Jeudi 15 mai 2008

 

    • "Retour d'expérience de certification ISO 27001 dans le groupe Atos Origin" par Jean-Louis Lequeux - Atos Origin
      Le support de cette présentation est disponible ICI

 

    • "Appel à publier un ouvrage collectif" par Jean-Louis Lequeux
      Le support de cette présentation est disponible ICI

 

    • "Compte-rendu sur les différents groupes du club" par Eric Doyen et Hervé Schauer
      Le support de cette présentation est disponible ICI

 

    • "Points divers"

 

  • "Conférence 2008"
    L'appel à communication sera disponible prochainement.

 

Retour d'expérience de certification ISO 27001 dans le groupe Atos Origin par Jean-Louis Lequeux - Atos Origin

2003 : acquisition des services IT de SchlumbergerSema.
Atos Origin avait déjà fait certifier certains de ses sites BS7799. Résultat :

  • 2 SMSI
  • 3 organismes de certification
  • 2 SoA
  • ...

Atos Origin est passé par les étapes suivantes lors de l'unification du SMSI :

      1 - Constat

 

      2 - analyse, mesure des écarts

 

      3- unification des méthodes d'appréciation du risque

 

      4- unification de la politique de sécurité et des procédures / communication

 

      5- sensibilisation / formations (annuelle)

 

      6- monitoring de la sécurité / amélioration

 

Pourquoi la 27001 est-elle utilisée à Atos Origin ?

  • Cela fait parti des "best practices"
  • Pour augmenter la fiabilité et la sécurité des systèmes
  • Pour identifier les problèmes possibles dont la majorité sont internes
  • Pour que les parties prenantes (clients/fournisseurs...) sachent qu'Atos Origin prend la sécurité au sérieux
  • Pour respecter la législation notamment sur la protection des données ou le respect des lois

Périmètre du SMSI :

Il est restreint aux UK, il y a 26 sites divisés en 3 zones et un responsable sécurité pour chacune de ces zones. Les sites médicaux ne sont pas inclus.

Dix personnes travaillent en continue sur le SMSI pour 7000 personnes chez Atos UK.
Environ 230 risques ont été identifiés et 99% donnent lieu à la sélection de mesures de sécurité dans le traitement du risque Le périmètre couvre plusieurs centaines d'actifs.

Actions réalisées :

  • certification de tous les sites
  • revues du SMSI tous les deux mois, par site, avec les responsables sécurité/management/métier
  • sensibilisation de 98% du personnel
  • mise en place et tests des PCA sur l'ensemble des sites
  • les 10 plus gros fournisseurs d'Atos Origin doivent suivre les indications de sécurité

Atos Origin à rencontré divers problèmes :

  • savoir quels sont les employés/les visiteurs/...
  • protection contre les virus, les codes mobiles
  • savoir quelle documentation montrer / ne pas montrer pas
  • savoir quelle personne prévenir (chaîne d'alerte)
  • faire respecter la politique de "clear desk" (portable non attaché, clé usb,...)
  • avoir les licences des logiciels installés
  • vérifier le taux de réussite du programme de sensibilisation au sein des collaborateurs
  • ...

D'autre part, un certain nombre de point difficiles ont été identifiés comme récurrents lors de l'implémentation :

  • Engagement visible du management
  • Test des PCA
  • Personnalisation de l'appréciation et des traitements du risque
  • Difficulté de sensibilisation
  • Définition claire des rôles et responsabilités, les personnes doivent savoir ce qu'elles font et pourquoi
  • Equipe compétente
  • Engager et auditer les fournisseurs
  • Contrôle des employés

Atos Origin en Inde

Le SMSI a été repris en Inde. La hiérarchie s'est révélée différente puisqu'il existe un responsable risques au conseil d'administration d'Atos UK contrairement à l'organisation indienne. Par contre la documentation des procédures est déjà avancée grâce à l'offshore. Pour Atos Origin India, la certification est un avantage commercial.

Atos Origin en France

La problématique de la sécurité dans la branche Système et intégration est de donner aux équipes projet les outils et savoirs pour sécuriser leur projets d'intégration et de développement. La méthodologie utilisée s'appelle "Security Maturity Assessment" (SMA) qui applique l'ISO 17799 avec une approche CMMI. La maturité de chacune des mesures est évalue selon une échelle commune. Le responsable ou l'équipe en charge de la sécurité du projet adapte la méthode à son projet. Cette méthodologie est délivrée sous forme de "kit de sécurité" à tous les projets.

Appel à publier un ouvrage collectif par Jean Louis Lequeux

La publication d'un ouvrage collectif permettrait au club 27001 de s'exprimer sur la place publique tout en laissant une trace.

