Résumé : Le livre de Alexandre Fernandez-Toro de la société HSC a récemment été réédité, tous les exemplaires de la précédente édition ayant été vendus. Il décrit la mise en place d’un SMSI et l’audit de certification.

La norme ISO 27001 permet de formaliser les bonnes pratiques en matière de sécurité de l’information et applique à la sécurité les principes de la qualité. Elle permet aussi de mettre en lumière toutes ces bonnes pratiques, de nombreuses entreprises ayant intérêt à être certifiées pour des raisons tant commerciales (établir la confiance) que juridiques (Sarbanes-Oxley, Bale II, assurances …).

Le livre d’Alexandre Fernandez-Toro, intitulé « Management de la sécurité de l’information » et paru aux éditions Eyrolles détaille de manière extensive la mise en place d’une telle certification. Après une partie introductive sur les différentes normes ISO de la série 27000, l’ouvrage consacre une partie importante à la mise en place d’un SMSI (système de management de la sécurité de l’information). Les différentes étapes (choix du périmètre, appréciation des risques, documentation …) de la démarche à adopter lors de la mise en place d’un projet ISO 27001 sont abordées, et enrichies d’exemples pratiques puisés dans les expériences concrètes de l’auteur en tant que consultant. De nombreuses erreurs courantes (et à éviter) sont également recensées.

La troisième partie de l’ouvrage traite de l’audit des SMSI. En effet, les entreprises certifiées ISO 27001 doivent être régulièrement auditées pour conserver leur certification. C’est ce mécanisme qui assure la confiance. Les entreprises certifiées sont tenues de spécifier des indicateurs (non précisés par la norme) qui permettront de mesurer la fiabilité du système. Il est donc essentiel de choisir avec attention ces mesures. La norme ISO 27004, facultative et toujours en cours de discussion, définit cette phase. Si la durée initiale de la certification est de 3 ans, un audit est réalisé tous les ans, voire deux fois par an. Les organismes de certification doivent quant à eux se conformer aux normes ISO 17021 et 27006. Ils sont eux-mêmes accrédités et contrôlés par une autorité d’accréditation (il en existe une par pays). Fait intéressant, tous les audits peuvent se dérouler simultanément (un auditeur audite une société et est lui-même audité par un organisme de certification qui est lui-même audité par l’organisme d’accréditation, tout cela simultanément).

Le problème de la confiance à accorder aux certifications est également abordé. En effet, une entreprise peut être certifiée sur un périmètre restreint uniquement (par exemple la gestion de la relation client, ou le support …). A l’inverse une certification de l’intégralité d’une entreprise, à l’échelle d’une multinationale, entraîne une impossibilité d’auditer l’ensemble de l’organisation en même temps. Certaines filiales peuvent ainsi ne pas être conformes, alors que l’entreprise est certifiée.

Au final, le livre d’Alexandre Fernandez-Toro défriche avec brio le sujet ardu de la norme ISO 27001, en apportant de nombreux exemples et une rédaction claire et soignée.

[ Management de la sécurité de l’information – Implémentation ISO 27001 – Mise en place d’un SMSI et audit de certification 2ème édition – ISBN 978-2-212-12622-8 – Editions Eyrolles ]