SMSI - RiskInsight

OSE belges et ISO 27001 : quel chemin vers plus de cybersécurité ?

Noëmie Honoré — Tue, 30 Jun 2020 13:00:16 +0000

Dans un précédent article, on vous racontait tout sur la nouvelle directive européenne NIS et le choix de la Belgique de se baser sur la norme ISO 27001 pour accroître la sécurité des Opérateurs de Services Essentiels (OSE) avec tout ce que ça entraînait pour les organisations nouvellement désignées.

Qui dit directive européenne ne dit pas règlement européen : il revient donc à chaque pays membre de transposer les exigences de la directive NIS dans son droit national. La Belgique a fait le choix d’un standard existant (la norme ISO 27001) alors que certains de ses voisins, dont la France, ont choisi une approche basée sur la définition d’un référentiel d’exigences précis mêlant à la fois des mesures techniques et de gouvernance (SI d’administration, cloisonnement, démarche d’homologation, etc.).

Intéressons-nous aujourd’hui à ce que ça implique pour les OSE belges, et plus largement pour toutes les organisations attirées par les normes internationales, de suivre les exigences de la norme ISO 27001.

La norme ISO 27001, adulée par certains et critiquée par d’autres

Des voix se lèvent contre la référence du milieu, fustigeant notamment son aspect bureaucratique et sa paperasserie qui, pourtant, peuvent aider à mettre en place un référentiel utile à la continuité des services et la formation des personnes via le partage des pratiques – surtout lorsqu’il est pensé avec pragmatisme. Les critiques vont également bon train sur le niveau de complexité ajouté, encore plus présent pour les plus petites structures. Là encore, la règle est au pragmatisme et les mesures doivent être adaptées à la taille de l’organisation et s’intégrer à l’existant pour éviter les structures ex nihilo trop lourdes à gérer.

Enfin, certains aprioris ont la vie dure et réduisent souvent une conformité ISO 27001 à une liste de cases à cocher, dépourvues d’implications réelles sur la sécurité de l’organisation. Mais la fameuse déclaration d’applicabilité (DdA), exigée par la norme ISO 27001 à tous ceux qui visent une certification, ne revient pas uniquement à lister tous les contrôles de la norme ISO 27002. Elle demande une véritable évaluation au regard des enjeux et des risques. De quoi apporter des éléments concrets pour la sécurité de l’organisation.

ISO 27001, ISO 27002, il y en a beaucoup comme ça ?

Dans la famille des ISO, beaucoup, vraiment beaucoup. En revanche pour la cybersécurité, ce sont bien ces deux-là qui sont les plus utilisées, avec l’ISO 27005 pour la gestion des risques (si c’est la protection des données qui vous intéresse, lisez aussi notre article sur la nouvelle venue ISO 27701).

La norme ISO 27001 apporte un cadre à la cybersécurité et vise à mettre en place un SMSI (Système de Management de la Sécurité de l’Information). Pour aider les organisations dans cette direction, elle est accompagnée de la norme ISO 27002 qui détaille les bonnes pratiques sécurité présentées dans l’annexe A de l’ISO 27001. La certification (le graal des OSE belges) porte sur la norme ISO 27001 mais les deux normes fonctionnent bien de pair.

La certification s’obtient sur un périmètre délimité d’un point de vue métier et IT sur lequel les principaux risques sont identifiés. Cette évaluation par les risques, mêlée à la prise en compte du contexte de l’organisation, aide à sélectionner les bonnes pratiques ISO 27002 pertinentes pour formaliser la Déclaration d’Applicabilité (DdA) et à exclure les contrôles qui ne sont pas applicables (attention à bien justifier ces exclusions : elles seront analysées par l’organisme de certification). Si on peut retirer des pratiques moins utiles, on peut aussi en rajouter d’autres : l’organisation peut ainsi compléter la liste existante des 114 mesures de sécurité au regard de ses risques. La norme ISO 27002 n’adresse pas l’exhaustivité des mesures de sécurité possibles. C’est là qu’une expertise cybersécurité prend tout son sens.

5 conseils pour trouver le bon équilibre et réussir sa mise en conformité ISO 27001

Bien entendu, vu dans son ensemble, un programme de mise en conformité à la norme ISO 27001 peut rapidement donner le vertige… Voici 5 réflexes à avoir en tête pour faciliter le lancement d’un SMSI et le maintien de ses performances dans le temps :

1. Identifier un sponsor investi au service de l’objectif de sécurisation. Comme pour le cinéma, il n’y a pas de film sans réalisateur, et pas de réalisateur sans le soutien du producteur. Le match parfait doit avoir pleine conscience de la valeur ajoutée de la mise en conformité à la norme ISO 27001 pour améliorer le niveau de sécurité, au-delà de la pure conformité au cadre légal. Il doit utiliser les cadres normatifs au profit d’un meilleur niveau de sécurité et doit donc voir ce projet comme un chantier de sécurisation plutôt qu’un chantier de conformité.

