Jeudi 14 juin 2007

  • "Cas pratique d'implémentation d'un SMSI certifiable 27001 en utilisant les projets des normes ISO 27003, ISO 27004 et ISO 270005" par Thierry Jardin - Unilog Management.
  • "Retour d'expérience de l'ISO 27001 dans une PME" par Olivier Lemoine - Adistar L'intervenant présentera les points marquants de l'avant, pendant et après de la certification.
  • Point sur le groupe toulousain et la réunion du groupe du 8 juin 2007 à Toulouse
  • Point sur le groupe de travail ITIL / 27001

La présentation faite par Olivier Lemoine est disponible ici

La réunion s'est déroulée chez Unilog.

Thierry Jardin d'Unilog Management présente un cas pratique d'implémentation d'un SMSI certifiable 27001 en utilisant les projets des normes ISO 27003, ISO 27004 et ISO 270005. La société Unilog a accompagné un groupe industriel de 120000 personnes pour la mise en place d'un système de management intégré (ISO27001, ISO9001 et ISO14001) au sein de la direction des systèmes d'information. La présentation débute par l'évocation des différents problèmes rencontrés au début du projet : les choix du périmètre, de la méthode d'appréciation des risques, des responsables pour la gestion des risques, des méthodes de déploiement des mesures de sécurité ... La mutualisation des systèmes de management comporte de nombreux avantages comme profiter de l'expérience dans les systèmes de management de la qualité ISO9001 ou la réduction de problèmes de cohérence. La norme ISO27001 apporte un élément nouveau par rapport aux normes ISO9001 et ISO14001 : la vision opérationnelle du système de management via le SoA. Thierry Jardin détaille le contenu des différentes normes ISO27003, ISO27004 et ISO27005 dans leur état actuel de complétude. La norme ISO27003 apporte la description des processus de l'ISO27001 et la nécessité de formaliser un plan de sécurité (Security Plan). Pour la mise en place de la gouvernance SI, CobiT a été utilisé. Il comporte plusieurs exigences en sécurité de l'information en particulier dans la partie DS5. Les différents processus ont été modélisés au moyen de plusieurs logiciels, puis formalisés.
La norme ISO27005 est une grande avancée car elle fournit un vocabulaire commun pour l'appréciation des risques. Unilog a utilisé une méthode dite "Creativity Method" pour l'appréciation des risques qui sera consolidée par des questionnaires en ligne.
La politique de sécurité mentionnée dans la norme ISO17799 (§5.1) est un document indispensable pour la mise en place d'un SMSI, même s'il n'est pas spécifiquement requis par la norme ISO27001. Plusieurs processus ITIL peuvent être utiles dans le cadre de l'implémentation ISO27001. Pour terminer, Thierry Jardin présente les résultats d'une étude du Bureau Veritas sur l'implémentation des mesures de sécurité de la BS7799 constatée chez leurs clients. L'étude met en évidence les mesures qui ont été partiellement implémentées et leur assigne une note d'efficacité.

La seconde présentation décrit le processus de certification ISO27001 d'une PME : Odiso. Olivier Lemoine, RSSI d'Odiso, entame sa présentation en exposant les différents éléments déclencheurs du projet de certification. Les deux moteurs essentiels sont les contraintes sécurité imposées par les clients et la demande de la direction. Cette dernière a affiché sont intérêt pour la sécurité (un incident de sécurité a touché l'entreprise il y deux ans) qui permettra de favoriser le développement de l'entreprise.
Le projet de mise en conformité ISO27001 a rencontré plusieurs difficultés tout au long de son déroulement. La phase de planification a mis en évidence la difficulté à choisir le niveau de granularité lors de l'identification des actifs et les indicateurs. Olivier Lemoine insiste sur la possibilité d'utiliser une méthode d'analyse de risque adaptée au contexte ; EBIOS associé à une méthode maison pour Odiso. Il a également constaté qu'environ 90 mesures décrites dans l'annexe A de la norme ISO27001 doivent être sélectionnées dans la DdA pour tout SMSI qui prétend à une certification.
Le choix des indicateurs s'est fait en deux étapes : le choix d'un indicateur par mesure de sécurité présente dans la DdA, difficilement exploitable, puis cinq indicateurs ont été choisis selon les objectifs de la direction. Un soin particulier doit être apporté à la rédaction des procédures pour qu'elles puissent être facilement mises à jour. Olivier Lemoine précise que la production de traces constitue un challenge important, les preuves devant être produites systématiquement. L'implication des collaborateurs est essentielle. L'équipe projet Odiso a axé son approche de la sensibilisation sur les bénéfices d'une certification ISO27001 pour les collaborateurs. Ils ont proposé des activités, questionnaires, mémos résumant les bonnes pratiques ainsi que des formations. Plusieurs correspondants sécurité ont été nommés pour faciliter la communication autour du projet de certification. Les bénéfices de la certification ISO27001 sont nombreux. Chez Odiso, affirme Olivier Lemoine, elle a permit de réduire les risques de sinistralité, de développer un PCA et de mettre en place une instance de contrôle des mesures de sécurité.
Avec sa certification ISO27001, Odiso a accru son capital confiance vis à vis de ses clients. La certification a permit la mise en place d'un correspondant cnil et surtout la création de budgets pour les chantiers d'amélioration induits. La norme ISO27001 apporte avec elle un langage commun pour que tous les acteurs du SMSI puissent communiquer aisément au sein de l'entreprise. De plus, la certification a développé la valorisation de l'entreprise. Le ROI pour les investisseurs est accru. Dans le cas d'Odiso, la valorisation de l'entreprise a augmenté sensiblement (entre 5 et 10% d'augmentation). Le projet de certification se sera étendu sur une période d'un an. Olivier Lemoine souligne l'importance d'une certification ISO27001 des personnes pour que l'implémentation se déroule sans accroc.

Hervé Schauer propose au club d'organiser une conférence annuelle, avec la possibilité de s'associer avec Reed lors du salon de la sécurité. Les participants approuvent immédiatement cette initiative. Mauro Israel évoque d'autres partenaires potentiels comme Baptie ou DG Consultants. Un ensemble de volontaires pour participer au comité de programme est formé en fin de réunion et Hervé Schauer est chragé de prendr rendez-vous avec Reed.
Les participants volontaires pour participer au comité de programme à l'issue de la réunion sont :

  • Gerome Billois, Solucom
  • Yann Bourja, Atos origin
  • Stéphane Geyres, Ernst & Young
  • Mauro Israel, Consultant
  • Thierry Jardin, Unilog Management
  • Jean-Francois Louapre, AG2R
  • Charles-Alexandre Sabourdin , Fontaines Consultants
  • Hervé Schauer, HSC