Le succès de ces normes s’observe largement en France comme à l’international depuis de nombreuses années. Cette tendance a par exemple été à nouveau confirmée fin 2022 dans l’ISO Survey, étude annuelle menée par l’ISO : +19% de certifications ISO 27001 au niveau mondial entre 2020 et 2021, +44% en France.

Après près de 10 ans de bons et loyaux services dans leur précédente version majeure, datant de 2013, les normes ISO 27001 et ISO 27002 ont vu leur troisième édition publiée en 2022. Quels sont les changements apportés et comment les prendre en compte ?

Le premier changement évident traduit l’évolution du domaine de la « Sécurité de l’information » au cours de la décennie : la « cybersécurité » et la « protection de la vie privée » s’inscrivent dorénavant dans le titre des normes :

• ISO/IEC 27001:2022 Sécurité de l’information, cybersécurité et protection de la vie privée — Systèmes de management de la sécurité de l’information – Exigences ;
• ISO/IEC 27002 :2022 Sécurité de l’information, cybersécurité et protection de la vie privée — Mesures de sécurité de l’information.

L’évolution des mesures de sécurité (Annexe A), principal changement de l’ISO 27001

La nouvelle édition de la norme ISO 27001 ne présente que très peu de changements dans son corps : les quelques évolutions viennent principalement clarifier ou expliciter certaines clauses de la norme sans changer le fond.

Quelques évolutions demanderont des évolutions limitées du SMSI, telles que :

• L’obligation dorénavant explicite de documenter les objectifs du SMSI et de surveiller leur atteinte (clauses 6.2 d) et g)) ;
• La nécessité de planifier les changements du SMSI (clause 6.3) : cette clause pourra par exemple être couverte en étendant le processus de gestion des améliorations du SMSI à tout changement du SMSI, ou en s’appuyant directement sur le processus de gestion des changements de l’organisation ;
• Le renforcement de l’obligation de maîtriser les processus externalisés qui concourent à l’application des exigences retenues ou à l’atteinte des objectifs du SMSI, en l’étendant aux produits et services externalisés (clause 8.1) ;
• La possibilité de choisir à quelles attentes des « parties intéressées » (clients, directions métiers, collaborateurs, etc.) le SMSI doit répondre (clause 4.2 c)) : la norme autorise maintenant l’exclusion de certaines attentes. Cette clause peut ainsi permettre de prioriser certaines attentes ou de choisir entre des attentes mutuellement exclusives. Cette évolution nécessitera probablement une transparence accrue vis-à-vis des parties intéressées afin de les informer des décisions prises. A noter que la revue de direction devra dorénavant prendre en compte les évolutions des attentes des parties intéressées (clause 9.3.2 e)), en sus du retour d’information des parties intéressées précédemment exigé.

L’évolution principale de la norme ISO 27001 réside néanmoins dans son annexe A. Cette annexe fournit un catalogue de mesures de sécurité, elles-mêmes détaillées dans la nouvelle version de l’ISO 27002, qui fournit pour chacune des informations complémentaires et des recommandations d’implémentation.

Les mises à jour de cette annexe A peuvent ainsi être étudiées à partir de la nouvelle version de l’ISO 27002.

Une version modernisée de l’ISO 27002, plus simple d’utilisation

La mise à jour de l’ISO 27002 permet de la simplifier, la moderniser et de faciliter son utilisation.

La norme bénéficie tout d’abord d’une organisation simplifiée : auparavant réparties dans 14 chapitres (certains au titre quelque peu alambiqué…), les mesures de sécurité sont dorénavant rassemblées en 4 : les mesures organisationnelles, les mesures liées aux personnes, les mesures physiques et les mesures technologiques.

Autre élément de simplification, cette édition donne lieu à une (nouvelle) réduction du nombre de mesures de sécurité, passant de 114 à 93 (pour mémoire 133 dans la version initiale de 2005). Sur le fond, la majorité des mesures restent proches de la précédente version mais sont réorganisées. Les changements sont synthétisés ci-dessous :

A noter que l’annexe B détaille la correspondance entre les exigences de l’ancienne et de cette nouvelle version de la norme : elle constituera un outil très utile aux organisations dans la phase de transition (a minima pour mettre à jour le plan de traitement des risques et la déclaration d’applicabilité).

11 nouvelles mesures viennent par ailleurs enrichir la norme en répondant à certains manques de la précédente version ainsi qu’aux évolutions de ces dernières années :

• Trois mesures viennent notamment renforcer la protection des données : la suppression des informations non essentielles ou à échéance (Information deletion), la prévention des fuites d’information (Data leakage prevention) et le masquage des informations sensibles (Data masking). A noter que la norme n’oblige ni ne limite l’application de ces mesures aux données à caractère personnel : chaque organisation reste libre de retenir ou non ces mesures en fonction de son évaluation des risques et de les appliquer aux catégories d’information adaptées à son contexte.
• Le volet de la résilience opérationnelle se renforce lui aussi de quatre mesures : intégration du renseignement sur les menaces liées à la sécurité de l’information (Threat intelligence), surveillance des comportements anormaux sur les SI afin de permettre la détection des incidents de sécurité (Monitoring activities), surveillance des accès physiques et détection d’intrusion (Physical security monitoring) et intégration de la résilience opérationnelle numérique au service de la continuité d’activité de l’organisation (ICT readiness for business continuity).
• Une mesure, certes unique, mais dédiée à la sécurité du Cloud (Information security for use of cloud services) fait son entrée, invitant les organisations à définir un processus de gestion de ces services depuis leur souscription jusqu’à leur terminaison, intégrant les mesures de sécurité choisies par l’organisation.
• Les trois mesures complémentaires renforcent la protection des SI à différents niveaux :
  • Une mesure liée au durcissement et à la protection des configurations (Configuration management) ;
  • Une mesure liée à la sécurité des développements (Secure coding) ;
  • Une mesure visant à définir une politique de filtrage pour les accès à Internet (Web filtering).

Autre nouveauté majeure (uniquement présente dans l’ISO 27002) pour faciliter l’appropriation et l’utilisation de la norme, la description de chaque mesure présente dorénavant cinq attributs pouvant contenir une ou plusieurs valeur(s) parmi les suivantes :

• Type de mesure de sécurité : #Preventive, #Detective et #Corrective ;
• Propriétés de sécurité de l’information : #Confidentiality, #Integrity, #Availability ;
• Concepts de cybersécurité : #Identify, #Protect, #Detect, #Respond, #Recover ;
• Capacités opérationnelles : #Governance, #Asset_management, #Information_protection, #Human_resource_security, #Physical_security, #System_and_network_security, #Application_security, #Secure_configuration, #Identity_and_access_management, #Threat_and_vulnerability_management, #Continuity, #Supplier_relationships_security, #Legal_and_compliance, #Information_security_event_management, #Information_security_assurance ;
• Domaine de sécurité : #Governance_and_Ecosystem, #Protection, #Defense, #Resilience.

Par exemple, la nouvelle mesure « Threat Intelligence » couvre les trois critères de sécurité #Confidentiality, #Integrity et #Availability.

Ces attributs permettent une exploitation de la norme autrement que par le simple chapitrage et apportent une valeur réelle : par exemple, les concepts de cybersécurité correspondent aux dimensions du NIST (National Institute of Standards and Technology) Cybersecurity Framework (CSF), standard reconnu au niveau international, largement utilisé par les organisations. Le rapprochement des mesures de l’ISO 27002 et du NIST CSF sera ainsi possible pour répondre aux contraintes de nombreuses organisations (réglementaires, audits, reporting, etc.).

Les capacités opérationnelles sont les plus proches des 14 chapitres de l’ancienne version de la norme : ces capacités opérationnelles peuvent ainsi permettre d’organiser la Politique de Sécurité du SI et le référentiel associé en limitant les impacts sur un référentiel aligné sur la précédente version.

Globalement, ces attributs offrent dorénavant une meilleure flexibilité aux organisations qui peuvent désormais construire plus librement leur référentiel de sécurité en fonction de leur contexte.

Quelle transition pour passer à la version 2022 ?

