Si l’on écoute la voie de la sagesse, il faudrait commencer par un projet ISO 27001 avant d’envisager la conformité PCI-DSS. La norme ISO mettra en place des mécanismes de suivi et d’amélioration permanente de la sécurité du Système d’Information qui bénéficieront à toute l’entreprise, et notamment aux projets SSI qui suivront. Sur le socle d’un bon SMSI bien géré on peut bâtir un empire, non ?

C’est en tout cas ce ce pensait Christophe Jodry, RSSI de l’hébergeur Runiso. D’autant plus que la culture de l’entreprise est, justement, très tournée vers la norme ISO. « Dès mon arrivée en tant que RSSI j’ai même été envoyé en formation Risk Manager ISO 27005 !« , se souvent-t-il.

Seulement voilà, il semble que la norme ISO ne soit pas vraiment un argument commercial : « Lorsque nous mettions en avant notre culture ISO 27k cela ne parlait pas du tout à nos clients, qu’il s’agisse de grands comptes ou d’agences web. C’était même, dans certains cas, contre-productif !« , se souvient le RSSI.

En revanche, il y a trois ans, deux clients grands comptes mentionnent PCI-DSS. « Nous n’avions aucune expérience avec PCI mais nous avons voulu creuser et nous sommes partis en formation chez HSC pour comprendre« , poursuit Christophe Jodry. Et ils ont compris : certes la norme, destinée aux marchands, est contraignante à mettre en oeuvre pour un hébergeur. Mais c’est aussi une valeur ajoutée que les clients comprennent plus aisément que l’approche ISO 27001. Dont acte : Runiso opte pour le pragmatisme !

Commence alors la chasse au QSA (le cabinet XMCO sera sélectionné) suivie d’un pré-audit de trois mois. C’est une première pour le cabinet, qui n’a jamais accompagné un infogéreur. « Nous pensions faire certifier uniquement une plate-forme témoin, qui serait ensuite répliquée pour nos clients. En fait, nous nous sommes rendus compte que ça allait être bien plus compliqué ! Il a fallu faire entrer dans le périmètre PCI non seulement le réseau (les pare-feu, les routeurs…) mais aussi la couche des services : la gestion des sauvegardes, la supervision, les DNS, notre Active Directory…« , énumère Christophe Jodry.