HISTORIQUE
En 1995 la BSI (British Standards Institution) publie un document composé de 10 grands chapitres et contenant une centaine de recommandations sécuritaires sous le dénominatif de norme BS7799. En 1998, la BSI adjoint une seconde partie dénommée BS7799-2 qui précise les exigences de mise en œuvre d’un Système de Management de la Sécurité de l’Information (SMSI).
En 2000, suite au succès rencontré par la BS7799 dans le monde entier, l’ISO adopte la BS7799, tout en y ajoutant quelques mesures de sécurité supplémentaires, en la renommant ISO 17799. L’ISO n’intégrant pas la notion de SMSI, l’ISO 17799 reste un référentiel de bonnes pratiques. En 2002, la BSI publie une seconde version de la BS 7799-2 qui devient BS 7799-2:2002. Puis en juin 2005, l’ISO remanie et enrichit de nouvelles mesures de sécurité l’ISO/IEC 17799, qui sera renommé en 2007, ISO 27002.
En octobre 2005, en s’inspirant de l’ISO 9001:2000 et en spécifiant les exigences de mise en œuvre d’un SMSI, l’ISO adopte définitivement, après quelques modifications, la BS 7799-2 sous le dénominatif d’ISO/IEC 27001:2005. De toutes les normes de la série ISO 27000, seule la norme ISO/IEC 27001 est certifiable.
DEFINITION
La norme ISO/IEC 27001:2005
La norme publiée le 15 octobre 2005 présente sous les titres « Technologies de l’information », « Techniques de sécurité », « Systèmes de gestion de sécurité de l’information », « Exigences », fournit au travers d’une approche orientée processus, un modèle de gestion de la sécurité de l’information communément appelé SMSI (Système de Management de la Sécurité de l’Information) ou SGSI (Système de Gestion de la Sécurité de l’Information).
Du point de vue de Sylvain Laborde*, gérer un SMSI c’est apporter les garanties sur la capacité de l’entreprise à maîtriser les coûts et les priorités en matière d’investissements et d’orientations budgétaires au regard des enjeux business et des risques. La gestion d’un SMSI permet de garantir la justesse des investissements de sécurité. Il permet de mobiliser tous les acteurs de l’entreprise autour d’un projet commun par lequel chacun, de l’utilisateur final à l’administrateur système jusqu’à la direction générale, prend sa part de responsabilité dans l’établissement (responsable de la sécurité des systèmes d’information, la mise en œuvre, le contrôle (auditeurs) ou l’amélioration continue de la sécurité). L’implication de tous les acteurs s’obtiendra par l’engagement de la direction générale de l’entreprise qui s’affirmera de manière claire et visible dans la démarche par une mise à disposition des ressources humaines et financières. Le SMSI permet donc au RSSI de sortir du mode réactif pour aboutir à un mode de gestionnaire de la sécurité et des risques.
La norme s’articule donc autour d’exigences générales pour la mise en œuvre du système et d’annexes, dont l’annexe A présente les objectifs et mesures de sécurité de l’ISO/IEC 17799:2005. Cette norme permet à une entreprise de certifier son système de management ; et non pas de garantir un niveau de sécurité à 100 % (ce qui n’existe pas). Un débat fait rage actuellement sur l’utilité de se faire certifier. Ma vision est que les arguments mercantiles et marketing présentés pour une certification sont un faux débat et que la certification est surtout la concrétisation d’une démarche continue de gestion de la sécurité de l’information : le cœur de la norme est donc bien le système de gestion.
PROSPECTIVE
La prospective porte sur la déclinaison des exigences générales (articles 4 à 8) de la norme ISO/IEC 27001:2005 en nouvelles normes. À titre d’exemple, l’article 4 présentant notamment les exigences relatives à l’appréciation, l’analyse et le traitement des risques est devenu l’ISO/IEC 27005:2008.
L’ISO/IEC 27002:2005
Elle remplace depuis le 15 juin 2005 l’ISO/IEC 17799:2005.
