Passer au contenu

Savoir faire face aux audits de contrôle

L’ISO 27001 fait entrer la sécurité du système d’information dans l’ère de la normalisation, à l’image de ce qui existe pour la qualité. Pour le RSSI, c’est la garantie de bonnes pratiques et
d’améliorations.

Signe de maturité, la sécurité des systèmes d’information dispose désormais de sa propre norme ISO, la 27001. Celle-ci est à la sécurité ce que la norme ISO 9001 est à la qualité. Elle ouvre l’ère des bonnes pratiques,
reconnues, approuvées. Les RSSI auraient tort de ne pas s’y intéresser. Hervé Schauer, fondateur de la société de conseil en sécurité HSC, désigne l’ISO 27001 comme ‘ une révolution dans un secteur souffrant
d’opacité entre les mondes de la direction et de la technique ‘.
Avec cette norme, la sécurité s’inscrit plus que jamais dans la culture de l’audit. Mais il ne s’agit ni spécifiquement ni
exclusivement de celle des tests techniques. L’ISO 27001 recouvre la notion de système de management de la sécurité de l’information (SMSI). Un tel système se définit par l’établissement d’une politique de sécurité,
d’objectifs, et de moyens mis en ?”uvre pour les atteindre. Le SMSI vise à l’amélioration continue du niveau de sécurité, dans le contexte des risques métier d’une entreprise.

Plan, Do, Check, Act…

La démarche conduisant à la certification assure l’orchestration des mesures de sécurité selon un modèle dit PDCA : Plan, Do, Check, Act. La tâche n’est pas mince. Elle est estimée entre neuf mois et un an selon les
entreprises et le périmètre. Toutefois elle garantit au RSSI un pilotage de la sécurité par les risques, couplé à un contrôle permanent des moyens mis en ?”uvre. Ceux-ci doivent être organisationnels, techniques et humains, établis selon un
référentiel, validés par la direction, et auditables.Le responsable de la sécurité des sustèmes d’information a nécessairement un rôle majeur à jouer. Deux certifications le concernent directement : auditeur de certification (lead auditor) et responsable de mise en oeuvre
(lead implementor). ‘ Si le RSSI veut savoir comment raisonne un auditeur, il choisira la première afin de ne pas être surpris lors de l’audit. S’il veut être plus orienté terrain, implémentation, la seconde lui
conviendra mieux ‘,
conseille Alexandre Fernandez-Toro, consultant pour les deux labels.

Une démarche très contrôlée

La formation à chacune des certifications dure une semaine. La certification du SMSI s’étend entre cinq et dix jours selon le périmètre et le nombre de personnes impliquées. Un audit de contrôle doit être mené tous les six mois
ou un an pour conserver le label ISO. Des RSSI s’inspirent de la démarche sans pour autant souhaiter aller jusqu’à la certification. ‘ Sans le couperet de la certification, un RSSI aura le plus grand mal à
mobiliser les directions métier dans l’appréciation du risque, à maintenir la motivation nécessaire à la gestion de la documentation… prévient Alexandre Fernandez-Toro. La certification sert à ternir les objectifs et de levier pour la
mise en place des moyens de contrôle. ‘

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Christophe Elise