Pour les organisations déjà certifiées ISO 27001, l’effort de transition sera lié à l’évolution des mesures de sécurité, les évolutions du corps de l’ISO 27001 ne nécessitant qu’un investissement limité. Les actions suivantes devront néanmoins être entreprises :

1. Mettre à jour le Manuel du SMSI :
   • Préciser les attentes des parties intéressées et celles qui sont prises en compte par le SMSI,
   • Mettre à jour le processus de gestion des améliorations du SMSI pour y inclure la gestion des changements du SMSI,
   • Insérer un schéma de synthèse des processus permettant de représenter les interactions entre eux ;
2. Documenter les objectifs de sécurité et mettre en place des indicateurs permettant de suivre leur atteinte ;
3. S’assurer que des critères de performance et d’efficacité sont définis pour chaque processus ;
4. S’assurer que les produits et services externalisés sont pris en compte dans le SMSI (ou les y intégrer le cas échéant) ;
5. Intégrer à la revue de direction l’évolution des attentes des parties intéressées, en identifiant celles qui sont couvertes par le SMSI.

Pour s’atteler à l’évolution des mesures, la prochaine mise à jour de l’évaluation des risques de sécurité de l’information et du plan de traitement des risques devra permettre de mesurer la conformité du SMSI aux nouvelles mesures, et d’organiser et planifier la mise en œuvre des éventuelles nouvelles mesures retenues. La déclaration d’applicabilité devra à l’issue être réorganisée et mise à jour pour intégrer les nouvelles mesures.

La Politique de Sécurité du SI (incluant le référentiel associé : chartes, directives, processus, procédures, standards…) devra par ailleurs évoluer pour prendre en compte l’évolution de l’annexe A de l’ISO 27001. L’utilisation des attributs et de l’annexe B de l’ISO 27002 facilitera cette évolution pour l’ensemble des organisations.

En termes de planning, l’ISO 27001:2022 ayant été publiée en octobre 2022, les organisations peuvent désormais exiger une certification ISO 27001:2022. Il reste néanmoins possible de demander une certification ISO 27001:2013 jusqu’en octobre 2023. A compter de novembre 2023, toute nouvelle certification s’effectuera sur la version 2022 de la norme.

Pour les SMSI déjà certifiés ISO 27001, la période de transition est de 3 ans maximum pour basculer sur la version 2022.

Cas particulier des organisations certifiées Hébergeur de Données de Santé (HDS)

Depuis le 1^er avril 2018, les organisations basées en France et hébergeant des données de santé à caractère personnel selon les conditions détaillées dans l’article L1111-8 du Code de la Santé Publique doivent disposer d’une certification Hébergeur de Données de Santé (HDS), nécessitant comme prérequis une certification ISO 27001.

Le référentiel n’ayant pas évolué depuis son entrée en vigueur, les exigences de certification HDS s’appuient toujours sur la version 2013 de la norme ISO 27001. L’appel à commentaires réalisé fin 2022 sur le projet de nouveau référentiel HDS intègre néanmoins la nouvelle version de l’ISO 27001 (bien que le tableau des documents de référence pointe toujours sur l’ISO 27001:2013). Le futur référentiel de certification HDS, dont l’entrée en vigueur est attendue en avril 2023, s’appuiera donc bien sur la nouvelle version de la norme ISO 27001.

A noter que l’évolution du référentiel HDS viendra par ailleurs préciser certains points durs de la certification HDS évoqués dans nos précédents articles, tels que le cadre d’application de l’activité 5 « Administration et exploitation du système d’information contenant les données de santé ».

Conclusion

Ces nouvelles versions des normes de références ISO 27001 et ISO 27002 permettent ainsi d’adapter les mesures de sécurité de l’information aux évolutions récentes du domaine afin de permettre aux organisations de bénéficier des armes les plus à jour pour traiter leurs risques de sécurité de l’information.

Alors qu’un nombre croissant de réglementations s’appuient sur ces normes, à l’instar de l’obligation de la certification ISO 27001 pour les Hébergeurs de Données de Santé en France ou pour les Opérateurs de Services Essentiels en Belgique, cette nouvelle version permet de renforcer le niveau de maturité des organisations sans pour autant les contraindre à des investissements à perte sur la phase de transition. Ces investissements seront majoritairement concentrés sur la prise en compte des nouvelles mesures de sécurité pertinentes pour le traitement des risques de sécurité de l’organisation.

Cet article Evolution des normes ISO 27001 et ISO 27002 : quels impacts pour les organisations concernées ? est apparu en premier sur RiskInsight.

Deux ans après, quel bilan ?

L’un des principaux changements induit par la certification est la délivrance des certificats HDS par un organisme indépendant accrédité par le Comité Français d’Accréditation (COFRAC), et non plus par l’Agence des Systèmes d’Information Partagés de Santé (ASIP Santé), devenue l’Agence du Numérique en Santé (ANS) fin 2019. Sept organismes ont franchi le pas et sont désormais accrédités. Ces organismes avaient tout intérêt à se mobiliser rapidement pour anticiper les nouvelles demandes de certification ISO 27001 et HDS et ainsi augmenter leur part de marché.

Et la demande est importante ! Au 21/02/2020, 89 organisations ont déjà obtenu la certification HDS, soit près de 4 certifiés par mois. Parmi elles, certaines disposaient déjà d’un agrément Hébergeur de Données de Santé.

Figure 1. Répartition des organisations certifiées Hébergeur de Données de Santé (HDS)

Sans surprise, la majorité des acteurs ayant obtenu la certification HDS sont des entreprises proposant des services d’hébergement et d’infogérance, incluant des fournisseurs cloud internationaux, et des éditeurs de logiciels. Ils représentent à eux seuls 83% des certifiés. Poussés principalement par des motivations économiques, ces acteurs mettent tous les arguments de leur côté pour conserver leurs clients et élargir leur portefeuille aux organisations ne souhaitant pas se lancer dans l’aventure de la certification HDS.

D’autres sociétés telles que des fournisseurs d’équipements biomédicaux ou de biotechnologies, des groupements de santé (Groupement d’Intérêt Public, Groupement de Coopération Sanitaire) ainsi qu’une mutuelle ont également franchi le cap, mais restent précurseurs dans leur domaine d’activité.

Et les établissements de santé ?

À date, seuls 3 groupements d’établissements de santé privés sont certifiés HDS, mais ce chiffre pourrait augmenter très prochainement. En effet, les Groupements Hospitaliers de Territoire (GHT) sont en cours de mise en œuvre de leur Système d’Information convergent, projet qui devrait s’étendre sur une durée plus longue qu’initialement anticipée dans de nombreux GHT. Ainsi qu’évoqué dans notre précédent article, ces travaux peuvent ainsi amener l’établissement support d’un GHT à héberger des données de santé pour le compte des autres établissements. Deux choix s’offrent alors à lui :

• Obtenir la certification HDS. C’est l’option vers laquelle devraient se tourner la plupart des établissements de taille importante. En effet, la taille de leur DSI leur permet généralement de réaliser le projet et d’offrir le service à long terme au GHT. Afin de se laisser le temps d’obtenir la certification HDS, certains d’entre eux optent pour un hébergement temporaire des applications mutualisées chez un acteur déjà certifié ou encore agréé HDS ;
• Externaliser l’hébergement des données de santé chez un acteur certifié. Cette option sera notamment plébiscitée par les établissements de taille limitée, pour qui l’investissement associé à une certification parait disproportionné. Ces établissements pourront par exemple privilégier un hébergement auprès d’acteurs certifiés HDS de taille comparable, qui seront plus à même de s’adapter à leurs besoins, et qui auront l’habitude de travailler avec des établissements de la santé.

Quels sont les principaux chantiers d’une mise en conformité HDS ?

La certification HDS reposant en premier lieu sur une certification ISO 27001, les recommandations de mise en œuvre de nos précédents articles restent applicables. Au-delà de la mise en place du Système de Management de la Sécurité de l’Information (SMSI) et d’un fort accompagnement au changement, les chantiers complémentaires reposent sur des exigences de l’ISO 20000-1 et de l’ISO 27018, ainsi que sur quelques exigences spécifiques santé. Ces chantiers de mise en conformité HDS d’un SMSI peuvent être
répartis en trois domaines :

Figure 2. Chantiers de mise en conformité HDS d’un Système de Management de la Sécurité de l’Information (SMSI)

Pour les organisations déjà certifiées ISO 27001 ou se conformant déjà aux normes ISO précitées, l’effort à fournir pour obtenir la certification HDS est moindre, et peut s’apparenter à un « quick win ».

