Grme BILLOIS - Responsable du dpartement Scurit des Systmes dInformation - Solucom gerome.billois@solucom.fr - http://www.solucom.

fr Jean-Philippe HUMBERT - Doctorant au Centre de Recherche sur les Mdiations (CREM) Universit Paul Verlaine de Metz jph54@orange.fr Nicolas MAYER - Ingnieur R&D Centre de Recherche Public Henri Tudor Luxembourg Doctorant lInstitut dInformatique de lUniversit de Namur - Belgique nicolas.mayer@tudor.lu http://nmayer.eu

ISO 2700x : une famille de normes pour la gouvernance scurit

Les normes sont utilises dans tous les actes de la vie conomique. Elles reprsentent un langage commun et un lien ncessaire entre les divers acteurs concerns. Aujourdhui, la normalisation sintresse fortement au domaine de la scurit de linformation en proposant depuis peu un modle de gouvernance par lintermdiaire de la norme ISO/IEC 27001 et de la certification associe.

1. Introduction
Pour reprendre M. le Prsident de lAssociation de Normalisation pour la Socit de lInformation Luxembourg (ANSIL) : Les normes et les standards, ce sont des rfrentiels que nous ctoyons tous les jours, que ce soit dans le cadre de notre activit professionnelle, mais aussi dans la vie personnelle, dans les produits que nous consommons et les services dont nous bnficions. Pensez simplement au format de la feuille A4, aux nombreuses camionnettes dont le logo est affubl dune mention certifi ISO 9001 mais galement au standard SMTP (Simple Mail Transfer Protocol) dfinissant le cadre unifiant les caractristiques des messages lectroniques [1]. Ainsi dfinies, les normes apportent quotidiennement une aide non ngligeable pour tout utilisateur que nous reprsentons. Nous montrerons que cela est galement vrai dans le domaine de la scurit de linformation. Cet article est organis en 3 volets. Le premier est ddi la normalisation et lorganisme international ISO. Le deuxime prsente les actions en cours au niveau de la scurit de linformation et en particulier via la famille de norme ISO 2700x. Enfin, le troisime volet dtaille la norme ISO 270011, aussi bien au niveau de son contenu, que de la possibilit de reconnaissance internationale quelle procure par lintermdiaire de la certification. La conclusion revient sur lapport de ces normes au quotidien dans une organisation et sur lintrt de viser la certification.

2. Concept de normalisation et lorganisme international ISO

La normalisation a pour objet de fournir des documents de rfrence comportant des solutions des problmes techniques et commerciaux concernant les produits, biens et services qui se posent de faon rpte dans des relations entre partenaires conomiques, scientifiques, techniques et sociaux. [2] La normalisation a permis de dterminer et de dgager des normes, que chacun utilise dans le but de faciliter les changes, les pratiques, et les significations. Parmi les normes formules, diffuses et mises en application, nous pouvons distinguer diffrents types : les normes de base, de porte gnrale, de terminologie, dessai, de produit, de processus, de service, dinterface ou encore portant sur des donnes. Elles peuvent relever de diverses catgories, savoir : les Normes internationales, puis les Normes europennes, enfin, les Normes nationales, respectivement adoptes par un organisme international, europen, et national de normalisation. Lensemble produit est toujours disponible auprs des organismes de normalisation. Une norme est, selon le guide ISO/CEI 2, un document de rfrence couvrant un large intrt industriel et bas sur un processus volontaire, approuv par un organisme reconnu, fourni pour des usages communs et rpts, des rgles, des lignes directrices ou des caractristiques, pour des activits, ou leurs rsultats, garantissant un niveau dordre optimal dans un contexte donn . Llaboration de normes consiste donc runir le consensus, cest--dire prendre en compte les points de vue de tous les intresss, aussi bien public que priv, clients que fournisseurs La

Pour cet article, nous adopterons la convention suivante : les normes seront cites ISO XXXXX en lieu et place de leur dnomination officielle ISO/IEC XXXXX et ce sans spcifier la date de parution, nous rfrant pour chacune la dernire version.

