Jeudi 26 octobre 2006

  • Tour de table
  • La certification ISO 27001 par Hervé Schauer et questions diverses
  • Quels objectifs à assigner au groupe ?
  • Liste de discussion
  • Conclusion

La présentation de Hervé Schauer est disponible ici

 

La certification ISO 27001 par Hervé Schauer.

La réunion s'est déroulée chez ADP (Automatic Data Processing).

Remarque : plusieurs personnes n'ayant pu se déplacer de province ont manifesté leur intérêt de pouvoir participé "à distance" à cette réunion.

Ordre du jour :

  • Tour de table
  • La certification ISO 27001 par Hervé Schauer et questions diverses
  • Quels objectifs à assigner au groupe ?
  • Liste de discussion
  • Conclusion

Tour de table

Les participants se présentent et indiquent leur intérêt. Parmi les présent :

  • 5/6 personnes certifiées Lead Auditor SMSI
  • Des RSSI de grandes entreprises commerciales
  • Un représentant du ministère de la défense
  • Des consultants provenant du monde SSI et du monde normatif
  • Des représentants de sociétés de service


Des participants disposant d'un profil et d'une connaissance de la norme très hétérogènes.

Beaucoup utilise le guide ISO17799, certains réfléchissent à l'idée d'appliquer l'ISO27001 au sein de leur entreprise, mais aucun n'a conduit une certification 27001 jusqu'au bout.

La certification ISO 27001 par Hervé Schauer

Hervé Schauer a animé une présentation dont les transparents sont disponible à l'adresse suivante :
http://www.hsc.fr/ressources/presentations/certif27001/index.html.fr


Sont repris ci-dessous les remarques les plus importantes et les questions des participants :

  • Dans l'exposé du panorama des normes 27000, il est important de noter que certaines sont obligatoires pour la certification (27001 et 27006), les autres ne sont que des guides.
  • L'IS 17799 sera renommé en 27002, le 1er avril 2007.
  • L'IS 27006 est en cours de fabrication -sortie prévue fin novembre.
  • L'IS 27004 et l'IS27005 sont à l'état de drafts avancés.

#S1 : Introduction

L'IS 27001 définit un SMSI et exige la bonne application de la "roue de Deming". L'important est de ne pas confondre l'audit de certification 27001 et l'audit de conseil en SSI.

#S2 : Sommaire

Le schéma de certification est destiné à créer la confiance.


#S11 :Certifications

Il existe 3 types de certification :

  • Produit
  • Organisation : service [ex. PRIS v2] ; Service de management 20000, 27001 (en respect de la norme 17021).
  • Personne : 27001 Lead Auditor (en respect de la norme 17024).


#S15 : Schéma de certification

- Les accréditeurs peuvent être des consultants qui travaillent pour le COFRAC et vérifient la conformité à 17021 des organismes certificateurs.
- Les auditeurs (en respect des règles d'audit de la norme 19011), travaillent pour l'organisme de certification pour vérifier la conformité des SMSI des organisations à la norme 27001.

Dans les 2 cas la norme 27006 est utilisée. D'une part elle amende la 17021, et d'autre part ajoute des précisions pour les auditeurs de certification.

#S20 : Normes d'accréditation

Dans la 27006:2006 parmi les points importants, on retrouve :

  • des précisions techniques
  • la description des compétences des auditeurs
  • le classement des mesures (organisationnelle ou technique) et, en fonction de ce classement, la méthode de vérification.


Parmi les mesures de sécurité techniques, 5 sont identifiées comme ayant une vérification technique "obligatoires" dont la protection antivirale et la configuration des firewalls.

Comme l'évoque l'orateur la nouvelle 27006 imposera a priori d'avoir réalisé un tour de "Roue" complet (Roue de Deming).

