HAUT

La 4ème conférence du Club 27001

Mardi 30 novembre 2010, s’est tenue la quatrième conférence du Club 27001. Lors de son introduction, Paul Richy a donné le ton en présentant l’évolution des normes, des certifications de personnes comme d’organismes et en plaçant la norme ISO 27005 comme fondamentale pour la série.

De ces interventions, je retiens que les choix de la certification (voire de la mise en conformité) doivent être motivés par des raisons valables telles que des exigences d’une autorité, une demande de clients et l’identification de bénéfices pour l’entreprise. La mise en conformité et l’obtention de la certification sont alors menées comme un projet transverse dans l’entreprise. Ceci signifie qu’une équipe, des objectifs et des moyens sont établis. Le projet se verra couronné de succès uniquement si la direction le soutien et que tous les niveaux de la hiérarchie sont, au minimum, informés de l’avancement du projet. La majorité des intervenants ont présenté des SMSI certifiés et mâtures, ce qui montre que nous entrons dans une nouvelle ère.

Ci-après, vous trouverez les détails des échanges de la conférence.

Introduction

Avant de présenter l’état des normes aujourd’hui, Paul Richy, vice-président du GCSSI à AFNOR Normalisation, nous a remémoré l’origine des normes 27001. En rappelant qu’avant d’être une norme ISO, la 27002 (ex 17799) était un standard anglais (British Standard – BS) dont la normalisation avait été refusée dans les années 90 pour être acceptée 5 ans plus tard, Paul Richy nous fait prendre conscience que ces normes sont jeunes et que les systèmes de management associés le sont, pour la plupart, encore plus !

Pour Paul Richy, la série des normes ISO 2700x est composée de « trois normes fondamentales » : la 27001 et la 27002 (actuellement en révision) ainsi que la 27005. Cette dernière est pour lui fondamentale car elle permet à la sécurité de l’information d’être transverse à l’entreprise et à son métier. Il profite pour indiquer à chacun que c’est le bon moment pour intervenir dans la normalisation. Il a ensuite procédé à un tour d’horizon rapide des normes de la série en révision et en projet. L’attention de l’assemblée a été portée sur la norme ISO 27035 traitant de la gestion des incidents de sécurité (Information Security Incident Management).

Paul Richy a conclu son introduction sur un bilan des certifiés dans le monde. Il y a aujourd’hui 7000 certificats d’organisme en cours de validité dans le monde, dont 3700 originaires du Japon, suivi par l’Inde et par la France avec 19 certificats. Avec son faible nombre de certificats, la France se situe en fin du premier tiers. Tandis que le Japon reste indétrônable et que l’Inde a effectué une remonté éclair sur les deux dernières années.

Certification d’un centre d’hébergement

Xavier Beulé, chef de projet ISO 27001 de Bull, est venu présenter son retour d’expérience de la mise en œuvre de la norme ISO 27001. Avec des chiffres qui impressionnent : 10 000 m² de système d’information, 8 000 serveurs hébergés, 2 300 serveurs exploités, 700 000 appels traités… Xavier Beulé plante le décor.

Il explique ensuite que le choix de la certification s’est fait pour répondre au nombre croissant d’appels d’offre dans lesquels elle devenait un pré-requis. Mais Bull ne s’est pas contenté de conformité, l’entreprise a profité de ce tournant pour « régénérer ses bonnes pratiques ». Par exemple, seule les critères de disponibilité étaient mentionnés dans les contrats. Une fois la décision prise, il a fallu délimiter le périmètre du futur SMSI : activité de outsourcing de Bull Services Infogérés soit 300 personnes.

A ce moment, deux premiers constats structurant pour la suite du SMSI sont faits : « ce n’est pas le SMSI du groupe Bull qui sera certifié » et « ce ne sont pas les SMSI de nos clients qui seront certifiés ». Ces deux constats impliquent immédiatement de renforcer les conventions de services avec les fournisseurs internes et les engagements de services auprès des clients. Le « projet 27001  » débute alors par la création d’une équipe projet.