Implémenter un SMSI pérenne demande des ressources et moyens humains, organisationnels, physiques et financiers. Le pilotage du projet de mise en conformité ne fonctionnera que s’il est soutenu par un responsable qui a le pouvoir d’allouer les ressources et les moyens nécessaires pour piloter les risques et assurer un niveau de sécurité acceptable au regard des enjeux métier. Le respect de la directive NIS, à l’échelle européenne ou à l’échelle belge via une mise en conformité à la norme ISO 27001, constitue avant tout un moyen d’augmenter le niveau de sécurité et non une fin en soi.

2. Piloter par les risques. C’est la base de la sécurité ; le concept clé à toujours garder en tête. Ce pilotage permet d’identifier les risques du périmètre et de s’assurer que les enjeux métier sont bien pris en compte. La gestion des risques ne s’arrête pas à leur identification et au traitement initial. Elle demande la mobilisation des équipes et des activités pour traiter les risques existants et suivre l’évolution des risques (existants et nouveaux qui apparaissent) et leurs traitements, via une mise à jour périodique et lors d’évènements majeurs sur le périmètre.

Par la mise en place de cette démarche globale des risques, l’organisation s’assure une vision transverse des risques qui permet de focaliser les efforts des mesures de sécurité là où il y a le plus d’enjeux. Cette validation et cet arbitrage doivent se faire en concertation avec les propriétaires des risques (métier ou IT) qui portent la responsabilité du risque sur leurs périmètres et doivent se positionner sur les traitements possibles (acceptation, réduction, transfert ou évitement). Un pilotage affiné et resserré des risques permet ainsi de prendre de véritables décisions éclairées, par des acteurs parfois éloignés de la sécurité.

3. Constituer un référentiel documentaire pragmatique. Cette étape aide à définir et documenter les pratiques et ainsi favoriser la continuité des opérations, leur contrôle et leur amélioration continue. Cette documentation doit être le reflet de la réalité tout en assurant la cohérence avec les exigences de la norme ISO 27001 pour aider à définir les pratiques à mettre en œuvre et les gérer au quotidien (implémentation et mises à jour au gré des évolutions, etc.).

Les maîtres-mots lors de la constitution de ce référentiel sont pragmatisme et utilité : il doit s’intégrer à l’existant en complétant les procédures existantes et en en créant de nouvelles qui manquaient ; il ne doit pas compliquer inutilement la situation mais se baser sur une interprétation pertinente de la norme ; il doit être utile aux équipes qui assurent les activités pour permettre le maintien des opérations. Evitez donc les copier-coller des exigences des normes. Ils créent un référentiel inutile aux équipes terrain et attiseront la curiosité de vos auditeurs qui douteront alors de l’effectivité des mesures…

4. Évaluer régulièrement les performances. Tout système de management qui se respecte nécessite une boucle de contrôle pour évaluer ses performances et, dans le cas du SMSI, ses non-conformités à la norme ISO 27001 et au référentiel en place dans l’organisation (synthétisé dans la DdA). L’identification de ces non-conformités doit permettre de remonter jusqu’à leur source et d’initier la réflexion sur la meilleure manière de les gérer. La réflexion à mener doit porter sur la manière dont la non-conformité va être résolue pour assurer l’augmentation du niveau de sécurité tout en s’assurant que les mesures correspondent aux exigences de la norme et sont adaptées au contexte, aux risques et aux enjeux de l’organisation.

Les différents niveaux de contrôles (auto-contrôles par les équipes, audits internes/externes, revues de direction) doivent tous garder l’objectif d’amélioration du niveau de sécurité en tête en utilisant de manière pragmatique les exigences de la norme et le référentiel de l’entreprise, et au besoin faire évoluer ce dernier au regard de la réalité pratique de l’organisation. Il s’agit de trouver le bon équilibre entre le contexte de l’organisation et la gestion des risques identifiés. Si vos enjeux portent essentiellement sur la disponibilité d’une activité, focalisez vos efforts (mesures et contrôles) sur cet enjeu en priorité. Pour être pertinent, ce cycle d’évaluation doit distribuer les efforts sur les périmètres les plus pertinents pour l’organisation (selon ses risques et enjeux) et alimenter les prochaines étapes du cylce de vie du SMSI.

5. Engager les équipes. Un projet de mise en place d’un SMSI n’est pas uniquement l’apanage du RSSI ou d’une équipe de documentalistes. Il s’agit avant tout d’un projet d’envergure qui demande un large éventail d’expertises allant de la cybersécurité au business en passant par l’IT, le juridique, les achats, les ressources humaines, etc. C’est une véritable conduite du changement qui est à organiser avec l’implication pleine et complète des différentes équipes et du management de l’organisation pour assurer un SMSI qui sert l’amélioration durable du niveau de sécurité pour l’ensemble du périmètre.

La certification ISO 27001, oui mais pragmatique !

La véritable force de la certification ISO 27001 est avant tout d’enclencher une dynamique de sécurité dans l’organisation. La documentation peut certes alourdir les pratiques mais n’enlève rien de la philosophie d’amélioration continue du niveau de sécurité. Par l’apport d’un socle minimal pour la cybersécurité, sans définir des exigences strictes, la norme laisse à l’organisation le choix de placer le curseur sécurité à un niveau qui lui est adapté et d’obtenir des résultats positifs – à condition de s’entourer de bonnes personnes sensibilisées au sujet !