Pour celles possédant un agrément HDS, la marche à franchir peut rester assez haute. En plus de la formalisation d’un référentiel documentaire plus conséquent que pour l’agrément, le contrôle de la conformité de l’ensemble du périmètre (ou « domaine d’application » au sens de l’ISO 27001) et de la démarche d’amélioration continue par un organisme indépendant spécialisé représente une difficulté additionnelle, gage de la valeur de cette certification.

Enfin, pour les organisations ne disposant d’aucun des accélérateurs précédents, l’effort à fournir dépendra du niveau de maturité vis-à-vis du référentiel de certification.

Quels financements pour les établissements de santé ?

Aujourd’hui, aucun financement direct des projets de certification ou d’externalisation n’est proposé. Cependant, grâce au programme HOP’EN, successeur du programme Hôpital Numérique, 420 millions d’euros sont prévus pour permettre aux GHT de financer la modernisation de leur SI. Ils pourront ainsi se tourner vers ces financements pour la construction de leur SI convergent. Tout comme son prédécesseur, le programme HOP’EN définit des indicateurs permettant aux établissements de mesurer leur maturité vis-à-vis des prérequis et des sept domaines fonctionnels. Une boite à outils a été publiée par l’Agence Nationale d’Appui à la Performance des établissements sanitaires et médico-sociaux (ANAP) pour faciliter l’atteinte des prérequis.

Comment sécuriser l’obtention de la certification ?

En fonction de la maturité de l’organisation, un projet de certification peut représenter une charge et des investissements lourds dans la durée, aussi bien lors du projet qu’à son issue pour assurer le maintien des certifications les années suivantes. Afin de sécuriser l’atteinte de l’objectif, certaines organisations optent pour une stratégie de certification en deux temps : pour commencer, elles se concentrent sur la certification ISO 27001, puis s’attèlent dans un second temps à la certification HDS. Ce choix comporte de nombreux avantages :

• Sécuriser l’obtention de chaque certification en limitant le nombre de nouvelles exigences à respecter et ainsi limiter le risque de non-conformité ;
• Faciliter la conduite du changement et l’appropriation des exigences à atteindre par les équipes : se concentrer sur un référentiel à la fois permet de simplifier la mise en place des nouveaux processus et nouvelles règles de sécurité en réduisant l’ampleur du changement à chaque étape ;
• Se laisser du temps pour mener à bien les chantiers de mise en conformité. Cette option permet de répartir les charges et investissements à réaliser sur une plus longue période. Cela est valable en particulier pour les chantiers techniques de mise en conformité cités précédemment, qui peuvent être particulièrement onéreux et chronophages.

Une seconde bonne pratique pour sécuriser cette certification est de réaliser un audit à blanc, c’est-à-dire un audit préparatoire mais réalisé dans les conditions réelles d’un audit de certification HDS. L’organisation y trouvera deux principaux apports :

• Obtenir l’avis d’un auditeur, indépendant vis-à-vis de l’équipe projet et de l’auditeur de certification, quant à ses chances d’obtenir la certification. L’auditeur aidera également à peaufiner et corriger les derniers détails avant le démarrage de l’audit de certification ;
• Préparer et entrainer les équipes à l’exercice de l’audit, et en particulier les aider à préparer les réponses et preuves à présenter à l’auditeur.

Des évolutions à venir ?

Après moins de 2 ans d’existence, le référentiel s’apprête à subir de grosses modifications. En effet, l’Asip Santé a annoncé en avril dernier la volonté de retirer l’activité 5 du référentiel de certification. Cette activité, concernant l’administration et l’exploitation du système d’information contenant les données de santé, a suscité débat. En effet, les activités d’infogérance pouvant être dissociées des activités d’hébergement, il peut s’avérer difficile voire impossible pour un acteur ne réalisant que les activités d’infogérance d’être consulté sur les choix réalisés en termes de sécurité de l’hébergement, et ainsi de respecter l’intégralité des exigences du référentiel. Les exigences liées à l’activité 5 devraient donc être proposées sous un nouveau format à l’avenir, afin de s’adapter davantage aux activités d’infogérance.

De nombreux établissements de santé, à l’instar des infogérants et les éditeurs de logiciels de santé, espèrent eux aussi un assouplissement du référentiel de certification HDS. Les exigences imposant l’atteinte d’un niveau de sécurité élevé pour la protection des données à caractère personnel, la marche à franchir peut s’avérer très haute pour les établissements. Ainsi, certains d’entre eux ont fait le choix de ne viser que la certification ISO 27001 pour le moment. L’évolution des exigences pour les établissements de santé reste également à surveiller, après l’annonce par la Direction Générale de l’Offre de Soins (DGOS) d’une certification des systèmes d’information hospitaliers en 2020, vouée à centraliser toutes les exigences liées à l’informatisation des établissements de santé.

Une autre évolution majeure possible concerne les GHT et leur obligation réglementaire d’héberger leur SI convergent auprès d’un hébergeur certifié HDS. Cette obligation ne perdure en effet que tant qu’un GHT reste constitué de personnes morales indépendantes. Cette obligation pourrait ainsi devenir caduque en cas constitution d’« établissements publics de santé territoriaux » en lieu et place des GHT, ainsi que proposé dans le récent rapport de l’Inspection Générale des Affaires Sociales (IGAS). Ce changement reste néanmoins peu probable à court et moyen terme.

Ces possibles évolutions ne semblent aujourd’hui pas affecter les demandes de certification ISO 27001, dont le volume continue de croître en France ainsi qu’anticipé dans notre précédent article, avec une croissance de 27% des certificats ISO 27001 entre 2017 et 2018 selon les derniers chiffres publiés par l’ISO. Cette croissance devrait logiquement se poursuivre sur les années à venir.

Cet article Certification Hébergeur de Données de Santé : deux ans déjà ! est apparu en premier sur RiskInsight.

Un nouveau cadre juridique en 2018 pour l’hébergement de données de santé

Le décret Hébergeur de Données de Santé a été publié au Journal Officiel le 28 février 2018. Ce décret vient entériner l’évolution annoncée dans l’ordonnance du 12 janvier 2017 relative à l’hébergement de données de santé à caractère personnel, elle-même permise par la Loi de modernisation de notre système de santé du 26 janvier 2016.

Ce nouveau décret rend obligatoire la certification Hébergeur de Données de Santé pour toute organisation publique ou privée hébergeant des « données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil de ces données ou pour le compte du patient lui-même ».

La certification Hébergeur de Données de Santé sera délivrée par un organisme indépendant, lui-même préalablement accrédité par le Comité Français d’Accréditation (COFRAC) ou l’un de ses équivalents européens. Cette certification viendra sanctionner le caractère conforme du service à l’ensemble des exigences. Comme pour l’agrément, le certificat Hébergeur de Données de Santé restera valable trois ans, mais fera en revanche l’objet d’une surveillance annuelle.

Agrément ou certification, quelles différences ?

Dans le cadre de la procédure d’agrément, le candidat devait constituer un dossier (volumineux !) composé d’un ensemble de formulaires à remplir et de justificatifs à produire, incluant un rapport d’audit de conformité réalisé par une société de son choix.

