Cinq questions sur la

vraie utilit de l'ISO 27001

Alexandre Fernandez-Toro
<Alexandre.Fernandez-Toro@hsc.fr>

Contexte
On parle de SMSI depuis 2002
Est-ce un effet de mode ?
Est-ce une bulle entretenue
Par les fournisseurs en mal de relais de croissance ?
En interne par certains managers ?

Pourtant
On en parle encore aujourd'hui
Des cercles extrieurs la scurit en parlent

L'ISO 27001 est donc bien entre dans les moeurs

Alors, quelle est la relle utilit de la norme ?
On commence avoir un recul suffisant pour rpondre la
question
2

Copyright Herv Schauer Consultants 2009 - Reproduction Interdite

Rappels sur l'ISO 27001

A l'origine
Famille de normes relatives aux Systmes de Management de la
Scurit de l'Information (SMSI)
La norme ISO 27001 est le centre de gravit
Issue de l'ancienne BS 7799
BS 7799 : B comme British

Principe
Transposition la scurit de systmes d'information des
principes de la qualit ISO 9001
Certification possible

Copyright Herv Schauer Consultants 2009 - Reproduction Interdite

Rappels sur l'ISO 27001

A la base
Dfinition d'un primtre et d'une politique
Apprciation des risques
ISO 27005 / EBIOS / MEHARI / etc.

Validation par la direction

Slection et implmentation des mesures de scurit

Amlioration continue
Audit interne
Gestion des incidents
Suivi des actions
Revue de direction
4

Copyright Herv Schauer Consultants 2009 - Reproduction Interdite

Rappels sur l'ISO 27001

Attentes et
exigences
en terme de
scurit

Modle PDCA : Plan-Do-Check-Act

Partenaires

Clients
Pouvoirs
publics
Services
5

Partenaires

Planification
Plan

Fournisseurs
Action

Fournisseurs
Correction

Do

Scurit
effective
fournie

Act

Vrification
Check

Copyright Herv Schauer Consultants 2009 - Reproduction Interdite

Clients
Pouvoirs
publics
Services

Rappels sur l'ISO 27002

11 chapitres
39 objectifs de scurit
(control objectives)

5: Politique
du SMSI

133 mesures de scurit

(security controls)

6: Scurit
organisationelle
7: Classification et
contrle des actifs 15 Conformit
8: Scurit du personnel

14: Gestion de
la continuit
13: Gestion des
incidents
12: Maintenance et
dveloppement

9: Scurit physique et
environnementale

10: Gestion des

communications
et de lexploitation

11: Contrle
d'accs

Copyright Herv Schauer Consultants 2009 - Reproduction Interdite

Srie des normes ISO 27001

2005

Exigences
usage obligatoire
dans la certification

2007

ISO 27001
SMSI

ISO 27006

Certification de SMSI

2009

2010

ISO 27008

ISO 27000

Vocabulaire

Audit mesures de
scurit

Guides
usage facultatif

2005

2010

ISO 27002

ISO 27007

Mesures de scurit

Audit de SMSI
2009

2008

ISO 27003

Implmentation

2009

ISO 27004

ISO 27005

Gestion de risque

Indicateurs SMSI
7

Copyright Herv Schauer Consultants 2009 - Reproduction Interdite

Question 1 : A quoi a sert ?

En principe
A piloter la scurit par le risque
Apprciation des risques obligatoire (4.2.1 c)
Validation obligatoire des risques rsiduels par la direction (4.2.1
h)
Cohrence entre les mesures de scurit slectionnes
l'apprciation des risques (4.3.1 # 2)
A amliorer (BS 7799-2:2002 1.1)
Comptitivit
Cash flow
Profitabilit

Copyright Herv Schauer Consultants 2009 - Reproduction Interdite

Question 1 : A quoi a sert ?

Dans la pratique
Sert la carrire de ceux qui implmentent le SMSI
Changement d'employeur
Valorisation du RSSI

Impact en terme d'image

Communiqu de presse
La tentation de l'abus est forte

Augmente la valorisation de l'entreprise

Dans l'optique d'une cession
Surtout pour les PME

Copyright Herv Schauer Consultants 2009 - Reproduction Interdite

Question 1 : A quoi a sert ?

On est bien loin de la scurit...
==> Question suivante

10

Copyright Herv Schauer Consultants 2009 - Reproduction Interdite

Question 2 : Est-ce que a amliore

vraiment la scurit ?
En principe
Non... mais oui
Pas dans un premier temps
La 27001 oblige adopter de bonnes pratiques
Principe d'amlioration continue
Cela n'empchera pas
D'avoir des incidents
De se rendre compte que l'on est pass cot de certains
risques
etc...

Mais dans la dure oui

Audits internes
Suivi des actions
Revues, etc...
11

Copyright Herv Schauer Consultants 2009 - Reproduction Interdite

Question 2 : Est-ce que a amliore

vraiment la scurit ?
Dans les faits il y a deux cas
Cas 1 : Ceux qui implmentent l'ISO 27001 dans le but exclusif de
la conformit
L'ISO 27001 n'amliore en rien la scurit

Cas 2 : Ceux qui l'implmentent pour s'en servir vraiment

Oui, car a met de l'ordre dans la scurit
Instances transversales
Sensibilisation des utilisateurs
Suivi des projets

12

Copyright Herv Schauer Consultants 2009 - Reproduction Interdite

Question 3 : Comment reconnatre un

cas 1 et un cas 2 ?
Cas 1 :
Les enregistrements oprationnels ont t crs au moment de la
mise en place du SMSI
Les documents du SMSI datent de 15 jours avant chaque audit.
Des non-conformits majeures sont rgulirement tablies
Nombreux audits complmentaires
Possibles suspensions temporaires du certificat

Cas 2 :
Les enregistrements oprationnels existent depuis longtemps
Les documents SMSI sont produits en temps et en heure
Pas de non-conformits majeures
Pas d'audits complmentaires
13

Copyright Herv Schauer Consultants 2009 - Reproduction Interdite

Question 4 : Quels sont les domaines

impacts ?
Quels sont les domaines les plus impacts ?
Scurit physique
Plan de continuit d'activit
Projets de gestion des habilitations
Prise en compte de la scurit dans la dmarche projet de
l'entreprise

Et la technique ?
Ca cr un dialogue rel et constant entre la technique et
l'organisationnel
Le responsable du SMSI est souvent organisationnel
Hormis le responsable du SMSI, mes interlocuteurs lors des audits
de certification sont essentiellement des ingnieurs techniques
14

Copyright Herv Schauer Consultants 2009 - Reproduction Interdite

Question 5 : A quoi a sert vraiment ?

A rationaliser la scurit
Socle de base
PCI-DSS / SAS 70 / RGS / Polsec / etc / etc / etc /
Rationalisation
Mutualisation

Intgration de la scurit dans la nouvelle gouvernance de

l'entreprise
Depuis quelques annes, on constate trois tendances de fond
Transversalisation
Standardisation
Mutualisation

ISO 27001 participe compltement dans cette dmarche

15

Copyright Herv Schauer Consultants 2009 - Reproduction Interdite

Conclusion
L'ISO 27001 est vraiment utile
Mais son utilit n'est pas l o on l'attend apriori
Pas d'amlioration immdiate de la scurit
Pas de pactole ISO 27001

En revanche, elle apporte

La rationalisation de la scurit
La prise en compte de la scurit tous les niveaux
Une amlioration de la scurit dans la dure

16

Copyright Herv Schauer Consultants 2009 - Reproduction Interdite

Questions

17

Copyright Herv Schauer Consultants 2009 - Reproduction Interdite