Traitée avec un regard critique et pragmatique, la norme apporte ainsi un cadre pour installer la gouvernance de la cybersécurité au sein de chaque organisation en mobilisant les concepts clés tout en laissant la marge nécessaire pour proposer des mesures complémentaires qui, ensemble, servent l’amélioration du niveau de sécurité.

Au-delà de l’approche traditionnelle de la conformité, la mise en conformité à la norme ISO 27001 doit servir de boîte à outils à toute les équipes et non constituer une fin en soi.

La liberté de mise en œuvre de la directive NIS au niveau européen offre un nouveau terrain d’expérimentation où se mêlent cultures différentes et visions divergentes de la cybersécurité. Seul l’avenir pourra nous dire ce qui fonctionne au niveau européen, mais l’approche belge démontre une nouvelle fois la culture du compromis entre cadre strict et liberté de mouvement. Pour les OSE belges comme pour les organismes de certification, l’inconnue demeure avant tout sur le positionnement du curseur entre les deux extrêmes.

Il leur faudra alors éviter une approche scolaire et mettre à profit une interprétation utile et pragmatique de la norme en gardant l’objectif final en tête : plus de cybersécurité.

Cet article OSE belges et ISO 27001 : quel chemin vers plus de cybersécurité ? est apparu en premier sur RiskInsight.

ISO 27701 : un texte de conformité de plus ou le cadre international tant attendu pour la protection de la vie privée ?

Alexandre Bianchi — Tue, 24 Dec 2019 13:29:25 +0000

Facebook (5 milliards de dollars), Cambridge Analytica, Equifax (700 millions de dollars), British Airways (204 millions d’euros), Marriott (110 millions d’euros)… il ne fait nul doute que ces affaires et amendes records participent à rendre le constat suivant de plus en plus évident et partagé : cybersécurité et protection de la vie privée sont de nouveaux piliers structurants et non négociables pour les entreprises et organisations. Le PDG d’Apple Tim Cook évoquant même récemment le sujet comme une « crise » à laquelle il faut faire face.

Mais au juste, qu’est-ce que la norme ISO 27701 ?

L’International Standard Organisation (ISO) a publié en août 2019 sa norme 27701 qui est une extension de l’ISO 27001 et a vocation à venir spécifier et définir les processus, les objectifs et les mesures à mettre en œuvre pour la protection des données personnelles et de la vie privée.

Créer et faire vivre un Système de Management de la Protection de la Vie Privée

A l’instar de la norme ISO 27001 (la référence en ce qui concerne la sécurité informatique), qui a pour but de créer un Système de Management de la Sécurité de l’Information (SMSI), son extension 27701 aspire à créer un Système de Management de la Protection de la Vie privée (Privacy Information Management System – PIMS en anglais).

Pour ce faire, la norme amende et complète les processus, les exigences et les mesures de sécurité de la 27001 et de la 27002 avec des préconisations spécifiques au traitement de données à caractère personnel.

Mais elle ne se contente pas d’étoffer la 27001 et la 27002 et vient également ajouter des exigences nouvelles spécifiques bien connues des acteurs de la Privacy (gestion du consentement, transparence, minimisation…).

Dans ce contexte, l’obtention d’une certification ISO 27001 est un préalable à une certification 27701.

Ce paramètre rétrécit mécaniquement les candidats potentiels à une certification, et rend l’effort à fournir plus conséquent : revue des documents existants, collaboration nécessaire entre les équipes initiales du SMSI et les nouveaux acteurs du PIMS, etc.

Malgré cet effort, l’application de ce standard offre une excellente opportunité pour les organisations d’entremêler davantage les processus et les équipes relatifs à la cybersécurité et la Privacy (par exemple : lier les processus d’Intégration de la Sécurité dans les Projets et le Privacy by Design).

La certification ISO 27701 n’est pas synonyme de conformité au RGPD…

Il est important de noter qu’une certification à la norme n’est pas synonyme à une conformité au RGPD, la vocation principale de la norme étant d’établir à l’échelle mondiale des principes et des règles autour de la Privacy, et ce, dans un langage commun. Cela dit, il convient de rappeler que des autorités nationales (comme la CNIL) ont participé à l’élaboration de la norme et saluent sa publication.

Mais alors, quelles adhérences entre le contenu de la norme et le contenu du RGPD ?

En ce qui concerne les principes fondamentaux du RGPD (consentement, droits, licéité…), la nouvelle norme développe un ensemble d’exigences couvrant toutes les thématiques du RGDP. La norme se voulant internationale, elle demeure par nature moins précise que le RGPD sur certains thèmes (pas de précision du délai à respecter pour notifier l’autorité par exemple). Il est ainsi du ressort du PIMS de réaliser une analyse d’écarts afin de comprendre quels sont les ajustements à réaliser pour être en conformité avec les lois applicables.