Les précisions à apporter :

  • définir l'objectif de la publication
  • définir le lectorat

Nombres d'articles : à partir de 3 et jusqu'a une centaine Nombre de pages visées : ~300

Méthodologie suivie :

  • Recherche d'un thème centrale autour de l'iso.
  • Proposition d'articles pour dégager un thème (ex:retour d'expérience / 27001-ITIL / 27001-PCI-DSS / approche risque / approche métier...)
  • Besoin de volontaires
  • Recherche d'un éditeur (coopération possible avec l'afisi(Association Française d'Ingénierie des Systèmes d'Information) qui remet le prix du livre informatique
  • Besoin d'un coordinateur (Jean Joskowicz de l'AFISI se propose en tant qu'informaticien non spécialiste en sécurité)

Jean Louis Lequeux propose d'attendre jusqu'a la rentrée de septembre pour décider et attendre les volontaires

Pourquoi effectuer une publication papier ?

  • L'édition papier reste une référence
  • Permet de laisser une trace
  • génère des droits d'auteur pour le club

Ayant un fort impact sur l'image du club, il sera important que les articles soient relus et qu'ils dégagent un consensus au sein du club. Les présents ont pour cela proposé la mise en place d'un wiki ou la constitution d'un comité de relecture.

Vous pouvez contacter Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser. pour tous renseignements supplémentaires.

Compte-rendu sur les différents groupes du club

    • Club Paris
      • Eric Doyen, Crédit Immobilier
      • Hervé Schauer, HSC
      • 10 réunions depuis octobre 2006
      • 1 conférence en novembre 2007

 

      Animateurs :

 

    Evènements : Il y a au sein du club, un groupe de mutualisation ITIL/ISO27001 animé par Alexandre Fernandez-Torro. Les démarches ont été effectuées auprès de l'ITSMF. Des membres du forum devraient venir apporter une contribution.
    • Club Toulouse
      • Anne Mur, Edelweb
      • Dominique Pourcellié, CNAM-TS

 

    Animateurs : Plusieurs réunions ont déjà été organisées avec succès. Une liste électronique a été mise en place. Elle est disponible sur le site du club.
    • Club Rennes
      • Catherine Guelou, Caisse Régionale d'Assurance Maladie
      • Yves Normand, Syndicat Interhospitalier de Bretagne
      • Stéphane Sciacco, Orange Business Services
      • Définir les sujets ISO27001 à aborder lors des séances du Club
      • Choisir la structure des rencontres
      • Planifier la première réunion du Club27001 à Rennes qui devrait avoir lieu après les vacances

 

      Animateurs :

 

    Une première réunion d'organisation interne le 10 juin 2008 est prévue pour : Une liste électronique a été mise en place.
    • Club Nantes
      • Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.
      • Philippe Humeau

 

      Projet en cours par :

 

      Une collaboration est envisagée avec le CRI-Ouest qui anime déjà les groupes autour de l'informatique.

 

      Ils sont à la recherche d'un utilisateur pour être parmi les co-animateurs.

 

    Les personnes intéressées sont invitées à les contacter.
    • Club Lyon
      • Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

      Projet en cours par : Il est actuellement à la recherche d'autres personnes intéressées sur la région de Lyon. Il manque d'autre part un utilisateur pour être parmi les co-animateurs sans quoi la création du groupe à Lyon sera impossible.

 

    Les personnes intéressées sont invitées à les contacter.
    • Nice / Sophia Antipolis
      • Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser. , qualiticien
      • Edmond Cissé, qualiticien

 

      Projet initié par :


Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

      , Silicomp-AQL est intéressé.



    Les personnes intéressées sont invitées à les contacter.

Points divers

Il est proposé de créer une association club iso27001 afin d'avoir un statut juridique. Ce statut est de plus en plus nécessaire vue la diversification des activités du club (site web / conférences / publications ...) Il est d'autre part nécessaire face à la croissance du Club et aux initiatives dans différentes villes.

Il est proposé de faire une assemblée constituante lors de la prochaine réunion prévue le mercredi 17 septembre 2008.

Les participants sont favorables à l'unanimité à la création de l'association, sous réserve que les réunions du Club 27001 restent accessibles à tous y compris aux personnes qui n'ont pas cotisé.

Conférence 2008

Le comité de programme 2008 est composé :

  • de l'ensemble des animateurs de Paris, Toulouse et Rennes,
  • de personnes en mesure d'attirer à la conférence des retours d'expérience.

Le comité de programme de la conférence 2008 est composé de :

  • Nicolas Andreu, Devoteam
  • Gérôme Billois, Solucom
  • Eric Doyen, Crédit Immobilier
  • Emmanuel Garnier, Systalians
  • Catherine Guelou, CRAM-Bretagne
  • Loic Guézo, IBM
  • Jean-Francois Louapre, AG2R - La Mondiale
  • Thierry Jardin, Logica
  • Anne Mur, Edelweb
  • Yves Normand, Syndicat Interhospitalier de Bretagne
  • Dominique Pourcellié, CNAM-TS
  • Hervé Schauer, HSC
  • Stéphane Sciacco, Orange Business Services

L'appel à communication sera publié prochainement.
Le choix de thèmes devra être traité lors de cet appel.

Les sujets suivant ont été évoqués :

  • publication de l'ISO 27005 ;
  • garder des retours d'expérience ;
  • utilisation de la 27001 sans viser la certification ;
  • parler du processus de certification ;
  • envisager une table ronde avec les organismes certificateurs.

La prochaine réunion aura lieu le 17 septembre.