dmarche consiste dvelopper des solutions globales visant satisfaire les industries et les clients au niveau mondial. La participation repose sur le principe du volontariat, et une norme en construction peut tre soumise enqute publique dans nimporte quel pays. Au niveau mondial, lISO [3] a pour missions llaboration de normes applicables, la promotion du dveloppement de la standardisation et activits annexes, ainsi que le dveloppement des cooprations dans les sphres dactivits intellectuelles, scientifiques, technologiques et conomiques. Cet organisme, plus communment connu sous le label International Organization for Standardization, ou encore Organisation Internationale de Normalisation, correspond en fait au terme grec Isos signifiant gal . Sa cration remonte 1947 et il se compose actuellement de 156 membres (organismes nationaux de normalisation). Les rsultats principaux de ses travaux se formalisent travers la publication des standards internationaux : les normes ISO. A ce jour, face la mondialisation des changes, lvolution des besoin mtiers et la diversification des menaces, lISO demeure un des organismes de normalisation les plus avancs dans le domaine de la scurit de linformation.

3. Le sous-comit ISO/JTC1/SC27
Les attributions de l'ISO couvrent de nombreux domaines et champs de comptences. Pour traiter certains dentre eux, lISO a dvelopp une instance conjointe avec le CEI (Commission Electrotechnique Internationale), datant de 1987 et dnomme JTC1 [4] (Joint Technical Committee), traitant spcifiquement du domaine des TI (Technologies de l'Information). Le JTC1 est subdivis en dix-sept sous-comits dont chacun traite un domaine particulier. Le SC 27 est celui qui retient toute notre attention, traitant du champ IT Security Techniques (ou Techniques de scurit des technologies de l'information ).

Figure 1 : Comits ISO et Working Groups Le SC 27, compos de reprsentants de 47 pays, couvre la normalisation des techniques et des mthodes gnriques pour les besoins de scurit des TI. Dans cette perspective, nous distinguons deux axes forts : lidentification des besoins gnraux pour les services de scurit de linformation et le dveloppement des mcanismes et des techniques associs. Le SC 27 se compose de cinq Working Group (WG) : WG1 - Exigences, services de scurit et directives ayant pour axe de travail le systme de gestion de la scurit de linformation, avec la rcente dfinition de la srie 2700x, dclinant une dizaine de normes touchant la scurit des systmes dinformation et de communication, dont ISO 17799 (future ISO 27002), ISO 27001, ISO 27005 WG2 - Techniques et mcanismes de scurit traitant de la cryptologie (techniques et algorithmes de chiffrement par exemple). WG3 - Critres dvaluation de la scurit ayant les Critres Communs (ISO 15408) pour domaine de travail principal (prcisant les critres dvaluation pour la scurit des TI). WG4 - Services et contrles de scurit traitant des anciens champs du WG1 ne relevant pas de la nouvelle srie 2700x (ISO 18028 sur les architectures de scurit). WG5 - Scurit biomtrique, identit et vie prive ddi au domaine de la biomtrie et du respect de la vie prive (ISO 24760 par exemple).

Cette dclinaison du SC 27 en cinq WG est trs rcente (2006), et se met en place progressivement. Depuis, de nombreuses normes se dveloppent rapidement dans chaque WG.

4. WG1 et normes ISO 2700x

Depuis dj de nombreuses annes, la scurit de linformation est devenue une proccupation importante au sein des organisations et des entreprises. Le British Standard Institute (BSI) fut, en 1995, le premier organisme publier une norme dans ce domaine, appele BS 7799, qui dfinissait les bonnes pratiques pour la scurit des systmes dinformation. LISO lui a embot le pas et a publi de nombreuses normes dans le mme domaine, telle que la norme ISO 17799, issue de BS 7799, ou ISO 13335 (lignes directrices pour la gestion de la scurit). Ces diffrentes normes visent assurer la scurit de linformation, que son support soit de nature lectronique ou papier, et que la cause des incidents potentiels soit accidentelle ou dlibre. Cependant, au vu des besoins et de la demande grandissante du march, lISO a depuis peu entrepris une refonte de lensemble de ses normes dans lobjectif daller au-del des bonnes pratiques et de proposer un modle de gouvernance de la scurit de linformation. Le WG1 est le groupe de travail charg de rdiger et dorganiser les diffrentes normes ayant trait ce domaine en un ensemble cohrent. Le rsultat de cette (r)volution du monde de la scurit de linformation est lmergence de la famille de normes ISO 2700x, dfinie de manire devenir le pendant de la scurit au regard de la srie des 900x pour le domaine de la qualit et 1400x pour lenvironnement. Le principal point commun entre ces sries de normes est une approche processus, articule autour de la mthode Plan-Do-Check-Act (PDCA) ou roue de Deming , afin datteindre une amlioration continue. Au cur de la famille 2700x se trouve la notion de Systme de Gestion de la Scurit de lInformation (SGSI) ou Information Security Management System (ISMS) en anglais. Un SGSI dfinit le cadre dune amlioration continue de la scurit de linformation, en se basant principalement sur une approche de gestion des risques. Pour le moment, huit normes sont en dveloppement au sein de la srie 2700x, dont une seule a dj t publie : ISO 27001 dfinissant les exigences requises pour la certification dun SGSI. A terme, lensemble intgr des normes de la srie des 2700x devrait permettre de former un modle de gouvernance de la scurit de linformation.