Par ailleurs, en ce qui concerne la sécurité des données à caractère personnel, les adaptations des exigences de la 27001 et de la 27002 offrent un référentiel complet aux organisations pouvant servir de socle pour respecter l’article 32 du RGPD (dédié à la sécurité des données).

…mais elle peut devenir la marque de crédibilité la plus forte en la matière sur le marché.

L’enjeu principal d’une certification 27701 est de crédibiliser son système de management de la Privacy et donner confiance aux parties prenantes (partenaires commerciaux, clients, fournisseurs, salariés, autorités…) quant à la prise en compte des principes fondamentaux de la protection de la vie privée.

Le « tampon » 27701 pourrait devenir rapidement un gage de confiance connu et reconnu à l’échelle internationale. A l’instar de la norme ISO 27001, cette nouvelle norme 27701 pourrait devenir un critère incontournable dans les phases d’appel d’offres.

Dans cette perspective, Matthieu Grall de la Commission nationale de l’informatique et des libertés (CNIL) énonce qu’avec « (…) l’augmentation du nombre de plaintes et de sanctions liées à la confidentialité et à la protection des données, il est évident qu’une telle norme était nécessaire. En outre, les organisations doivent prouver aux autorités, et à leurs partenaires, clients et collaborateurs qu’elles sont dignes de confiance. Or cette norme contribuera fortement à inspirer cette confiance. »

Concrètement, pour qui et pourquoi ?

La publication de cette norme représente une opportunité pour plusieurs types d’organisations :

Dans une relation B2B : un gage de confiance fort vis-à-vis de ses partenaires commerciaux dans le cadre d’une collaboration induisant le traitement de données personnelles (une entreprise gérant la paie ou réalisant les opérations de communication ou de marketing pour le compte de grandes organisations par exemple).
Dans une relation B2C : la certification d’un périmètre clé d’une entreprise traitant en masse les données personnelles de ses clients (un distributeur dans le cadre de son programme fidélité, un assureur dans le cadre ses activités contractuelles…) peut devenir à terme un vecteur de confiance significatif vis-à-vis des clients eux-mêmes mais aussi vis-à-vis des autorités.
Au sein des entreprises : la norme représente un nouveau référentiel auquel les entreprises peuvent se confronter et dont elles peuvent se servir pour venir élaborer un cadre d’audit clair et partagé. Une certification ISO 27701 peut également représenter un moyen pour les DPO et les équipes Privacy de rendre tangible les efforts fournis auprès de leur top management.

Si des incertitudes demeurent sur son adoption massive (notamment liées à la barrière de la certification 27001), il ne fait nul doute qu’elle pourra rapidement s’imposer comme un gage de confiance ainsi que comme un nouveau référentiel d’audit et de contrôle interne.

Il en demeure que l’apparition de cette norme est un nouveau bond en avant en ce qui concerne la protection des données personnelles, et ce à l’échelle internationale.

Cet article ISO 27701 : un texte de conformité de plus ou le cadre international tant attendu pour la protection de la vie privée ? est apparu en premier sur RiskInsight.

Mise à jour de l’ISO 27001 : quels impacts opérationnels ?

Florence Le Goff — Thu, 05 Sep 2013 12:16:29 +0000

Pilier de très nombreuses démarches sécurité, la norme ISO 27001 est en cours de mise à jour. Sa publication, attendue pour la fin de l’année, apporte de nombreux changements bienvenus. Quels sont-ils et comment utiliser au mieux cette nouvelle version de la norme ?

Une nouvelle publication qui gagne en lisibilité

La première évolution de cette nouvelle version est une réorganisation globale des thématiques. Elles manquaient effectivement de clarté par le passé.

Cela se matérialise par l’adoption d’une structure globale PDCA bien plus affirmée qu’auparavant. Elle reprend la structure dite « haut-niveau » par ISO/IEC qui définit une organisation, une terminologie et des définitions communes afin de garantir une unité entre les différentes normes de système de management. Ceci facilitera la construction de systèmes de management intégrés.

Contrairement à la précédente publication, une progression linéaire apparait plus clairement et permet un découpage en 4 phases.

La première correspondant au « PLAN » est nommée « Context », « Leadership », et « Planning » (chapitre 4 à 6). Elle décrit l’identification du contexte de l’organisation, la définition de la gouvernance du SMSI, l’identification des risques et la détermination des objectifs de sécurité ainsi que la planification de leur mise en œuvre. Il est à noter l’utilisation d’un vocabulaire plus précis que dans l’ISO 27001:2005 concernant l’énonciation des clauses.

La seconde phase, « DO » (chapitres 7 « Support » et 8 « Operation »), explique l’identification et l’allocation des moyens supports du SMSI, l’élaboration de la documentation et le déploiement des mesures de traitement du risque.

Une phase « CHECK » (chapitre 9 « Performance Evaluation ») se dessine et comprend la mise en œuvre des processus de contrôle, d’audit interne et de revue par la direction du SMSI.

Enfin, une phase « ACT » (chapitre 10 « Improvement ») explique les processus de traitement des non-conformités et d’amélioration du SMSI. Ceux-ci sont simplifiés en réduisant en particulier le contrôle sur les enregistrements.

