Réseaux-Télécom.net

Le système de gestion de la sécurité, le SMSI, constitue l'essentiel de l'ISO 27001

Sylvain Laborde - Responsable de l'offre ISO 27001 de Sogeti

La certification ISO 27001 manifeste la volonté de la direction générale en matière de sécurité, ce qui mobilisera tous les utilisateurs dans l'entreprise. Elle passe par la mise en oeuvre d'un système de gestion de la sécurité, le SMSI.

Les responsables de la sécurité des systèmes d'information et les directions générales auraient tendance à considérer l'argument marketing et mercantile pour décider d'une certification. La normalisation comme la certification font peur, à tort. Même si la norme ISO 9001 reste présente à l'esprit et la certification « qualité » demeure synonyme de contrôle et de contraintes.

Réduire l'ISO 27001 à la certification s'avère très simpliste
Cela explique en partie le retard accumulé par la France, toujours réticente à l'égard des normes anglo-saxonnes, à l'opposé d'autres pays comme le Japon qui est le numéro 1 au rang du nombre d'entreprises certifiées. Or, l'essentiel consiste à la mise en oeuvre d'un Système de Management de la Sécurité de l'Information (SMSI) qui s'insère entre, d'une part, la certification ISO 27001- qui constitue la cerise sur le gâteau de la démarche -et d'autre part, l'application des « bonnes pratiques » de sécurité ISO 27002, dont les grandes entreprises se sont largement inspirées. Réduire l'ISO 27001 à la certification s'avère ainsi très simpliste. Les arguments ne tarissent pas en faveur de la mise en place d'un tel SMSI, avec ou sans certification.

Il ne reste que peu à faire dans certains cas
De nombreuses entreprises, soumises aux règlementations Bâle II, Sarbanes-Oxley Act ou PCI, appliquent déjà en partie les exigences générales de la norme ISO 27001 et les « bonnes pratiques » de l'ISO 27002. Ces sociétés ont donc tout intérêt à évaluer le coût du « reste à faire » vers ...