Figure 2 : Les normes de la srie ISO2700x ISO/IEC 27000: Overview and vocabulary. Cette premire norme dfinit les fondamentaux et le vocabulaire propres la srie. Elle est actuellement son premier stade de construction, les premiers commentaires de la communaut ISO datant de juin 2006. Ds la sortie de cette norme, la premire partie dISO 13335, traitant des concepts et modles relatifs la gestion de la scurit

des TI, deviendra obsolte. A noter galement que, suite aux rsolutions de la dernire runion plnire du SC27 tenue en Afrique du Sud (novembre 2006), il a t dcid de rendre disponible cette norme titre gratuit. ISO/IEC 27001: ISMS requirements. La norme ISO 27001 correspond la rvision de la norme BS7799-2. Elle a t publie en octobre 2005 et demeure ce jour la seule norme de la famille 2700x dans ce cas. Elle est la base de la certification dun SGSI linstar de ces homologues ISO 9001 pour la qualit et ISO 14001 pour lenvironnement. Il faut galement noter que depuis sa publication, la norme BS 7799-2, dont la dernire rvision datait de 2005, est obsolte. ISO/IEC 27002: Code of practice for information security management. ISO 27002 sera la nouvelle dnomination de la norme ISO 17799 dont la dernire revue date de 2005. Aucune mise jour sur le fond de la norme ne devrait accompagner la nouvelle numrotation. Sa publication est attendue pour avril 2007. ISO/IEC 27003: ISMS implementation guidance. La norme ISO 27003 a pour objectif de fournir un guide daide limplmentation des exigences dun SGSI. Cette norme sera plus particulirement oriente sur lutilisation du cycle PDCA et des diffrentes exigences requises chaque tape du cycle. Sa publication est attendue pour octobre 2008. ISO/IEC 27004: Information security management measurements. Cette norme a pour but daider les organisations mesurer et rapporter lefficacit de limplmentation de leur SGSI. Sa publication est attendue pour fin 2006 dbut 2007. ISO/IEC 27005: Information security risk management. La norme ISO 27005 est une volution de la norme ISO 13335. Elle reprendra les parties 3 et 4 de cette dernire, dfinissant les techniques mettre en uvre dans le cadre dune dmarche de gestion des risques. Sa publication est attendue entre 2008 et 2009. ISO/IEC 27006: Requirements for the accreditation of bodies providing certification of ISMS. Cette norme, actuellement en cours de validation, a pour but de guider les organismes de certification sur les exigences ncessaires atteindre pour tre accrdits en tant quorganisme de certification dun SGSI. Elle devait paratre avant la fin de lanne 2006. ISO/IEC 27007: Auditor guidelines. Rentre trs rcemment en priode dtude, cette norme va tre un guide spcifique pour les audits dISMS, notamment en support lISO 27006. L'ensemble de ces normes constitue des standards internationaux. Elles sont donc destines tout type de socit, quelle que soit sa taille, son secteur d'activit ou son pays dorigine. Elles ont donc pour but de dcrire un objectif atteindre et non la manire concrte d'y arriver, cette dernire tant gnralement dpendante du contexte de l'organisation. Actuellement, aucun autre numro de la srie 2700x nest spcifiquement attribu. Cependant, les numros allant de 27000 27010 sont rservs au sein de l'ISO pour la documentation gnrale d'un SGSI. Il est donc prvoir que d'autres normes sajoutent celles actuellement en dveloppement. Par ailleurs, la srie 27011 27019 est d'ores et dj rserve des normes ddies la spcification d'un SGSI pour des secteurs conomiques spcifiques (secteur financier, tlcommunication par exemple).

