Qualité Références n° 53

More documents

Recommendations

Info

SYSTÈMES D’INFORMATION ET QUALITÉ Mise en œuvre de la norme ISO 27005 Gestion des risques en sécurité de l’information Nous avons demandé à Anne Lupfer de commenter son propre livre consacré à la gestion des risques en sécurité de l’information et à la mise en œuvre de la norme ISO 27005. Elle en présente quelques points essentiels. Il est important que les lecteurs prennent conscience que ce qui est dit dans la norme ne doit pas être appliqué au pied de la lettre. Aujourd’hui, nous tendons vers un monde où la normalisation est primordiale. Les organismes font la course à la certification pour brandir, tel un étendard, le fameux sésamequ’est le certificat. La certification est vue comme un pas vers la mondialisation : un élément de même valeur quelque soit le pays où l’on se trouve. Pour ma part, je suis sceptique face à cet engouement pour les normes. Penser qu’on est bon parce qu’on est certifié est un leurre. Les normes, les standards, les guides et les résultats de recherches sont des documents à grande valeur ajoutée si l’on sait s’en servir c’est-à-dire extraire les informations et les méthodes qui ont un sens dans son entreprise. L’emploi des normes ne doit pas avoir de fin la certification mais la progression des individus et de l’entreprise, elle-même propre à chaque organisme. Dans la norme ISO 27005, il est souvent fait mention que le lecteur doit appliquer ce qui y est dit avec du recul et de l’intelligence. C’est pourquoi, cette norme m’a plu. Faciliter la prise en main de la norme En écrivant ce livre, j’avais deux objectifs majeurs : faciliter la prise en main de la norme ISO 27005 et démontrer sa souplesse. Pour atteindre ces objectifs, j’ai organisé le livre en deux grandes parties : une première dédiée à la norme et une deuxième consacrée à son application. Dans la première partie, celle dédiée à la norme, deux éléments majeurs sont mis en avant. Le premier livre français dédié à la norme ISO 27005 Comme beaucoup de normes, l’ISO 27005 est très structurée mais peu didactique. Le livre “Gestion des risques en sécurité de l’information” est une aide indispensable à la compréhension et l’application de la méthode ISO 27005. Au travers d’un schéma de toutes les activités décrites dans la norme, le livre détaille chaque étape, avec des exemples et des scénarios d’incidents réels. Destiné à tous les responsables sécurité (RSSI), leurs équipes et les personnes impliquées dans la mise en œuvre ou l’audit d’un SMSI, ce livre sera aussi utile aux DSI et chefs de projet devant analyser les risques informatiques et la sécurité de l’information. Et il aidera pour obtenir la certification individuelle “ISO 27005 Risk Manager”. Anne Lupfer est entrée chez HSC avec une expérience de gestion des risques dans l’assurance. Ingénieur (ECE), elle a créé la formation à la gestion des risques en sécurité chez HSC et a été une des premières à mettre en œuvre concrètement la méthode ISO 27005 en clientèle. Vous retrouverez dans cet ouvrage à la fois son expérience sur le terrain et ses échanges avec les stagiaires qui étaient préparés à la certification ISO 27005 Risk Manager « Gestion des risques en sécurité de l’information, mise en œuvre de la norme ISO 27005», Anne Lupfer, préface Hervé Schauer, éditions Eyrolles 2010, 252 pages. Le premier est comment on peut appliquer la norme à son propre contexte et le deuxième, est comment faire pour que son application soit en accord avec les exigences de la norme ISO 27001. Dans cette première partie, basée sur les grandes étapes de la norme, j’ai regroupé les éléments communs afin de faciliter la lecture de la norme. Par exemple, dans un même chapitre sont réunis tous les éléments ayant trait à l’identification des actifs. Ceci m’a permis de m’affranchir de la structure rigide de la norme et de supprimer les allers-retours entre les différentes étapes et annexes de la norme. J’ai agrémenté cette première partie de schémas, de retours d’expériences et de conseils pour la conformité avec la norme ISO27001, qui permettent au lecteur de comprendre rapidement les tenant et les aboutissant de la gestion des risques en sécurité de l’information. Grâce à tous ces éléments, cette première partie est synthétique malgré la complexité de la norme. Transcender la norme par l’expérience A travers les exemples (la deuxième partie du livre), je démontre que l’application des préceptes de la norme ISO 27005 est liée à l’organisme, son environnement et également au gestionnaire de risques. Un chapitre est consacré à la gestion des risques dans les projets. J’y propose une méthode qui est construite à partir de la norme ISO 27005 et d’un existant. Cet exemple est très instructif car il montre l’importance de capitaliser sur les événements passés, même dans la gestion des risques en sécurité de l’information. Un autre chapitre est consacré à l’organisation de la gestion des risques en sécurité de l’information. Ce cas montre l’intérêt d’une bonne organisation et la manière dont d’autres référentiels peuvent être utilisés. Ce chapitre prouve également que QUALITÉ RÉFÉRENCES ➤ JUILLET, AOÛT, SEPTEMBRE 2011 ➤ PAGE 44
