Jeudi 14 décembre 2006

  • Retour d'expérience avec l'ISO 27001 chez British Telecom
  • Point sur l'actualité autour de la norme
  • Point sur les décisions prises lors de la réunion du 26 octobre 2006
  • Point sur les prochaines réunions
  • Choix des dates au delà du 15 février 2007

La présentation de Richard Jones de British Telecom est disponible ici.

 

La certification ISO 27001 par Hervé Schauer

La réunion s'est déroulée chez Unilog.

Actualité autour de la norme :

  • Le 6 mars, conférence de l'ISSA
  • Traduction ISO 27001 : les remarques des experts (2) seront peut être intrégrés mais l'AFNOR n'a pas prévu que ces experts puissent revoir le document traduit avant sa diffusion.
  • ISO 27006 : devrait être sorti en novembre (la FIDS a été publiée sur l'intranet de l'AFNOR en novembre.

Les sujets identifiés à aborder lors des prochaines réunions :

  • Les métriques d'un SMSI
  • La gestion documentaire d'un SMSI
  • Retours d'expérience sur des points particuliers (Risk Assesment, tableaux de bord, ...)
  • Les approches et solutions de gestion des enregistrements du SMSI (audit, preuve,...)
  • Les impacts de la certification sur le processus de formation des utilisateurs.

Présentation de la certification ISO 27001 chez British Telecom par Richard Jones.

BT possède une offre complère autour de la sécurité et des services managés :

  • Offre autour du RM
  • BCP et DRP
  • Identity Management
  • Hébergement
  • ...


BT France représente environ 1000 personnes en France.

L'expérience autour du management de la sécurité chez BT, notamment au travers de la certification, a permis à BT de construire une offre sécurité pertinente.

BT a obtenu quinze certificats ISO 27001 en Europe (la majorité en UK), il y a une dizaine d'autres certifications ISO 27001 en cours. En France, une activité est en cours de certification (hé9bergement Internet).

La réflexion de certification chez BT a tourné autour des réflexions suivantes :

  • Un des objectifs initiaux de la certification était d'offrir une alternative aux clients BT par rapport à un audit SAS 70 (qui est très couteux).
  • Un autre objectif é9tait de prouver le bon niveau de maîtrise de sécurité dans des appels d'offres (ce qui était utile lors du gain de certains grands dossiers comme l'OTAN...)

La chose la plus cruciale chez BT était de définir le périmètre de certification :

  • Que voulez-vous faire dire à cette certification : les objectifs, la valeur ajoutée de la certification (par exemple : les fonctions de back-office comme la comptabilité,... n'ont pas vu d'intérêt d'une certification)
  • Comment définir les interfaces avec l'externe (les liens)
  • Le périmètre de certification allait d'un périmètre d'une équipe de 5 personnes à un périmètre d'activité concernant 200 personnes réparties sur 4 sites.

Où cela a-t-il été le plus douloureux à implémenter :

  • Définir le périmètre à certifier
  • Identifier et classifier les actifs
  • Définir et organiser la collecte des preuves
  • Mesurer l'efficacité des éléments du SMSI (évaluer les tendances et calculer les coûts des incidents)
  • Gestion des durées de rétention et de purge des données
  • Les mesures de sécurité les plus douloureuses à implémenter ont été celles ayant trait aux hommes.


Quelle a été la charge de mise en oeuvre ? :

  • Cela a nécessité l'affectation de 0,5 à 1 personne pendant la durée de chaque projet (6 mois minimum à 2 ans) : management et développement de la documentation.
  • L'outillage de gestion des risques est une solution interne BT (basé sur des tableaux Excel)


Autres points évoqués suite à des questions :
Q : Comment sont gérés les prestations ou fournitures faites par des entités BT non certifiées et qui entrent dans le périmètre de la certification (exemple pris : la prestation centralis\xe9e de politique anti virale) ?
R : Cela ne se fait pas au travers d'un SLA mai s'il y a un problème de qualité de la prestation délivrée, c'est au travers du processus de la gestion de non-conformité du SMSI.

Q : Y a-t-il eu un seul organisme de certification pour l'ensemble des activiés :
R : Non, il y en a eu trois différents.

Q : Cela ne leur semble pas lours de gérer 15 certificats différents ?
R : Si, mais le déploiement de la certification s'est fait au cas par cas en fonction des opportunités du métier. La solution d'avoir un framework global serait certes plus efficace mais maintenant, ce n'est pas simple de faire migrer les SMSI existants vers un seul framework.

Q : Les clients de BT se satisfont-ils d'une certification ISO 27001 ou exigent-ils des audits spécifiques ?
R : La majorité des clients oui, mais certains imposent encore l'organisation d'audits particuliers. La solution pour BT est de partager les éléments SMSI et les résultats en transparence avec ses clients pour obtenir leur confiance.

Point sur la certification en France

A ce jour il existe quatre certificats ISO 27001 en France (deux chez Axalto, un sur une filiale françaises d'une société russe, un sur une entité d'un groupe japonais).

En 2007, plusieurs entreprises sont sur la voie de la certification, dont certains repr\xe9sentants font partie du Club ISO 27001 (Orange, ADP,...).

A l'occasion d'une discussion sur l'intérêt de faire du lobbying en France sur l'intérêt de la certification 27001, un tour de table a été réalisé pour savoir qui voulait être certifié ISO 27001 dans la salle. Il en ressort :

  • Pour les sociétés présentes dans le domaine du conseil en sécurité ou développement de solutions de sécurité, il n'y a jamais eu de demandes de la part de leurs clients d'une certification ISO 27001. Cela peut être, néammoins, un plus et certaines sociétés y réfléchissent (mettre en oeuvre ce que l'on conseille).
  • Pour les entreprises dans le domaine bancaire (ou plus globalement dans le domaine des finances), la certification n'est pas envisagée pour le court terme, en revanche il y a des réflexions pour exiger de leurs fournisseurs critiques (notamment prestataires d'infogérence) qu'ils soient eux-mêmes certifiés.
  • Pour les grands groupes industriels présents, la certification de certaines activités a un sens mais elle se heurte souvent à des évolutions d'organisation internes.
  • Pour les organises publics présents, il n'y a pas d'intérêt à la certification mais en revanche à la demarche SMSI.