Conférence 2007 aux Assises de la Sécurité

Lors des assises de la sécurité 2007, par l'intermédiaire d'Hervé Schauer, de Mauro Israel, et d'Eric Doyen, le Club 27001 a animé une conférence qui a réuni 65 personnes autour de deux retours d'expérience de la norme ISO 27001 par des utilisateurs.

Le premier témoignage est celui d'Olivier Lemoine, RSSI d'Odiso, une société basée à Roubaix spécialisée dans le déploiement, l'optimisation et la maintenance d'applications Internet complexes. Le projet de SMSI (Système de Management de la Sécurité de l'Information) a été lancé début septembre 2005, avec une DdA (Déclaration d'Applicabilité ou SoA) sélectionnant les 133 mesures de sécurité de l'annexe A de l'ISO 27001, et 80 indicateurs pour mesurer leur efficacité.
Le projet est à l'initiative de la direction dans l'objectif de la certification ISO 27001 pour l'image de sérieux que cela procure, mais aussi suites à des incidents de virus et au fait que la société reçoit de nombreux stagiaires.

Lors du déroulé d'un premier audit de certification en septembre 2006, la difficulté d'apport de preuves s'est ressentie. La personne en charge du projet a assuré aussi le suivi des incidents auprès des correspondants métiers. Une démarche de formation a été réalisée auprès des correspondants et le RSSI a suivi la formation ISO 27001 Lead Auditor. La démarche de certification a permis d'engager un projet PCA (Plan de Continuité d'Activité) et a considérablement structuré la gestion de la SSI dans une entreprise qui a évolué de 30 à 150 personnes en 3 ans.

Après cette phase de résolution des non conformités, la certification a été obtenue en mars 2007. Elle a permis de valoriser l'offre de produits, notamment l'e-mailing.

Cet expérience a montré l'existence de structures de conseil et d'expertise qui n'étaient pas encore au point sur la norme. C'est de leur conseil que venait la sélection de toutes les mesures de sécurité d'où les 80 indicateurs. L'objectif est la sélection des mesures de sécurité qui servent à appliquer l'ISO 27001 ou à réduire réellement un risque à l'issue de l'appréciation des risques et démarrer avec le minimum nécessaire pour s'améliorer par la suite.

La certification a été assurée par BVQI, qui a fait appel à un sous-traitant, en 5 jours d'audit [1]. Le projet demande une personne à plein temps et a coûté environ 50 keuros à l'entreprise. Il a permis à une PME d'intégrer la SSI avec succès dans son quotidien.

Le second témoignage est celui de Mohamed Jazouli, RSSI de Maroc Telecom, l'opérateur historique marocain, offrant tous les services de télécommunications. Maroc Telecom appartient en majorité au groupe Vivendi et en minorité à l'état du Maroc, qui ont soutenu la démarche de certification ISO 27001. Le projet a été lancé en mars 2005 avec la désignation du responsable, nominé et mandaté par le président de Maroc Telecom. La démarche décrite par Mohamed Jazouli est une réelle démarche structurante, engagée au plus haut niveau, avec un soutien sans faille de la direction générale, dans un objectif de progrès de l'entreprise.

Le SMSI couvre toute la société et toutes ses activités, comme la certification ISO 9001 obtenue un an plus tôt. La DdA prend en compte les 133 mesures de sécurité de l'annexe A de l'ISO27001 car il n'y en a aucune qui ne soit pas nécessaire quelque part. Chaque métier a réalisé l'appréciation des risques SSI pour son métier. Les 133 mesures de sécurité représentent environ 200 procédures opérationnelles. Le SMSI s'appui sur 70 documents. Les 36 responsables sécurité de la société ont été formés et certifiés ISO 27001 Lead Auditor et environ 95% du personnel a été formé ou sensibilisé à la SSI (environ 12000 postes collaborateurs).

La certification des individus a créé une dynamique de certification, le label devient indispensable, c'est une forme de couronnement qui est un moteur et une dynamique de motivation.

Un premier audit de certification à blanc a été réalisé par LSTI en octobre 2006, pour mieux préparer l'audit de certification planifié en décembre 2007. Presque 200 audits internes ont été déjà réalisés et ils permettent de garantir que le SMSI fonctionne.

Les gains d'ores et déjà obtenus au niveau des assurances dépassent les dépenses pour le projet. L'investissement est interne et avant tout humain : le projet a consommé 2500 jours/hommes en 2 ans [2], par exemple le temps passé à faire un audit interne, rédiger une procédure, assister à une réunion de pilotage, etc, dont moins de 10% en externe. La dépense de la certification ne sont pas encore comptée.

Ces deux expériences donnent un éclairage intéressant sur des utilisations très diverses de la norme, avec ici une différence de taille des deux entreprises et de leurs SMSI respectifs. L'engagement et les réalisations spectaculaires de Maroc Telecom ont fait pâlir de jalousie de nombreux responsables et consultants dans l'assistance.

[1] : BVQI étant accrédité par l'UKAS en Grande-Bretagne il est sur l'ancien système de calcul des jours EN 45012 identique à l'ISO 9001, et n'utilise pas encore l'ISO 17021/ISO 27006 comme les organismes accrédités par le COFRAC en France. L'ISO 27006 impose 10 jours d'audit pour un audit de certification d'un SMSI de 50 personnes.

[2] : Pour ceux qui pensent que 2500 j/h est lourd, il faut mettre en perspective la situation au lancement du projet (peu de sensibilité aux risques de l'organisation) et la taille de l'entreprise (près de 13 000 personnes).