La première étape sera la nomination d’un RSSI au sein de l’activité concernée puis la construction d’une équipe. Comme pour un projet, l’équipe sera formée d’une MOA (la direction, le RSSI et les directeurs opérationnels des data-centers) et d’une MOE composé d’un chef de projet certifié ISO 27001 Lead Auditor, l’ensemble des managers et le responsable qualité. Bien entendu, les parties prenantes ont été identifiées et impliquées durant les étapes clés du projet.

Le projet se poursuit ensuite sur la création des briques indispensables à tout SMSI : la politique de sécurité, la mise en place de comités de suivi et l’approche par les risques. Durant le projet, ces comités sont à fréquence trimestrielle, pour devenir, une fois la certification obtenue, bi-annuels. Trois objectifs pour le SMSI sont définis : assurer la sécurité des systèmes d’information des clients hébergés, des infrastructures mutualisées et des systèmes d’information internes.

C’est avec ces objectifs en tête que l’équipe a mené l’approche par les risques. En s’appuyant sur Mehari, un diagnostic des vulnérabilités a été réalisé dont les résultats bruts ont été présentés à la direction générale. Quatre niveaux de risques (gravité / probabilité) ont été retenus avec pour objectif de supprimer les risques de niveau élevé, de mettre en place des actions pour traiter les risques de niveau moyen et de suivre les risques de niveau faible. Le plan de traitement des risques s’est traduit par un grand nombre de chantiers répartis par thèmes en plus de ceux induits par la 27001 (politique sécurité, audit interne, indicateurs…).

En conclusion, Xavier Beulé rappelle que la sécurité était bien l’objectif de la démarche et que la prise en compte de l’existant est indispensable a favorisé la réussite de ce projet. Sur le périmètre de la certification Bull n’a pas constaté de réduction du nombre d’audits de la part de ses clients. Grâce à la démarche, les audits sont plus faciles pour l’équipe et se passent mieux. Concernant l’appréciation des risques, Bull souhaite abandonner Mehari pour adopter une démarche plus souple.

Pérennité de la certification et extension de périmètre

Eric Wiatrowski et Stéphane Sciacco sont venus présenter l’évolution de la certification ISO 27001 d’Orange Business Services (Groupe France Télécom). Eric Wiatrowski a rappelé que la principale raison qui a guidé le choix de la certification émane des clients. Ces derniers exigeants de plus en plus fréquemment, à travers les appels d’offres, la certification ISO 27001. Portée par une culture d’entreprise favorable aux « awards » démontrée par l’obtention, depuis plusieurs années, de certifications : SAS 70, ISO 15048 (critères communs) et ISO 9001, Orange a saisi l’opportunité de se différentier de ses concurrents en répondant favorablement à cette demande de clients. Par la suite, la pertinence de ce choix a été renforcée par l’exigence à être certifié ISO 27001 pour se positionner en tant qu’opérateur dans certains pays.

Fin 2007 débute la mise en œuvre de la 27001 (et de la 20 000-1) sur le « Master Service Center » du Caire choisi car ce centre est représentatif de l’entreprise par son activité et sa taille. De plus, l’équipe en place sont réceptives au challenge.  Les objectifs, en plus de ce cité indirectement ci-dessus, sont multiples : améliorer le niveau de sécurité, démontrer que la sécurité n’est pas l’empêcheur de tourner en rond, améliorer les résultats d’audit… Le chantier débute donc par la définition des budgets et des sponsors puis enchaîne l’évaluation des vulnérabilités et l’identification des écarts avant la certification afin d’identifier les actions à mener avant le premier audit interne, la revue des processus jusqu’à arriver à l’audit à blanc en septembre 2008. Cet audit a engendré encore quelques efforts qualifiés de « serrages de boulons » par Eric Wiatrowski avant l’obtention de la certification ISO 27001 et ISO 20000-1 en novembre 2008.

