Passer au contenu

Patrick Lautier (Clusif) : ” Nous visons la reconnaissance internationale de Méhari “

Le Clusif (1) vient de tenir son assemblée générale. En tête des priorités 2002 : la reconnaissance mondiale de sa méthode d’analyse de risques Méhari et une certification française des experts.

Vous voulez populariser votre méthode d’analyse des risques Méhari. Mais pourquoi la rendre compatible ISO alors que le British Standard Institute (BSI) a renoncé à soumettre à l’ISO son standard BS-7799 ?Précisément pour que notre méthode soit reconnue au plan international. Nous souhaitons donc la rendre compatible avec les standards BS-7799 et ISO, en sachant que nous avons déjà signifié à cette dernière qu’il était nécessaire d’engager un processus de révision du standard BS afin qu’il aille dans le sens d’une véritable norme. Ce standard est un code de bonnes pratiques pour la gestion de la sécurité de l’information. Alors que Méhari est une méthode d’analyse des risques qui définit un plan d’actions spécifiques à chaque entreprise. Elle permet de mettre en ?”uvre une gestion personnalisée de la sécurité de l’information. Aucune de ses préoccupations n’entre donc en conflit avec les bonnes pratiques du standard BS.Qu’en est-il de votre méthode historique Marion ? Allez-vous la faire évoluer pour mieux prendre en compte les risques immatériels ?Faute de bonnes volontés pour continuer à la faire vivre, elle périclite. Contrairement à Méhari, qui dispose d’une commission très active, et pour laquelle un groupe de travail vient d’être créé. Méhari répond globalement à la problématique de la net économie. De plus, l’expérience de l’un de nos adhérents prouve que l’on peut passer facilement de Marion à Méhari. L’analyse de risques ?” plan stratégique (évaluation des enjeux), plan opérationnel de sécurité (étude de la vulnérabilité), plan opérationnel d’entreprise (tableaux de bord) ?” de cinq sites, qui aurait été impossible avec Marion, a ainsi pu être effectuée en trente jours/homme.Le Clusif veut promouvoir une certification française des responsables sécurité des systèmes d’information (RSSI). Pour quelles raisons ?La certification des compétences fait tâche d’huile dans tous les métiers. De même qu’il existe des certifications délivrées par Microsoft chez les fournisseurs, ou des certifications Cisa pour les auditeurs, nous voulons promouvoir, dans un cadre européen, une certification française des experts sécurité. La notion d’“expert certifié en sécurité” existe déjà en Angleterre (certification par le BSI). Si l’on ne réagit pas, la valorisation de nos compétences en sécurité informatique s’effectuera par des organismes soit américains soit anglais. Nous aurons besoin du soutien de la DCSSI (2) et des services associés.Comment traitez-vous les risques sur internet ?Les travaux de notre commission Menaces se consacrent à la virologie sur internet et les réseaux. Lors d’une attaque virale de grande ampleur, nous disposons parmi nos membres d’un nombre suffisant d’experts pointus. Ceux-ci sont en mesure de faire rapidement une communication précise en relation avec les éditeurs d’antivirus et les différents Cert (centres d’expertise sur la sécurité sur internet). Pour les autres attaques ?” celle d’un serveur avec risque de déni de service, celle du réseau téléphonique, etc.?”, nous souhaitons accentuer nos relations avec les différents services publics chargés de la lutte contre la cybercriminalité.Comment réagissez-vous aux retards successifs de la DCSSI à publier le schéma national d’accréditation de la signature électronique ?Nous attendons le schéma avancé. Or, dans la loi, celui-ci est optionnel. Actuellement, les entreprises pionnières en matière de signature électronique s’inscrivent dans le schéma standard. A notre connaissance, il n’existe pas de demande forte de la part des entreprises privées, qui ne semblent pas perturbées par ce retard.Quelles sont vos autres priorités pour 2002 ?Notre club, qui regroupe des offreurs et des utilisateurs, est une association de grandes entreprises. Mais les PME nous intéressent aussi, car elles constituent l’essentiel du tissu économique français. Or, elle ne se préoccupent pas suffisamment de leur sécurité informatique, comme l’ont révélé les résultats de notre enquête 2001 sur la sinistralité informatique. Pour y remédier, nous développons des synergies en régions. Actuellement, il existe huit Clubs régionaux (Clusir), à Lille, Lyon, Marseille, Montpellier, Nantes, Rouen, Strasbourg et Toulouse. Nous disposons aussi d’antennes en Belgique, en Suisse et en Italie. Bientôt, nous en aurons également une en Espagne. Nous avons, en outre, des liens de plus en plus étroits avec le gouvernement québécois. Celui-ci est intéressé par Méhari et la façon d’organiser la sécurité dans les entreprises françaises. Aujourd’hui, les RSSI et les DSI nous connaissent et nous apprécient. Nous voulons, à présent, être davantage reconnus par les directions générales.Quelles sont vos actions sur le plan de la formation à la sécurité ?Un comité Education va être créé. Il élaborera des conventions avec les universités ou les écoles de gestion pour l’enseignement de la sécurité informatique au niveau des spécialisations de troisième cycle. Nous allons d’ailleurs intégrer dans nos commissions des étudiants parrainés par des membres du Clusif.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Christine Peressini*