Interview d'Alexandre Fernandez-Toro

Management de la sécurité de l'information

Qui dit "Management" de la sécurité de l'information dit normes, référentiels permettant de vérifier le bon fonctionnement d'un système. Cet ouvrage présente essentiellement deux normes ISO 27001 et ISO 27002 permettant de contrôler de façon systématique la sécurité d'un système d'information donné.

Auteur du livre Management de la sécurité de l'information, qui vient de paraître aux Editions Eyrolles, Alexandre Fernandez-Toro nous explique comment décrypter et utiliser ces référentiels un peu hermétiques à première vue.

Comment définir en quelques lignes les normes ISO 27001 et 27002 ? A quoi servent-elles ?

Alexandre Fernandez-Toro : En deux mots, l'ISO 27001 est à la sécurité ce que l'ISO 9001 est à la qualité. C'est-à-dire qu'elle sert à rendre cohérentes les mesures de sécurité qui sont déployées dans l'entreprise afin de répondre aux attentes des parties prenantes (clients, actionnaires, partenaires, etc.) en matière de sécurité.

Quant à l'ISO 27002, c'est une liste de 133 mesures de sécurité qui peuvent être déployées dans l'entreprise. Ces mesures couvrent un large spectre de domaines, tant techniques (filtrage réseau, bonnes pratiques en matière de mots de passe, sécurisation des systèmes d'exploitation, contrôle d'accès, etc.) qu'organisationnels (gouvernance sécurité, clauses de sécurité dans les contrats avec les partenaires, conformité avec la réglementation, etc.). En fait, l'ISO 27002 peut être vue comme un dictionnaire de 133 recettes qui peuvent être utilisées en support de l'ISO 27001.

Puisque l'utilisation des normes ISO 27001 et 27002 est propre à chaque entreprise, qu'est-ce que cet ouvrage nous apporte dans la compréhension et l'application de ces référentiels ?

A. F-T. : Cet ouvrage a pour objectif d'aider le lecteur à mieux comprendre ces normes afin qu'il puisse les implémenter plus rapidement et plus efficacement.

Il répond à de réels besoins. Je le constate en effet souvent auprès de mes clients qui, quand ils souhaitent implémenter ces normes, rencontrent systématiquement deux difficultés principales.

La première difficulté concerne la comprenhésion de ces normes. Nombreux sont ceux qui confondent ISO 27001 et ISO 27002 car les histoires de ces normes sont très liées. Pourtant, elles ne servent pas à la même chose.
La première sert à mettre en place un système de management de la sécurité de l'information (SMSI) alors que la seconde donne des conseils pour implémenter des mesures de sécurité. La première partie de Management de la sécurité de l'information consiste précisément à expliquer ces normes et à indiquer en quoi elles se complètent et en quels points elles diffèrent.

La seconde difficulté est liée à leur implémentation. C'est une chose de comprendre les normes, mais c'est une autre de savoir comment les appliquer. Et dans ce domaine, rien ne remplace l'expérience de terrain. Les trucs qui marchent, les erreurs à éviter... en un mot : le métier. La seconde partie de l' ouvrage insiste précisément sur des retours d'expérience très concrets, exclusivement basés sur les cas que je rencontre le plus souvent en clientèle.

Ces normes sont-elles applicables à de petites entreprises ?

A. F-T. : L'ISO 27001 est applicable à tout type d'entreprises, de la plus grande multinationale à la plus petite des PME. Par exemple, un des plus grands SMSI conformes à l'ISO 27001 est RICOH Japon, qui implique plusieurs dizaines de milliers de personnes.
Par ailleurs, il m'est arrivé de procéder à l'audit de certification en France de petites PME de cinquante personnes.

Le référentiel est strictement le même dans les deux cas (il s'agit de l'ISO 27001), mais la façon de l'appliquer ainsi que l'infrastructure à mettre en place diffèrent complètement.

A l'arrivée, le résultat est toujours le même : une rationalisation de la sécurité dans l'entreprise, adaptée à son contexte, à ses contraintes et à ses moyens.

Quelles sont les autres normes que l'on peut et pourra utiliser en matière de sécurité informatique (cf. ISO 27004, chapitre 13) ?

A. F-T. : La normalisation relative aux systèmes de management de la sécurité de l'information est en pleine effervescence. Certes, l'ISO 27001 est maintenant stable et on ne prévoit pas de nouvelle version avant quelques années.

En revanche, un certain nombre de normes satellites vont voir le jour dès cette année, à commencer par l'ISO 27004 qui précisera comment sélectionner les bons indicateurs dans un SMSI (Système de Management de la Sécurité Informatique).

De son côté, l'ISO 27005 précisera comment procéder à une appréciation des risques. Enfin, une autre norme est en gestation, mais elle n'est pas encore assez mûre pour sortir cette année, il s'agit de l'ISO 27003, qui donnera des "trucs et astuces" pour implémenter un SMSI. La famille ISO 27000 va donc rapidement s'enrichir de normes satellites constituant ainsi un ensemble cohérent autour de l'ISO 27001.

Quels sont les problèmes que tous les RSSI (Responsable de la Sécurité du Système d'Information) peuvent rencontrer dans la mise en place d'un SMSI (Système de Management de la Sécurité Informatique), et dont cet ouvrage permet de se préserver ?

A. F-T. : Cet ouvrage répond concrètement aux problèmes les plus communs rencontrés par les RSSI à l'heure de la mise en place d'un SMSI (c'est même pour cette raison que je l'ai écrit).

il explique les apports concrets de l'ISO 27001 ;
il donne des critères pour choisir le périmètre du SMSI ;
il expose différentes stratégies pour procéder à l'appréciation des risques ;
il énumère les procédures et documents incontournables dans un système de management ;
il présente des tableaux pour aider à calibrer finement le projet ;
il indique dans quel ordre il convient de conduire le projet ;
et il nous montre comment se préparer très concrètement à l'audit de certification pour franchir avec succès le cap de la certification.

Propos recueillis par Laetitia Maraninchi.