Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

ISO 27001 par conviction, PCI-DSS par pragmatisme

auteur de l'article Jerome Saiz , dans la rubrique Conformité & Bonnes pratiques

Commentaires Commentaires fermés sur ISO 27001 par conviction, PCI-DSS par pragmatisme

Si l’on écoute la voie de la sagesse, il faudrait commencer par un projet ISO 27001 avant d’envisager la conformité PCI-DSS. La norme ISO mettra en place des mécanismes de suivi et d’amélioration permanente de la sécurité du Système d’Information qui bénéficieront à toute l’entreprise, et notamment aux projets SSI qui suivront. Sur le socle d’un bon SMSI bien géré on peut bâtir un empire, non ?

C’est en tout cas ce ce pensait Christophe Jodry, RSSI de l’hébergeur Runiso. D’autant plus que la culture de l’entreprise est, justement, très tournée vers la norme ISO. « Dès mon arrivée en tant que RSSI j’ai même été envoyé en formation Risk Manager ISO 27005 !« , se souvent-t-il.

Seulement voilà, il semble que la norme ISO ne soit pas vraiment un argument commercial : « Lorsque nous mettions en avant notre culture ISO 27k cela ne parlait pas du tout à nos clients, qu’il s’agisse de grands comptes ou d’agences web. C’était même, dans certains cas, contre-productif !« , se souvient le RSSI.

En revanche, il y a trois ans, deux clients grands comptes mentionnent PCI-DSS. « Nous n’avions aucune expérience avec PCI mais nous avons voulu creuser et nous sommes partis en formation chez HSC pour comprendre« , poursuit Christophe Jodry. Et ils ont compris : certes la norme, destinée aux marchands, est contraignante à mettre en oeuvre pour un hébergeur. Mais c’est aussi une valeur ajoutée que les clients comprennent plus aisément que l’approche ISO 27001. Dont acte : Runiso opte pour le pragmatisme !

Commence alors la chasse au QSA (le cabinet XMCO sera sélectionné) suivie d’un pré-audit de trois mois. C’est une première pour le cabinet, qui n’a jamais accompagné un infogéreur. « Nous pensions faire certifier uniquement une plate-forme témoin, qui serait ensuite répliquée pour nos clients. En fait, nous nous sommes rendus compte que ça allait être bien plus compliqué ! Il a fallu faire entrer dans le périmètre PCI non seulement le réseau (les pare-feu, les routeurs…) mais aussi la couche des services : la gestion des sauvegardes, la supervision, les DNS, notre Active Directory…« , énumère Christophe Jodry.


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.