SMSI : Systme de Management

de la Scurit de lInformation
DO S S I E R
N21 36
Convis notre table ronde: dix experts des systmes de management
de la scurit de linformation nous donnent leur avis sur lapprciation des
risques dans la mise en uvre dun SMSI.
Lapprciation des risques dans
la mise en uvre dun SMSI :
ALLER LESSENTIEL
>
TABLE RONDE : LES INTERVENANTS
Grme Billois,
manager scurit
chez Solucom
Dominique Buc,
fondateur de la
socit de conseil
BUC SA et crateur
du logiciel Risicare
Matthieu Grall,
bureau conseil,
DCSSI SGDN
Edouard Jeanson,
directeur activit
scurit, Sogeti
Thierry Jardin,
partner Logica
Management
Consulting
Yannick Kereun,
directeur technique
et RSSI de la
socit SNR
Jean-Philippe
Jouas, dveloppeur
de mthode Mhari
au Clusif
Jean-Pierre
Lacombe,
fondateur de la
socit de conseil
Fidens
Herv Schauer,
fondateur de la
socit de conseil
HSC
Laurent Treillard,
auditeur scurit
SI, groupe Macif
N21 37
D
O
S
S
I
E
R
Dfinition des risques
On a parfois oppos dans le pass les deux grandes
mthodes danalyse de risques que sont Ebios
[1]
et
Mhari
[2]
. Le temps est dsormais la convergence avec
la reconnaissance par les professionnels de la nouvelle
norme ISO 27005 publie le 15 juin dernier.
Matthieu Grall (DCSSI) est trs direct : L'ISO 27005 fixe
enfin un cadre pour la gestion des risques de scurit de
l'information. Elle fournit ainsi les conditions respecter
par toute dmarche mthodologique. S'y conformer per-
met de garantir que les principes communment recon-
nus ont t appliqus. La norme constitue une rfrence
utile pour les faire respecter, sans prjuger des mtho-
des et outils ncessaires pour les mettre en uvre.
Laurent Treillard de la Macif poursuit dans le mme sens:
LISO 27005 va insuffler une gestion des risques com-
mune au niveau international. Jean-Pierre Lacombe
(Fidens) ajoute que la logique de management des ris-
ques introduite par lISO 27001, et reprise, par exemple,
dans les recommandations du RGS, tend gnraliser
lusage des mthodes Ebios et Mhari. Cette gnralisa-
tion demploi et la finalisation du cadre ISO27005 ont
permis damener les mthodes un bon niveau de matu-
rit, comme en atteste notamment la dernire version de la
mthode Ebios dlivre par le club ponyme. Dominique
Buc (BUC SA) conclut de la mme manire: Les mtho-
des Mhari et Ebios annoncent de plus en plus leur com-
patibilit avec la norme ISO27005. Je pense quau-del
des aspects techniques, cela rpond essentiellement
cet aspect de reconnaissance de la mthode, notam-
ment au plan international.
La convergence est par ailleurs trs nette la lecture du
draft de la mthode Ebios 27005 en cours dlaboration
par le club du mme nom et dun document du Clusif,
rcemment publi, La gestion des risques Concepts
et mthodes. Bien sr, le vocabulaire de chacun garde
ses origines. Si lon sintresse la partie tude du
contexte qui constitue la base de lISO27005 et de cha-
cune des deux mthodes, on trouve la notion de biens
essentiels pour Ebios, et dactifs primaires ou primor-
diaux pour le Clusif qui reprend les termes de la norme
ISO27005. Ces deux notions recouvrent le mme pri-
mtre comprenant linformation de lentreprise, ses pro-
cessus et ses activits. De mme, la notion de biens sup-
ports dEbios converge avec les actifs supports dans le
langage du Clusif, pour recouvrir, tous deux, les matriels,
les logiciels, les rseaux, le personnel, le site et le support
organisationnel. Et toutes les autres tapes du draft Ebios
27005 et du document du Clusif marquent des similitudes
analogues. Dominique Buc synthtise trs bien la situa-
La norme vient dtre publie
(juin 2008). Elle propose une
approche itrative en vue dtablir
une apprciation des risques en
scurit de linformation. Elle
reprend les notions usuelles de
disponibilit, intgrit et
confidentialit, et les confronte
aux menaces pour hirarchiser les
risques et dcider du traitement
apporter en fonction des impacts
et de leur probabilit ou
vraisemblance. Elle part dune
tude du contexte, puis propose
une apprciation des risques ce
qui comprend lanalyse
(identification et estimation) et
une valuation. Elle propose
ensuite de traiter les risques
suivant une combinaison de 4
possibilits :
en refusant lactivit source
du risque, dans lesprit
dun principe de prcaution ;
en rduisant le risque par
des mesures adquates ;
en transfrant le risque:
assurances, sous-traitants, etc. ;
en conservant le risque.
