ISO 27001, se faire certifier...ou pas

"Système de Management de la sécurité de l’Information, oui, Certification, peut-être" était le thème d'une conférence du Clusif (Club de la Sécurité de l'Information Français) qui s'est tenue le 23 octobre 2008 à Paris. L'idée de cette conférence était de présenter des retours d'expérience de sociétés, les difficultés parfois rencontrées, lors de la certification ISO 27001. La trame, annoncée par le thème de la conférence - était de s'interroger sur l'opportunité pour une entreprise d'aller jusqu'au bout du processus. En effet, la démarche peut être considérée comme suffisante. L'examen de la norme 27001 explique cette interrogation légitime.

L’ISO 27001 recouvre la notion de Système de Management de la Sécurité de l’Information (SMSI). Un tel système se définit par l’établissement d’une politique de sécurité, d’objectifs, et de moyens mis en œuvre pour les atteindre. Le SMSI vise à l’amélioration continue du niveau de sécurité, dans le contexte des risques métiers d’une entreprise. La démarche conduisant à la certification assure l’orchestration des mesures de sécurité selon un modèle dit PDCA : Plan, Do, Check, Act. Ce modèle en 4 temps revêt un caractère cyclique qui garanti l'amélioration continue du niveau effectif de sécurité. Ces 4 temps peuvent se détailler ainsi:

• Plan : s’engager, planifier, prévoir
• Do : réaliser, mettre en œuvre
• Check : vérifier, évaluer
• Act : agir, réagir, revoir

L'ISO 27001 a ses fervents défenseurs. Hervé Schauer, fondateur de la société de conseil en sécurité HSC, considère que cette norme est "une révolution dans un secteur souffrant d’opacité entre les mondes de la direction et de la technique". A l'image de la qualité, la sécurité du système d'information dispose là d'un canevas de bonnes pratiques, reconnues, et se pare d'une culture de l'audit. Fouad Echaouni, adjoint Responsable de la Sécurité de l'Information chez Maroc Telecom, intervenait pour témoigner du bilan positif de son expérience: "Le processus de certification a permis de contribuer à l’amélioration de l’efficacité, de la conduite du changement et à renforcer la confiance des clients, des actionnaires et des collaborateurs". Les raisons de suivre la démarche de la certification 27001 sont nombreuses. Emmanuel Garnier, Responsable de la Sécurité des Systèmes d'Information (RSSI), du GIE Systalians, voit dans la certification l'occasion de se démarquer dans son secteur, d'être plus attractif. "C'est une trame structurante en sécurité. L'ISO 27001 simplifie le dialogue avec les métiers, les fournisseurs et les acteurs externes, et facilite les démarches d'audit" ajoute t-il. Stéphane Duproz, Directeur Général de TelecityGroup France, affirme qu'en interne "la norme apporte de la crédibilité à la politique de sécurité, montre qu'elle est bien menée". Il relève aussi l'avantage concurrentiel d'être certifié en soulignant que peu d'entreprise le sont. C'est bien là le paradoxe. Sur les près de 4500 sociétés certifiées dans le monde, on en recense... 11 en France. Ce qui place l'hexagone au 28e rang mondial avec 0,22% des entreprises françaises certifiées.