5. Construire un SGSI : la roue de Deming applique la scurit

Avant daborder le volet de la certification, il nous semble important de dtailler le contenu dISO 27001 et du concept de SGSI quelle propose. Cette norme prcise les moyens mettre en uvre (aussi bien humain que technique), lorganisation dployer et la dmarche de construction et de prennisation suivre. Il sagit dune norme de certification comme nous le verrons dans la troisime partie de cet article. La certification peut tre un objectif recherch mais il nest pas le seul avantage retirer de la norme ISO 27001. En effet une organisation peut dcider de suivre les principes avancs sans pour autant viser la certification. Les sections ci-dessous dtaillent les concepts prsents dans ISO 27001 et abordent des pistes de mise en uvre. La mise en uvre du SGSI se ralise en quatre tapes. Il est important de signaler que la norme vise la mise en uvre dun processus et nimpose pas un niveau de scurit minimum. Il sagit principalement de dire ce que lon va faire ( plan ), de faire ce que lon a dit ( do ), de contrler ce que lon a fait ( check ), de corriger et damliorer dans le temps ( act ). Mettre en uvre un SGSI reprsente donc un changement important par rapport aux dmarches habituellement rencontres. L'objectif n'est pas dcrire toutes les rgles que lon souhaite voir implmentes, mais de se concentrer sur les mesures de scurit mettre en uvre court terme sur un primtre dfini. Ces mesures doivent en particulier rpondre des risques clairement identifis et documents. La norme

pose galement des principes de base essentiels, tels que lattribution de ressources (autant financires qu'humaines) ddies la scurit, ainsi quun suivi et une approbation rgulire du niveau de scurit au plus haut niveau de lorganisation.

Figure 3 : Le cycle de vie du SGSI 5.1 Planification (Plan) La phase de planification consiste tablir les bases du SGSI. Il sagit de dfinir : Le primtre : un SGSI sapplique un primtre prcis. Le primtre doit tre clairement dlimit et correspondre une ralit pour lentreprise (par exemple les processus de la Direction des Systmes dInformation, un processus mtier visible , un ou plusieurs sites associs un processus). Celui-ci doit tre cohrent par rapport aux enjeux et aux besoins de la socit, de plus sa dfinition doit tre claire et prcise afin de ne pas crer dambigut ultrieure. Plus le primtre du SGSI est vaste, plus il sera difficile construire et maintenir dans le temps. Si la certification est vise, cette information peut tre communique aux partenaires externes le demandant. Exemples de primtre de socits certifies [5] : Samsung Networks (Korea): the information security management system in all activities related with 'SAMSUNG WYZ070' Internet Telephony Service. AXALTO Barcelona (Spain): Personalization process including data reception from the customer and its processing, smart cards and mailers personalization, packaging and shipment, and key management. PERN (Poland): Pumping (pipe transporting) and storage of oil and final (refined) products and all the processes connected therewith. La politique du SGSI : ce document regroupe les principes fondamentaux du SGSI et identifie les enjeux propres la socit (apports, risques, entits concerns). La politique rsume galement les contraintes lgales et rglementaires devant tre respectes et montre lengagement de la direction gnrale dans le projet. Cette validation est un pr-requis de la dmarche ISO 27001. Lanalyse des risques : lensemble de la dmarche ISO 27001 est centr sur le concept danalyse des risques. Celle-ci doit tre ralise rgulirement et permet de rorienter le SGSI en fonction de lvolution des besoins et des menaces. Pour que ces rsultats soient fiables et comparables, une mthode danalyse des risques doit tre choisie. Il est possible dutiliser des mthodes connues et ayant fait leur preuve (EBIOS par exemple) ou de dfinir une mthode interne spcifique. La mthode choisie devra respecter les contraintes imposes par la norme ISO

