Pouvez-vous nous présenter le cabinet HSC ?

HSC est un cabinet de conseil indépendant, spécialisé dans la sécurité des systèmes d’information. Orienté fortement dans la technique, et plus particulièrement sur la sécurité des systèmes et des réseaux, HSC considère cependant que les failles techniques constatées en clientèle lors des audits sont souvent la conséquence de carences en terme d’organisation. La norme BS7799 est une réponse à ce problème. C’est pourquoi HSC mise sur cette norme.

Qu’est ce que la norme ISO17799 ?

Comme son titre l’indique, la norme ISO 17799 est un  » code de bonnes pratiques pour le management de la sécurité de l’information « . Elle se présente sous la forme d’une liste de 127 mesures type de sécurité, pouvant être mises en place dans l’entreprise. Ces mesures de sécurité couvrent un spectre très large, en partant des aspects organisationnels pour arriver aux aspects techniques.

En somme, c’est une sorte de dictionnaire qui détaille, pour chaque mesure de sécurité, à quoi elle sert et en quoi elle peut consister.

Quelle est son origine ?

Historiquement, la norme ISO 17799 est d’origine britannique. Elle est basée sur la première version de la BS7799. Mais depuis, le British Standard a sorti une nouvelle version de la norme, contenant une seconde partie.

On confond souvent ISO 17799 et BS 7799. Ce sont pourtant deux choses très différentes et complémentaires. Ce qu’il faut retenir est qu’à ce jour :

– La norme ISO 17799 est une liste détaillée et commentée de mesures de sécurité. Elle est basée sur la BS 7799-1. C’est un document de référence qui ne donne pas lieu à des certifications.

– La norme BS 7799-2 décrit les mesures à prendre pour mettre en place un système de management de la sécurité de l’information (SMSI). Son implantation dans l’entreprise permet de conduire à une certification.

Il est fort probable que dans les prochains mois, la nouvelle version de l’ISO 17799 intégrera l’aspect de management de la sécurité de l’information (SMSI). On pourra alors, et seulement alors, parler indifféremment de ISO 17799 et de BS 7799.

A qui s’adresse cette norme ?

La norme BS 7799-2 s’adresse à toute entreprise qui a besoin de fournir une preuve de sérieux, indépendante et factuelle, en terme de sécurité. La version actuelle de l’ISO 17799 sert de document de référence aux auditeurs et aux consultants qui ont pour mission de mettre en place la norme BS7799-2 ou de la contrôler.

Quel est le champ d’action de cette norme ? Sa couverture thématique ?

La norme BS 7799-2 est orientée processus. Cela veut dire qu’elle couvre les aspects purement informatiques, mais aussi des aspects non informatiques, comme la sécurité physique, le stockage des données papier etc. Elle couvre des aspects organisationnels : qui fait quoi ? Qui est responsable de quoi ? Classification de l’information etc. Elle oblige aussi à mettre en place, si nécessaire, des mesures purement techniques comme le chiffrement, les listes de contrôle d’accès, le cloisonnement des réseaux etc.

Quel est son niveau de pragmatisme ?

La BS 7799-2 est avant tout pragmatique. Sa seule exigence est de mettre en place une organisation qui assure et entretient dans la durée un niveau de sécurité satisfaisant. Elle n’impose aucun formalisme de document particulier. Son périmètre peut être adapté aux besoins de l’entreprise. On peut vouloir certifier toutes les activités de entreprise, ou un site de production particulier, voire même une application très spécifique.

Pourquoi certifier son entreprise BS7799 ?

La certification BS 7799-2 fournit l’assurance que l’entreprise certifiée pratique sur un périmètre bien défini, tous les bons usages en terme de sécurité, tant au niveau organisationnel qu’au niveau technique. En somme, on peut dire que la BS 7799-2 est une sorte d’ISO 9000 spécialisée dans la sécurité du SI.

La conséquence directe de cela est que la certification permet à l’entreprise de fournir une preuve de son sérieux à toutes les parties prenantes : clients, partenaires, actionnaires, assureurs, etc.

Quel est le processus de certification ?

La certification nécessite d’abord un travail de préparation. L’entreprise doit commencer par faire le point sur sa situation actuelle en terme de sécurité. Elle doit ensuite mettre en place toutes les mesures organisationnelles et techniques pertinentes pour être certifiée. Ce travail implique presque systématiquement l’assistance de consultants spécialisés.

Une fois ce travail préliminaire effectué, le périmètre à certifier est audité par des auditeurs indépendants accrédités par l’organisme qui délivre la certification. Si le résultat de l’audit est positif, la certification est délivrée pour une période de trois ans. Cependant, un nouvel audit aura lieu chaque année au cours duquel la certification sera soit reconduite, soit révoquée.

En conséquence, il faut être conscient avant de se lancer dans un projet BS 7799 que le processus de certification est un engagement dans la durée, qui implique l’entreprise sur un cycle d’au moins trois ans.

Pour finir, que manque-t-il à la norme ?

Il manque à la norme l’aspect métrique de sécurité qui permettrait, avec un référentiel unique, de faire plus facilement des comparaisons entre entités certifiées.