La mthode ISO27005 permet aux
entreprises de ne retenir, sur les
133 mesures de scurit de
lannexe la norme ISO 27001
(reprises dans l'ISO 27002), que
celles rellement ncessaires
l'issue de l'apprciation des
risques. Elle vite de monter des
usines gaz issues des
approches conformit ISO27002
dans lesquelles le RSSI tente
dimposer la DSI la quasi-totalit
des 133 mesures, faute davoir su
slectionner celles rellement
utiles. La norme ISO27005 peut
tre applique pour un SMSI,
mais aussi pour la gestion des
risques d'un projet ou de tout
lment particulier.
Avec ses annexes, la mthode est
utilisable de manire autonome et
respecte strictement l'ISO27001. I
>
ISO 27005: POUR APPRCIER LES RISQUES
ET SE CONCENTRER SUR LESSENTIEL
[1]
Expression des
besoins et identification
des objets de scurit.
Voir page 41.
[2]
Mthode harmonise
danalyse des risques.
Voir page 44.
...
DO S S I E R
N21 38
SMSI : Systme de Management
de la Scurit de lInformation
[1]
Politique de scurit
du systme dinformation.
[2]
Systme de management
de la scurit de linformation.
tion en disant que les deux mthodes annoncent une
compatibilit aux normes ISO 27005 et ISO 31000
[3]
. Il y
a, avant tout, des aspects de communication en jeu.
Aucune mthode ne pourra tre prenne sur le plan
international sans se prvaloir de ces deux normes.
Tout cela est trs bnfique ajoute Matthieu Grall, la
DCSSI amliore Ebios dans le cadre du Club Ebios, pour
lajuster lISO27005 et lISO31000 en tenant compte
des retours d'expriences. La mthode gagne en simpli-
cit, modularit et conformit par rapport aux normes.
Cependant, prcise Jean-Pierre Lacombe, il convient de
dissocier la norme ISO 27005 des mthodes danalyse.
La norme dfinit un cadre danalyse, mais na pas voca-
tion constituer une mthode. LISO 27005 est trs expli-
cite: a number of existing methodologies can be used
under the framework described in this international
standard. Cette norme ne sest pas donne pour objec-
tif dtre applicable, mais de dfinir les tapes indispen-
sables une analyse de risques. Ebios 27005 dcline de
manire oprationnelle le standard en proposant un
outillage support la ralisation des diffrentes tapes
normatives. En ce sens, Ebios est compatible avec
lISO27005, et favorise la ralisation danalyses confor-
mes au standard.
Pour Edouard Jeanson, directeur de lactivit conseil SSI
chez Sogeti, il est ncessaire de suivre les nouvelles
normes telles que lISO27005, de travailler sur leur
contenu et de les comprendre. Cela demande un certain
investissement et permet de faire voluer les mthodes
utilises prcdemment.
Le bon sens, lexpertise
et la communication doivent
primer sur les normes et mthodes
Lapprciation des risques est-elle pour autant devenue
facile et simple? Oui et non, serait-on tent de rpondre.
Ou plutt, il ne faut pas poser le problme en ces termes.
Matthieu Grall est trs explicite et rejoint les propos pr-
cdents de Jean-Pierre Lacombe: Les limites des outils
mthodologiques rsident dans leur usage. Il y a plus de
mauvais usages que de mauvais outils! Par exemple,
utiliser la norme ISO27005 comme une mthode
demanderait beaucoup d'imagination pour la mettre en
uvre puisque ce n'est pas sa finalit... Suivre une
mthode comme une procdure est un autre exemple de
mauvais usage rgulirement rencontr. Il est en effet
impensable, compte tenu de la varit des sujets tu-
dis et des livrables produire, de suivre la mme
recette dans tous les cas, alors que les outils peuvent
tre les mmes. Il ne faut surtout pas perdre de vue l'ob-
jectif ultime de la gestion des risques: contribuer la
ralisation des activits et des objectifs de l'organisme
concern, comme par exemple, la continuit de lacti-
vit, le dveloppement d'un nouveau service, laugmen-
tation du chiffre daffaires ou du bnfice... Cette ide
doit tre un leitmotiv lors de la ralisation de ltude.
