1

White paper 3 : Gestion des systèmes d’information

Mathieu BriolAyant toujours travaillé dans le monde du conseil en entreprise, il est actif depuis plus de 10 ans dans les domaines liés aux télécommunications, à la gestion des risques de sécurité de l’information, la conformité des systèmes d’information et la continuité d’activités. Ses expériences métier couvrent les secteurs de la finance, des soins de santé, de l’industrie technologique et le secteur public.Fin 2008, il a participé avec deux associés à la création de Mielabelo, un cabinet de conseil belge, actif notamment dans les domaines de la gestion des risques, de la conformité et de la sécurité des systèmes d’information.

Une référence normative essentielle

La norme ISO27001 s’est imposée depuis plusieurs années comme la norme de référence en matière de sécurité de l’information. A tort ou à raison ? Objectivement, cette norme, ainsi que les différents documents qui l’accompagnent (ISO27002, etc), a permis de structurer les efforts en matière de sécurité de l’information, en instaurant la primauté de la gestion de risques dans la réflexion liée à la sélection des mesures de sécurité. La nouvelle version 2013 des 2 documents fondateurs (ISO27001/2) a simplifié le processus de conformité et le schéma de contrôle, le rendant plus lisible pour des novices de la sécurité de l’information et des systèmes de gestion. Aujourd’hui donc, plus d’excuse possible !

La sécurité, oui ; La conformité, peut-être (ou est-ce l’inverse ?)

Cette faible popularité signifie-t-elle que les organisations belges sont mal sécurisées ? A priori, il y a lieu de constater que toute une série d’organisations n’a pas besoin d’un processus de certification pour mettre en place les mesures de sécurité adéquates. De par leur domaine d’activité, elles sont d’ores et déjà soumises à de fortes contraintes réglementaires qui les poussent à investir dans la sécurisation de leur système d’information. S’agit-il pour autant d’un système de gestion de la sécurité de l’information ? À proprement parler, non, même si la régularité des contrôles externes (audits réglementaires indépendants ou pas) peut leur imposer à terme de rentrer dans cette logique d’amélioration continue. À n’en pas douter, les 2 problématiques (sécurité et conformité) apparaissent interconnectées. Pour autant, sécurité n’est pas conformité et inversement.

Malheureusement, tout comme la mise en place d’un système de gestion ISO9001 ne permet pas de garantir à 100% la qualité d’un processus, la norme ISO27001 n’est pas une solution miracle à tous les problèmes de sécurité. Sa mise en place garantit simplement l’implémentation et le fonctionnement d’un système de gestion de la sécurité de l’information, qui va permettre à l’organisation, sur le

Cinq raisons de certifier son organisation ISO 27001

De nos jours, nombreuses sont les organisations qui ont fait le choix de se certifier ISO9001. La certification ISO14001 se généralise également de plus en plus. Cependant, la proportion d’organisations désirant s’approprier la norme ISO27001 en vue d’une certification demeure comparativement assez faible. D’où vient cette relative ‘impopularité’ de l’ISO27001 ? Quels bénéfices peuvent-elles pourtant en retirer?

Introduction

2

périmètre identifié, de rentrer dans un cercle vertueux d’amélioration continue en la matière. La certification garantit qu’un organisme externe vient régulièrement contrôler le système de gestion. En conclusion, ce n’est pas parce que l’organisation met en place ISO27001 qu’elle peut oublier sa sécurité ou se dire ‘sécurisée’ à 100%.

Cinq raisons de lancer un projet de certification ISO27001

Il apparaît certain que la mise en place d’un programme de sécurité de l’information doit trouver ses fondements dans la protection du patrimoine informationnel métier de l’organisation. Quels bénéfices les organisations peuvent-elles y trouver, de manière à justifier les coûts non-négligeables liés à l’obtention et à la maintenance de la certification ISO27001?

1. Se différencier et créer un avantage compétitif

Dans le contexte d’un marché où peu de vos concurrents ont fait l’effort d’investir dans ce type de certification, il y a fort à parier que le précieux sésame se transformera bientôt en une arme commerciale redoutable. En effet, bien utilisé, l’argument pourra vous aider à marquer des points par rapport à vos compétiteurs. Vous pourrez mettre en avant l’importance accordée à la sécurité de vos informations et de celles de vos clients.

