Il est désormais impossible de parler sérieusement de sécurité de l’information sans parler de processus. Mais un processus, ça ne s’invente pas du jour au lendemain.

Deux approches se sont alors imposées au cours de la dernière décennie : la norme ISO 27001 pour la sécurité du système d’information, et ITIL (IT Infrastructure Library) pour les services informatiques (avec sa version certifiante ISO 20000).

Et il ne s’agit pas d’un effet de mode : certaines solutions de sécurité populaires ont probablement été conçues et mises sur le marché en bien moins de temps qu’il n’a fallu pour accoucher de ces deux normes !

ITIL et ISO 27001 sont donc là pour rester, mais peuvent-elles cohabiter ? Sont-elles même complémentaires, ou bien redondantes ? « Les deux sont absolument indispensables. Une entreprise qui veut bien gérer son informatique choisira ITIL, tandis que celle qui veut gérer sa sécurité choisira ISO 27001 », explique Hervé Schauer, du cabinet HSC.

ITIL serait donc à mettre en oeuvre avant ISO ? En théorie, oui : en premier lieu parce que l’approche ITIL, qui consiste à documenter les systèmes, à formaliser l’analyse des incidents et à en rechercher les causes, ne peut qu’amener à une plus grande fiabilité du Si et donc à un meilleur niveau de sécurité global. Ce sera alors une base saine sur laquelle bâtir ensuite le fameux Système de Gestion de la Sécurité de l’Information (SMSI) si cher à la norme ISO 27001.

Et ensuite parce que ITIL recense, via sa CMDB, les ressources informatiques de l’entreprise. Celles-là même que la sécurité doit protéger. Une base ITIL facilitera donc la mise en oeuvre d’un système de gestion de la sécurité en ayant déjà recensé les ressources à protéger.

En pratique, cependant, cela peut-être l’inverse. « Cela dépend vraiment du métier de l’entreprise. Pour un hébergeur, par exemple, il sera important de montrer qu’il gère son informatique mieux que ses clients. Etre ITIL, voire être certifié ISO 20000, aura alors du sens. Mais ce sera moins vrai en dehors des hébergeurs, des infogéreurs ou des fournisseurs de service informatique. A l’inverse, une banque n’aura pas l’intérêt de commencer par formaliser son SI avec ITIL. Elle fera de l’ISO 27001 avant tout », explique Hervé Schauer.

Au delà de savoir par quoi commencer, les deux approches apparaissent donc fortement complémentaires. ITIL va fournir, on l’a vu, une base saine sur laquelle la sécurité pourra s’appuyer, et lui fournira aussi certaines des informations nécessaires (via le help desk, par exemple).

En revanche « ITIL ne sait pas quoi faire lorsqu’un employé signale une faille de sécurité », rappelle Hervé Schauer : il est ici de la responsabilité des processus ISO 27001 de gérer ce type de requête.