Site officiel actualités HSE, actualités QSE, actualités QHSE
HSE, QSE, QHSE, le portail de Wolters Kluwer : wk-hsqe.fr

Accès abonnés

  1.  

Mot de passe oublié ?


Actualités
Actualités Qualité

Faut-il certifier la sécurité des informations ?

Réponse aux exigences clients en matière de sécurité et à l'usage de l'intelligence économique utilisée dans les entreprises, la norme internationale ISO/CEI 27001:2005 tarde à s'imposer en France. Pourquoi ?

Faut-il certifier la sécurité des informations ? © Nmedia - Fotolia.com

La sécurité de l'information, tout le monde y pense. Enfin, presque. Environ 5 000 sociétés sont certifiées ISO/CEI 27001 dans le monde. En France, à peine une vingtaine ! Pourquoi cette frilosité ? Au-delà de la protection des biens, c'est pourtant une manière de faire partager à l'ensemble de l'entreprise des principes d'organisation et de comportement. C'est aussi une marque de crédibilité vis-à-vis des fournisseurs, clients et actionnaires...

Le Système de management de la sécurité de l'information (SMSI) a pour but l'amélioration continue du niveau de sécurité, dans le contexte des risques métiers d'une entreprise. Il définit une politique de sécurité, des objectifs et les moyens à mettre en œuvre pour les atteindre. Afin d'assurer une amélioration continue de la sécurité du système d'information, le fameux modèle de qualité industrielle PDCA (Plan-Do-Check-Act) est vivement recommandé.

Ainsi, la démarche s'intègre-t-elle naturellement dans les organisations ayant ou souhaitant mettre en œuvre, par exemple, des démarches de système de management qualité ou environnement. Emmanuel Garnier, Responsable de la Sécurité des systèmes d'information (RSSI), du GIE Systalians, estime que la norme est « une trame structurante en sécurité. L'ISO 27001 simplifie le dialogue avec les métiers, les fournisseurs et les acteurs externes, et facilite les démarches d'audit ».

Des freins difficiles à identifier

« Cette norme est à la sécurité des systèmes d'information ce que l'ISO 9001 est à la qualité. Elle offre aux entreprises un cadre de bonnes pratiques reconnues, et une démarche visant à la mise en place d'un Système de management de la sécurité de l'information », confirme Christophe Elise, journaliste spécialisé dans la sécurité des systèmes d'information, qui s'interroge cependant sur la nécessité, pour les entreprises, de pousser le processus de certification à son terme (SecurityVibes).

Pourquoi ? D'abord parce que rien ne les y oblige et que l'engagement dans la démarche peut suffire à structurer la politique de sécurité de l'information au sein de la société. La certification demande, en outre, la réalisation d'une analyse de risques, la définition d'actions précises d'amélioration et une mobilisation de la hiérarchie à différents niveaux. Atteint par la crise, le secteur industriel hésite notamment à déployer de nouveaux projets et préfère concentrer ses ressources sur des fondamentaux bien maîtrisés. En bref, il y a plus urgent.

À l'étranger, certains n'ont pas attendu le séisme financier pour se décider. SupplyOn AG, fournisseur de services Internet pour l'industrie automobile et l'industrie en général, a obtenu la certification ISO 27001 en 2007, considérée comme une reconnaissance pour son respect constant des plus hautes normes de sécurité dans tous les domaines de son activité. Pour Markus Quicken, membre du directoire de SupplyOn AG, « les transactions traitées sur les plates-formes Internet ont un impact immédiat sur les processus stratégiques de tous les intervenants. C'est pourquoi une sécurité informatique complète à tous les niveaux revêt une importance particulière ».

Paver la voie pour d'autres 

Gardien Virtuel Inc, entreprise spécialisée dans le domaine des services de la sécurité des informations, a été la première entreprise service-conseil au Canada à avoir obtenu la certification ISO/CEI 27001. Son président-fondateur, Patrick Boucher, s'en réjouit en reconnaissant que la décision a été facile à prendre. « Étant les pionniers en la matière au Canada, nous sommes heureux de paver la voie pour d'autres compagnies afin de permettre à notre industrie d'atteindre des nouveaux sommets de performance et de qualité. D'ailleurs, la possibilité d'offrir un meilleur produit à nos clients est ce qui nous a initialement motivé à entreprendre les démarches. Cela, combiné au fait que nous sommes confiants de voir les grandes entreprises et nos différents paliers de gouvernement faire de cette certification un pré-requis dans un avenir rapproché comme le fut ISO 9001 il n'y a pas si longtemps », ajoute M. Boucher.

Hervé Schauer, fondateur de la société de conseil en sécurité HSC et animateur au Club 27001, considère plus radicalement que cette norme est « une révolution dans un secteur souffrant d'opacité entre les mondes de la direction et de la technique ». Besoin de certification ou pas, le débat reste ouvert... pourvu qu'il soit constructif.

 

Didier Rougeyron 

 

Sources : Wikipedia, Afnor, SecurityVibes, Branchez-vous.com, ZDNet.fr

 

Bienvenue au Club 27001 !

L'objectif du Club 27001 (association « loi 1901 ») est de faire connaître et de promouvoir l'utilisation de l'ISO 27001, de réunir les personnes intéressées par la série des normes ISO 27000, sous la forme d'un groupe de travail, de réflexion et d'échanges.

Les réunions peuvent contenir des présentations, des discussions ouvertes, et des prises de décision. Le groupe est ouvert à tous, utilisateurs comme fournisseurs, et les présentations sont de toutes natures : explications sur les normes, retours d'expérience, solutions commerciales, etc.

Club 27001

 

Dans la roue de Deming

La norme internationale ISO/CEI 27001 décrit les exigences pour la mise en place d'un Système de management de la sécurité de l'information (SMSI), ou Système de gestion de la sécurité des systèmes d'information (SGSSI), applicable à tous les types d'organismes. Ce système est structuré en quatre étapes récurrentes (planifier, mettre en œuvre, vérifier, améliorer), afin de respecter le principe de la roue de Deming, issue du monde de la qualité. Ce concept permet d'établir un parallèle avec les normes relatives aux systèmes de management de la qualité (ISO 9001) et de l'environnement (ISO 14001).

Securite-informatique.gouv.fr

  

 A lire aussi… 

 


wk-hsqe - 30/11/2009© Tous droits réservés


Le Guide du Responsable HSE Le Guide du Responsable HSE

Un ouvrage innovant pour
une fonction stratégique
dans l'entreprise !

A partir de 501 € HT




Pour recevoir directement toutes les actualités réglementaires de votre choix dans votre boîte e-mail


Toutes nos publications


Naviguez sur WK-HSQE