Remarque : l'un des participants précise que cette pratique est déjà utilisée dans le cadre des audits Visa/Master Card, pour lesquels une production est obligatoire. Cette première production est validée grâce à un régime probatoire accordé pour la certification.
#S21 : règlement de certification

Le règlement de la certification est une annexe au contrat reliant l'organisme de certification et l'organisation demandant la certification. Il indique des compléments à la 27001 provenant de la 17021 et de la 27006. Il faut donc retenir que la conformité à la seule norme 27001 ne suffit pas.

Note : en rouge apparaît les numéros de chapitres concernés des normes.

#S25 : règlement de certification

Dans la 27006 sont indiqués les durées des audits en fonction du nombre de personnes.

Remarque : les personnes concernées sont les acteurs du SMSI. Sont exclus les clients et fournisseurs.

Il est à noter dans le tableau une limite (6000 personnes) au-delà de laquelle on considère qu'il n'est plus possible de certifier un SMSI car trop complexe.

Par exemple, Orange UK qui avait certifié son SMSI aurait perdu son certificat car le périmètre retenu était trop grand et trop difficile à maintenir conforme.

Donc il faut impérativement retenir que le choix du périmètre est fondamental et que pour que le SMSI fonctionne, il faut qu'il soit réduit.

Il est également important de noter que les audits sont vendus aux clients par les organismes de certification : 800 à 1200 EUR la journée (comme en qualité). Ce qui laisse pour les auditeurs sous-traitant des prix parfois très bas de 500 à 1000 euros par jour. Or ces prix sont largement en dessous du marché. Sachant qu'en plus les durées indiquées (et donc les prix calculés) ne comprennent que les interventions sur site et qu'il faut notamment ajouter la rédaction du rapport, même si celui-ci demeure léger. On est donc en droit à terme de se poser des questions quant à la qualité de ces audits réalisés par des auditeurs "pas chers".

L'orateur attire également l'attention sur le niveau de complexité qui fait varier la charge des audits d'une demi-journée par complexité.

#S26 : Organismes

En projet : OPPIDA, AQL et Vision IT ont fait des demandes pour être auditeurs de certification.

La liste est celle transmise à HSC et n'est peut être pas exhaustive.

Q : Lors d'une formation "Dires d'expert", animée le 18 octobre dernier, un représentant AFAQ-AFNOR a indiqué qu'il avait 2 certifications ISO 9001/27001 en cours. Sont-ils accrédités pour délivrer un certificat 27001 ?
R : AFAQ-AFNOR est sans doute en cours d'accréditation, il n'est pas encore dans la liste des organismes accrédités pour les SMSI par le COFRAC. Donc il ne délivre pas encore de certificat 27001.

Remarque : les organismes certificateurs peuvent être accrédités dans d'autres pays (c'est le cas par exemple de BVQI, BSI, etc ...) et peuvent délivrer des certificats à des entreprises françaises.

#S27 : Accréditation pour la certif.

Q : Quel est le potentiel de la certification 27001 en France ?
R : Les participants s'accordent à dire que s'agissant d'un système de management, le nombre de clients pour la 27001 devrait être au moins du même ordre de grandeur que pour la 9001.

Des standard et d'autres normes référencent la 27001 comme Sarbanes-Oxley.

#S31 : Processus de certification

L'audit de surveillance doit être réalisé au moins tous les 12 mois. Mais beaucoup, par peur de perdre leur certificat, le font tous les 6 mois.

Q : Si on commence avec un organisme certificateur peut-on continuer avec un autre ?
R : oui

Q : Pour assurer une continuité notamment dans le cas de l'abandon de cette activité par l'organisme certificateur, la norme prévoit-elle un séquestre par la COFRAC par exemple ?
R : Rien n'est précisé dans ce domaine. Mais en ce moment, le risque ne paraît pas important car beaucoup essayent de se positionner sans se préoccuper de la rentabilité de cette activité aujourd'hui.

#S33 : Processus de certification

Le règlement de certification peut définir jusqu'à 6 niveaux d'écart. HSC considère que 3 niveaux suffisent amplement.

Il est à noter qu'il n'existe pas de norme pour qualifier les écarts.