Des évolutions de forme plus que de fond

Plusieurs concepts sont abordés plus en détail dans la nouvelle version de l’ISO 27001.

L’apparition du terme « top management »

Un chapitre entier (5.3. Organizational roles, responsabilities and authorities) dans la nouvelle ISO 27001 remplace une simple clause et souligne l’importance de l’assignation des responsabilités par le « top management ». Cette dénomination est également reprise dans les phases de construction du SMSI, de contrôles et de revue de direction.

Les interfaces enfin reconnues en tant que telles

La norme précise enfin le concept d’interface (4.3.c). Très utilisé actuellement, il permet de définir les rôles et responsabilités des différents « fournisseurs » du SMSI, qu’ils soient internes ou externes. Cette précision entérine un concept déjà bien en place. D’autre part, les parties prenantes deviennent un élément déterminant pour identifier les exigences de sécurité (4.2.a).

Une définition des indicateurs simplifiée

Un chapitre (6.2. Information security objectives and plans to achieve them) énonce la nécessité de documenter des objectifs de sécurité de l’information à des niveaux pertinents. Mais surtout il met en avant le fait que les mesures de sécurité doivent être suivies par des indicateurs seulement si cela est « practicable ». Nous verrons ce que donnera la traduction en français mais il en est terminé de l’obligation de mettre des indicateurs sur l’ensemble des mesures de sécurité.

La déclaration d’applicabilité voit son « ouverture » renforcée

La nouvelle ISO 27001 renforce la capacité à réaliser une déclaration d’applicabilité qui ne se restreint pas aux mesures de l’ISO 27002 : « l’organisation peut ajouter des objectifs de contrôles et créer les contrôles lorsque cela est nécessaire ou encore les identifier à partir de n’importe quelle source », cependant elle doit vérifier qu’aucune mesure majeure de sécurité de l’ISO 27002 n’a été omise. Ce point clé a fait l’objet de nombreux débats, mais il est essentiel pour conserver une « comparabilité » entre plusieurs certifications, au-delà du simple périmètre.

La communication autour du SMSI, à réfléchir en interne comme en externe

Un nouveau chapitre (7.4 Communication) énonce la nécessité pour chaque organisation, de déterminer dans son cas particulier, le besoin en termes de communication interne ou externe à réaliser concernant le SMSI (sujet, communiquant, cible, procédé).

Une nouvelle publication, mais quels changements pour la mise en place d’un SMSI ou le maintien d’une certification ISO 27001 ?

Par une meilleure cohérence dans l’enchaînement des chapitres et dans la lecture de la logique globale PDCA ainsi qu’une plus grande précision dans la définition de plusieurs concepts, la nouvelle version de l’ISO 27001 clarifie la mise en œuvre de la norme.

Il ne s’agit donc pas d’une révolution, les concepts restent les mêmes. Cependant, la norme gagne en clarté et en efficacité. La migration des SMSI existants ne posera pas de problèmes fondamentaux et pourra même être l’occasion de simplifier certains processus comme ceux des indicateurs ou encore le suivi des non-conformités. De plus, la structure unifiée avec les autres normes de systèmes de management (ISO 9001…) facilitera la mise en œuvre de systèmes de management intégrés.

Les annexes de l’ISO 27001, basées sur la norme ISO 27002, ont également été revues en profondeur.

Une nouvelle mouture qui facilitera le quotidien de nombreux RSSI !

Cet article Mise à jour de l’ISO 27001 : quels impacts opérationnels ? est apparu en premier sur RiskInsight.

ISO 27001, un passage obligé pour les fournisseurs de services dans le cloud ?

Marion Couturier — Thu, 07 Jun 2012 11:26:03 +0000

Google a la semaine passée annoncé en grande pompe l’obtention de la certification ISO 27001 pour ses services Google Apps for Business. Mais quels sont donc les bénéfices d’une telle certification pour un fournisseur de service comme Google ?

Certifier le management de la sécurité, pas un niveau de sécurité

Tout d’abord, bref retour sur un point majeur trop souvent oublié : la norme ISO 27001 ne certifie pas un niveau de sécurité, mais son management. Cette norme, qui énonce les exigences à mettre en œuvre pour l’implémentation d’un Système de Management de la Sécurité de l’Information (SMSI), vise à mettre en place le management de la sécurité et à s’assurer de son amélioration continue sur le périmètre de la certification.

Le choix des mesures et du niveau de sécurité en place est donc fait en réponse aux risques et exigences identifiés par les parties prenantes : un choix nécessairement validé par le management ! Contrairement à un standard « catalogue » comme PCI-DSS où toutes les mesures doivent être implémentées pour arriver à la certification, l’audit ISO 27001 ne vérifiera que les mesures sélectionnées comme apportant une réponse aux risques. Une différence de taille, qui pousse vers une sécurité pragmatique mais en contrepartie nécessite une analyse des risques de sécurité de qualité et une attention particulière de l’auditeur externe.

Un périmètre solide

De nombreuses entreprises affichent des certifications, mais il est souvent nécessaire pour les clients de s’attarder sur la lecture du périmètre pour en connaître la valeur : un périmètre très limité par rapport à l’utilisation de leurs données peut être trompeur !