Plutôt que de définir un énième référentiel, la certification Hébergeur de Données de Santé se base désormais presque exclusivement sur des normes internationales reconnues : la norme ISO 27001 dans son intégralité et des règles issues des normes ISO 27017, ISO 27018 et ISO 20000-1. Quelques exigences spécifiques y sont également ajoutées, portant principalement sur deux aspects :

• La protection des données de santé : protection des sauvegardes externalisées, interdiction d’utiliser les données de santé à d’autres fins que l’exécution de la prestation d’hébergement, traçabilité nominative de l’utilisation des comptes génériques… ;
• La transparence du service : possibilité pour le client de réaliser des audits, rédaction obligatoire d’une procédure de réversibilité incluant les modalités de restitution des données, communication du rapport d’audit de certification à la demande du client…

Passés les gains « habituels » d’une certification ISO 27001, déjà largement évoqués dans nos articles précédents, les exigences ajoutées visent à professionnaliser l’offre de services d’hébergement, à améliorer la transparence de l’hébergeur vis-à-vis de ses clients, à renforcer la sécurité des données de santé et à réaffirmer les droits des personnes concernées par les données traitées, dans la lignée du Règlement Général sur la Protection des Données (RGPD).

Une certification Hébergeur de Données de Santé qui en cache deux

La certification Hébergeur de Données de Santé inclut dorénavant deux certificats distincts, chacun adapté à un type d’activités pouvant être proposées par l’hébergeur :

• Un certificat « Hébergeur infogéreur » ;
• Un certificat « Hébergeur d’Infrastructure physique ».

Le schéma suivant, issu du référentiel d’accréditation Hébergeur de Données de Santé, précise le certificat attendu en fonction des activités d’hébergement de données de santé réalisées.

Activités devant donner lieu à une certification Hébergeur de Données de Santé (schéma issu du référentiel d’accréditation v1.0, consulté le 04/04/2018)

Chaque certificat est requis si au moins une activité du périmètre du certificat est réalisée. Par exemple, un hébergeur proposant la sauvegarde externalisée de données de santé (activité 6) devra disposer du certificat « Hébergeur Infogéreur » : il devra donc respecter les exigences du référentiel de certification Hébergeur de Données de Santé applicables à ce certificat. De manière similaire, un fournisseur assurant la mise à disposition de locaux (activité 1) devra disposer du certificat « Hébergeur d’Infrastructure physique » : il devra de même respecter les exigences applicables à ce certificat.

Chaque hébergeur devra ainsi acquérir un seul ou les deux certificats en fonction des services d’hébergement de données de santé qu’il offrira à ses clients.

Une certification à venir des Hébergeurs de Données de Santé agréés…

Tout agrément Hébergeur de Données Santé délivré demeure valide jusqu’à son échéance (hors retrait ou suspension, comme précédemment). Cette durée sera prolongée de 6 mois en cas d’échéance avant le 31 mars 2019. Passée cette date, tout hébergeur de données de santé devra obtenir la certification Hébergeur de Données de Santé.

Le caractère obligatoire de la certification relancera ainsi le marché français des certifications ISO 27001, aujourd’hui en berne d’après la dernière étude publiée par l’International Standard Organisation (ISO) : en 2016, seuls 209 certificats ISO 27001 valides étaient comptabilisés, contre 227 en 2015.

120 hébergeurs sont aujourd’hui agréés et référencés sur le site de l’ASIP Santé. Bien que certains soient déjà certifiés ISO 27001 (et en supposant que le domaine d’application du Système de Management de la Sécurité de l’Information inclue l’hébergement de données de santé), un complément de certification leur sera nécessaire pour devenir certifiés Hébergeur de Données de Santé. Pour les autres, une certification sur l’ensemble des exigences sera nécessaire : cette évolution devrait à elle-seule entrainer une croissance du marché des certifications ISO 27001 sur les années à venir.

… et de certains établissements des Groupements Hospitaliers de Territoire

Autre conséquence de la loi de Modernisation de notre système de santé, les établissements publics de santé se rassemblent actuellement sous la forme de Groupements Hospitaliers de Territoire (GHT) pour travailler sur un projet médical partagé. Chacun des 135 GHT est organisé autour d’un établissement support, qui assure différentes fonctions pour le GHT, incluant « La stratégie, l’optimisation et la gestion commune d’un système d’information hospitalier convergent » (article 107). Cette exigence impose notamment la mise en place d’applications uniques pour l’ensemble des établissements d’un GHT, et ce pour chaque domaine fonctionnel (dossier patient informatisé, circuit du médicament, biologie, imagerie, etc.).

Deux solutions principales (mais non exclusives) s’offrent par conséquent aux GHT :

• Faire héberger leurs données de santé auprès d’un hébergeur tiers certifié Hébergeur de Données de Santé ;
• Héberger leurs données au sein d’un des établissements du GHT (par exemple l’établissement support).

Dans ce second cas, l’établissement hébergeur devra être certifié Hébergeur de Données de Santé. Alors que la majorité des GHT se posent la question d’aller ou non vers une externalisation de tout ou partie de leur Système d’Information convergent, 57% d’entre eux envisageaient encore fin 2017 d’externaliser l’hébergement. Il est néanmoins probable que de très nombreux GHT choisissent à terme de maintenir leur Système d’Information de Santé au sein du GHT et de certifier l’établissement hébergeur, ce afin de conserver la pleine maîtrise du Système d’Information et des données de santé. Cette orientation devrait s’observer majoritairement parmi les GHT organisés autour d’un établissement support de taille importante (CHU par exemple). Elle induira alors, elle-aussi, une forte croissance du nombre de certificats ISO 27001 délivrés en France.

Un appui financier pour accompagner la transformation des SI des GHT

Afin d’accompagner la construction de leur SI convergent, les GHT peuvent bénéficier de divers soutiens financiers. 20 millions d’euros ont d’ores-et-déjà été investis au travers des Agences Régionales de Santé (ARS), et un appel à projets doté d’une enveloppe de 25 millions d’euros a été annoncé fin 2017 par la Direction Générale de l’Offre de Soin (DGOS). Le programme e-Hôp 2.0, successeur du programme Hôpital Numérique 2012-2017, devait disposer de son côté d’une enveloppe de 400 millions d’euros pour accompagner le développement des SI des établissements de santé jusqu’en 2021. Récemment remplacé par le nouveau programme Hop’EN, l’enveloppe qui sera in fine allouée reste inconnue.

Une partie de ces financements pourra être mise à profit par les GHT pour structurer leur SI convergent, par exemple en finançant le programme d’externalisation auprès d’un hébergeur certifié, ou en finançant la certification Hébergeur de Données de Santé d’un des établissements du GHT.

En faisant évoluer la réglementation liée à l’Hébergement de Données de Santé au moment même où les Groupements Hospitaliers de Territoire structurent leur SI convergent, l’État saisit l’opportunité de renforcer la sécurité des données des patients traitées par les établissements de santé publics. Indirectement, il insuffle une double dynamique de croissance au marché de la certification ISO 27001 en France, qui permettra de standardiser et disséminer les bonnes pratiques de gestion de la sécurité de l’information sur l’ensemble du secteur de la Santé.

Bien qu’issue d’une évolution attendue de longue date, cette croissance risque d’engendrer une explosion des demandes de certification ISO 27001 et Hébergeur de Données de Santé dans les années à venir : le COFRAC et les sociétés qui seront accréditées pour délivrer les certifications Hébergeur de Données de Santé pourront-elles suivre ? Un engorgement pourrait se profiler à l’horizon.

Cet article « Hébergeur de Données de Santé » : la Santé dynamise le marché français des certifications ISO 27001 est apparu en premier sur RiskInsight.

Des évolutions de forme…

La norme se compose dorénavant de 14 chapitres contre 11 dans la version 2005. Les nouveaux chapitres intitulés « Cryptographie », « Relations avec les fournisseurs », « Sécurité des télécommunications » et « Sécurité de l’exploitation » sont issus d’un découpage des chapitres existants.

Les objectifs de sécurité passent de 39 à 35, ils sont formulés de manière plus synthétique, plus souple, augurant plus d’efficacité dans l’implémentation.

Certaines mesures de sécurité ont été modifiées ou supprimées, et finalement peu ont été ajoutées (6 seulement), ce qui diminue le nombre global (133 à 113 mesures).

… et des évolutions de fond

Trois sujets ont réellement fait l’objet d’évolutions structurantes.