27001, la difficult rsidant principalement dans la dfinition de critres de risques et la dfinition du niveau de risque acceptable pour lorganisation. Cette mthodologie devra tre applique une premire fois pour identifier les actifs et leurs propritaires, les menaces et les vulnrabilits les concernant, limpact et la probabilit de ralisation des risques identifis. Mettre en place une dmarche danalyse des risques systmatique et priodique reprsente un des changements majeurs apports par la norme ISO 27001. Le traitement des risques : Pour chacun des risques identifis lors de lanalyse initiale, une dcision doit tre prise et accepte au plus haut niveau de l'organisation. Les risques peuvent ainsi tre: orduits en appliquant des mesures de scurit, otransfrs (par exemple avec une assurance), ovits (par exemple en arrtant un service), oaccepts en fonction de critres pralablement dfinis et sils ne remettent pas en jeu lactivit de la socit. La dclaration dapplicabilit (SOA ou Statement Of Applicability) : ce document dfinit quels contrles de scurit seront mis en uvre dans le primtre du SGSI. A minima, il sagit de parcourir lensemble des contrles issus de lannexe A de la norme ISO27001 (correspondant aux contrles dcrits dans ISO 17799) et dindiquer si lon slectionne ou non le contrle et pourquoi. Dans le cadre de la certification, ce document peut tre communiqu des partenaires externes.

Figure 4 : Exemple de SOA Lensemble de ces dcisions doit tre valid et approuv par la direction gnrale de lorganisation mettant en uvre le SGSI. Des traces de lensemble des tapes de validation doivent tre conserves. Documents lis : primtre du SGSI, politique du SGSI, mthodologie danalyse des risques, compte-rendu de lanalyse des risques, pour la certification : dclaration dapplicabilit. 5.2 Dploiement (Do) Il sagit de l'tape de mise en uvre concrte du SGSI. Elle consiste raliser les actions suivantes : Finalisation du plan de traitement des risques et mise en uvre des contrles slectionns : il sagit de dcliner oprationnellement les dcisions prises lors de lanalyse des risques. Les contrles slectionns dans le SOA et les contre-mesures identifies doivent tre mis en uvre selon des priorits particulires, avec des ressources dfinies et approuves au bon niveau.

