de précipitation et ne permet pas le recul nécessaire à une bonne appréhension de la démarche.

Le changement de DG ou DSI autorise la prise de recul par rapport aux méthodologies de gestion ayant cours au sein de l’Organisation et s’accompagne généralement de projets marquants pour l’Entreprise. La mise en œuvre de démarches structurantes en fait partie.

L’impulsion par la Direction d’un Groupe international à destination de ses entités nationales représente une situation ambiguë pour ces filiales, alors contraintes et embarquées sur une mer agitée, le plus souvent sans boussole ni compas….

Enfin, le besoin business, est certainement le facteur déclenchant le plus sain. Il est issu d’un constat de la Direction Générale quant à sa capacité à pénétrer des marchés ou à en être exclu, à défaut de pouvoir justifier de pratiques rigoureuses en matière de protection de l’information que l’Entreprise traite.

Ce constat mûrit une réflexion sans précipitation et évalue la pertinence d’une démarche d’implémentation d’un référentiel impliquant tel que l’ISO 27001, et ce avec l’ensemble des parties prenantes à ce type de projet.

 

Est-il dès lors indispensable de se faire certifier pour faire de la sécurité ?

La certification n’est que le constat externe d’une démarche aboutie et de processus maîtrisés, mais n’empêche pas, dans les faits, une entité non-certifiée d’avoir un niveau de sécurité techniquement plus performant qu’une entreprise certifiée. Elle est souvent, à tort, perçue comme un gage de haut niveau de sécurisation.

La mise en œuvre et le maintien d’une certification est contraignante et chronophage, quelques exemples :

Qui doit être décisionnaire ?

Qui pour être : Initiateur actif, porteur du projet, promoteur évangéliste de la sécurité dans une démarche où la résistance au changement prendra corps au travers de coups de gueule vindicatifs, de mesquineries geekesques, de shadow IT et autres tentatives de contournement et d’évitement des procédures alors mises en œuvre par un Comité Sécurité dépassé par la charge que représente cette mission….

Un projet ISO27001 doit être porté par la Direction Générale et relayé au sein de chaque service par un porteur de projet convaincu et bon communiquant.

Il convient de faire comprendre les enjeux de la sécurité à l’ensemble des collaborateurs et non pas d’aligner des mesures et des procédures à coup de 49.3.

Qui doit être partie prenante ?

PDCA : Planifier, déployer, Contrôler, Améliorer encore et encore.

Cette charge doit-elle et peut-elle additionner aux missions déjà inscrites sur les fiches de postes des collaborateurs choisis pour entreprendre la démarche ? Faut-il embaucher des nouveaux collaborateurs pour suppléer aux principaux acteurs ?

Quels coûts ?

Il faut prendre en compte les coûts humains, les coûts des projets IT techniques, les coûts de sensibilisation/formation,  les coûts des consultants amenés à vous aider sur l’implémentation et les contrôles des procédures. (Analyse de risques, plan d’actions, audits sécurité, rédaction et formalisation, audit de certification)

En résumé

Il me semble important que chaque organisation ou entreprise initie une démarche de sécurité de ses systèmes d’information. L’ISO27001 est un guide structurant sans contrainte majeure lorsque celui-ci est appliqué au fur et à mesure de la vie de l’entreprise.

La première phase consiste en une analyse macro des processus de gestion de la sécurité de l’entreprise, soit organisationnelle (sur la base ISO 27002) soit technique (Tests d’intrusion par exemple).

L’un de nos clients nous a dit un jour : « La certification ISO27001, ce sera la cerise sur le gâteau, une fois que tout sera fait pour de vrai ».

CQFD !

Views All Time
Views All Time
168
Views Today
Views Today
1

About Jean-Bernard YATA

Jean-Bernard YATA , est Consultant chez ACESI Group au sein du département Conseil en tant qu'Expert en Sécurité Technique des Systèmes d'Information. Il réalise des tests d'intrusion (Pentest) internes et externes, mais également des audits techniques systèmes et réseaux dans une approche Security by Design, sur un modèle participatif. Egalement Lead Auditor ISO27001,il audite la maturité des entreprises dans leurs démarches de sécurité en vue d'une certification ISO27001, ou d'une volonté forte, parfois contrainte, d'aligner l'IT sur le Business.

Have your say