Le chapitre « acquisition, développement et maintenance » a été revu en profondeur et prend maintenant en compte la sécurité applicative en incluant des mesures sur « System acceptance testing » (outil d’analyse de code, scanners de vulnérabilités), « System security testing during development », « Secure system engineering principles », « Outsourced developement »… Par ailleurs, les mesures deviennent plus générales, en supprimant l’objectif de sécurité sur « le bon fonctionnement des applications » (validation des données en entrée et en sortie, intégrité des messages, etc.). La gestion des données de tests est traitée dans ce chapitre.

Le chapitre “Information security aspects of business continuity management” traite maintenant de la continuité de la sécurité de l’information et non plus de la continuité business ! Ainsi, une note indique que les informations concernant le business continuity management sont disponibles dans les normes  ISO 22301, 27301, 22313. Seul un objectif de sécurité intitulé « redundancies » concerne la disponibilité des « information processing facilities ». Même si la norme réduit la portée de ces mesures, rien n’empêche de conserver les mesures « historiques » sur le PCA.

Le chapitre « contrôle d’accès » se concentre sur la gestion des accès des utilisateurs et sur l’accès aux applications et aux systèmes : le contrôle d’accès réseau, le contrôle d’accès à l’OS, le télétravail ne font plus partie de ce chapitre. En particulier, les mesures portant sur le cycle de vie des habilitations ont été complétées : depuis l’enregistrement des utilisateurs jusqu’aux revues des droits et la suppression des droits en cas de départ. L’authentification par mot de passe a été élargie aux « secret authentication ». Un focus spécifique est maintenant fait sur l’accès au code source.

Concernant les autres chapitres de la norme, les évolutions sont moins notables. On peut relever les points suivants.

Le chapitre « gestion des incidents liés à la sécurité de l’information » est complété par quelques précisions : une phase de « assessment of and decision on information security events » permet de déterminer si les évènements sont considérés comme des incidents de sécurité et une phase de « response to information security incidents » décrit la gestion des incidents. La phase d’apprentissage suite à l’analyse des incidents est assouplie : il n’est plus nécessaire d’évaluer le type, le volume et les coûts des incidents.

Le chapitre « sécurité du réseau » agrège maintenant toutes les mesures liées au réseau et reprend également celles issues du chapitre « gestion des télécommunications et de l’exploitation » (« gestion de la sécurité des réseaux » et « échange des informations ») et celles issues du chapitre « Contrôle d’accès » en ne conservant que le contrôle « cloisonnement des réseaux ».

Le chapitre « relation avec les fournisseurs » concentre tous les contrôles liés à la gestion des fournisseurs, en remplaçant la notion de « tiers » par « fournisseur ». Un nouveau contrôle est ajouté sur le report des mesures de sécurité sur la chaine de sous-traitance, tandis que le contrôle sur « l’identification des risques provenant des tiers » a été supprimé.

En synthèse, la version 2013 n’est pas révolutionnaire, mais les évolutions font apparaître plus de cohérence au sein des chapitres, ce qui rend la norme plus lisible pour les acteurs en charge de la mise en œuvre.

Qu’en est-il des sujets liés aux évolutions des usages et des technologies depuis 2005 ?

Certaines thématiques incontournables en termes de sécurité ne sont toujours pas traitées explicitement dans la norme :

• Des mesures basiques ne sont pas prises en compte, en particulier : le durcissement des postes de travail ou des serveurs, les réseaux sans fil, etc.

• Certaines règles restent trop macroscopiques pour réellement constituer de bonnes pratiques, notamment sur la sécurité du réseau : « networks should be managed and controlled to protect information in systems and applications », « groups of information services, users and information systems should be segregated on networks »

• Les nouvelles menaces (cybercriminalité) et les réponses associées ne sont pas développées : on ne parle pas de surveillance et de corrélation des évènements de sécurité (logique SOC), de sécurisation de l’administration, de sécurisation des accès à l’entreprise, notamment depuis Internet, des dispositifs de réaction en cas de cyber-attaques (logique CERT)…

• Les (r)évolutions technologiques ne sont pas non plus explicitement prises en compte : ni le cloud, ni la virtualisation ne sont abordés

On pourra arguer que la famille ISO 27xxx se complète avec des normes spécifiques (cloud computing, surveillance sécurité, etc.), mais il n’en reste pas moins que ce soit gênant si on considère que l’ISO 27002 reste le référentiel le plus générique et le plus utilisé pour la sécurité du SI.

A noter que la norme ISO 27001:2013 appuie sur le fait de compléter la Déclaration d’Applicabilité avec des mesures qui ne sont pas présentes dans l’ISO 27002, ce qui permet de pallier certains manques.

Une norme qui reste « l’esperanto » de la sécurité

La nouvelle version de la norme ISO 27002 reste donc une liste de mesures de sécurité, ne détaillant pas l’ensemble des caractéristiques de mise en œuvre.

Sa stabilité dans le temps et son caractère « indépendant des technologies » devrait, malgré ces quelques défauts, lui garantir le même succès dans la durée.

Cet article ISO 27002 : tour d’horizon des nouveautés est apparu en premier sur RiskInsight.

Ce défaut d’outillage complique l’obtention d’une vision consolidée des différentes activités et impacte directement l’efficacité de la SSI. Dans ce contexte, que peuvent apporter les outils de GRC (Gouvernance, Risque, Conformité) ?

Des outils aux fonctionnalités très étendues

Historiquement orientés vers les besoins de conformité et de contrôle pour adresser les acteurs de la Banque/Assurance, les éditeurs d’outils de GRC ont depuis étoffé leur offre. Les principales évolutions ont porté sur la gestion du risque, voire des risques SI pour certains éditeurs, avec des fonctionnalités qui arrivent aujourd’hui à maturité.

D’un point de vue pratique (et commercial), celles-ci sont souvent regroupées dans des modules thématiques. Si ce découpage dépend de chaque éditeur, certaines offres sont couramment reprises :

Une polyvalence capable de répondre aux besoins du RSSI

Chaque module des outils de GRC peut être utilisé dans une logique SSI.

• La gestion du risque peut être mise en œuvre selon des normes SSI établies (dont EBIOS et ISO 27005).
• Les phases de collecte et d’évaluation des risques peuvent être alimentées à partir des autres données, comme les résultats des contrôles et les incidents de sécurité déclarés.
• Les plans de traitement issus des risques, des contrôles, des incidents, peuvent être consolidés en une vue unique, quelle que soit la source du plan d’actions.

De plus, les outils GRC peuvent contribuer au maintien d’un système de management de la sécurité de l’information (SMSI) : en complément de la gestion et du traitement des risques, certains modules permettent le réexamen de son bon fonctionnement (via les contrôles et les audits).

Les éditeurs commencent d’ailleurs à s’intéresser de près aux problématiques des RSSI et de la mise en conformité aux référentiels de la famille ISO 2700x. Certains proposent déjà des solutions « sur étagère » : sélection des modules appropriés pour le maintien d’un SMSI suivant l’ISO 27001, adaptation du vocabulaire, catalogues de contrôles déclinés des mesures de l’ISO 27002.

De nouvelles offres proposées par les éditeurs vont également permettre d’industrialiser certaines activités spécifiques du RSSI : module de suivi des plans de continuité d’activité (élaboration de Business Analysis Impact, gestion de la mallette de crise) ; développement d’interfaces avec des solutions de gestion des évènements de sécurité (type SIEM ou scan de vulnérabilité) pour suivre leur traitement.

Une méthodologie éprouvée, un déploiement progressif et une démarche mutualisée : les facteurs clés pour envisager une mise en place

Certains éléments ne doivent pas être négligés avant de se lancer. Au-delà des problématiques de coûts et de ressources (intégration de l’outil, reprise des données pouvant être chronophage…), une réflexion sur trois actions clés doit être menée en amont :

• La méthodologie doit déjà être industrialisée : il est indispensable de ne pas cumuler la mise en place de l’outil à la définition des méthodes.
• Le lotissement doit être progressif  : cela facilitera l’appropriation de l’outil par les équipes, accompagnant ainsi le changement. Les coûts pourront également être lissés dans le temps.
• La démarche peut être mutualisée avec les entités de la sphère « risque » : les outils permettent de répondre à des besoins très variés, et peuvent gérer plusieurs instances. Ainsi une réflexion commune avec d’autres entités en charges des risques (Direction des Risques, Direction de l’Audit,  Direction de la Conformité, etc.) peut être envisagée pour garantir une meilleure intégration de la filière Risques et partager les coûts de l’outil.