Concrtement, il sagit dans un premier temps de concevoir les diffrents documents formalisant les processus scurit . Ceux-ci peuvent tre des directives techniques, un plan de sensibilisation, un plan de contrle, des procdures oprationnelles, des guides de scurisation Dans un deuxime temps, les oprations techniques de mise en uvre sont ralises (nouvelles architectures, nouveaux services de scurit). Ralisation des actions de sensibilisation et de formation : lISO met en avant limportance de la sensibilisation et de la formation dans le programme scurit. La mise en uvre de ces actions doit tre large et complte afin de couvrir lensemble des personnes ayant des responsabilits formelles dans le fonctionnement du SGSI, mais galement tous ceux pouvant tre confronts la scurit de linformation (ceci inclut lensemble des utilisateurs, mais galement les tiers ou les personnes intervenant temporairement dans le primtre de la socit). Dfinition des procdures de gestion et de suivi des incidents : savoir grer un incident et surtout viter quil ne se reproduise est un lment essentiel dune dmarche scurit. La norme insiste particulirement sur cet aspect. La mise en uvre de cette dmarche demande des efforts importants, aussi bien dun point de vue organisationnel que technique : dfinition des critres de qualification des incidents, des processus dalertes, adaptation des processus de gestion des incidents informatiques, mise en place dune cellule de gestion oprationnelle de la scurit, analyse des journaux pour identifier les comportements anormaux, dploiement de systmes techniques pour viter de nouveaux incidents. Dfinition des indicateurs de suivi du SGSI : les indicateurs doivent donner une vue concrte et fiable de lefficacit des contrles mis en uvre. La norme ISO 27004 donnera des recommandations quant aux indicateurs slectionner et la manire de les collecter. Cette dmarche doit cependant rester pragmatique et lgre en essayant dautomatiser au maximum le processus de collecte, de mise en forme et de publication. Ces indicateurs, mme en nombre limit, doivent tre positionns tous les niveaux, qu'ils soient stratgiques, tactiques ou oprationnels, et doivent couvrir aussi bien le volet technique quorganisationnel, afin doffrir une vue cohrente du SGSI. Exploitation et gestion du SGSI au quotidien : le systme doit fonctionner au quotidien afin de garantir la scurit dans le temps. Les actions raliser ne sont pas forcment limites aux primtres informatiques ou scurit, mais peuvent tre lies lensemble des activits mtiers, suivant le primtre dfinit prcdemment. Cest de la phase dexploitation et de gestion du SGSI que sont issues les informations ncessaires la ralisation des tableaux de bord et la gestion des incidents. La phase de dploiement peut tre longue et complexe pour une socit dcidant de saligner sur le modle propos par ISO 27001. Elle doit tre progressive et surtout raliste par rapport au contexte de la socit en termes de planning et de capacit de contribution des acteurs. Une majorit de socit dispose dj dun existant pour assurer la scurit de linformation. Une bonne pratique consiste donc lidentifier et raliser une analyse dcart lors de la phase de planification, afin didentifier les domaines o un effort particulier devra tre port. Il est ncessaire pour ceux qui visent la certification de bien prvoir tous les mcanismes de gestion des documents, des preuves de ralisation des diffrentes actions et des traces techniques en vue de laudit de certification. Documents lis : plan de traitement des risques, plan de sensibilisation, tableaux de bord, toutes procdures relatives au SGSI (gestion des incidents, guide technique, directive), pour la certification : procdure de gestion des traces et des preuves. 5.3 Contrle (Check) et Amlioration (Act) Les phases de contrle et damlioration terminent la boucle de l'amlioration continue et permettent la mise en uvre dun systme vertueux. Ces tapes, souvent prsentes dans les documents de politique de scurit dj existants, ne sont aujourdhui que rarement dclines dans leur intgralit. La norme ISO 27001 impose la ralisation de nombreux contrles, un suivi rgulier des rsultats et la mise en uvre des amliorations identifies. Il sagit dun des changements majeurs par rapport aux pratiques habituellement rencontres. Le processus de contrle comprend la ralisation daudits internes, daudits externes, lorganisation de collectes dinformations auprs des collaborateurs et des acteurs externes la socit. Ces actions de mesure et de contrle permettent au management de juger de la pertinence des actions et des mesures de scurit ralises. Les tableaux de bords vont tre le vecteur de la communication.

Dans le mme esprit, des actions damlioration doivent tre menes. En particulier, la rvaluation de ladquation du SGSI aux enjeux mtier et lapprobation du management doivent tre effectues a minima annuellement. Au-del de cette action phare, de nombreuses oprations doivent tre ralises : suivi des actions identifies, dmonstration de la ralisation des actions correctives Ces deux dernires phases ne simprovisent pas, elles doivent faire lobjet dune attention particulire et de moyens ddis, afin de garantir la prennit du SGSI dans le temps. Si la certification est vise, une gestion exemplaire des traces et des enregistrements doit tre ralise. La plupart des checs constats lors des certifications se joue sur ces aspects long terme, de contrle et damlioration continue. Documents lis : plan de contrle, ensemble des traces relatives aux contrles, ensemble des traces relatives aux actions damlioration, ensemble des dcisions damlioration prises, approbation rgulire du management.

6. Viser la certification
La norme ISO 27001 est une norme de certification au mme titre que les normes ISO 9001 ou ISO 14001. La certification garantit de manire indpendante que le SGSI est conforme aux exigences spcifies, quil est capable de raliser de manire fiable les objectifs dclars et quil est mis en uvre de manire efficace. Il est important de prciser que la certification vise le processus de gestion de la scurit. Elle ne garantit donc pas un niveau de scurit, mais plutt la capacit damliorer dans le temps lorganisation et les processus lis la scurit de linformation. Lobtention de la certification permet la dlivrance dun certificat prcisant le primtre du SGSI mis en uvre. Lorsquun organisme met en avant le fait quil ait obtenu la certification, il est essentiel dtudier en dtail le certificat et le contenu de la dclaration dapplicabilit (liste des contrles mis en uvre) afin de sassurer que la certification porte bien sur un primtre cl pour lorganisme et que les moyens mis en uvre sont pertinents face aux risques encourus. En effet lorganisme visant la certification dispose dune certaine latitude dans le choix des mesures mettre en uvre ce qui peut lui permettre dobtenir une certification parfois partielle ou incomplte par rapport aux besoins exprims. Il nexiste pas aujourdhui de profil type spcifiant les contrles minimums mettre en uvre pour une activit mtier particulire (hbergeur, oprateurs, milieu hospitalier). Il sagit dune des prochaines tapes envisageables dans le domaine de la certification ISO 27001.