#S35 : Limites

BSI tire la couverture à lui. Par exemple, on a entendu "Si vous venez chez nous, vous aurez accès à des marchés avec le label BSI". Il est néanmoins à noter que BSI fait quand même appel à des Lead Auditors.

Un autre point important est le caractère débutant de la chaîne de certification. Aujourd'hui les "audités" arrivent à montrer ce qu'ils veulent et à obtenir le certificat pour leur SMSI. A ce jour, en l'absence de la 27006, il n'était pas imposé de vérifications approfondies. On espère que la 27006 améliorera ce point.

#S36 : Limites

L'une des limites les plus importantes reste les relations commerciales prépondérantes qui existent entre les organismes de la chaîne. Certaines relations pourraient même représenter des éléments allant à l'encontre de la qualité de la certification.

Remarque : ce type de limite est inéluctable et des règles claires doivent être édictées pour éviter d'aboutir à des relations qui nuisent à la qualité de l'évaluation. Par exemple, interdire à une société de remplir 2 missions distinctes dans la démarche de certification pour un même organisme et ce pendant une période minimum de 3 ans.

#S38 : Limites

Les contrôles sont limités. Notamment, il n'existe pas de contrôle

  • de l'autorité d'accréditation sur l'auditeur
  • de l'organisme certificateur sur le SMSI
  • de l'organisme certificateur sur la société de conseil qui emploie les auditeurs.

#S39 : Limites

Le problème réside également dans la réalisation par la même société de pré-audit et d'audit de certification. Les auditeurs vendent du conseil avant de réaliser l'audit.

Comme le précise l'un des participants, certains organismes comme BVQI arrive à ménager ce type de situation en faisant appel à des sociétés différentes pour le pré-audit et l'audit de certification.

#S41 : Limites

Le mélange des genres, illustré par l'organisme certificateur AFAQ-AFNOR qui réalise toute la panoplie de prestations.

#S43/44 : Intérêts

  • Il est constaté des progrès SSI à vu d'oeil dans des entreprises qui se lancent dans une démarche de certification 27001 et qui n'étaient pas très matures en SSI.
  • L'Europe peut imposer dans certains cas la certification à des référentiels comme BSI, ITIL ou ISO 27001 et dans ce cas l'ISO27001 apparaît comme la plus facile à obtenir.
  • Un participant donne l'exemple d'une société pharmaceutique qui a réussit à démontrer par le biais de la démarche de certification que l'application de certaines mesures de sécurité étaient inutiles. Ce qui a représenté une diminution significative du coût de la sécurité.
  • Des entreprises cherchent la certification pour limiter le nombre d'audits externes.
  • En Suisse existe un projet de remplacement de la partie "privacy" pour la remplacer par un chapitre qui ajoute une dizaine d'objectifs de sécurité. Si l'entreprise en certifiés ISO 27001, elle ne sera plus soumise à ses obligations de déclaration des fichiers à caractère personnel.

Remarque : Pour faciliter l'intégration de la certification en France, il faut promouvoir l'intérêt qu'à la certification sur les affaires.

#S46 : Organisations certifiées

  • Pendant que la France passe à 3 certificats, les allemands ou les italiens passent respectivement à 57 et 42 ...
  • Pour des raisons évidentes, l'Inde représente la plus forte augmentation.

#51 : Registres d'auditeurs

Il existe des registres d'auditeurs mais attention ils sont non officiels et payants.

  • Sur IRCA, aucun français (à l'exception de provisionnal auditor)
  • Sur AFAQ-AFNOR pas de Lead Auditor SMSI référencé.

#52 : Conclusion

Q : A quand un vrai gendarme pour lutter contre les limites citées ci-avant et garantir le respect de la déontologie ?
R : Comme le mentionne l'auditeur,

    1) tout le monde peut dénoncer les abus auprès de la COFRAC, qui reste un organisme sérieux comparé à d'autres pays
    2) pour renforcer le traité international, il faut d'abord que la France décolle pour être une voix que l'on écoute.