Pari réussi puisque la certification apporte de nombreux bénéfices : amélioration de l’image de marque du centre du Caire via la communication externe, augmentation concrète du niveau de sécurité, reconnaissance par les manager de l’importance de la sécurité de l’information, satisfaction des clients… Tous ces éléments ont engendré une émulation d’autres centres de services tels que Dehli et Rennes. En février 2009, un nouveau défi est lancé : obtenir la certification pour les trois sites. Le choix est fait alors d’étendre la certification pour être en cohérence avec la certification ISO 20000-1.  En décembre 2009, la certification sur les trois sites est obtenue mais l’auditeur constate que le système de management n’est pas harmonieux.

En 2010, un nouveau chantier débute : consolider et harmoniser l’existant. Stéphane Sciacco explique ensuite que l’harmonisation a été axée sur plusieurs thèmes : l’organisation, la gestion des risques, les actions. En premier lieu, l’organisation a été remaniée. Les auditeurs ne font pas de mise en œuvre sur le périmètre sur lequel ils interviennent en tant qu’auditeur. Par exemple, un auditeur pourra mettre en œuvre ou conseiller sur le périmètre à Rennes, dans ce cas, il réalisera les audits au Caire ou à Dehli. Par SMSI, une équipe est dédiée. Stéphane Sciacco insiste sur l’importance de la présence sur site des équipes. Le responsable du SMSI de Rennes ne doit pas se trouver au Caire, par exemple. Des comités de sécurité, réunissant les propriétaires des SMSI ont été établis ainsi que des Certification Committee qui réalisent, entre autre, une revue des normes afin d’identifier des axes d’amélioration.

Ensuite, un travail d’homogénéisation des outils a débuté. Stéphane Sciacco dresse un premier bilan des mesures de sécurité : sur 133 mesures de sécurité proposées par la norme ISO 27001 (annexe A), 109 sont communes au trois sites, 24 ne sont pas applicables et 11 le sont uniquement sur le périmètre de Rennes. Concernant la gestion des risques, la démarche adoptée a été de « faire table rase pour faire commun ». La conformité à la 27001 et la (non) reconnaissance d’Ebios ou Mehari à l’international,  la 27005 a été retenue. Les équipes ont été formées à la norme ISO 27005 et un outil commun a été développé en interne. Cette approche a permis une homogénéisation des outils et des démarches. Les résultats sont présentés sur des diagrammes radars communs, par exemple. Même si l’organisation et la gestion des risques sont aujourd’hui bien homogénéisées, la gestion des actions de manière commune et suivant le modèle PDCA n’est pas toujours évidentes.

Eric Wiatrowski et Stéphane Sciacco concluent cette présentation en dressant un bilan positif de la certification pour l’entreprise. Mais insistent sur les motivations de la certification qui doivent être fondées, les compétences des équipes et leur répartition géographique et surtout l’adhésion de tous les acteurs qui ne se fera que si la certification est portée par la direction générale.

Table ronde sur la gestion des risques et l’ISO 27005

Table ronde animée par Hervé Schauer sur la gestion des risques et l’ISO 27005 avec un représentant des deux principales méthodes Ebios (Raphaël Guerand) et Mehari (Olivier Corbier) et Anne Lupfer pour la norme ISO 27005.

Conduite d’une appréciation conjointe ISO 27001 et ISO 20000-1

Cesare Gallotti est venu partager avec nous son expérience de conduite d’une appréciation de mise en conformité d’un organisme aux normes ISO 27001 et ISO 20000-1. Contraint par le temps et le nombre d’entretiens à effectuer, la tâche n’a pas été une mince affaire. Comme toute démarche de mise en conformité, le travail a débuté par la définition du périmètre puis par la définition du planning d’entretiens, la conduite des entretiens et la revue documentaire pour terminer sur la rédaction de la documentation.

Pour conduire cette appréciation Cesare Gallotti explique qu’il n’a pas souhaité employer de check-lists qui l’auraient contraint à un cadre trop fermé mais a préféré récolter les informations au grès des entretiens menés sous forme de discussion. Le contexte ne lui a pas permis de commencer par les opérationnels avant de rencontrer le management, ce qu’il regrette en plus du temps restreint qu’il a eu pour réaliser cette étude.

