Certification 27001 : Les RSSI de grands groupes disent non merci !
La norme ISO 27001 constitue un recueil de bonnes pratiques. Mais la certification est coûteuse et un avantage concurrentiel seulement pour certains prestataires. Tel est l'enseignement d'un séminaire sur la sécurité organisé par les rédactions de reseaux-telecoms.net et CIO Magazine en avril dernier. Lors d'un séminaire organisé par les rédactions de reseaux-telecoms.net et de CIO magazine en avril dernier sur le thème de l'évolution des politiques globales de sécurité, les RSSI de grandes sociétés françaises, Carlos Martin de Carrefour, Yvon Klein du CNES (Centre national d'études Spatiales) et Jean François Louapre de la mutuelle AG2R-La Mondiale, ont exprimé quasiment la même opinion en ce qui concerne la norme ISO 27001, et l'ISO 27002 qui lui est associé, qui fait couler beaucoup d'encre actuellement. Un recueil de bonnes pratiques mais pas de certification Pour ces RSSI : « le cadre 27001 est très utile voire incontournable en tant que guide et recueil de bonnes pratiques, par exemple pour des audits, mais être certifié n'est pas intéressant pour ce qui concerne l'activité de notre entreprise, car cela ne constitue pas un avantage concurrentiel et c'est inutilement coûteux. Il est préférable de mettre l'argent ailleurs». « Soyons sérieux, exprime même fermement à ce sujet Yvon Klein. « Ne jetons pas l'argent pas la fenêtre, ajoute Carlos Martin. Jean François Louapre précise : « La certification a une valeur ajoutée dans des secteurs bien identifiés qui sont des secteurs technologiques de fournisseurs de services ». En revanche, François Gratiolet, RSSI adjoint du groupe La Poste, module sa réponse, étant donné l'évolution des métiers de la Poste. La certification de certaines activités Il souligne la nécessité d'adopter des méthodes standards et non spécifiques, qu'il s'agisse d'ISO 27001 ou de Cobit afin ... Photo : les responsables sécurité des systèmes d'information de grandes entreprises ont présenté les nouveaux enjeux autour des politiques globales de sécurité, en avril dernier, lors du séminaire organisé par la rédaction de reseaux-telecom.net, avec de gauche à droite, Yvon Klein du CNES, Carlos Martin de Carrefour, Valérie Tudoux de Natixis Banque de Financemet et d'investissement, Jean François Louapre de AG2R-La Mondiale et François Gratiolet de Groupe La Poste. ... d'avoir le même langage. « Il nous faut développer cette culture, car nous avons beaucoup fait de spécifique au sein de la Poste, les années passées ». Il ajoute, quant à la certification, reprenant en cela l'opinion exprimée par le RSSI d'AG2R-La Mondiale, que celle-ci peut avoir un avantage concurrentiel et « business » très intéressant sur certains métiers à l'heure où la Poste passe à des activités dématérialisées après l'ère de la mécanisation. « Nous pensons que sur certaines de nos activités, la certification ISO 27 001 pourrait être utile. C'est pourquoi depuis l'année dernière nous avons commencé à mettre en place la structure adéquate au sein de notre organisation de la sécurité ». Un argument commercial pour les petites sociétés Sur le terrain, de fait, de petites sociétés de technologie, sont déjà passées par les fourches caudines de la certification. En France, elles sont encore peu nombreuses. La certification constitue alors un argument commercial important. On citera Araxxe, un sous traitant discret des opérateurs télécoms, « Cela a permis de rassurer nos différents clients sur le fait que nous séparions correctement leurs données de celles de leurs concurrents sur notre plate-forme mutualisée, décrit Xavier Lesage, PDG de Araxxe, interviewé lors de la préparation du séminaire. De même, la société Cheetahmail, une filiale d'Experian qui effectue de l'emailing de masse, a été certifiée ISO 27001 à la fin de 2007. « Cela permet de crédibiliser notre offre d'emailing auprès des opérateurs, afin que nos envois ne soient pas considérés comme du spam et bloqués, explique Pierre Marc Pinel, Information Security Manager d'Experian et qui a mené le processus de certification. Rassurer nos clients Autre cas de figure, la société Systalians, ...... qui est un GIE informatique de la société d'assurances Reunica. Systalians emploie environ cent cinquante personnes. Emmanuel Garnier, son RSSI, a enclenché la mécanique de la certification et vise le précieux sésame pour les alentours du premier semestre 2009. « Nous sommes dans un cas de figure différent d'une société comme AG2R-LaMondiale bien que nous opérions sur le même secteur d'activité. Nous sommes un GIE et en tant que tel nous sommes le prestataire de notre client le groupe Reunica, tandis qu'une société comme AG2R possède une informatique interne. Notre certification ISO 27001 permettra de rassurer sur notre usage des bonnes pratiques ». Et éventuellement de séduire d'autres clients. Un prestataire certifié 27001 est rassurant A l'inverse, à AG2R-LaMondiale, le client c'est l'assuré directement, et comme le reconnait Jean François Louapre : « Nos clients sont des retraités, et je ne pense pas qu'ils soient très sensibles à une certification ISO 27001 ». Cela dit, il se déclare très intéressé par le fait de trouver des hébergeurs ISO 27001. On citera également, le cas de la petite société Byward, qui est à la fois certifié ISO 27001 et prestataire d'audit sécurité des entreprises. « Nous montrons à nos clients, que nous nous appliquons à nous-mêmes ce que nous leur recommandons, décrit Perrine Diligent, la dynamique directrice de la société. De grandes entreprises ont également opté pour la certification. Mais uniquement pour certains de leurs sites ou pour une partie de leur périmètre. On citera le fabricant de cartes à puce Gemalto. De plus en plus de RSSI veulent adopter de bonnes pratiques Plusieurs entreprises ont enclenché le processus. On citera l'opérateur télécoms Easynet, le Crédit Mutuel Nord Europe, le Crédit Immobilier de France, etc ...Le mot de la fin reviendra à Anne Lupfer, consultante pour le cabinet HSC, présente lors du séminaire. « Nous observons une évolution forte en ce qui concerne l'ISO 27001, au travers des formations que notre cabinet dispense, notamment celles de ISO 27001 Lead Auditor. En France, nous en sommes à 400 certifiés. Nous avons participé à la certification de la moitié d'entre eux. Or, lors des premières sessions, les participants étaient des consultants qui voulaient se positionner sur ce secteur. Désormais, ce sont de plus en plus des RSSI qui viennent dans un souci d'implémenter la norme, pas forcément dans le but de certifier leur entreprise, mais pour adopter des bonnes pratiques ».