Herv Schauer, fondateur du cabinet HSC, voit pour sa
part les choses trs diffremment et ragit vivement sur
laffirmation que la norme ISO27005 ne peut tre consi-
dre comme une mthode. Prtendre que l'ISO27005
Toute bonne dmarche doit consister identifier
les besoins en scuritdu systme dinformation,
en termes de disponibilit, dintgritet de
confidentialit. Il ne sert rien de mettre des donnes
dans un coffre pour en assurer la confidentialit ;
si celles-ci se trouvent facilement sur Internet ou
dans la presse, autant les laisser en accs libre
tous. Il est ensuite ncessaire de sinterroger sur
ce que sont les menaces. Une machine non
connecte Internet dans une salle isole o naccde
quune seule personne na pas la mme exposition
quun serveur directement connect Internet et
utilis par des dizaines de milliers dutilisateurs.
On dduit de ces deux analyses une notion de
risque. Celui-ci doit ensuite tre qualifi en fonction
de limpact quil peut avoir et de sa probabilit,
ou vraisemblance doccurrence. Lentreprise doit alors
dcider de se prmunir contre les risques graves ou
catastrophiques. Elle va tablir une PSSI
[1]
qui expose
sa stratgie et prcise les rgles de scurit appliquer.
Elle va ensuite mettre en uvre un ensemble de
mesures de scurit : techniques, organisationnelles
et humaines, pour conserver un niveau de risque
acceptable.
Le SMSI
[2]
va permettre de concevoir, de raliser,
de contrler et de faire voluer la scurit des
informations de lentreprise. La norme ISO/CEI 27001,
publie en 2005, expose les exigences dun SMSI. I
>
LES BASES DE LA
GESTION DE SCURIT
...
...
[3]
Voir encadr page 37.
est une dmarche mais pas une mthode est le discours
habituel de la part de l'arrire-garde franco-franaise qui
dfend les vieilles mthodes corps et me. L'ISO27005
reprend pourtant toute la structure d'Ebios et en est une
filiation directe. On ne peut pas prtendre que
l'ISO27005 se prsente comme un cadre, que c'est une
dmarche et pas une mthode. Si vous recherchez dans
le dictionnaire les dfinitions des mots cadre, dmarche,
mthode, mais aussi trame (= framework) et mthodo-
logie (= methodology), les termes utiliss dans l'avant-
propos de l'ISO 27005, il apparat que l'ISO 27005 est un
ensemble de procds raisonns pour faire de la gestion
des risques, et donc a un contenu qui rpond la dfini-
tion mme du mot mthode. Il n'y a donc aucune ambi-
gut sur le fait que l'ISO 27005 est une normalisation
d'une mthode de gestion des risques. Et Herv Schauer
poursuit, non sans un certain humour, en lanant : "Ebios
27005", le nom est joliment trouv, car Ebios 27005, que
j'appelle Ebios v3, est conforme Ebios v2, mais n'est
pas conforme l'ISO 27005.
Dominique Buc poursuit en recherchant une synthse:
Aujourdhui, on ne sait que trs imparfaitement
modliser le risque. Prenons une comparaison: per-
sonne nhsite prendre un avion dont les lments
ont t modliss par un outil de CAO. Pourtant, aucun
RSSI pratiquant une des mthodes cites noserait
proclamer quil narrivera rien dimprvu au SI.
Autrement dit, on a encore beaucoup de progrs
faire, et mme une mthode trs bien formalise
comme Mhari, ne doit tre considre par lexpert
que comme un guide. Une des grosses erreurs du pra-
tiquant consisterait se laisser enfermer par la
mthode et se retrancher derrire des chiffres dont
il ne matrise pas bien la signification.
Bref, lexprience et surtout le bon sens restent toujours
indispensables. Les normes et mthodes ne sont ni par-
faites, ni peut-tre mme acheves: quimporte, elles
doivent tre utilises par des acteurs responsables.
Matthieu Grall indique encore: Une autre erreur cou-
rante consiste suivre une mthode au pied de la lettre.
On peut se perdre dans un niveau de dtail inutile, ne pas
tre au niveau de maturit de l'organisme, produire des
rsultats difficiles comprendre et donc peu exploitables.