Il a transmis son lot de recommandations, toutes plus vraies les unes que les autres : ne pas préjuger des connaissances de chacun, s’assurer (quitte à avoir l’air ridicule) de la bonne compréhension mutuelle (valider les propos de l’audité et formaliser par des comptes-rendus, les entretiens) et bien sûr expliquer l’objet de l’audit avant de débuter la séance.

Il a formalisé l’ensemble des résultats dans un tableau à trois colonnes. La première colonne rappelle l’exigence, la deuxième mentionne les enregistrements existants (preuves récoltées et documentation existante) et la troisième estime le niveau de mise en œuvre sur cinq niveaux allant du constat que rien n’est mis en place, au constat que tout est correct. Autre point méthodologique, Cesare Gallotti a choisi un code couleur lui permettant d’identifier les exigences qu’il avait déjà couverte (vert), celles pour lesquelles il avait des précisions à demander (orange) et celles non couvertes (rouge).

En conclusion, pour Cesare Gallotti l’implication et l’adhésion de la direction dans un projet de mise en conformité est impératif pour sa bonne réussi. Tout comme « savoir s’y prendre pour s’améliorer » sans « chercher à coller à tout prix à la norme ».

Un SMSI dans une collectivité territoriale : enjeux et actions

Nicolas Bunoust, Conseil Général de Loire Atlantique, nous a présenté la démarche adoptée pour mettre en œuvre un SMSI dans cette collectivité territoriale. Grâce à quelques chiffres : département de 6815 km², 1,2 millions d’habitants ; un rappel des missions : social, culturel, infrastructure… et des clients : élus et administrés (citoyens), il dresse le contexte. Comme tout organisme, le Conseil Général est soumis à des évolutions. En particulier, les services informatiques et les systèmes informatiques sont soumis aux changements politiques (par exemple, la réforme territoriale), aux changements économiques (par exemple, la diminution des ressources), aux changements sociaux (par exemple, le RSA) et à la révision des politiques publiques (par exemple, la dématérialisation des procédures). Tous ces changements et évolutions entraînent de nombreux projets à gérer.

Dans ce contexte, la sécurité de l’information a trouvé sa place : accompagner le changement. Pour ce faire, la sécurité de l’information se place en tant qu’allier de la DSI (premier impacté par tous ces changements) et contributeur de la DSI pour développer les faire-valoir et gagner une reconnaissance (politique). Cette position de la sécurité avec la DSI permet de diminuer les coûts et d’investir dans l’être humain. De fait, le SMSI est un « dispositif global partagé » qui permet d’adapter les niveaux de besoins en confidentialité, intégrité et disponibilités en fonction de la situation et de respecter la loi informatique et liberté.

L’organisation en place dans le cadre du SMSI est  à deux niveaux : niveau direction et niveau opérationnel. Concrètement deux comités sont définis. Le COSI, réunissant un représentant de chaque direction et le pilote du système qualité, définit la charte d’usage et guide des réflexes, le plan de secours informatique, valide les rapports d’audits et les actions proposés. Le CACSI, regroupant l’ensemble des services informatiques, valide les politiques sécurité en cohérence avec l’existant, définit la méthode d’analyse des risques, établit les feuilles de route sécurité et pilote les indicateurs d’efficacités.

Nicolas Bunoust a ensuite fait des focus sur des activités du SMSI. Le premier concerne la gestion du risque, il a alors présenté la rosace de modélisation du risque qui permet de suivre les risques et de prioriser les actions à traiter. Le deuxième traite de la gestion documentaire du SMSI. L’ensemble de la documentation est centralisée dans un portail Web. L’utilisateur y retrouve la politique de sécurité générale déclinée en politiques de bonnes pratiques, en politiques opérationnelles, en charte… Avant de conclure, il a présenté le processus de gestion des audits également en trois niveaux du plus opérationnel au plus fonctionnel : veille en vulnérabilité, audit technique sur un périmètre et audit organisationnel.

Pour Nicolas Bunoust, le SMSI est « dynamique de progrès » pour le Conseil Général de Loire Atlantique. Il permet de fédérer les acteurs autour d’un projet structurant et de développer de la transversalité au sein de cette collectivité territoriale.

