Vendredi 6 juin 2008

  • Retour sur les précédentes réunions parisiennes
  • Présentation "Mesures et risques contrôles" par Thierry Veauvy - Telind

La réunion s'est déroulée chez Telindus.
Il y avait moins de 20 personnes personnes présentes

Point sur les normes :

  • La norme ISO 27005 Gestion des risques a été publiée le 4 juin 2008.
  • La norme ISO 27004 est assez controversée par les membres du groupe de travail.

Retour de la réunions parisienne :

  • Les personnes présentes ont donné un accord favorable à ce que le club devienne une association ;
  • Nous pourrons avoir un statut juridique. Ce sera plus facile pour organiser des conférences, effectuer des publications ou ouvrages collectifs et avoir un site au nom de cette association ;
  • La cotisation ne sera pas élevée et les réunions resteront ouvertes à tout public (membre ou pas de l'association) ;
  • Le 17 Septembre aura lieu l'assemblée constituante.

Nous souhaitions organiser une visioconférence avec H.Schauer pour discuter des avantages, des inconvénients et des contraintes de l'association vis à vis du club et connaître quelles seront les relations entre les différents clubs.
Faute de temps , Hervé et Eric Doyen préfèrent qu'on leur adresse nos questions par email. Nous vous proposons éventuellement de les regrouper pour les leur transmettre en une seule fois.

Appel à communication

Pour la seconde conférence "SMSI et les normes ISO27001" du 20 novembre 2008 à Paris

Présentation "Mesures et contrôles" par Thierry Veauvy - Telindus

La démarche et l'outil utilisé sont issus de la DCSSI. L'élaboration des TBSSI se situe au niveau des phases DO et CHECK puis ACT de la roue de Deming.
Il existe trois niveaux d'indicateurs :

  • Stratégique (niveau Politique de Sécurité)
  • Pilotage (Par domaine)
  • Opérationnel (Par mesure de sécurité))

Les interlocuteurs sont différents suivant les niveaux. L'information est plus détaillée au niveau opérationnel et synthétique au niveau stratégique par le biais de la consolidation des informations.
La démarche est constituée de 5 étapes :

  • l'étape 1 permet de faire le tour des pré-requis : objectifs de sécurité, ressources...
  • l'étape 2 permet la mise en place du projet ; identification et mobilisation des acteurs.
  • l'étape 3 permet l'élaboration des TB
  • l'étape 4 permet l'exploitation de ces TB
  • l'étape 5 permet l'évolution de ces TB

Les étapes 1 et 2 sont très importantes. L'étape 1 se situe au niveau du DO et reçoit beaucoup d'informations PLAN.
Un indicateur est rattaché à un objectif de sécurité mesurable ; un objectif de sécurité permettant de réduire un risque.
Plusieurs indicateurs peuvent être définis pour l'atteinte d'un objectif. Il faut toujours garder ce lien pour une bonne traçabilité.

Le nombre d'indicateurs par TB dépend du niveau : stratégique 6, pilotage 12, opérationnel 20.
Un indicateur est toujours valide, il peut sortir d'un tableau de bord mais il faut continuer à le calculer.
Attention à la sensibilité des indicateurs.
L'outil de la DCSSI n'est pas commercial. Il faut s'adresser à la DCSSI pour en avoir une version mais il n'y a pas de support. Cet outil est compatible avec l'outil EBIOS et avec la norme 27004. Cet outil assure le lien entre les indicateurs et les objectifs.

Conseil : avancer à petit pas et sélectionner les objectifs.

Prochaines réunions :

  • Le 10 octobre chez Airbus. L'inscription devra se faire auprès d'Anne et Dominique avant le 3 octobre en précisant ses noms, prénom, employeur, date et lieu de naissance.
  • Le 16 janvier 2009

Thèmes pour la réunion du 10 octobre 2008

  • Système de management intégré : qualité, environnement, sécurité
  • Expérience en matière de mise en place d'un SMSI et surtout des audits subis