Or, les mthodes d'aujourd'hui s'appliquent un large
spectre de sujets: mise en place d'un systme de mana-
gement, scurisation d'une application, spcification d'un
produit de scurit... Les tapes, la manire de les rali-
ser et le niveau de dtail des interrogations doivent tre
adapts en respectant lesprit de la mthode. Cela
ncessite de prendre du recul tout en gardant en tte
l'objectif de l'tude et les livrables dsirs. La mthode
devient ainsi un vecteur de communication pour parta-
ger de l'information, obtenir le consensus, prendre les
bonnes dcisions et produire des documents utiles.
Laurent Treillard rsume que lessentiel est de conser-
ver une approche pragmatique de lanalyse des risques
avec une vision suffisamment exhaustive. La dfinition
du primtre est primordiale, sans cela la couverture
des risques sera biaise.
Edouard Jeanson va dans le mme sens: Nos consul-
tants doivent tre pragmatiques et rpondre aux atten-
tes de nos clients. Il faut les accompagner dans leur pro-
blmatique mtier, plutt que dappliquer la lettre les
normes et mthodes.
Matthieu Grall poursuit et conclut : Grer les risques
entre experts SSI est galement une erreur courante. Les
livrables produits sont alors en dcalage avec la ralit
et mal accepts. Il faut impliquer les personnes concer-
nes, les sensibiliser la valeur de leur patrimoine infor-
mationnel et aux menaces qui psent sur lui. Il faut aussi
impliquer la matrise d'uvre (architectes, dvelop-
peurs, intgrateurs...) pour s'assurer que seules des
solutions ralistes sont proposes. La matrise d'ou-
vrage doit galement pouvoir ragir sur les risques
induits par ces solutions. Enfin, il faut faire participer les
utilisateurs et les exploitants la gestion des risques
pour favoriser leur adhsion aux conclusions et l'impl-
mentation des mesures de scurit.
Choisir entre Ebios et Mhari :
question politique ou philosophique ?
Concrtement, il est ncessaire de choisir une mthode.
Comment faire? Pour Edouard Jeanson, il est clair que le
consultant doit tre en mesure de proposer les deux
mthodes ses clients. Nous participons au club Ebios,
au Clusif et au club 27001 et dveloppons nos comp-
tences sur chacune des mthodes et normes. Nous choi-
sissons au cas par cas avec nos clients en fonction de
leurs objectifs et de leur culture.
Dominique Buc dit peu prs la mme chose: Mhari
et Ebios reprsentent les deux principales alternatives,
N21 39
D
O
S
S
I
E
R
...
...
N21 41
D
O
S
S
I
E
R
SMSI : Systme de Management
de la Scurit de lInformation
surtout en France. Les cabinets de conseil pratiquant
les deux mthodes disent souvent choisir lune ou lau-
tre en fonction du contexte ou de la demande de leurs
clients. Toutefois, ils nexpliquent que trs rarement
les vraies diffrences entre ces deux mthodes,
notamment au niveau de la dfinition mme du risque.
Le choix est donc probablement plus politique que
technique. Pourtant, les deux mthodes proposent
une dfinition et une approche du risque diffrentes.
Ebios considre le risque au travers densembles (actif
menace vulnrabilit) alors que Mhari considre le
risque au travers de scnarios. Ces deux approches,
bien que compatibles avec lISO27005qui parle dail-
leurs de scnarios dincidents , conduisent en prati-
que des traitements diffrents du risque. Person-
nellement, la vision par scnario semble plus proche
de la ralit dans le sens o elle est plus dynamique et
fait intervenir des enchanements dvnements et
des associations de vulnrabilits. Cela parat plus diffi-
cile raliser avec une approche par ensembles (actif
menace vulnrabilit) par nature plus statique.
Pour sa part, Matthieu Grall explique que Ebios a t
dveloppe avec les services de ltat, elle est trs uti-
lise par les administrations nationales, par l'Union
europenne et l'OTAN. Elle est aussi largement utilise
dans le secteur priv comme en tmoigne l'audience
au Club Ebios. Elle est galement employe dans la
protection des infrastructures vitales et par les entre-
prises soucieuses de respecter des pratiques bnfi-
ciant des apports de la recherche mthodologique
internationale.