Ce n’est pas le cas ici, puisque Google présente une certification ISO 27001 qui couvre l’ensemble des systèmes, collaborateurs, processus et datacenters qui permettent de délivrer le service Google Apps. Cela inclut les services GMail, Google Talk, Google Calendar, Google Docs (documents, spreadsheets, presentations), Google Sites, Control Panel (CPanel), Google Contacts, Google Video, Google Groups, mais aussi les briques support (Directory Sync, Provisioning API, SAML-Based SSO API, Reporting API, Audit API). C’est un périmètre impressionnant au vu de la couverture des services, tant sur le plan fonctionnel que géographique !

Développer la confiance et diminuer le nombre d’audits

A l’heure où de plus en plus d’entreprises se posent la question de l’opportunité d’externaliser les services de bureautiques comme la messagerie, l’édition de documents, etc., rassurer les responsables de la sécurité en garantissant les meilleures pratiques de management de la sécurité ne peut qu’être positif en termes marketing. Au-delà de l’apport de confiance, c’est également pour Google la garantie d’une reconnaissance externe, sanctionnée par un organisme de certification indépendant, qui pourra diminuer le nombre ou la charge d’audits des clients. Un bénéfice opérationnel non négligeable – même si Google n’était pas très enclin à se faire auditer !

Si Google a largement communiqué sur l’obtention de la certification, la firme de Mountain View n’a pas été la première à se lancer dans l’aventure : Amazon web services et Microsoft Office 365 ont déjà fait l’objet de la mise en place de SMSI certifiés. Après les infogérants, l’ISO 27001 serait donc en passe de devenir le standard de référence pour la sécurité des services dans le Cloud : on ne peut que se réjouir de ce mouvement qui rassurera les entreprises clientes de ces services. Celles-ci ne doivent cependant pas considérer la certification comme un niveau de sécurité « garantie » et rester attentive aux périmètres et aux mesures mises en place concrètement.

Cet article ISO 27001, un passage obligé pour les fournisseurs de services dans le cloud ? est apparu en premier sur RiskInsight.

Maintenir le SMSI : conserver une dynamique de construction

Gérôme Billois — Mon, 18 Jul 2011 08:46:34 +0000

La mise en place d’un Système de Management de la Sécurité de l’Information (SMSI) au sein d’une organisation donne l’impulsion d’une nouvelle démarche sécurité. Une fois le SMSI gagnant identifié et la construction de celui-ci achevée (certifié ou non !) se profile déjà un nouveau défi pour le RSSI : comment entretenir la démarche pour continuer à en tirer au maximum parti ?

En effet si le premier cycle Plan-Do-Check-Act est souvent de la découverte, la deuxième année peut se révéler pavé d’écueils si elle n’est pas soigneusement préparée. La dérive la plus fréquemment rencontrée est bien sûr la démobilisation des collaborateurs : passée la phase projet et l’aboutissement de l’implémentation des processus ou de la certification, il ne faut pas « laisser le soufflé retomber », même si des projets d’autres entités occupent désormais le devant de la scène auprès du management !

Conserver la dynamique projet

Il est important de maintenir une dynamique ambitieuse pour traiter les risques par les projets de sécurité. Ces chantiers permettront de garder un focus sur la sécurité et feront vivre le SMSI indirectement. En effet, ils sont propices à la mise en place de rendez-vous réguliers (comités de pilotage, points projets…) avec les collaborateurs et la direction sur le sujet sécurité. Le SMSI est alors utilisé au quotidien et l’avancement des projets permet de montrer des réductions des risques concrètes, et mesuré dans le temps. Les premiers effets concrets du SMSI !

Optimiser et garantir l’adhésion au SMSI dans le temps

La construction initiale est bien souvent réalisée sur des bases nouvelles, en imaginant le fonctionnement des processus de manière optimale. Fort de l’expérience des premiers cycles, le responsable du SMSI doit être à l’écoute des collaborateurs sur le fonctionnement de ces processus, de manière, de manière directe (rencontre, questionnaire…) ou indirecte, pour déterminer où se trouvent les points d’amélioration les plus criants et apporter des modifications rapides. Cela permet d’éviter un effet de lassitude, voire même de rejet, pour des processus qui fonctionneraient moyennement.

Ces évolutions sont généralement de deux types. Il s’agit tout d’abord de l’industrialisation des tâches récurrentes par l’outillage : même s’il n’existe pas aujourd’hui de solution idéale, des optimisations sur des tâches particulières sont possibles (qu’elles soient techniques, de pilotage comme les indicateurs ou administratives comme la documentation). Puis vient la rationalisation des actions existantes, particulièrement en renforçant l’intégration du SMSI dans les processus de l’entreprise. Par exemple l’intégration de revues de direction de plusieurs systèmes de management ou encore l’unification des démarches d’audit et de contrôle interne sont de beaux défis qui nécessitent une maturité importante mais qui sont autant de vecteurs d’optimisation.

Même si ces chantiers sont peu visibles, ils vont être la clé pour démontrer que l’adaptabilité, la réactivité et légèreté du SMSI.