Les outils de GRC s’adressent avant tout à des RSSI disposant déjà de processus rodés. Ils constituent une réelle opportunité d’industrialiser cette gouvernance… pour peu que celle-ci soit déjà bien établie. Dans le futur, ces outils pourront également répondre aux besoins d’industrialisation d’une gestion globale des risques, s’appuyant sur  un cadre unique.

Cet article Les outils de GRC : une opportunité d’industrialisation de la gouvernance SSI ? est apparu en premier sur RiskInsight.

Une nouvelle publication qui gagne en lisibilité

La première évolution de cette nouvelle version est une réorganisation globale des thématiques. Elles manquaient effectivement de clarté par le passé.

Cela se matérialise par l’adoption d’une structure globale PDCA bien plus affirmée qu’auparavant. Elle reprend la structure dite « haut-niveau » par ISO/IEC qui définit une organisation, une terminologie et des définitions communes afin de garantir une unité entre les différentes normes de système de management. Ceci facilitera la construction de systèmes de management intégrés.

Contrairement à la précédente publication, une progression linéaire apparait plus clairement et permet un découpage en 4 phases.

• La première correspondant au « PLAN » est nommée « Context », « Leadership », et « Planning » (chapitre 4 à 6). Elle décrit l’identification du contexte de l’organisation, la définition de la gouvernance du SMSI, l’identification des risques et la détermination des objectifs de sécurité ainsi que la planification de leur mise en œuvre. Il est à noter l’utilisation d’un vocabulaire plus précis que dans l’ISO 27001:2005 concernant l’énonciation des clauses.

• La seconde phase, « DO » (chapitres 7 « Support » et 8 « Operation »), explique l’identification et l’allocation des moyens supports du SMSI, l’élaboration de la documentation et le déploiement des mesures de traitement du risque.

• Une phase « CHECK » (chapitre 9 « Performance Evaluation ») se dessine et comprend la mise en œuvre des processus de contrôle, d’audit interne et de revue par la direction du SMSI.

• Enfin, une phase « ACT » (chapitre 10 « Improvement ») explique les processus de traitement des non-conformités et d’amélioration du SMSI. Ceux-ci sont simplifiés en réduisant en particulier le contrôle sur les enregistrements.

Des évolutions de forme plus que de fond

Plusieurs concepts sont abordés plus en détail dans la nouvelle version de l’ISO 27001.

L’apparition du terme  « top management »

Un chapitre entier (5.3. Organizational roles, responsabilities and authorities) dans la nouvelle ISO 27001 remplace une simple clause et souligne l’importance de l’assignation des responsabilités par le « top management ». Cette dénomination est également reprise dans les phases de construction du SMSI, de contrôles et de revue de direction.

Les interfaces enfin reconnues en tant que telles

La norme précise enfin le concept d’interface (4.3.c). Très utilisé actuellement, il permet de définir les rôles et responsabilités des différents « fournisseurs » du SMSI, qu’ils soient internes ou externes. Cette précision entérine un concept déjà bien en place. D’autre part, les parties prenantes deviennent un élément déterminant pour identifier les exigences de sécurité  (4.2.a).

Une définition des indicateurs simplifiée

Un chapitre (6.2. Information security objectives and plans to achieve them) énonce la nécessité de documenter des objectifs de sécurité de l’information à des niveaux pertinents. Mais surtout il met en avant le fait que les mesures de sécurité doivent être suivies par des indicateurs seulement si cela est « practicable ». Nous verrons ce que donnera la traduction en français mais il en est terminé de l’obligation de mettre des indicateurs sur l’ensemble des mesures de sécurité.

La déclaration d’applicabilité voit son « ouverture » renforcée

La  nouvelle ISO 27001 renforce la capacité à réaliser une déclaration d’applicabilité qui ne se restreint pas aux mesures de l’ISO 27002 : « l’organisation peut ajouter des objectifs de contrôles et créer les contrôles lorsque cela est nécessaire ou encore les identifier à partir de n’importe quelle source », cependant elle doit vérifier qu’aucune mesure majeure de sécurité de l’ISO 27002 n’a été omise. Ce point clé a fait l’objet de nombreux débats, mais il est essentiel pour conserver une « comparabilité » entre plusieurs certifications, au-delà du simple périmètre.

La communication autour du SMSI, à réfléchir en interne comme en externe

Un nouveau chapitre (7.4 Communication) énonce la nécessité pour chaque organisation, de déterminer dans son cas particulier, le besoin en termes de communication interne ou externe à réaliser concernant le SMSI (sujet, communiquant, cible, procédé).

Une nouvelle publication, mais quels changements pour la mise en place d’un SMSI ou le maintien d’une certification ISO 27001 ?

Par une meilleure cohérence dans l’enchaînement des chapitres et dans la lecture de la logique globale PDCA ainsi qu’une plus grande précision dans la définition de plusieurs concepts,  la nouvelle version de l’ISO 27001 clarifie la mise en œuvre de la norme.

Il ne s’agit donc pas d’une révolution, les concepts restent les mêmes. Cependant, la norme gagne en clarté et en efficacité. La migration des SMSI existants ne posera pas de problèmes fondamentaux et pourra même être l’occasion de simplifier certains processus comme ceux des indicateurs ou encore le suivi des non-conformités. De plus, la structure unifiée avec les autres normes de systèmes de management (ISO 9001…) facilitera la mise en œuvre de systèmes de management intégrés.

Les annexes de l’ISO 27001, basées sur la norme ISO 27002, ont également été revues en profondeur.

Une nouvelle mouture qui facilitera le quotidien de nombreux RSSI !

Cet article Mise à jour de l’ISO 27001 : quels impacts opérationnels ? est apparu en premier sur RiskInsight.

Si de prime abord les deux sujets peuvent paraître disjoints, ces interrogations semblent justifiées au regard des certifications relatives à la norme BS 25999 : plusieurs d’entre elles avaient combiné les deux référentiels. Et pour cause, il existe plusieurs points communs entre les deux normes…

D’indéniables axes de mutualisation

Les bases de tout système de management, qu’il concerne la qualité (9001), les services IT (20000) ou d’autres, sont communes – les normes  27001 et 22301 ne dérogent pas à la règle. On y retrouve ainsi les notions de construction par processus, d’amélioration continue, d’implication du management, …

En outre, elles concourent toutes deux à un même objectif : gérer les risques d’une organisation. Les risques liés, respectivement à la sécurité ou à la continuité, doivent être identifiés et priorisés, les traitements définis, … Elles se rejoignent donc sur une étape importante de la phase « Plan » : l’analyse de risques.

Par ailleurs, la continuité ou la disponibilité en tant que critère de sécurité est clairement abordée dans l’annexe de la 27001. En effet, cette dernière exige que l’organisme mette en place un Plan de Continuité d’Activité (PCA) et qu’il soit testé.

Pour autant, passer d’un SMSI à un Système de Management intégrant l’ISO 22301 n’est pas immédiat.

Des différences majeures à ne pas perdre de vue

L’ISO 22301 est une norme qui s’inscrit dans les réflexions autour de la sécurité sociétale. Elle traite de cas de sinistres majeurs : la problématique de la gestion de crise y est prégnante. Au vu de la dimension des sinistres envisagés, les exigences en termes de communication font l’objet d’un chapitre spécifique. Il s’agit aussi bien de la communication interne qu’externe envers les autorités, les médias, les familles des collaborateurs…

S’agissant de Système de Management de Continuité d’Activité, la notion de besoin de continuité est plus développée dans la norme ISO 22301. Un BIA (Bilan d’Impacts sur Activité ou Business Impact Analysis) doit être conduit. Ce BIA est à réaliser lors des premières étapes de mise en œuvre, identifiant, a minima, les activités critiques, et exprimant pour chacune d’entre elles les délais d’interruption maximale admissible, le « calendrier » de reprise progressive de l’activité, … Par ailleurs, la norme exige clairement que les dépendances soient identifiées, notamment avec les fournisseurs de services, lesquels doivent préciser leurs PCA existants. Cette précision vient directement faire écho à la notion de prestataires de services essentiels externalisés (ou PSEE).