2. Gérer ses risques de manière systématique et inspirer la confiance chez ses partenaires

L’obtention d’une certification peut revêtir un intérêt à la fois purement sécuritaire (la mise en place d’un système de gestion de la sécurité), mais également constituer un signal d’engagement vers les différentes parties prenantes.

La certification ISO 27001 d’une organisation délivre un message fort en direction de ses partenaires, qu’ils soient des clients, des prospects, des employés, des citoyens ou des fournisseurs, contribuant ainsi à créer une relation de confiance. Elle montre que l’organisation a mis en place des

processus efficaces de gestion de la sécurité de l’information et que sa direction considère la sécurité de l’information comme une thématique importante, prise au sérieux et à laquelle des moyens humains et financiers sont alloués.

3. Répondre à un besoin ou une exigence de vos clients

De nos jours, la sécurité de l’information est devenue un sujet régulier de l’actualité. Si ce n’est déjà fait, vos clients et vos partenaires pourraient s’inquiéter du traitement que vous réservez aux informations qu’ils vous confient. Ils peuvent même vous y obliger ! Tout comme la certification ISO9001 exigée dans certains marchés publics a connu une popularité grandissante depuis quelques années, ISO27001 pourrait se généraliser dans le panel des exigences des acheteurs publics ou privés. Qualité, sécurité et environnement forment

3

un triptyque complémentaire. À ce titre, il y a lieu de mettre en avant la complémentarité entre vos systèmes de gestion. Certains processus peuvent être mis en commun afin de rendre ces activités plus efficaces. Autant en profiter pour rajouter de la cohérence et créer des synergies internes !

4. Réduire les coûts de gestion de la sécurité

La norme ISO27001 instaure le rôle central de la gestion des risques dans l’exercice de sélection des mesures de sécurité. Gérer ses risques de sécurité, c’est tout d’abord les identifier, les évaluer de manière répétable et répétée, décider du traitement à y apporter (éventuellement en accepter certains) et sélectionner des mesures de sécurité en adéquation avec l’ampleur des risques identifiés. Autrement dit, par sa structure et les réflexes qu’elle promeut, la norme ISO27001 vous aidera à sécuriser de manière raisonnable et raisonnée vos informations et à ne pas surinvestir inutilement dans la protection de votre information. En parallèle, pour des organismes soumis à de fortes contraintes réglementaires ou contractuelles, et donc à des audits internes et externes, la certification permettra de simplifier les efforts de préparation et de structurer les discussions.

5. Motiver et rassurer ses collaborateurs

Protection de la vie privée, mesures de contrôle et de surveillance de l’outil informatique sur le lieu de travail,… autant de sujets qui peuvent amener à des situations inconfortables dans les relations entretenues avec votre personnel et vos sous-traitants. Ces éléments sont des thématiques adressées globalement par la norme ISO27001. La certification apparaît comme un jalon important qui permettra à l’organisation de se jauger sur ces thématiques grâce à l’intervention d’auditeurs indépendants. De manière générale, les efforts liés à une certification organisationnelle représentent également une opportunité de fédérer les forces vives de l’organisation et d’impliquer les collaborateurs vers l’atteinte d’objectifs clairs et positifs pour tous. Mais à condition de concevoir cette initiative comme un projet global supporté par le management et non comme une volonté de certains membres de l’organisation! Sensibiliser et communiquer efficacement sont donc deux clés de voûte de la démarche.

Conclusion

À n’en point douter, toute organisation peut trouver son intérêt à la certification ISO27001! Même si les efforts à mettre en œuvre peuvent s’avérer conséquents (tout dépend de la maturité de l’organisation en matière de sécurité de l’information), il ne faut pas oublier l’origine même des systèmes de gestion: faire rentrer l’organisation dans un cercle vertueux d’amélioration continue en matière de sécurité de l’information. Avec un peu de retard mais tout comme dans le domaine de la qualité (ISO9001), la sécurité de l’information et la certification ISO27001 arrivent peu à peu à maturité et doivent s’envisager au-delà de l’aspect purement ‘marketing’ pour véritablement permettre d’engranger des résultats significatifs.

Première étape indispensable pour ce faire : réaliser une analyse d’écarts (gap analysis) objective et indépendante entre la situation actuelle et les requis de la certification. En fonction du périmètre organisationnel et technique observé, cette escale indispensable permettra de poser les jalons d’une feuille de route pragmatique vers la certification ISO27001.