Les articles 5 à 15 de la norme, organisés autour de 39 objectifs de sécurité, constituent un recueil de bonnes pratiques organisationnelles et techniques, communément appelées mesures de sécurité. Toutes ne sont pas pertinentes dans le contexte d’une entreprise mais sont à sélectionner en sortie d’une analyse de risques pour réduire les risques pour lesquels la direction générale a déterminé qu’ils sont inacceptables et doivent donc être réduits. Les articles et mesures de sécurité seront intégrés au sein d’une déclaration d’applicabilité (DdA) dans le cadre d’une démarche de mise en œuvre d’un SMSI. Par ailleurs, cette norme sert également de support aux audits sécurité de l’information (dits audits flashs) pratiqués en audits externes par de nombreuses sociétés de services ou en audits internes par les directions d’audit et directions d’inspection générale. Sans vouloir l’afficher, de nombreuses entreprises, par ailleurs soumises aux réglementations Bâle II, Sarbanes-Oxley Act ou Payment Card Industry, appliquent déjà partiellement les « bonnes pratiques » de l’ISO 27002. Ces entreprises peuvent donc évaluer le coût du « reste à faire » vers le management de la sécurité de l’information ISO/IEC 27001.
L’ISO 27003
La norme, qui devrait voir le jour en septembre 2009, encourage l’adoption d’une approche processus. Cette approche processus s’appuie sur le modèle de Deming qui n’est pas propre à la norme mais que l’on retrouve en support à d’autres méthodologies telles que l’ISO 9001 ou 14001. Ce modèle de gestion permet à l’entreprise de gérer et de piloter son système de management selon les phases « P » pour planifier, « D » pour déployer, « C » pour contrôler et « A » pour améliorer.
L’ISO 27004
L’ISO 27004, en cours de développement, est un guide qui fournit des conseils pour le développement d’un programme de mesures et de contrôles et la formalisation d’indicateurs permettant de mesurer l’efficience d’un SMSI. Il interagit avec les phases Check et Act du modèle PDCA de l’ISO 27003.
L’ISO/IEC 27005: 2008
Correspond aux exigences générales 4.2.1 c à 4.2.1 f et 4.2.3 d de l’ISO/IEC 27001. Cette norme intègre le vocabulaire du risque déjà développé dans l’ISO 73 et l’ISO/IEC 13335. Ce standard international publié en mai 2008 fournit des directives pour le management du risque en proposant un vocabulaire de référence et un cadre de démarche en support à l’ISO/IEC 27001. Le process de management du risque s’articule autour de l’établissement du contexte (clause 7), de l’évaluation du risque (clause 8), du traitement du risque (clause 9), de l’acceptation du risque (clause 10), de la communication (clause 11) et de la mesure et révision du risque (clause 12). La démarche s’aligne selon le modèle de gestion PDCA adopté par la norme ISO/IEC 27001. La norme n’impose donc pas une méthodologie d’analyse de risques dont le choix reste du ressort de l’entreprise. Néanmoins, il est probable que les entreprises françaises et cabinets de conseil embarrassés par des méthodologies d’analyse de risques ou d’expression des besoins de sécurité jugées lourdes – Mehari développé par le Club de la sécurité de l'information français (Clusif) ou Ebios développé par la Direction centrale de la sécurité des systèmes d'information (DCSSI) –, trouveront dans la norme le moyen de développer des outils « plus légers » adaptés à des exigences « Time to Market » par exemple, de prise en compte des exigences de sécurité dans les nouveaux projets ou développements, domaine souvent négligé.
L’ISO/IEC 27006:2007
Le standard, officiellement publié depuis le 13 février 2007, s’adresse aux organismes certificateurs (LSTI, Afnor, BVQI) de SMSI et fournit un guide et des exigences pour l’accréditation des auditeurs certifiant des SMSI. Ce standard est un complément aux exigences définies dans la norme ISO/IEC 17021 et se substitue à la norme EA 7/03.
L’ISO 27007
La norme, dont la date prévisionnelle de publication est fixée en avril 2010, constituera le guide d’audit du SMSI.