Matthieu Grall continue en nuanant la critique, parfois
faite dabsence de scnarios : Ebios permet de
construire des scnarios de risques personnaliss
partir des diffrents lments dont ils sont composs
(biens, menaces, vulnrabilits...) et de dterminer
les mesures de scurit ncessaires et suffisantes
pour couvrir ces risques. Ebios met donc l'accent sur
les dcisions que les responsables doivent prendre
lors de la mise en place d'un systme de manage-
ment, l'laboration d'une politique de scurit, la
rdaction d'un cahier des charges, la conception d'un
tableau de bord, la cration d'un dossier de
scurit...
Matthieu Grall compare et conclut : Mhari part de
scnarios de risques types et vrifie que les meilleures
pratiques destines traiter ces risques sont bien
mises en uvre. Mhari cherche donc plus sappuyer
sur les mesures de scurit et sur l'amlioration de la
scurit grce leur mise en place. Au final, les experts
Ebios
[1]
est une mthode
dapprciation des risques labore
par la DCSSI
[2]
. Elle comporte cinq
tapes dtudes du contexte du SI,
de ses besoins de scurit, des
menaces auxquelles elle doit faire
face, pour en dduire des objectifs
et des exigences de scurit.
Ebios procde une dcomposition
du systme tudi en lment de
base pour examiner les besoins de
scurit, les menaces et les
vulnrabilits que pourraient
exploiter un attaquant. Ebios
dispose de rfrentiels
consquents permettant de viser
lexhaustivit dune tude
dapprciation des risques. Elle ne
comprend pas de jeux de scnarios
dj tablis, comme la mthode
Mhari, mais permet de les
construire. Ebios peut tre appliqu
pour un systme dinformation
complet, mais aussi pour la
scurit dun lment particulier.
Une nouvelle version est en cours
de finalisation au sein du club Ebios
afin daligner la dmarche de
ltude sur les normes ISO27001,
27005 et 31000. Les habitus
remarqueront que ltape 2
(expression des besoins) regroupe
tout le travail faire avec les
utilisateurs, y compris une rflexion
sur la source des menaces qui tait
dans ltape 3 de la prcdente
version. Celle-ci devient ainsi une
analyse technique des vulnrabilits,
dans laquelle les utilisateurs
prennent peu parti. Ebios 27005
propose une dmarche itrative
danalyse des risques et de leur
traitement. Les risques rsiduels
sont ainsi examins plusieurs
reprises, avant et aprs couverture
des risques, pour tre finalement
proposs lacceptation dune
direction. I
>
EBIOS V2 ET EBIOS 27005: UNE VOLUTION
DANS LA CONTINUIT DUNE MTHODE
DAPPRCIATION DES RISQUES
[1]
Expression des besoins et
identification des objectifs de
scurit voir
www.ssi.gouv.fr/fr/confiance/E
biospresentation.html.
[2]
Direction centrale de la
scurit des systmes
dinformation, entit du
secrtariat gnral la
Dfense nationale dans les
services du Premier ministre.
...
...
O S S I E R
N21 42
D
SMSI : Systme de Management
de la Scurit de lInformation
pourront indiffremment utiliser lune ou lautre
mthode en toutes circonstances.
Les projets et les certifications
SMSI en France
La mise en uvre dun SMSI certifi ISO27001
[4]
ne
peut se faire quaprs une tape dapprciation des ris-
ques. Elle apporte une dmarche de qualit dans la
gestion de la scurit de linformation.
Pourtant, note Jean-Pierre Lacombe, si la logique de
mise en place dun ISMS
[5]
devient de plus en plus
effective, force est de constater que la France compte
peu de socits certifies. Les DSI ont encore besoin
de temps pour sapproprier ce standard avant denvi-
sager une certification. Les motivations pour une cer-
tification diffrent culturellement selon les pays. Si le
cot de mise en uvre dun ISMS se justifie par la
rationalisation des pratiques de scurit et la mise en
place dun processus scurit contrl, le cot de la
certification peut tre plus difficile expliquer
aujourdhui. Pour sa part, Laurent Treillard indique
avec enthousiasme que du point de vue de lauditeur,
le SMSI est utile car les procdures indiquent les
actions accomplir et qui seront vrifier par la suite.
Les normes de la famille 27000 doivent tre
employes comme facilitateur puisque la trame de
dpart permet de sajuster selon lenvironnement du SI
et le contexte de son entreprise. Une dmarche
ISO27001 permet la mise en uvre dun cycle com-
plet, mature et homogne en scurit.
