Lorsqu’elle n’est pas impérative, (gains d’avantages « business » ou contraintes réglementaires), viser la certification 27001 n’est pas une décision à prendre à la légère :
- son obtention demande un travail de fond conséquent et la conserver demande un effort et un investissement (ressources humaines et budget) que l’on doit envisager comme généralement supérieur (… tout en conservant l’appui constant de sa Direction…),
- la condition d’une documentation systématique pour tout ce qui touche au périmètre certifié et l’obligation de démontrer l’évolution vertueuse de son S.I, peuvent représenter de sérieuses contraintes, (le pire étant de ne pas réussir à conserver sa certification au risque d’impacter gravement l’image de marque de son entreprise).
Pourtant, dans les cas où il est impératif d’obtenir ce » label » on ne manquera pas, souvent trop tard, de se demander ce qu’il aurait fallu faire en amont pour l’obtenir rapidement : on redécouvre alors les avantages d’une évolution régulière et à long terme du Système d’Information en s’appuyant sur les normes ISO 27002 et 27005.
Une entreprise qui décide d’intégrer les « Bonnes Pratiques » en Sécurité du Système d’Information dans sa culture interne est certaine de pérenniser son S.I et d’être gagnante, car :
- elle va appliquer des mécanismes éprouvés qui vont protéger son patrimoine informationnel en faisant évoluer régulièrement sa sécurité : c’est de la Qualité dédié au Système d’Information.
- elle sera capable de s’ouvrir à une collaboration avec d’autres acteurs de son Domaine, (entreprise, organismes, …sous traitants, info gérants, …), en maitrisant la Sécurité de son S.I.
- elle va induire ou renforcer un « mécanisme Qualité » reposant sur des cycles évaluation/amélioration successifs qui, gérés avec finesse et honnêteté intellectuelle, seront bénéfiques à son fonctionnement et à son organisation.
Plus spécifiquement, l’intégration de "l’Esprit 27002", se traduit par des impacts multiples. Prenons un exemple simple et concret, celui des sauvegardes :
Première approche : « je sauvegarde tout ! Comme ça … en cas de problème je suis paré ! »
Cette approche devient vite ingérable car souvent les « fenêtres » de sauvegardes, (période de temps disponible pour effectuer la sauvegarde en respectant l’intégrité des données) ne permettent pas la copie de l’intégralité des éléments du Système d’Information ou même des données seules.
De plus, dans le cas d’un sinistre, il est impensable de compter faire le tri de « tout ce qui peut être intéressant » pour redémarrer rapidement alors que la priorité est à la gestion de la crise en cours.
L’approche inverse qui consiste à ne faire que des sauvegardes incrémentales souvent mal vérifiées peut également représenter un risque important puisque l’on multiplie les contraintes techniques.
En fait, le duo ISO 27002/27005 amène des réponses car il induit pour ne pas dire « préconise », des sauvegardes s’appuyant sur la sensibilité décidée par les « propriétaires » des données : cela inclut des notions de fréquence, de capacité à restaurer dans un délai imposé et d’autres facteurs comme la durée de rétention, d’archivage souhaitable ou légal ou de sensibilité présente ou future ...
Une des conséquences de ce travail préliminaire qui peut se révéler lourd ou fastidieux est de mieux maitriser ses impératifs internes de PDMA et DMIA, (Perte de Données Maximum Admissible et Durée Maximum d’Interruption Admissible) indispensables pour les sujets de Reprise et de Continuité et d’identifier les « propriétaires » de la sensibilité des données.
Les contraintes de PDMA et DMIA devraient d’ailleurs toujours être à l’esprit de ceux qui conçoivent les programmes et les databases.
Sur un autre plan, coté architecture des serveurs, la norme 27002 suggère la séparation du système, (O.S) et des données.
L’application réfléchie de la 27002 sur ce sujet, devrait donc aboutir à un cloisonnement distinct de l’O.S, des espaces nécessaires à son fonctionnement, (files d’impression, espaces d’échanges disques/mémoire, espaces réservés aux travaux de maintenance, …) et de ceux nécessaires aux données.
Le gain pour l’entreprise sur ce seul exemple précis ?
- une sécurisation de ses serveurs, (amélioration de la robustesse et simplification de la maintenance, possibilité de gérer des alertes avec une meilleure granularité …).
- une facilité à générer des « masters » de reconstruction rapide du système d’exploitation, (système de Disaster Recovery pour l’O.S) et des sauvegardes de données priorisées sur leur valeur et leur sensibilité pour le Métier et l’Entreprise.
- une mise en forme en temps réel sur un schéma convenu, permettant de gérer les données pour de la virtualisation ou des besoins de Continuité.
Pour ISO 27005 : l’apport est de bien connaître et maitriser ce que « l’on possède » : son patrimoine. A qui appartient t’il ?, (Technique, Métier, …), qui peut il intéresser ? et dans quelle mesure son contenu, sa valeur ou son attrait peuvent représenter un risque pour l’entreprise ?
Au risque d’enfoncer des portes ouvertes, appliquer ISO 27005 permet de connaître ses points faibles, (Patrimoine Informationnel et Technique, Système d’Information et de télécommunications interne, …) et de les traiter au mieux.
La liaison avec l’application des Bonnes Pratiques, (ISO 27002) est évidente car le traitement des risques impacte la Politique de Sécurité, les Chartes, les produits proposés par l’entreprise à ses clients, (contrats de services …), les politiques internes spécifiques, (lutte antivirale, protection des données en situation de mobilité, …) et le choix des indicateurs, (pour la Gouvernance ou la Technique).
Voici où je voulais en venir : l’application des Bonnes Pratiques ISO 27002 et la mise en œuvre d’une démarche poussée d’analyse et de gestion des risques détaillée dans ISO 27005 représentent des gains potentiels énormes lorsqu’elles sont menées avec conviction et dans un esprit « Qualité ».
Dans une démarche de certification27001, même sur un périmètre restreint du S.I, l’adoption suffisamment anticipée de cette culture « Bonnes Pratiques » générera, entres autres, des économies substantielles et permettra à l’entreprise d’aborder la certification sereinement.
Pour toutes ces raisons, la certification 27001 ne devrait pas être une fin en soi mais plutôt le constat de l’évolution sereine de la Sécurité de son S.I.
Article proposé par Tony BLAS - Consultant en Sécurité de l’Information (20 ans d’expérience en informatique, culture élargie des S.I, des architectures, des entreprises et des domaines, Master en Sécurité Informatique de l’EPITA, Formé à la fonction de RSSI, certifié MCSE et Citrix CCA). - Consultez son profil Viadéo.
A noter :
A ma connaissance l’ouvrage de référence pour comprendre la certification 27001 reste « Management de la sécurité de l’Information – Implémentation ISO 27001» publié chez EYROLLES par Alexandre FERNANDEZ-TORRO.
Sa lecture permet de mieux évaluer le cheminement entre l’application du duo 27001/27005 et la préparation d’une certification 27001, (la seconde édition est réactualisée et surtout elle inclut des retours d’expériences sur la certification 27001).
A lire sur la 27005 : Hub Viadeo – « ISO 27001 et autres normes de Sécurité des Systèmes d’Information » sur l’ISO 27005 :
http://www.viadeo.com/hub/affichefil/?hubId=002vidnb5fb1u6h&forumId=002t451d2g6swyj&threadId=0021cx26yo9l3p10#0021cx26yo9l3p10