6.1 Dmarche

Figure 5 : Les acteurs et les tapes de la certification Pour obtenir la certification, il est ncessaire de faire auditer son SGSI par un organisme de certification externe. Afin de garantir une lgitimit internationale aux certificats mis, les organismes de certification sont contrls par un organisme daccrditation propre chaque pays (il sagit, par exemple, du COFRAC [6] en France et de l'OLAS [7] au Grand-Duch de Luxembourg,). Les organismes daccrditation sont eux-mme valus au niveau de lIAF (International Accreditation Forum) et dEA (European co-operation for Accreditation) afin de garantir lhomognit de leurs pratiques daccrditation. La norme ISO 17021 (qui remplacera officiellement dici peu la norme EN 45012) est spcifiquement destine laccrditation des organismes de certification de systmes de management. Aujourdhui en France, le seul organisme de certification accrdit pour la certification ISO 27001 est LSTI [8]. Cependant il est possible, dans le cadre dun contrat international, que dautres organismes de certification (BVQI, BSI, SGS) interviennent sur le territoire franais. 6.2 Audits Trs concrtement, lentreprise signe avec un organisme de certification un contrat de trois ans, incluant la ralisation daudits suivant un rythme dfini avec lentreprise, mais devant au minimum : assurer une vrification complte tous les trois ans. Il sagit de vrifier intgralement le SGSI. raliser des audits de surveillance annuellement. Il est cependant prfrable de raliser ces audits plus frquemment, afin dviter de perdre la certification en cas de problme mineur ncessitant un temps de correction long. Les audits sont raliss en respectant les principes de la norme ISO 19011 (lignes directrices pour laudit des systmes de management). Une premire phase de vrification documentaire devra tre valide avant denchaner sur les visites de sites. Lors de cette opration, les auditeurs raliseront un ensemble de contrles, techniques et organisationnels, pour vrifier que le SGSI tourne , que les principes slectionns ont bien t mis en uvre et que le systme est prenne.

Aujourdhui les guides IAF GD 2: 2005 et EA7/03 dfinissent les conditions de laudit (nombre de jours dintervention, indpendance et qualification des auditeurs). Cependant, la publication des normes ISO 27006 et 27007 permettra de prciser les conditions de ralisation des audits sur des points trs concrets tels que : les critres permettant ladaptation du nombre de jours daudit en fonction de lactivit de la socit et des mcanismes de scurit mis en uvre ; la typologie des tests techniques raliser lors des visites ; la cohrence entre lanalyse des risques et les objectifs du SGSI. Suite laudit, les auditeurs feront parvenir leurs recommandations lorganisme de certification qui approuvera les rsultats et dlivrera le certificat officiel. En cas de dsaccord avec les rsultats, il est possible de poser des recours auprs du comit de certification propre lorganisme de certification, compos de reprsentants indpendants et spcialistes du domaine. Lors des audits (initial, de surveillance ou de renouvellement) les auditeurs, sils identifient des points litigieux expriment la prsence dun cart. Ceux-ci peuvent, par exemple, tre exprims trois niveaux diffrents : un cart majeur (il ne permet pas dobtenir la certification), un cart mineur (il sagit dun problme important mais pouvant tre corrig dans le temps) ou une remarque (il sagit dun problme mineur ou dune apprciation de lauditeur sur la pertinence du SGSI mis en uvre). Un cart dcouvert et non corrig va voir sa criticit voluer chaque visite de surveillance. Si lorganisme ne le corrige pas dans le dlai imparti, un cart mineur peut se transformer en cart majeur et entraner la suppression de la certification. 6.3 Facteurs de risque et de cot La mise en uvre dun SGSI dans lobjectif dune certification est une opration majeure, qui doit tre approuve au plus haut niveau de la socit concerne et faire lobjet dune relle demande mtier. Les risques dchec de la certification viennent en particulier dune mauvaise gestion des traces et de la difficult conserver dans le temps un SGSI conforme. Faire tourner le SGSI dans le temps ncessite un effort sans cesse renouvel. La construction est une tape comparativement plus simple, pouvant tre mene en mode projet. Il est donc important de dmarrer sur des primtres de taille raisonnable, o lintrt de la certification est prouv par un besoin mtier ou une demande externe forte. Le cot de la certification est surtout chercher en interne lorganisme. Le cot initial de mise en uvre est dpendant du primtre, des mesures de scurits slectionnes, du degr de maturit en scurit de linformation, etc. Leffort maximal sera raliser sur la mise en place du SGSI dans la structure de la socit et en particulier auprs des mtiers qui sont concerns (phase de dploiement). Des cots rcurrents sont prvoir et ne doivent pas tre ngligs afin dassurer la prennit de la dmarche et surtout de la certification. Les cots externes de certification sont relativement limits (quelques jours dauditeurs un tarif proche des 1200 /jours).

