Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

ITIL ou ISO 27001 : que privilégier ?

auteur de l'article Jerome Saiz , dans la rubrique Conformité & Bonnes pratiques

Puzzle

Mais si ITIL et ISO 27001 sont bien complémentaires, ce n’est pas encore au point de ne faire plus qu’un. Il s’agit de deux projets très différents, qui ont peu de rapport direct et qui sont menés séparément. « Très peu de nos clients appliquent ITIL à la sécurité, ou la sécurité à ITIL. Dans le meilleur des cas ils vont appliquer ITIL aux processus de remontée et de gestion des incidents de sécurité », observe Arnaud Cassagne, Directeur technique de Nomios, un intégrateur spécialiste de la sécurité.

Deux normes, ou une seule ?

Un rapprochement est toutefois imaginable à terme. Mais pour cela, encore faudrait-il harmoniser les cadres eux-mêmes : ITIL n’est qu’un recueil de bonnes pratiques tandis que ISO 27001 est une norme qui permet d’aller jusqu’à la certification.

Un premier pas a été fait avec la norme ISO 20000, « qui a formalisé les bonnes pratiques sous forme de PDCA, en vue d’une certification », explique Hervé Schauer. Et s’il n’y a pas encore de version ISO 20000 de la norme ITIL v3, l’on peut imaginer que cela viendra.

La question de rapprocher ISO 20000 et ISO 27001 pourrait alors se poser. Des documents existent d’ailleurs déjà en ce sens selon Hervé Schauer. Quant à Arnaud Cassagne, il imagine quant à lui les deux périmètres se rapprocher au point de ne faire plus qu’un. « Pour l’instant j’aurais tendance à dire que c’est le dernier qui a parlé qui a raison. Et aujourd’hui on entendu plutôt parler d’ISO 27001 que d’ITIL, qui est un peu plus vieux. Mais peut-être qu’à terme ISO 27001 va s’étendre et couvrir le scope d’ITIL, de la même manière que ce dernier s’est étendu entre la v2 et la v3 », avance le Directeur technique.

Il reste cependant que les deux normes s’adressent à des populations différentes : « ITIL organise la vie de la DSI, ISO 27001 organise celle de SSI. Ils vont certes interagir au quotidien, mais ce sont des gens différents, qui ont des responsabilités différentes », rappelle Hervé Schauer. L’architecture actuelle, dans laquelle ITIL v3 renvoie vers ISO 27001 pour la gestion de la sécurité, semble donc encore la plus équilibrée pour le moment. « Mais attention, dans ce schéma la DSI est la maîtresse d’oeuvre et la SSI est à la maîtrise d’ouvrage. Il ne faudrait pas que les DSI ne s’imagine que ce n’est plus de leur ressort », met en garde le consultant.

Alors, s’il faut vraiment choisir un projet avant l’autre : ITIL ou ISO 27001 ? Hervé Schauer, on l’a vu, préconise une approche au cas par cas en fonction du métier de l’entreprise. Mais il reconnaît cependant aussi que « ISO 27001 marche plutôt mieux si la DSI suit déjà ITIL« .

Même son de cloche chez Arnaud Chassagne, qui conseille d’attaquer par ITIL. « ITIL permettra de toute façon d’ouvrir beaucoup de projets liés à la sécurité (bastions, PRA/PCA, classification des données, réplication…). Sans compter bien sûr la gestion des événements de sécurité, non pas à travers un SIEM magique mais via une solution simple qui permettrait d’archiver, de rechercher, d’exporter les événements », observe-t-il, tout en reconnaissant que dans les cas il s’agit avant tout de bon sens, et que l’on ne peut pas se tromper en choisissant l’un ou l’autre.

De toute manière, vous allez faire les deux, n’est-ce pas ?


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Une réponse à ITIL ou ISO 27001 : que privilégier ?

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.