Diverses normes peuvent aider les entreprises à mettre en place une sécurité efficace. Les plus courantes sont sans doute les normes ISO 27001 et 27002, qui sont internationalement reconnues. L’utilisation de ces normes peut procurer de réels avantages.
La place importante qu’occupe depuis quelques années la sécurité de l’information au sein des organisations crée une pression sur les responsables des TI et les dirigeants en général. Il n’y a pas plus de cinq ans, les entreprises s’intéressaient à la sécurité de l’information pour des raisons purement technologiques. Aujourd’hui, cependant, les environnements informatiques sont plus stables, et les architectures technologiques, plus robustes et plus fiables. Dans ce contexte, la sécurité de l’information est maintenant perçue comme un élément stratégique d’une entreprise. Par conséquent, les gens d’affaires préfèrent collaborer avec des partenaires qui traitent la sécurité aussi sérieusement qu’eux.
La mise en œuvre de mesures de protection est donc devenue une tâche méritant une attention rigoureuse. Pour mieux accomplir ce travail souvent complexe, les entreprises peuvent se tourner vers les normes. À commencer par ISO 27001, qui a été conçue pour servir de guide à cet égard.
Application méthodique de la sécurité
ISO 27001 propose une approche éprouvée quant à l’élaboration d’un programme de sécurité de l’information au sein d’une entreprise. Autrefois, les gestionnaires étaient perplexes et hésitants face à la variété de visions, de méthodologies, de scénarios et d’approches servant à déployer un programme de sécurité efficace. Ils peuvent maintenant s’en remettre sans crainte à cette norme internationale, issue des meilleures pratiques et reconnue par des spécialistes en la matière.
La norme ISO 27001 s’articule autour de dix domaines précis, dont la stratégie de sécurité, l’organisation des ressources, le contrôle de l’accès à l’information, l’entretien des systèmes et la conformité. Elle explique comment se doter d’un système de management de la sécurité de l’information (SMSI, ou ISMS en anglais) et en définit les exigences. Un SMSI consiste en une méthodologie rigoureuse de gestion de l’information sensible. Son champ d’application s’étend aux employés, aux processus et aux systèmes d’information.
De nos jours, la sécurité ne se limite plus à l’installation de pare-feu ou à un contrat de sous-traitance. Il est devenu nécessaire d’intégrer l’ensemble des initiatives comprises dans une stratégie de sécurité globale, de façon à ce que chacun des éléments qui la composent offre une protection optimale. C’est à ce niveau qu’intervient un SMSI; il permet de coordonner les efforts visant à optimiser la sécurité. Pour ce faire, un SMSI comporte quatre étapes récurrentes : planifier, mettre en œuvre, vérifier, améliorer. Il s’agit du principe de la roue de Deming, issu du monde de la qualité et présent dans la norme ISO 9001 notamment.
ISO 27002 et autres normes
ISO 27001 préconise l’emploi de la norme ISO 27002 afin de déterminer les mesures de sécurité les plus efficaces. Récemment homologuée, cette dernière norme est sans doute mieux connue sous son ancienne appellation : ISO 17799. Véritable liste d’épicerie, elle regroupe 39 objectifs de sécurité, qui se décomposent en 133 mesures portant sur 11 domaines d’intervention (politique de sécurité, sécurité du personnel et contrôle des accès, par exemple). En fait, elle constitue un code de bonnes pratiques de renommée mondiale, parmi lesquelles chaque organisation peut choisir celles qui lui conviennent.
ISO 27001 ne fait pas du recours à ISO 27002 une obligation. Afin de mettre en place un SMSI, les entreprises sont libres d’aller chercher ailleurs les mesures répondant à leurs besoins. Dans le cadre de la démarche ISO 27001, toutefois, elles sont tenues de documenter pourquoi une mesure disponible dans ISO 27002 est retenue ou non. De cette façon, les auditeurs connaîtront les raisons ayant motivé une telle décision, et sauront qu’il ne s’agit pas d’un oubli ou d’une négligence.
Il existe de nombreuses autres normes touchant de près ou de loin à la sécurité de l’information et dont l’application dépend du contexte. Mentionnons encore la norme ISO 27005 encadrant la gestion du risque. Son approbation officielle en est à ses derniers stades, ce qui veut dire qu’elle sera homologuée sous peu. En attendant, les entreprises peuvent tout de même s’en inspirer.
Avantages importants
Attention! L’application d’ISO 27001 au sein d’un environnement n’en garantit pas la sécurité. Par contre, la norme offre la tranquillité d’esprit propre à la certitude que rien n’a été oublié. Ainsi, les entreprises soumises à des lois et à des règlements peuvent plus aisément démontrer aux auditeurs qu’elles maîtrisent la sécurité de leur information. En outre, les partenaires commerciaux d’une organisation éprouveront une plus grande confiance en cette dernière sachant qu’elle a appliqué ISO 27001.
Dans bien des cas, il n’est pas nécessaire d’obtenir la certification. Bien sûr, certains secteurs d’activités et certaines organisations l’exigeront de leurs clients ou de leurs fournisseurs. Règle générale, cependant, les partenaires s’estiment satisfaits de la simple mise en place d’un SMSI. Habituellement, le résultat recherché n’est pas la certification, mais l’application d’une gestion efficace de la sécurité. Toutefois, il est permis de croire que, dans plusieurs milieux d’affaires, les exigences accrues en matière de conformité entraîneront bientôt l’obligation d’obtenir la certification ISO 27001. D’ailleurs, une telle pratique est courante en ce qui concerne la qualité et la norme ISO 9001.
Pour l’heure, le niveau de confiance qu’inspire ISO 27001 représente potentiellement un avantage concurrentiel. Certes, son application nécessite temps, énergie et investissements, au début à tout le moins. Une fois les mesures pertinentes déployées et documentées, cependant, il devient beaucoup plus simple de maintenir un niveau de sécurité adéquat. Il est plus facile également de justifier l’efficacité et la nécessité des mesures de sécurité auprès des instances décisionnelles de l’entreprise, comme le conseil d’administration.
Mise en œuvre d’un SMSI : un impératif
Il y a cinq ans encore, on parlait peu d’ISO 17799 (maintenant ISO 27002). Aujourd’hui, la norme est généralement connue, et ISO 27001 gagne aussi en popularité. Le défaut de sécuriser l’information de façon étanche ne peut plus se justifier par le manque de sources fiables. Non seulement l’application de normes reconnues est-elle relativement facile à réaliser, mais elle procure des avantages tangibles. Quelle que soit l’organisation, il n’existe à peu près pas de raison valable de ne pas implanter un SMSI.
François Daigle (CISSP, ISO27001 Lead Auditor) est directeur des services professionnels chez OKIOK.
À lire aussi cette semaine: Bell Canada récupère des données de client Les fabricants s’intéressent aux revendeurs canadiens L’actualité des TI en bref L’économie des TI en bref Les TIC de l’amour, l’amour des TIC