La norme ISO 27001 constitue un recueil de bonnes pratiques. Mais la certification est coûteuse et un avantage concurrentiel seulement pour certains prestataires. Tel est l'enseignement d'un séminaire sur la sécurité organisé par les rédactions de reseaux-telecoms.net et CIO Magazine en avril dernier.
Lors d'un séminaire organisé par les rédactions de CIO et de Reseaux-telecoms.net sur le thème de l'évolution des politiques globales de sécurité, les RSSI de grandes sociétés françaises - Carlos Martin de Carrefour, Yvon Klein du CNES (Centre national d'études Spatiales) et Jean François Louapre de la mutuelle AG2R-La Mondiale - ont exprimé quasiment la même opinion en ce qui concerne la norme ISO 27001, et l'ISO 27002 qui lui est associé, qui fait couler beaucoup d'encre actuellement.
Pour ces RSSI : « le cadre 27001 est très utile voire incontournable en tant que guide et recueil de bonnes pratiques, par exemple pour des audits, mais être certifié n'est pas intéressant pour ce qui concerne l'activité de notre entreprise, car cela ne constitue pas un avantage concurrentiel et c'est inutilement coûteux. Il est préférable de mettre l'argent ailleurs. Soyons sérieux », a exprimé fermement à ce sujet Yvon Klein. « Ne jetons pas l'argent pas la fenêtre », a ajouté Carlos Martin. Quant à Jean-François Louapre, il a précisé que « la certification a une valeur ajoutée dans des secteurs bien identifiés qui sont des secteurs technologiques de fournisseurs de services ».
En revanche, François Gratiolet, RSSI adjoint du groupe La Poste, module sa réponse, étant donné l'évolution des métiers de la Poste. Il a souligné en particulier la nécessité d'adopter des méthodes standards et non spécifiques, qu'il s'agisse d'ISO 27001 ou de Cobit afin d'avoir le même langage. « Il nous faut développer cette culture, car nous avons beaucoup fait de spécifique au sein de la Poste, les années passées ». Il ajoute, quant à la certification, reprenant en cela l'opinion exprimée par le RSSI d'AG2R-La Mondiale, que celle-ci peut avoir un avantage concurrentiel et 'business' très intéressant sur certains métiers à l'heure où la Poste passe à des activités dématérialisées après l'ère de la mécanisation. « Nous pensons que sur certaines de nos activités, la certification ISO 27001 pourrait être utile. C'est pourquoi depuis l'année dernière nous avons commencé à mettre en place la structure adéquate au sein de notre organisation de la sécurité .»
08/01/2009 19:02:29 - La guerre de la maintenance SAP était passée dans une phase plus calme. Un cessez-le-feu semblait même avoir été signé. (...) Rendez-vous
toute l'actualité "Juridique"
Qu'appréciez-vous le plus sur la nouvelle plate-forme CIO ?