Juridique

Sécurité : la certification 27001 est loin de faire l'unanimité

La norme ISO 27001 constitue un recueil de bonnes pratiques. Mais la certification est coûteuse et un avantage concurrentiel seulement pour certains prestataires. Tel est l'enseignement d'un séminaire sur la sécurité organisé par les rédactions de reseaux-telecoms.net et CIO Magazine en avril dernier.

PublicitéLors d'un séminaire organisé par les rédactions de CIO et de Reseaux-telecoms.net sur le thème de l'évolution des politiques globales de sécurité, les RSSI de grandes sociétés françaises - Carlos Martin de Carrefour, Yvon Klein du CNES (Centre national d'études Spatiales) et Jean François Louapre de la mutuelle AG2R-La Mondiale - ont exprimé quasiment la même opinion en ce qui concerne la norme ISO 27001, et l'ISO 27002 qui lui est associé, qui fait couler beaucoup d'encre actuellement. Pour ces RSSI : « le cadre 27001 est très utile voire incontournable en tant que guide et recueil de bonnes pratiques, par exemple pour des audits, mais être certifié n'est pas intéressant pour ce qui concerne l'activité de notre entreprise, car cela ne constitue pas un avantage concurrentiel et c'est inutilement coûteux. Il est préférable de mettre l'argent ailleurs. Soyons sérieux », a exprimé fermement à ce sujet Yvon Klein. « Ne jetons pas l'argent pas la fenêtre », a ajouté Carlos Martin. Quant à Jean-François Louapre, il a précisé que « la certification a une valeur ajoutée dans des secteurs bien identifiés qui sont des secteurs technologiques de fournisseurs de services ». En revanche, François Gratiolet, RSSI adjoint du groupe La Poste, module sa réponse, étant donné l'évolution des métiers de la Poste. Il a souligné en particulier la nécessité d'adopter des méthodes standards et non spécifiques, qu'il s'agisse d'ISO 27001 ou de Cobit afin d'avoir le même langage. « Il nous faut développer cette culture, car nous avons beaucoup fait de spécifique au sein de la Poste, les années passées ». Il ajoute, quant à la certification, reprenant en cela l'opinion exprimée par le RSSI d'AG2R-La Mondiale, que celle-ci peut avoir un avantage concurrentiel et 'business' très intéressant sur certains métiers à l'heure où la Poste passe à des activités dématérialisées après l'ère de la mécanisation. « Nous pensons que sur certaines de nos activités, la certification ISO 27001 pourrait être utile. C'est pourquoi depuis l'année dernière nous avons commencé à mettre en place la structure adéquate au sein de notre organisation de la sécurité .» Un argument commercial pour les petites sociétés Sur le terrain, de fait, de petites sociétés de technologie sont déjà passées par les fourches caudines de la certification. En France, elles sont encore peu nombreuses. La certification constitue alors un argument commercial important. On citera Araxxe, un sous traitant discret des opérateurs télécoms, « Cela a permis de rassurer nos différents clients sur le fait que nous séparions correctement leurs données de celles de leurs concurrents sur notre plate-forme mutualisée », décrit Xavier Lesage, PDG de Araxxe, interviewé lors de la préparation du séminaire. De même, la société Cheetahmail, une filiale d'Experian qui effectue de l'emailing de masse, a été certifiée ISO 27001 à la fin de 2007. « Cela permet de crédibiliser notre offre d'emailing auprès des opérateurs, afin que nos envois ne soient pas considérés comme du spam et bloqués », a expliqué Pierre Marc Pinel, Information Security Manager d'Experian et qui a mené le processus de certification. Autre cas de figure, la société Systalians, qui est un GIE informatique de la société d'assurances Reunica. Systalians emploie environ cent cinquante personnes. Emmanuel Garnier, son RSSI, a enclenché la mécanique de la certification et vise le précieux sésame pour les alentours du premier semestre 2009. « Nous sommes dans un cas de figure différent d'une société comme AG2R-LaMondiale, bien que nous opérions sur le même secteur d'activité. Nous sommes un GIE et en tant que tel nous sommes le prestataire de notre client le groupe Reunica, tandis qu'une société comme AG2R possède une informatique interne. Notre certification ISO 27001 permettra de rassurer sur notre usage des bonnes pratiques ». Et éventuellement de séduire d'autres clients. A l'inverse, à AG2R-LaMondiale, le client c'est l'assuré directement, et comme le reconnait Jean François Louapre : « Nos clients sont des retraités, et je ne pense pas qu'ils soient très sensibles à une certification ISO 27001 ». Cela dit, il se déclare très intéressé par le fait de trouver des hébergeurs ISO 27001. On citera également, le cas de la petite société Byward, qui est à la fois certifié ISO 27001 et prestataire d'audit sécurité des entreprises. « Nous montrons à nos clients, que nous nous appliquons à nous-mêmes ce que nous leur recommandons », décrit Perrine Diligent, la dynamique directrice de la société. De grandes entreprises ont également opté pour la certification. Mais uniquement pour certains de leurs sites ou pour une partie de leur périmètre. On citera le fabricant de cartes à puce Gemalto. Plusieurs entreprises ont enclenché le processus, comme l'opérateur télécoms Easynet, le Crédit Mutuel Nord Europe, le Crédit Immobilier de France, etc ... Le mot de la fin reviendra à Anne Lupfer, consultante pour le cabinet HSC, présente lors du séminaire. « Nous observons une évolution forte en ce qui concerne l'ISO 27001, au travers des formations que notre cabinet dispense, notamment celles de ISO 27001 Lead Auditor. En France, nous en sommes à 400 certifiés. Nous avons participé à la certification de la moitié d'entre eux. Or, lors des premières sessions, les participants étaient des consultants qui voulaient se positionner sur ce secteur. Désormais, ce sont de plus en plus des RSSI qui viennent dans un souci d'implémenter la norme, pas forcément dans le but de certifier leur entreprise, mais pour adopter des bonnes pratiques .»