SYSTÈMES D’INFORMATION ET QUALITÉ le gestionnaire des risques ne doit pas se contenter de la norme ISO27005. Il doit se servir de sa propre expérience et celle de son entreprise. Il est totalement en droit de composer sa méthode de gestion des risques à partir d’autres méthodes, d’autres référentiels. Pour conclure, je souhaite rassurer le futur lecteur, celui qui craint qu’en lisant la norme ou le livre, il soit obligé de recommencer tout le travail qu’il a entrepris en matière de gestion des risques jusqu’à aujourd’hui. Il n’en sera pas ainsi. Il n’est pas question, que ce soit dans le livre ou dans la norme, de faire les choses juste ou mal. Il est question de principes et de conseils qui peuvent être appliqués. Une des qualités indispensables du gestionnaire des risques est le pragmatisme. En revanche je suis sûre que le lecteur pourra se servir de certains points de la norme pour améliorer son existant. Par exemple tendre vers une gestion des risques qui tourne bien ou une gestion des risques qui englobe plus de métiers… En aucun cas, le lecteur refermera le livre ou la norme, en se disant: j’ai plus qu’à recommencer. Avec un gros soupir de dépit ■ Anne Lupfer La norme ISO 27005 La gestion des risques a parfois été le parent pauvre de la sécurité de l’information. De nombreux organismes appliquent des mesures de sécurité pour respecter un catalogue de mesures, pour être conforme à un référentiel, ou pour faire comme les autres. Il ne savent pas nécessairement en quoi ces dispositifs de sécurité réduisent des risques. L’avènement de la norme ISO 27001 qui permet d’organiser sereinement sa sécurité des systèmes d’information sous forme d’un système de management de la sécurité de l’information (SMSI), impose une approche par la gestion des risques. L’obligation de la réalisation d’une appréciation des risques est une caractéristique fondamentale de l’ISO 27001 en opposition avec les approches conformité comme SoX ou PCI-DSS. La norme ISO 27001 précise en un peu plus d’une page ce que doit obligatoirement comporter une gestion des risques en sécurité de l’information. C’était un peu léger et la norme ISO 27005 est venue combler ce manque avec détail, tout en en allant plus loin, car l’ISO 27005 s’applique non seulement aux SMSI mais à tout type de situation, de manière autonome, comme par exemple la gestion des risques sur un système embarqué. La norme ISO 27005 est un guide définissant une méthode d’appréciation des risques en sécurité de l’information. L’ISO 27005 a fait l’objet d’un consensus international et elle permet une meilleure compréhension mutuelle à travers le monde. L’ISO 27005 apporte une nouveauté fondamentale par rapports aux méthodes qui l’ont précédées comme EBIOS ou Mehari : la gestion des risques dans la durée, dans le temps. Il ne s’agit plus de gérer les risques en y travaillant dur quelques semaines, puis en recommençant son travail quelques années plus tard, mais de gérer les risques en sécurité de l’information au quotidien. Ce changement majeur est imposé par l’approche continue de l’ISO 27001, mais il représente le principal changement par rapport aux méthodes antérieures. L’ISO 27005 est également la première méthode qui impose à la direction générale d’être parfaitement informée, et lui impose de prendre ses responsabilités en toute connaissance de cause, ce qui clarifie les responsabilités et facilite les arbitrages budgétaires. Il y a deux manières de faire une démarche qualité, sécurité, environnement : ❏ la subir ❏ la choisir Avec Quality and Co vous choisissez vos prestataires : • certificateurs • consultants • formateurs • éditeurs de logiciels C’est simple... www.qualityandco.com La solution web de Le meilleur moyen pour choisir vos prestataires <strong>Qualité</strong>, Sécurité, Environnement www.qualityandco.com QUALITÉ RÉFÉRENCES ➤ JUILLET, AOÛT, SEPTEMBRE 2011 ➤ PAGE 45
Page 1: 3 JUILLET - AOUT - SEPTEMBRE 2011 T
Page 5 and 6: ÉDITORIAL Retour aux fondamentaux
Page 8 and 9: ACTUALITÉS MARCHÉ Le secteur fran
Page 10 and 11: ACTUALITÉS LA QUALITÉ DANS LA FOR
Page 12 and 13: ACTUALITÉS ISO 26000 ET RSE DNV é
Page 14 and 15: ACTUALITÉS CERTIFICATION A Rennes,
Page 16 and 17: ACTUALITÉS DOUBLE CERTIFICATION Sc
Page 18 and 19: QUALITÉ ET MANAGEMENT Focus L’au
Page 20 and 21: QUALITÉ ET MANAGEMENT Focus L’au
Page 22 and 23: QUALITÉ ET MANAGEMENT Services pub
Page 24 and 25: QUALITÉ ET MANAGEMENT - Adapter l
Page 26 and 27: QUALITÉ ET MANAGEMENT La méthode
Page 28 and 29: QUALITÉ ET MANAGEMENT Hygiène et
Page 30 and 31: QUALITÉ ET MANAGEMENT performance
Page 32 and 33: Améliorer la performance, réduire
Page 34 and 35: DOSSIER des résistances souterrai
Page 36: DOSSIER et est appelée à trouver
Page 39 and 40: DOSSIER théorique pour réfléchi
Page 41 and 42: DOSSIER du bon geste à réaliser.
Page 43 and 44: DOSSIER Efficience industrielle Don
Page 45: DOSSIER Analyse de risques De la ge
Page 49 and 50: SYSTÈMES D’INFORMATION ET QUALIT
Page 51 and 52: Publi-rédactionnel Editeur de logi
Page 55: SYSTÈMES D’INFORMATION ET QUALIT
Page 61: SYSTÈMES D’INFORMATION ET QUALIT
Page 65 and 66: OUTILS DR DR DR la performance des

Qualité Références n° 53

Create successful ePaper yourself

Delete template?

Save as template?