Alignement à la norme ISO 27001

GDF Suez s’appuie sur deux standards internationaux dont la norme ISO 27001. L’adoption de la norme ISO 27001 répond à deux objectifs : piloter la sécurité par les risques et entrer dans une démarche de progrès. Thierry Perrotin, du département de la sécurité de l’information de GDF Suez, est venu expliquer comment un groupe de cette ampleur a organisé la sécurité de l’information et le SMSI. Pour donner un ordre de d’idée, Thierry Perrotin indique que GDF Suez regroupe 200 000 collaborateurs et 120 000 postes de travail à travers le monde. La sécurité de l’information est gérée par une « filière sécurité » qui regroupe au total quarante RSSI répartis dans l’ensemble du groupe : un RSSSI groupe rattaché à la Direction des Systèmes d’Information Groupe, un (à deux) RSSI par branche, un RSSI par Business Unit. Ce département sécurité a pour mission le pilotage des activités de la sécurité des systèmes d’information pour le groupe.

Pour s’aligner à la norme ISO 27001, GDF Suez a réalisé un premier état des lieux afin de connaître son niveau de maturité par rapport à cette norme. Ce bilan, réalisé suite à la fusion de GDF et Suez, fut sans surprise. En effet, des différences entre chaque entité (service, activité, département…) ont été constatées tout en mettant en avant que certaines entités avaient déjà adoptées une démarche ISO 27001. Certains points communs entre GDF et Suez ont été constatés comme le manquement de processus de gestions des incidents, de gestion des améliorations et de collecte de preuves. L’exercice a abouti sur la mise en place d’un modèle de gouvernance définissant les responsabilités. Par exemple, une revue de direction du SMSI est organisée deux fois par an, de préférence avant les prises de décisions budgétaires. Plusieurs comités ont été définis permettant d’escalader les actions et la prise de décision dans la hiérarchie de GDF Suez. Aujourd’hui ce modèle n’est pas encore éprouvé.

La démarche de mise en conformité de la 27001 a révélé que de nombreux processus étaient existants au sein du Groupe tels que les tableaux de bord SSI, la sensibilisation à la SSI ou la veille en sécurité. Cependant, il a été nécessaire de créer un système de pilotage du SMSI et un processus de gestion des incidents et de la crise. Le système documentaire a également été revue. Aujourd’hui chacune des activités du SMSI sont formalisées dans des documents à la structure identique : synoptique présentant les liens entre les acteurs et les actions ainsi que les livrables, définition des rôles et responsabilités.

Cette démarche débutée en décembre 2008 a été validée fin juin 2010. Pour Thierry Perrotin, la fusion de GDF et Suez a favorisé l’adoption de la norme ISO 27001 et la mise en œuvre du SMSI. Car au moment de valider la politique sécurité du groupe, la norme a été adoptée au plus haut niveau. « Le SMSI est devenu un élément de gouvernance pour acter les décisions, les orientations et les projets au plus haut niveau dans le groupe ». En résumé, Thierry Perrotin ressent une forte cohésion au niveau de la sécurité de l’information.

Table ronde : maintien de la certification dans la durée

Table ronde sur le maintien de la certification dans la durée, animée par Gérôme Billois a réuni Stéphane Sciacco et Muriel Foucaud, qui à travers leurs réponses nous ont fait partagé leur expérience sur le sujet.

Cette table ronde a débuté avec une brève présentation du contexte de chacun des intervenants. Muriel Foucaud, de la Banque de France, a rappelé que depuis 2005, la Banque de France est certifiée ISO 9001 et depuis 2009, est certifiée ISO 27001 sur le périmètre de la gestion des habilitations, des crises et des incidents. Stéphane Sciacco a rappelé que Orange est certifié ISO 9001, ISO 20000-1 et ISO 27001 depuis 2008 sur les processus de services rendus (se reporter à la présentation de Stéphane Sciacco).