Faire de l’audit de surveillance un marqueur clé

Le suivi des incidents, des crises mais aussi des non-conformités et des actions correctives et préventives sont essentielles pour montrer l’apport du SMSI. Cette analyse ne doit pas être un travail isolé mené par le responsable du SMSI mais bien une démarche collaborative avec les équipes opérationnelles. Cette revue régulière et partagée permet de montrer l’apport du SMSI dans la couverture des évènements liés à la sécurité.

Bien sûr, cette dynamique ne saurait être complète sans une communication régulière auprès de l’ensemble des populations : qu’il s’agisse de sensibilisation ou de communication sur les gains de la démarche et les succès (impact auprès des clients, gains opérationnels, etc.), les piqûres de rappel sont nécessaires pour ancrer dans les pratiques et les esprits la démarche sécurité et les enjeux de l’organisme. L’audit de surveillance, voire de renouvellement, est un marqueur clé de cette stratégie de communication. Il doit être vécu comme un aboutissement chaque année. Et ceci pas uniquement car la certification est maintenue, mais bien parce que le niveau de protection est meilleur d’année en année !

Se remettre en question pour aller plus loin

Finalement, le responsable du SMSI doit avoir un esprit d’écoute et de conquête pour d’une part comprendre les évènements qui marquent son périmètre métier (nouvelles offres, fusions, rapprochement, évolution du marché…) et d’autre part identifier les actions clés pour une potentielle évolution du SMSI. Des pistes judicieuses pour faire souffler un vent de fraîcheur sur le SMSI et donner une nouvelle impulsion à la démarche !

Cet article Maintenir le SMSI : conserver une dynamique de construction est apparu en premier sur RiskInsight.

Rendre la norme ISO 27001 opérationnelle : construire efficacement son SMSI

Marion Couturier — Wed, 29 Jun 2011 07:03:26 +0000

[Tribune rédigée en collaboration avec Gérôme Billois]

La mise en place d’un Système de Management de la Sécurité de l’Information (SMSI) doit s’appuyer sur une stratégie solidement établie définie lors d’une étude d’opportunité préalable. À l’issue de cette étude, périmètre, cible d’alignement, organisation et chantiers de mise en conformité ont été cadrés. Dès lors, il s’agit de se lancer dans l’implémentation à proprement parler : quels sont les facteurs clés de succès pour assurer une mise en œuvre efficace ?

Optimiser le planning de mise en œuvre

Tout en respectant les très nombreuses dépendances entre les processus du SMSI, il est tout à fait possible d’optimiser leur implémentation pour paralléliser les tâches et ainsi raccourcir le planning de mise en œuvre.

La mise en place d’un SMSI peut ainsi s’organiser en deux grands chantiers principaux :

– D’une part, la mise en place du système de management en lui-même. Il faut définir les processus (pilotage, sensibilisation, contrôle et mesure de l’efficacité, etc.), et les implémenter. Le processus de pilotage sera bien entendu le premier à être étudié.

– D’autre part, la mise en place de la gestion des risques, pilier de la démarche ISO 27001. Elle débute par la définition du processus de gestion des risques et la réalisation de l’appréciation des risques. Une première analyse rapide et macroscopique a déjà été menée lors de l’étude d’opportunité, afin d’identifier les chantiers de sécurité à démarrer au plus vite (PCA, IAM, chiffrement, etc.). Lors de cette deuxième étape, il s’agit de réaliser l’analyse détaillée des risques de sécurité répondant aux exigences de l’ISO 27001. Elle permettra d’affiner et compléter les chantiers de sécurité qui auront été lancés en parallèle avec leur documentation.

Cette parallèlisation et les dépendances fortes entre les différents chantiers nécessitent bien sûr un suivi de projet rigoureux afin d’identifier au plus tôt les éventuelles dérives de planning !

Faire adhérer les opérationnels à la démarche

Si le responsable SMSI – bien souvent le RSSI, même s’il peut également être un acteur métier– et son équipe sont les pilotes du projet, il ne faut pas négliger la contribution des opérationnels avec lesquelles il est nécessaire de mettre en place une coordination forte.

Au-delà de la sensibilisation et de la conduite du changement qui s’adresse à tous les collaborateurs du périmètre ciblé, il est primordial de s’assurer de la mobilisation des équipes opérationnelles en charge de la mise en œuvre des projets de sécurité. L’enjeu va bien au-delà de la réalisation des projets sécurité selon le planning et les modalités prévues. En effet, passée la phase projet, ce sont eux qui maintiendront les mesures de sécurité implémentées et la documentation : leur appropriation garantira la pérennité du niveau de sécurité ciblé.

Construire pour le futur

L’amélioration continue occupe une place clé dans les principes de l’ISO 27001. Dès lors, il est tout à fait acceptable de commencer par mettre en place une cible pragmatique dans la situation actuelle de l’organisme, tout en se projetant dans une stratégie d’évolution du SMSI plus ambitieuse à moyen terme.