Questions diverses

Q : L'impact financier des risques SI peut-il être évalué ? le fait est qu'en l'absence d'indicateurs de mesure, il est plus difficile de convaincre. Par exemple, au CIGREF il existe un projet en cours pour tenter de quantifier le capital information.

R : La norme 27004 (et la 27005), lié aux critères d'évaluation BCP/DRP pointe sur les vrais enjeux, bien que ce soit que des guides et pas des obligations pour la certification. Ces indicateurs de mesure s'appliquent à des activités très hétérogènes, ce qui constitue un problème complexe de mesure.
Chacun aujourd'hui a élaboré son référentiel : RSSI, Risque Manager, ....
Sans compter qu'en plus, les impacts ne sont pas mesurables que sur le plan financier (exemple : impact pénal).

Q : Comment se fait-il que l'on puisse publier la 27001 avant la 27005 (analyse de risque) ?
R : l'analyse de risque est imposée et décrite dans la 27001. La 27005 ne donne que des précisions.

Q : Y a-t-il une justification de se lancer dans une urbanisation couplée avec la démarche SSI ?
R : La démarche ici en est au commencement et doit rester simple et modeste dans son résultat.

Q : Quelle importance à accorder à l'ISO 27001 ? Quelle est sa valeur ?
R : Un point extrêmement important réside dans le choix du périmètre qui doit être réalisé en ayant en mémoire la publicité que l'on veut faire du certificat. Attention, dans le choix de ce périmètre qui doit bien évidemment rester cohérent. On va donc certifier les métiers pour lesquels une certification va se justifier.

Quels objectifs à assigner au groupe ?

Partage d'expériences ?

La majorité des participants souhaite privilégier l'objectif de partage d'expériences et faire des réunions thématiques régulières par exemple :

  • Expériences d'implémentation de SMSI
  • Comment faire un levier de l'ISO27001 ? Qu'est-ce que la norme peut apporter ? comment éviter d'aller dans le mur ?
  • Réflexion autour de l'IT Management : la cross certification ? le positionnement de la ISO 27001 par rapport aux autres référentiels 20000, sorbanes Oxley ,contrôle interne,...
  • Mariage de l'analyse de risque avec l'ISO 27001
  • Développer un cas pratique, servant d'exemple type pour expliquer et sensibiliser

Agir pour faire du lobbying ?

Oui a priori. Encore faut-il fixer un objectif. Pour faire du lobbying il faut déterminer ce que l'on veut changer.

Cet objectif ne rencontre pas à ce stade un consensus.

La conclusion est qu'il faut laisser mûrir le club et qu'il est un peu tôt pour décider plus avant des objectifs à fixer.

En attendant, il faut des volontaires pour trouver des sujets intéressant et organiser tous les 2 mois les réunions plénières.

Liste de discussion

La publication des noms des personnes inscrites dans la liste club-iso27991.fr (128 membres) pourra être effectuée pour les personnes ayant donné leur accord.

Aujourd'hui il n'y a pas de régulation sur cette liste. Il faudra probablement en prévoir une à l'avenir, notamment pour éviter qu'elle serve de média à la publication d'informations commerciales.

Décisions

Sont actées par les participants, à l'unanimité, les décisions suivantes:

  • Le groupe doit rester ouvert - tout le monde doit pouvoir y venir.
  • Pas de cotisation obligatoire.
  • Fréquence des réunions : 2 mois.
  • Il n'est pas souhaité le rapprochement ou la constitution d'une association à ce stade.
  • L'anglais n'est pas interdit pour animer des présentations.
  • Signature d'un NDA pour chaque personne participant aux réunions afin d'éviter la divulgation d'informations confidentielles éventuellement communiquées par les participants. Chaque personne pouvant demander si elle le souhaite que telle ou telle information ne figure pas au compte-rendu.
  • Le compte-rendu sera publié sur le site et diffusé aux membres de la liste. Pour les prochaines réunions, il sera décidé si oui ou non le compte-rendu sera disponible aux personnes n'ayant pas participé à la réunion.
  • La publication des présentations est laissée à l'appréciation de chaque orateur.