Il y a encore peu de temps, la France était l’un des cancres de la norme ISO 27001. Il faut dire que l’idée d’un cadre de gestion de la sécurité, avec tout le formalisme que cela implique, ne passionne pas forcément les latins qui sommeillent en nous.

Mais force est de constater que la norme ISO 27001 et ses cousines (27002 et 27005) ont depuis gagné du terrain et de la reconnaissance. Interrogés spontanément sur leur approche du risque, Emmanuel Garnier (RSSI, Systalians) et Vincent di Giambattisa (RSSI Europe, Egencia), ont ainsi tout deux répondu qu’ils s’appuyaient sur des méthodes certes adaptées en interne, mais essentiellement basées sur ISO 27001.

« Nous avons la chance de pouvoir nous appuyer aujourd’hui sur une norme internationale », justifient les deux RSSI. Et de poursuivre : « L’intérêt de la norme, c’est avant tout de justifier un choix, plutôt que d’élever en soi le niveau de sécurité. Accepter un risque en toute connaissance de cause ne va pas augmenter la sécurité, mais c’est tout aussi utile ».

C’est le en toute connaissance de cause qui est la clé ici. « Le scénario est toujours le même : analyse de risque puis choix du traitement entre couverture, acceptation ou transfert. Et toujours en lien étroit avec les métiers », détaillent les deux RSSI.

Enfin, questionnés au sujet de la norme PCI-DSS, les deux RSSI ont trouvé une autre bonne raison de s’intéresser avant tout à la norme ISO : « PCI-DSS n’est qu’une adaptation de ISO 27001 sur un périmètre plus restreint, nous n’avons donc eu aucun souci à nous plier », explique Vincent di Giambattisa.