Jeudi 15 février 2007

  • ISO 27001, support à la conformité SOX par Claude Serré - DSI Orange France
  • NTT Europe Online Experiences and Commercial Benefits par Neil Wheelwright (Chief Security Officer) et Robert Steggles


La présentation de Claude Serre est disponible ici
La présentation de Neil Wheelwright et Robert Steggles est disponible ici

 

La réunion s'est déroulée chez Unilog.
1. Unilog mettra désormais une salle à disposition de notre club, jusqu'à concurrence de 40 participants. Au-delà, un auditorium d'Unilog sera utilisable.
2. Les collègues toulousains ont la possibilité de créer un sous-groupe localement : pour ceux qui sont intéresser, contacter Hervé Schauer qui coordonnera.
3. L'ISSA organise une conférence le 6 mars 2007 qui aura lieu au Cercle des Armées, 8 place Saint-Augustin, Paris 8ème. Au programme : norme ISO 2700x, analyse des risques, etc...
4. Appel à présentation : Hervé fait appel à toute présentation susceptible d'être faite, sachant que trois opérateurs télécom ont déjà fait des présentations : BT à la réunion précédente, Orange et NTTEO lors de cette dernière réunion.
5. Date de la prochaine réunion : comme annoncé à la réunion précédente, la réunion suivante aura lieu le 19 avril à 14h00.

  • ISO 27001, support à la conformité SOX par Claude Serré - DSI Orange France

Il a "survécu à SOX" (dixit le présentateur lui-même).

Cette exposé retrace l'expérience d'une mise en conformité à Sarbanes-Oxley au sein d'une grande entreprise qui a fait la démarche de certification ISO 27001.

Les questions essentielles étant "quels référentiels utiliser dans un tel projet de conformité ?", les réponses sont "le système de management de la qualité, les référentiels ISO 9001 et 14000, et pour la sécurité l'ISO 17799 et ISO 27001".

L'ISO 17799 a été un moyen de prouver que la sécurité logique était respectée.

Grâce à la démarche de certification ISO 27001, les 800 contrôles demandés par les 39 objectifs de sécurité, sont ramenés à seulement 33 mesures de sécurité, les autres étant déjà couvertes pour la démarche de conformité SOX.

Le présentateur précise que c'est l'article 404 de SOX qui a un impact sur la sécurité des SI. En conclusion, le présentateur souligne :

  • Que, quand un CAC intervient dans une entreprise certifiée ISO 27001, son niveau de confiance est plus élevé ;
  • Qu'il faut garder une couverture de sécurité suffisante tout en réduisant le nombre de mesure de sécurité
  • Que l'"overdose" de mesures nuit au bon fonctionnement de l'entreprise.

Finalement, l'ISO 27001 est en quelque sorte, le "grand véhicule" de la démarhce de mise en conformité à Sarbanes-Oxley.

  • NTT Europe Online Experiences and Commercial Benefits par Neil Wheelwright (Chief Security Officer) et Robert Steggles

Contrairement à British Telecom, NTTEO a opté pour une certification globale ISO 27001 de l'ensemble de ses entités et activités européennes couvrant : le Royaume-Uni, la France, l'Allemagne, l'Espagne et les Pays-Bas.

Cette démarche de certification ISO 27001, qui s'est étendue de novembre 2003 à octobre 2006 avait pour principales motivations :

  • La demande des clients de NTTEO, que cette dernière soit certifiée.
  • La volonté de NTTEO de gagner de nouveaux contrats et sa clientèle.

NTTEO voulait absolument une certification, l'approche de simple "conformité à la norme" ne peut convenir car non vérifiable.
L'option d'une certification unique pour NTTEO a été facilité par le fait que l'ensemble des établements utilisent un seul et unique SMSI. Toutes les procédures de sécurité s'appliquent à tout établissement européen de NTTEO.

L'engagement de la direction générale est fondamentale dans un tel processus.

Neil Neil déclient ensuite cinq thèmes essentiels à cette démarche de certification ISO 27001 :

  • Le périmètre : il doit être défini avec précision. C'est un document public. Néanmoins le périmètre peut être, par la suite, étendu si nécessaire.
  • Les objectifs : les livrables comprennent :
    • "La déclaration d'applicabilité" qui doit minimiser les contrôles et être sélective ;
    • "Le plan de traitement des risques" incluant commentaires et détails sur les procédures de sécurité ;
    • "Le registre des risques" : ce document n'est pas requis mais il permet de lister les risques acceptables, temporaires ou permanents.
  • L'évaluation des risques doit rester simple et permettre une mesure des risques.


Neil et Robert présentent en conclusion l'utilisation que NTTEO fait de sa certification : à savoir, une large publicité en est faite tant au niveau de leur site Web, que des documents internes et externes de leur entreprise.