Passer d’un SMSI à Système de management intégrant les exigences de la 22301 nécessite donc d’inscrire ces points dans les processus du Système de Management Intégré.

Un pas intéressant à franchir ?

Intégrer les exigences de l’ISO 22301 peut clairement donner un nouveau souffle à son système de management en effectuant un focus particulier sur la continuité d’activité. Mais redonner un nouveau souffle ne peut pas être une fin en soi, l’objectif est bien de répondre à un réel enjeu de sécurité de l’information et de continuité à la fois, avec une rationalisation de l’effort consacré à la gestion de deux risques !

Cet article De la 27001 à la 22301, juste un pas à franchir ? est apparu en premier sur RiskInsight.

Certifier le management de la sécurité, pas un niveau de sécurité

Tout d’abord, bref retour sur un point majeur trop souvent oublié : la norme ISO 27001 ne certifie pas un niveau de sécurité, mais son management. Cette norme, qui énonce les exigences à mettre en œuvre pour l’implémentation d’un Système de Management de la Sécurité de l’Information (SMSI), vise à mettre en place le management de la sécurité et à s’assurer de son amélioration continue sur le périmètre de la certification.

Le choix des mesures et du niveau de sécurité en place est donc fait en réponse aux risques et exigences identifiés par les parties prenantes : un choix nécessairement validé par le management ! Contrairement à un standard « catalogue » comme PCI-DSS où toutes les mesures doivent être implémentées pour arriver à la certification, l’audit ISO 27001 ne vérifiera que les mesures sélectionnées comme apportant une réponse aux risques. Une différence de taille, qui pousse vers une sécurité pragmatique mais en contrepartie nécessite une analyse des risques de sécurité de qualité et une attention particulière de l’auditeur externe.

Un périmètre solide

De nombreuses entreprises affichent des certifications, mais il est souvent nécessaire pour les clients de s’attarder sur la lecture du périmètre pour en connaître la valeur : un périmètre très limité par rapport à l’utilisation de leurs données peut être trompeur !

Ce n’est pas le cas ici, puisque Google présente une certification ISO 27001 qui couvre l’ensemble des systèmes, collaborateurs, processus et datacenters qui permettent de délivrer le service Google Apps. Cela inclut les services  GMail, Google Talk, Google Calendar, Google Docs (documents, spreadsheets, presentations), Google Sites, Control Panel (CPanel), Google Contacts, Google Video, Google Groups, mais aussi les briques support (Directory Sync, Provisioning API, SAML-Based SSO API, Reporting API, Audit API). C’est un périmètre impressionnant au vu de la couverture des services, tant sur le plan fonctionnel que géographique !

Développer la confiance et diminuer le nombre d’audits

A l’heure où de plus en plus d’entreprises se posent la question de l’opportunité d’externaliser les services de bureautiques comme la messagerie, l’édition de documents, etc., rassurer les responsables de la sécurité en garantissant les meilleures pratiques de management de la sécurité ne peut qu’être positif en termes marketing. Au-delà de l’apport de confiance, c’est également pour Google la garantie d’une reconnaissance externe, sanctionnée par un organisme de certification indépendant, qui pourra diminuer le nombre ou la charge d’audits des clients. Un bénéfice opérationnel non négligeable – même si Google n’était pas très enclin à se faire auditer !

Si Google a largement communiqué sur l’obtention de la certification, la firme de Mountain View n’a pas été la première à se lancer dans l’aventure : Amazon web services et Microsoft Office 365 ont déjà fait l’objet de la mise en place de SMSI certifiés. Après les infogérants, l’ISO 27001 serait donc en passe de devenir le standard de référence pour la sécurité des services dans le Cloud : on ne peut que se réjouir de ce mouvement qui rassurera les entreprises clientes de ces services. Celles-ci ne doivent cependant pas considérer la certification comme un niveau de sécurité « garantie » et rester attentive aux périmètres et aux mesures mises en place concrètement.

Cet article ISO 27001, un passage obligé pour les fournisseurs de services dans le cloud ? est apparu en premier sur RiskInsight.

En effet si le premier cycle Plan-Do-Check-Act est souvent de la découverte, la deuxième année peut se révéler pavé d’écueils si elle n’est pas soigneusement préparée. La dérive la plus fréquemment rencontrée est bien sûr la démobilisation des collaborateurs : passée la phase projet et l’aboutissement de l’implémentation des processus ou de la certification, il ne faut pas « laisser le soufflé retomber », même si des projets d’autres entités occupent désormais le devant de la scène auprès du management !

Conserver la dynamique projet

Il est important de maintenir une dynamique ambitieuse pour traiter les risques par les projets de sécurité. Ces chantiers permettront de garder un focus sur la sécurité et feront vivre le SMSI indirectement. En effet, ils sont propices à la mise en place de rendez-vous réguliers (comités de pilotage, points projets…) avec les collaborateurs et la direction sur le sujet sécurité. Le SMSI est alors utilisé au quotidien et l’avancement des projets permet de montrer des réductions des risques concrètes, et mesuré dans le temps. Les premiers effets concrets du SMSI !

Optimiser et garantir l’adhésion au SMSI dans le temps

La construction initiale est bien souvent réalisée sur des bases nouvelles, en imaginant le fonctionnement des processus de manière optimale. Fort de l’expérience des premiers cycles, le responsable du SMSI doit être à l’écoute des collaborateurs sur le fonctionnement de ces processus, de manière, de manière directe (rencontre, questionnaire…) ou indirecte, pour déterminer où se trouvent les points d’amélioration les plus criants et apporter des modifications rapides. Cela permet d’éviter un effet de lassitude, voire même de rejet, pour des processus qui fonctionneraient moyennement.

Ces évolutions sont généralement de deux types. Il s’agit tout d’abord de l’industrialisation des tâches récurrentes par l’outillage : même s’il n’existe pas aujourd’hui de solution idéale, des optimisations sur des tâches particulières sont possibles (qu’elles soient techniques, de pilotage comme les indicateurs ou administratives comme la documentation). Puis vient la rationalisation des actions existantes, particulièrement en renforçant l’intégration du SMSI dans les processus de l’entreprise. Par exemple l’intégration de revues de direction de plusieurs systèmes de management ou encore l’unification des démarches d’audit et de contrôle interne sont de beaux défis qui nécessitent une maturité importante mais qui sont autant de vecteurs d’optimisation.

Même si ces chantiers sont peu visibles, ils vont être la clé pour démontrer que l’adaptabilité, la réactivité et légèreté du SMSI.

Faire de l’audit de surveillance un marqueur clé

Le suivi des incidents, des crises mais aussi des non-conformités et des actions correctives et préventives sont essentielles pour montrer l’apport du SMSI. Cette analyse ne doit pas être un travail isolé mené par le responsable du SMSI mais bien une démarche collaborative avec les équipes opérationnelles. Cette revue régulière et partagée permet de montrer l’apport du SMSI dans la couverture des évènements liés à la sécurité.

Bien sûr, cette dynamique ne saurait être complète sans une communication régulière auprès de l’ensemble des populations : qu’il s’agisse de sensibilisation ou de communication sur les gains de la démarche et les succès (impact auprès des clients, gains opérationnels, etc.), les piqûres de rappel sont nécessaires pour ancrer dans les pratiques et les esprits la démarche sécurité et les enjeux de l’organisme. L’audit de surveillance, voire de renouvellement, est un marqueur clé de cette stratégie de communication. Il doit être vécu comme un aboutissement chaque année. Et ceci pas uniquement car la certification est maintenue, mais bien parce que le niveau de protection est meilleur d’année en année !

Se remettre en question pour aller plus loin

Finalement, le responsable du SMSI doit avoir un esprit d’écoute et de conquête pour d’une part comprendre les évènements qui marquent son périmètre métier (nouvelles offres, fusions, rapprochement, évolution du marché…) et d’autre part identifier les actions clés pour une potentielle évolution du SMSI. Des pistes judicieuses pour faire souffler un vent de fraîcheur sur le SMSI et donner une nouvelle impulsion à la démarche !

