Vendredi 1er juin 2007

  • Point sur l'ISO 27000
  • Retour sur les précédentes réunions parisiennes
  • Proposition de thèmes pour les prochaines réunions

La présentation "Retour sur les précédentes réunions parisiennes" est disponible ici
La présentation "Point sur l'ISO 27000" est disponible ici

Première réunion du Club 27001 à Toulouse

La réunion s'est déroulée chez CNAMTS (Caisse Nationale d'Assurance Maladie des Travailleurs Salariés).

Le club 27001 toulousain est animé par Dominique Pourcellié (CNAMTS) et Anne Mur (Edelweb).

Plus d'une vingtaine de personnes étaient présentes.

 

  • Objectifs du club 27001 toulousain
  • Tour de table
  • Etat des normes "27001"
  • Retour sur les réunions parisiennes
  • Fonctionnement et prochaines réunions

Objectifs du club 27001 toulousain

Les objectifs sont identiques à ceux du club 27001 parisien.
La majorité des participants souhaite privilégier l'objectif de partage d'expériences et faire des réunions thématiques régulières.

Tour de table

Les participants se présentent et indiquent leur intérêt. Parmi les présents :

  • Plusieurs personnes certifiées ISO 27001 Lead Auditor
  • Des représentants de grandes entreprises
  • Des consultants provenant du monde SSI et du monde normatif
  • Des représentants de sociétés de service

Des participants disposant d'un profil et d'une connaissance de la norme très hétérogènes.
Beaucoup utilisent le guide ISO17799, certains réfléchissent à l'idée d'appliquer l'ISO27001 au sein de leur entreprise, mais aucun n'a conduit une certification 27001 jusqu'au bout.

Etat des normes "27001"

Les normes 27001 et 27006 sont obligatoires pour la certification.
Les normes 27001, 27002 et 27006 sont déjà sorties ; les normes 27004 et 27005 sortiront d'ici 2008. Pas de dates pour les normes 27003 et 27007.
Très peu de sociétés sont certifiées en France. Les chiffres varient selon les sources (2 à 3)

La présentation est disponible ici

Retour sur les réunions du club 27001 parisien

Anne Mur a fait un compte-rendu pour chacune des 4 réunions parisiennes qui ont déjà eu lieu (oct 2006, déc 2006, fév 2007 et avril 2007).

La présentation est disponible ici

Questions / Réponses

Des questions ont été posées :

  • Quel est le cout des audits de certification ?
  • Les auditeurs sont ils habilités à consulter des documents classifiés ?
  • Y a t il parmi les documents du SMSI des documents de type SD ou CD ?

De nombreuses réactions ont été suscitées par la présentation du tableau entre ITIL et la 27001 (cf compte-rendu de la réunion du 19 avril concernant la présentation "Opportunités de mutualisation entre ISO 27001 et ITIL" par Alexandre Fernandez - HSC. En particulier un débat a eu lieu sur la différence suivante présentée entre ITIL et la 27001 : ITIL est "Orienté Business" et l'ISO 27001 est "orientée confiance".

Fonctionnement et prochaines réunions

Tous les comptes-rendus sont diffusés sur le site du club 27001.

Le club toulousain se réunira tous les trois mois, un vendredi après-midi.
Prochaines réunions :

  • 28 septembre 2007 chez Rockwell Collins
  • 14 décembre 2007 chez UT1 Sciences Sociales

Thèmes pour les prochaines réunions

La liste des sujets parisiens proposée est présentée ; les métriques, les retours d'expérience et la réflexion avec les autres référentiels sont des sujets qui intéressent le plus les personnes présentes.
Les personnes peuvent faire part des sujets les intéressants aux animatrices.

Lors des prochaines réunions,

  • Le 28 septembre 2007 : Anne Mur présentera "ISO 27005 et EBIOS"
  • Le 14 décembre 2007 : Liliane Tonon présentera les résultats du groupe de travail sur la mutualisation ITIL-27001.


  • Chaque personne peut présenter un sujet ou faire intervenir un orateur pour présenter un sujet, et ce par mail à Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser. et Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser. .
    Orange FT essaiera de faire intervenir Claude Serré - DSI Orange France pour qu'il fasse sa présentation sur "ISO 27001, support à la conformité SOX".

    Décisions

    Sont actées par les participants, à l'unanimité, les décisions suivantes:

    • Le groupe doit rester ouvert - tout le monde doit pouvoir y venir.
    • Pas de cotisation obligatoire.
    • Fréquence des réunions : 3 mois.
    • Il n'est pas souhaité le rapprochement ou la constitution d'une association à ce stade.
    • L'anglais n'est pas interdit pour animer des présentations.
    • Signature d'un NDA pour chaque personne participant aux réunions afin d'éviter la divulgation d'informations confidentielles éventuellement communiquées par les participants. Chaque personne pouvant demander si elle le souhaite que telle ou telle information ne figure pas au compte-rendu.
    • Le compte-rendu sera publié sur le site et diffusé aux membres de la liste. Pour les prochaines réunions, il sera décidé si oui ou non le compte-rendu sera disponible aux personnes n'ayant pas participé à la réunion.
    • La publication des présentations est laissée à l'appréciation de chaque orateur.