7. Tendances et conclusion
Aujourdhui, il existe des divergences importantes au niveau mondial par rapport ladoption d'ISO 27001 et de la certification. Des pays sont trs en avance, en particulier le Japon. Dautres (tatsUnis, Inde) sont en train de rattraper leur retard suite linternationalisation rcente de la norme en octobre 2005 (450 certifications ISO 27001 dans le monde depuis cette date). La figure 6 montre les carts entre les diffrents pays [5].

Figure 6 : Nombre de socits certifies par pays En France, trois certifications ont officiellement t dclares, il sagit de Verio Europe (hbergeur web), Gemalto (ex-Axalto, fabricants de carte puce) et de CMA. Les secteurs dactivit les plus reprsents de par le monde sont les socits de services informatiques (hbergeurs, fournisseurs dapplications en ligne, infogrants) mme si beaucoup dautres secteurs dactivit sont actifs au niveau international (banques, organismes mdicaux, organismes dtat, oprateurs, groupes industriels). En conclusion, il apparat qu'ISO 27001, et plus gnralement la famille ISO 2700x, reprsente une avance majeure pour la scurit de linformation. En effet, ces normes dfinissent les bases dun modle de gouvernance reconnu internationalement, qui permet linstauration dune scurit durable et aligne sur les objectifs mtiers dun organisme. Au-del de la mise en place de ce systme de gestion en interne, les organismes intresss peuvent viser la certification qui permet : Le renforcement de limage de marque de la socit, en particulier dans le domaine de la scurit de linformation. La matrise des cots lis la scurit de linformation par lidentification des mesures non efficaces, la rationalisation des processus existants et lalignement sur les objectifs mtiers. Indirectement, la certification entrane galement une baisse du nombre daudits externes et donc des rductions des cots ncessaires leur suivi. La facilitation d'autres dmarches lies la scurit de l'information (en particulier pour les mises en conformit Ble II ou Sarbanes-Oxley). La norme est galement un outil de communication permettant un dialogue simplifi entre lensemble des acteurs du domaine de la scurit et peut galement tre vu comme un outil de mobilisation des quipes derrire un objectif commun. La certification dun SGSI est une opration pouvant tre complexe et longue suivant le primtre slectionn. Cest ce titre quil nous semble aujourdhui opportun dadopter les principes et le modle proposs par la norme dans les dmarches de scurit de linformation, sans forcment viser la certification. Celle-ci peut tre envisage sur opportunits et sur des primtres o un rel besoin mtier t identifi et exprim.

BIBLIOGRAPHIE
[1] Steichen, P., La normalisation au Luxembourg : un pont entre la qualit et la scurit, itSMF Magazine Chapitre Luxembourg, septembre 2006 [2] Igalens, J., Penan H., La normalisation, PUF - Que sais-je, 1994. [3] http://www.iso.ch [4] http://www.jtc1.org [5] http://www.iso27001certificates.com [6] http://www.cofrac.fr [7] http://www.olas.public.lu/ [8] http://www.lsti.fr