« Système de Management de la sécurité de l’Information, oui, Certification, peut-être » était le thème d’une conférence du Clusif (Club de la Sécurité de l’Information Français) qui s’est tenue le 23 octobre 2008 à Paris. L’idée de cette conférence était de présenter des retours d’expérience de sociétés, les difficultés parfois rencontrées, lors de la certification ISO 27001. La trame, annoncée par le thème de la conférence – était de s’interroger sur l’opportunité pour une entreprise d’aller jusqu’au bout du processus. En effet, la démarche peut être considérée comme suffisante. L’examen de la norme 27001 explique cette interrogation légitime.

L’ISO 27001 recouvre la notion de Système de Management de la Sécurité de l’Information (SMSI). Un tel système se définit par l’établissement d’une politique de sécurité, d’objectifs, et de moyens mis en oeuvre pour les atteindre. Le SMSI vise à l’amélioration continue du niveau de sécurité, dans le contexte des risques métiers d’une entreprise. La démarche conduisant à la certification assure l’orchestration des mesures de sécurité selon un modèle dit PDCA : Plan, Do, Check, Act. Ce modèle en 4 temps revêt un caractère cyclique qui garanti l’amélioration continue du niveau effectif de sécurité. Ces 4 temps peuvent se détailler ainsi:

     Plan : s’engager, planifier, prévoir

     Do : réaliser, mettre en oeuvre

     Check : vérifier, évaluer

     Act : agir, réagir, revoir

L’ISO 27001 a ses fervents défenseurs. Hervé Schauer, fondateur de la société de conseil en sécurité HSC, considère que cette norme est « une révolution dans un secteur souffrant d’opacité entre les mondes de la direction et de la technique ». A l’image de la qualité, la sécurité du système d’information dispose là d’un canevas de bonnes pratiques, reconnues, et se pare d’une culture de l’audit. Fouad Echaouni, adjoint Responsable de la Sécurité de l’Information chez Maroc Telecom, intervenait pour témoigner du bilan positif de son expérience: « Le processus de certification a permis de contribuer à l’amélioration de l’efficacité, de la conduite du changement et à renforcer la confiance des clients, des actionnaires et des collaborateurs ». Les raisons de suivre la démarche de la certification 27001 sont nombreuses. Emmanuel Garnier, Responsable de la Sécurité des Systèmes d’Information (RSSI), du GIE Systalians, voit dans la certification l’occasion de se démarquer dans son secteur, d’être plus attractif. « C’est une trame structurante en sécurité. L’ISO 27001 simplifie le dialogue avec les métiers, les fournisseurs et les acteurs externes, et facilite les démarches d’audit » ajoute t-il. Stéphane Duproz, Directeur Général de TelecityGroup France, affirme qu’en interne « la norme apporte de la crédibilité à la politique de sécurité, montre qu’elle est bien menée ». Il relève aussi l’avantage concurrentiel d’être certifié en soulignant que peu d’entreprise le sont. C’est bien là le paradoxe. Sur les près de 4500 sociétés certifiées dans le monde, on en recense… 11 en France. Ce qui place l’hexagone au 28e rang mondial avec 0,22% des entreprises françaises certifiées.

Si la norme ISO 27001 est si précieuse, pourquoi si peu d’entreprises certifiées ? La réponse tient peut-être au fait que nombre d’entreprises adhèrent à la démarche, sans aller pour autant jusqu’à l’obtention de la certification. Elles n’éprouvent pas le besoin de sanctionner la mise en place d’un SMSI par le tampon de la norme ISO 27001. Certes on peut aussi citer d’autres explications. Stéphane Duproz en a présenté quelques unes durant la conférence. Le problème du coût revient souvent. Cependant, il note que « le coût réel est lié à l’étude et l’implémentation du SMSI. Le coût financier supplémentaire lié à la certification reste faible. Il en est de même pour le coût en ressources ». Il convient néanmoins de ne pas minorer la tâche de certification. Elle peut s’estimer entre 9 mois et un an selon l’entreprise et le périmètre. Le RSSI s’engage sur la voie d’un pilotage de la sécurité par les risques, couplé  à un contrôle permanent des moyens mis en oeuvre. Ceux-ci doivent être organisationnels, techniques et humains, établis selon un référentiel, validés par la direction, et auditables. Deux certifications des personnels de sécurité sont utiles à la bonne marche du processus : auditeur de certification (lead auditor) et responsable de mise en oeuvre (lead implementor). Se former à l’une ou l’autre prend environ une semaine. Certifier le SMSI varie entre 5 et 10 jours selon le périmètre. Ensuite, un audit de contrôle doit être mené tous les 6 mois ou 1 an afin de conserver le label ISO.

Toute la démarche effectuée, il paraît dommage de ne pas valoriser l’effort déployé par l’obtention de la certification. « Laquelle va optimiser l’efficacité du SMSI car l’entreprise a une obligation de résultat – il faut l’obtenir, il faut réussir – et de maintenance, de suivi – il faut conserver la certification » insiste Stéphane Duproz. A l’inverse, Alexandre Fernandez-Toro, auditeur de certification, et assistant dans la mise en oeuvre, du cabinet HSC, prévient d’un risque: « Sans le couperet de la certification, un RSSI aura le plus grand mal à mobiliser les directions métiers dans l’appréciation du risque, à maintenir la motivation nécessaire à la gestion de la documentation, etc. La certification sert à ternir les objectifs et de levier pour la mise en place des moyens de contrôle ». Ajoutons que la certification peut éviter l’accumulation d’audits externes, en pérennisant le travail fait, le seul contrôle annuel pouvant assurer la démarche d’amélioration continue du SMSI.