Déclinaisons sectorielles
Depuis peu, on constate une appropriation sectorielle des normes de cette famille, notamment pour le secteur de la santé et des télécoms. Cela montre un intérêt grandissant pour cette famille. Parmi ces appropriations on peut citer :
- l’ISO 27799:2008 : cette norme, qui a vu le jour le 12 juin 2008, adresse sur la base de l’ISO/IEC 27002 les spécificités du secteur de la santé ;
- l’ISO/IEC FDIS 27011:2008 : elle établit les principes et constitue un guide pour l’initialisation, l’implémentation, le maintien et l’amélioration de la gestion de la sécurité de l’information pour le monde des services de télécommunications (opérateur télécoms, hébergeurs de services) en se fondant sur l’ISO/IEC 27002.
En implémentant l’ISO/IEC 27011:2008, les opérateurs de télécommunications, en interne comme vis-à-vis des autorités compétentes (Autorité de régulation des télécoms – ART) :
- seront capables d’assurer la confidentialité, l’intégrité et la disponibilité des infrastructures de services ;
- adopteront des processus de sécurité collaboratifs et des niveaux de contrôle permettant la réduction des risques pour un secteur qui est souvent la cible privilégiée des attaques ;
- favoriseront une meilleure transparence et confiance dans la relation publique.
APPLICATION
Le projet de mise en place du SMSI est un projet transversal, si le service informatique est de fait concerné puisque l’information est devenue essentiellement informatique. Suivant le périmètre défini, plusieurs directions (directions métier) peuvent être impactées et en premier la DRH.
Le projet concerne également toute l’échelle hiérarchique de l’organisme. La réussite du projet dépend essentiellement de l’implication de toutes les personnes concernées dans l’entreprise, de la direction générale au plus bas de l’échelle. Si l’accompagnement par un consultant peut s’avérer nécessaire, la démarche consistant à faire faire par des prestataires n’ayant aucune connaissance de l’entreprise est vouée à l’échec.
Quelle que soit l’approche retenue, séquentielle ou mode projet, il est essentiel de prendre en compte les 3 contraintes suivantes :
- respecter les exigences de la norme ;
- respecter le modèle PDCA ;
- s’assurer en permanence de la cohérence entre les objectifs et les mesures de sécurité.
La phase Plan, qui revient à fixer les objectifs du SMSI, est composée de quatre grandes étapes : définition du périmètre et de la politique, appréciation des risques, traitement du risque, sélection des mesures de sécurité. Cette dernière étape s’appuie sur l’annexe A qui contient une liste de 133 mesures de sécurité, classées en 11 chapitres. Mais ce n’est qu’une liste, l’implémenteur doit y sélectionner des mesures une fois l’appréciation des risques effectuée et rechercher les conseils de mise en œuvre dans l’ISO/IEC 27002. Une fois les mesures sélectionnées, un tableau récapitulatif reprenant les 133 mesures de l’annexe A sera constitué en spécifiant les mesures retenues et celles écartées.
La phase Do du SMSI comprendra les étapes suivantes : planification du traitement des risques, génération d’indicateurs significatifs, formation et sensibilisation du personnel, gestion quotidienne du SMSI, détection et réaction aux incidents.
La norme impose de mettre en place des moyens de contrôle du SMSI ; c’est la phase Check qui s’appuiera sur des audits internes planifiés, un contrôle interne permanent, des revues.
Lors des audits, contrôles et revues, si des écarts sont constatés par rapport aux objectifs du SMSI, la phase Act permettra de mener des actions correctives, des actions préventives et des actions d’amélioration.
* Sylvain Laborde est certifié BS 7799/Lead Auditor ISO/IEC 27001 et formateur. En tant qu’expert SMSI, il a conduit de nombreux audits sécurité auprès de grands groupes français et internationaux ainsi que des mises en œuvre de SMSI.
Gilles Teneau
Consultant en organisation
Chargé de cours au CNAM
www.resilience-organisationnelle.com