Cet article Maintenir le SMSI : conserver une dynamique de construction est apparu en premier sur RiskInsight.

La mise en place d’un Système de Management de la Sécurité de l’Information (SMSI) doit s’appuyer sur une stratégie solidement établie définie lors d’une étude d’opportunité préalable. À l’issue de cette étude, périmètre, cible d’alignement, organisation et chantiers de mise en conformité ont été cadrés.  Dès lors, il s’agit de se lancer dans l’implémentation à proprement parler : quels sont les facteurs clés de succès pour assurer une mise en œuvre efficace ?

Optimiser le planning de mise en œuvre

Tout en respectant les très nombreuses dépendances entre les processus du SMSI, il est tout à fait possible d’optimiser leur implémentation pour paralléliser les tâches et ainsi raccourcir le planning de mise en œuvre.

La mise en place d’un SMSI peut ainsi s’organiser en deux grands chantiers principaux :

–  D’une part, la mise en place du système de management en lui-même. Il faut définir les processus (pilotage, sensibilisation, contrôle et mesure de l’efficacité, etc.), et les implémenter. Le processus de pilotage sera bien entendu le premier à être étudié.

–  D’autre part, la mise en place de la gestion des risques, pilier de la démarche ISO 27001. Elle débute par la définition du processus de gestion des risques et la réalisation de l’appréciation des risques. Une première analyse rapide et macroscopique a déjà été menée lors de l’étude d’opportunité, afin d’identifier les chantiers de sécurité à démarrer au plus vite (PCA, IAM, chiffrement, etc.). Lors de cette deuxième étape,  il s’agit de réaliser l’analyse détaillée des risques de sécurité répondant aux exigences de l’ISO 27001. Elle permettra d’affiner et compléter les chantiers de sécurité qui auront été lancés en parallèle avec leur documentation.

Cette parallèlisation et les dépendances fortes entre les différents chantiers  nécessitent bien sûr un suivi de projet rigoureux afin d’identifier au plus tôt les éventuelles dérives de planning !

Faire adhérer les opérationnels à la démarche

Si le responsable SMSI – bien souvent le RSSI, même s’il peut également être un acteur  métier– et son équipe sont les pilotes du projet, il ne faut pas négliger la contribution des opérationnels avec lesquelles il est nécessaire de mettre en place une coordination forte.

Au-delà de la sensibilisation et de la conduite du changement qui s’adresse à tous les collaborateurs du périmètre ciblé, il est primordial de s’assurer de la mobilisation des équipes opérationnelles en charge de la mise en œuvre des projets de sécurité. L’enjeu va bien au-delà de la réalisation des projets sécurité selon le planning et les modalités prévues.  En effet, passée la phase projet, ce sont eux qui maintiendront les mesures de sécurité implémentées et la documentation : leur appropriation garantira la pérennité du niveau de sécurité ciblé.

Construire pour le futur

L’amélioration continue occupe une place clé dans les principes de l’ISO 27001. Dès lors, il est tout à fait acceptable de commencer par mettre en place une cible pragmatique dans la situation actuelle de l’organisme, tout en se projetant dans une stratégie d’évolution du SMSI plus ambitieuse à moyen terme.

Bien que le premier cycle Plan-Do-Check-Act soit principalement celui de la mise en place et de la découverte, il est également celui où les fondations du SMSI sont posées.  Il est donc important d’avoir dès ces premières phases les potentielles évolutions du SMSI en tête (une extension du périmètre par exemple). C’est particulièrement vrai pour la définition et la mise en place des processus, qui doivent pouvoir survivre aux changements de périmètre et d’organisation sans devoir subir une refonte complète.

La mise en place du SMSI doit ainsi être considérée comme un projet à part entière, mais ce n’est qu’un début : c’est également un tremplin pour assurer la pérennité de la démarche et l’adhésion des acteurs dans le temps !

Cet article Rendre la norme ISO 27001 opérationnelle : construire efficacement son SMSI est apparu en premier sur RiskInsight.

Aujourd’hui la norme ISO 27001 est indéniablement devenue le modèle de gouvernance de la sécurité de l’information.  Amenant un pilotage de la sécurité par les risques couplé à une approche système de management, elle permet de structurer et rationaliser le pilotage de la sécurité tout en construisant une vision stratégique à moyen terme. Mais comment se lancer dans sa mise en œuvre en répondant au mieux aux enjeux de sécurité des métiers et en en tirant le meilleur parti ?

Avant de démarrer : se poser les bonnes questions !

Une étude d’opportunité et de faisabilité permet de répondre rapidement aux questions clés : pourquoi et pour qui implémenter la norme ? Quels sont les enjeux métiers et les grands risques sécurité ? D’où part-on ?

Si la lecture linéaire des exigences de la norme s’avère vite peu adaptée pour évaluer le niveau de conformité actuel de l’entreprise, une analyse des écarts en adoptant une vision « processus » (pilotage du système de management de la sécurité de l’information, gestion des risques, contrôle et mesure de l’efficacité, etc.) est plus  facile à mener et souvent bien plus parlante. Conduite avec les métiers, les interlocuteurs sécurité, SI et les fonctions support, elle est également l’occasion de les sensibiliser, de comprendre leurs enjeux business et d’identifier de manière macroscopique leurs risques sécurité.

Alignement ou certification : trouver sa voie

Ces deux voies correspondent à des enjeux différents . L’alignement à la norme permet d’apporter cohérence et implication à la démarche de sécurité. Il donne également la possibilité dela légitimer et communiquer sur celle-ci.. Il s’agit dès lors de se fixer son propre référentiel d’exigences en sélectionnant les processus présentant le meilleur ratio efficacité / coût dans le contexte, et le degré de conformité visé. L’alignement s’inscrit dans une démarche de progrès sur plusieurs années, en fonction de la maturité initiale et de la cible. C’est la voie choisie par la majorité de nos clients.

La certification répond quant à elle à des enjeux commerciaux, sectoriels, réglementaires ou opérationnels forts. Au-delà des apports de l’alignement, elle constitue un élément différenciant, la garantie externe d’un pilotage de la sécurité maîtrisé aux yeux des clients, partenaires et régulateurs. Bien souvent, les organismes qui s’engagent dans la certification manipulent des données sensibles soumises à des réglementations fortes (santé, banque, assurance) ou sont des hébergeurs qui voient dans la certification un intérêt d’image, mais aussi opérationnellement réduction du nombre d’audit de leurs clients !

Identifier les scénarios gagnants à présenter à sa Direction

Le périmètre est un élément structurant du système, centré sur les enjeux métiers. Il peut prendre la forme d’un site – un datacenter,  d’une organisation – la DSI, d’un processus ou encore d’une offre  proposée aux clients.

Au-delà de ce qu’il comprend, il est important d’identifier précisément ses frontières avec les différentes interfaces (fournisseurs internes, externes, clients, etc.) pour évaluer les charges internes et les futurs besoins de contractualisation pour assurer la maîtrise des mesures de sécurité.

La stratégie de définition du système de management et de l’organisation est intimement dépendante de ce périmètre et de l’organisation de l’entreprise. Un SMSI, des SMSI ? Quel cycle de vie ? Quel(s) responsable (s), entité(s) de management, instances ?

Les différents scénarii imaginés doivent être confrontés en s’appuyant sur l’apport de la démarche par rapport aux enjeux métiers et aux investissements. N’oublions pas que ces derniers sont en partie déjà prévus : les risques doivent dans tous les cas être traités et les chantiers sécurité budgétés, et le pilotage du SMSI est une évolution du rôle du RSSI déjà intégré aux charges récurrentes de l’entreprise. Des arguments qui peuvent faire mouche auprès de la Direction à qui le projet sera présenté !

Après cette phase de décision, la construction doit commencer et cela fera l’objet de d’un prochain article  sur l’ISO 27001 !

A suivre : rendre la norme ISO 27001 – épisode 2 : construire efficacement son SMSI

Cet article Rendre la norme ISO 27001 opérationnelle : trouver le SMSI gagnant est apparu en premier sur RiskInsight.