Gérôme Billois, s’est ensuite intéressé au « syndrome de la deuxième année » c’est-à-dire l’année suivant la première obtention de la certification. Pour Stéphane Sciacco, c’est effectivement une période délicate car une grande quantité d’efforts a été fourni. Dans le cas d’Orange, une courte période de flottement a été ressentie mais très vite stoppée par la stabilisation de l’équipe, des rôles et des responsabilités. Concrètement, les objectifs liés à la 27001 ont été formalisés dans les fiches de poste. Pour Muriel Foucaud, cette deuxième année peut être plus difficile à gérer, mais la Banque de France a bénéficié d’un fort changement de l’équipe à ce moment qui a eu pour effet de re-dynamiser la 27001.

A court terme, la Banque de France souhaite se faire reconnaître auprès de l’Europe pour ses services rendus et mutualiser certaines mesures dont l’audit interne. Ce deuxième point est motivé par le fait que le périmètre du SMSI de la Banque de France est petit (50 personnes) et qu’il engendre ainsi des difficultés à mener les audits, mais également à sensibiliser les équipes. Du côté d’Orange, le Cloud Computing est envisagé tout comme l’augmentation du périmètre du SMSI avec un nouveau centre.

Pour les deux intervenants, la mutualisation de référentiels (ISO 20000-1 pour Orange et ISO 9001 pour la Banque de France) a été profitable au SMSI et favoriser la pérennité de la certification ISO 27001. Mais avant tout, ils recommandent qu’une personne soit dédiée au SMSI. Cette personne maîtrisant le SMSI, elle accompagnera ensuite l’auditeur dans son travail, facilitant ainsi les relations humaines. Pour Muriel Foucaud « ne rien inventer et rester au plus près de l’opérationnel » est indispensable pour réussir un SMSI. Pour Stéphane Sciacco l' »adhésion de la direction générale est nécessaire pour redescendre tous les niveaux de la hiérarchie ».

Certification d’un opérateur de jeux

BetClic société spécialisée dans le pari sportif, le poker et le pari hippique est certifiée ISO 27001 depuis mai 2009. Benoît Bécart, directeur de projets, retrace le parcours pour obtenir la certification. L’évolution des clients (de 0 en 2005 à plus de 2 millions en 2009) et du personnel (de 150 personnes en 2008 à près de 400 personnes en 2009) durant les travaux de mise en conformité sont remarquables changeant radicalement la culture d’entreprise. En une année, BetClic a dû passer du mode Start-Up au mode d’entreprise plus structurée, passer de la « culture orale » à la « culture écrite ».

Concrètement, les processus ont dû être définis, structurés et formalisés sur l’ensemble du périmètre du SMSI. Le SMSI couvre toutes les activités métiers de BetClic et les trois sites (Londres, Paris et Malte). Pour gérer le SMSI, un comité décisionnaire pour prendre les décisions d’investissement sur les sites a été créé. L’équipe en charge de la mise en conformité reposait sur un binôme : un chef de projet du SMSI (Benoît Bécart) et le RSSI pour le pilotage des projets techniques. Pour Benoît Bécart, la certification était « un ensemble de projets qui touchaient à différents domaines ».

Concernant la gestion des risques, Benoît Bécart annonce qu’ils ont cherché à faire « simple, efficace et droit au but ». De fait, ils ont lister les différents actifs avec les responsables de départements, ils les ont évaluer en termes de confidentialité, intégrité et disponibilité, « mappé » en scénarios et estimé leur vraisemblance. Ces résultats ont été présentés à l’informatique puis partagés pour être mis en balance. De ce bilan, les projets à mener ont été identifiés.

Pour Benoît Bécart, la norme ISO 27001 a permis de faire le lien entre toutes les exigences des autorités de régulation. Et a engendré un projet « fédérateur et stimulant ». Motivée par les exigences de l’Arjel et, plus généralement, par les apports d’une certification, BetClic a mené à bien ce projet en moins d’une année.

Retrouvez, ici, le compte-rendu de Bertrand Fournier et Julien Levrard (HSC) publié par Mag Securs

Be Sociable, Share!

Ecrire un commentaire

Votre email ne sera jamais publié ou partagé.

Vous pouvez utiliser ces tags et attributs HTML :<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>