Bien que le premier cycle Plan-Do-Check-Act soit principalement celui de la mise en place et de la découverte, il est également celui où les fondations du SMSI sont posées. Il est donc important d’avoir dès ces premières phases les potentielles évolutions du SMSI en tête (une extension du périmètre par exemple). C’est particulièrement vrai pour la définition et la mise en place des processus, qui doivent pouvoir survivre aux changements de périmètre et d’organisation sans devoir subir une refonte complète.

La mise en place du SMSI doit ainsi être considérée comme un projet à part entière, mais ce n’est qu’un début : c’est également un tremplin pour assurer la pérennité de la démarche et l’adhésion des acteurs dans le temps !

Cet article Rendre la norme ISO 27001 opérationnelle : construire efficacement son SMSI est apparu en premier sur RiskInsight.

Rendre la norme ISO 27001 opérationnelle : trouver le SMSI gagnant

Gérôme Billois — Wed, 22 Jun 2011 08:11:35 +0000

[Tribune rédigée en collaboration avec Marion Couturier]

Aujourd’hui la norme ISO 27001 est indéniablement devenue le modèle de gouvernance de la sécurité de l’information. Amenant un pilotage de la sécurité par les risques couplé à une approche système de management, elle permet de structurer et rationaliser le pilotage de la sécurité tout en construisant une vision stratégique à moyen terme. Mais comment se lancer dans sa mise en œuvre en répondant au mieux aux enjeux de sécurité des métiers et en en tirant le meilleur parti ?

Avant de démarrer : se poser les bonnes questions !

Une étude d’opportunité et de faisabilité permet de répondre rapidement aux questions clés : pourquoi et pour qui implémenter la norme ? Quels sont les enjeux métiers et les grands risques sécurité ? D’où part-on ?

Si la lecture linéaire des exigences de la norme s’avère vite peu adaptée pour évaluer le niveau de conformité actuel de l’entreprise, une analyse des écarts en adoptant une vision « processus » (pilotage du système de management de la sécurité de l’information, gestion des risques, contrôle et mesure de l’efficacité, etc.) est plus facile à mener et souvent bien plus parlante. Conduite avec les métiers, les interlocuteurs sécurité, SI et les fonctions support, elle est également l’occasion de les sensibiliser, de comprendre leurs enjeux business et d’identifier de manière macroscopique leurs risques sécurité.

Alignement ou certification : trouver sa voie

Ces deux voies correspondent à des enjeux différents . L’alignement à la norme permet d’apporter cohérence et implication à la démarche de sécurité. Il donne également la possibilité dela légitimer et communiquer sur celle-ci.. Il s’agit dès lors de se fixer son propre référentiel d’exigences en sélectionnant les processus présentant le meilleur ratio efficacité / coût dans le contexte, et le degré de conformité visé. L’alignement s’inscrit dans une démarche de progrès sur plusieurs années, en fonction de la maturité initiale et de la cible. C’est la voie choisie par la majorité de nos clients.

La certification répond quant à elle à des enjeux commerciaux, sectoriels, réglementaires ou opérationnels forts. Au-delà des apports de l’alignement, elle constitue un élément différenciant, la garantie externe d’un pilotage de la sécurité maîtrisé aux yeux des clients, partenaires et régulateurs. Bien souvent, les organismes qui s’engagent dans la certification manipulent des données sensibles soumises à des réglementations fortes (santé, banque, assurance) ou sont des hébergeurs qui voient dans la certification un intérêt d’image, mais aussi opérationnellement réduction du nombre d’audit de leurs clients !

Identifier les scénarios gagnants à présenter à sa Direction

Le périmètre est un élément structurant du système, centré sur les enjeux métiers. Il peut prendre la forme d’un site – un datacenter, d’une organisation – la DSI, d’un processus ou encore d’une offre proposée aux clients.

Au-delà de ce qu’il comprend, il est important d’identifier précisément ses frontières avec les différentes interfaces (fournisseurs internes, externes, clients, etc.) pour évaluer les charges internes et les futurs besoins de contractualisation pour assurer la maîtrise des mesures de sécurité.

La stratégie de définition du système de management et de l’organisation est intimement dépendante de ce périmètre et de l’organisation de l’entreprise. Un SMSI, des SMSI ? Quel cycle de vie ? Quel(s) responsable (s), entité(s) de management, instances ?

Les différents scénarii imaginés doivent être confrontés en s’appuyant sur l’apport de la démarche par rapport aux enjeux métiers et aux investissements. N’oublions pas que ces derniers sont en partie déjà prévus : les risques doivent dans tous les cas être traités et les chantiers sécurité budgétés, et le pilotage du SMSI est une évolution du rôle du RSSI déjà intégré aux charges récurrentes de l’entreprise. Des arguments qui peuvent faire mouche auprès de la Direction à qui le projet sera présenté !

Après cette phase de décision, la construction doit commencer et cela fera l’objet de d’un prochain article sur l’ISO 27001 !

A suivre : rendre la norme ISO 27001 – épisode 2 : construire efficacement son SMSI

Cet article Rendre la norme ISO 27001 opérationnelle : trouver le SMSI gagnant est apparu en premier sur RiskInsight.