Grme Billois, manager scurit chez Solucom,
remarque : Nous venons tout juste de franchir le cap
des dix certifications 27001 de socits, alors que
lAllemagne en compte plus de cent. Cependant, nous
observons que de nombreuses socits sont en
cours de certification. La fin de lanne 2008 et le
dbut 2009 marqueront les premires grandes
annonces. Il reste souvent une certaine mconnais-
sance de la norme et limpression que celle-ci est
impossible mettre en uvre sans un fort niveau de
Ces normes ISO publies en 2005 reprennent
les travaux de la norme ISO17799, qui elle-mme
est issue du BS7799-1 et BS 7799-2 pour
lISO27001
[1]
. Pour Thierry Jardin, partner de
Logica Management Consulting
[2]
, la norme
ISO27001 est une dmarche damlioration
continue de la protection de ses informations, ou
boucle vertueuse. Celle-ci se base sur :
un engagement clair de la direction pour
grer la scurit de linformation ;
une identification des processus concerns ;
une mesure de lefficacit, avec des processus
daudit interne et de reporting la direction pour
mise en uvre de mesures correctives, si besoin est ;
une gestion documentaire rigoureuse.
Cela concerne linformation de lentreprise,
qui est un actif, et va au-del des seuls enjeux
du systme dinformation. Il faut pour cela se
baser pralablement sur une apprciation des
risques. Les grandes tapes pour faire certifier
une entreprise ISO 27001 consistent :
dfinir le primtre du SMSI ;
apprcier les risques sur ce primtre ;
slectionner les mesures de scurit appliquer
issues lannexe A de la norme ISO 27001 ;
les mettre en uvre dans le cadre dun plan
de traitement des risques, notamment en
sensibilisant et en formant les utilisateurs ;
dfinir des indicateurs et laborer les tableaux
de bord pour mesurer lamlioration ;
organiser des revues de direction et prendre
les mesures adquates en fonction
de la situation observe.
La norme ISO 27002 constitue davantage
un guide de bonnes pratiques structur en
11 chapitres et totalisant 133 mesures de scurit.
Elle ne comporte pas dexigences, mais des
recommandations proposes lentreprise. I
>
ISO27001 ET ISO27002 : EXIGENCES
POUR UN SMSI ET GUIDE DE BONNES PRATIQUES
[1]
manant du British Standard
Institute.
[2]
Voir la Web TV propose par
Logica, interview de Thierry Jardin
sur le SMSI - www.yourpotential.tv
/permalink/5796/reload.aspx.
[4]
Voir encadr page 37.
[5]
Traduction de langlais
du SMSI.
...
...
D
O
S
S
I
E
R
maturit. Cette ide est totalement fausse.
LISO27001 permet de dmarrer progressivement et
sur des bases prennes. La certification demande
effectivement beaucoup defforts, mais lISO27001
peut tre applique sans viser cette reconnaissance
externe.
Matthieu Grall prcise pour sa part que les adminis-
trations s'inspirent de plus en plus des principes de
l'ISO 27001 qui constituent un cadre de bon sens pour
grer la scurit de l'information en visant une am-
lioration continue des pratiques. Les outils mthodolo-
giques habituellement utiliss dans le secteur public
s'inscrivent parfaitement dans ce cadre. Cela se
reflte dans le rfrentiel gnral de scurit
(RGS)
[6]
que les autorits administratives devront pro-
chainement appliquer.
La logique de lISO27001 se rapproche des processus
rglementaires que les administrations mettent en
uvre : notamment pour l'homologation des systmes.
Nanmoins, les tapes et les livrables diffrent sensible-
ment. Cette incompatibilit constitue sans doute un frein.
Le besoin de certification est pour sa part trs peu
exprim. La priorit concerne la confiance envers les pro-
duits de scurit et les prestataires de services. La certi-
fication selon l'ISO27001, faite pour garantir qu'un ser-
vice est en position de s'amliorer continuellement en
matire de scurit de l'information, ne rpond pas ce
besoin. En France, il existe pour cela de nombreuses solu-
tions appropries : certification de produits, labellisation
de personnes, homologation de systmes... Le cas le plus
intressant pour dvelopper une certification selon
l'ISO27001 pourrait tre celui de services externaliss.
[1]
Disponible sur
www.iso.org/iso/fr/catalogu
e_detail?csnumber=41298.
[2]
Groupement pour la
modernisation du systme
dinformation hospitalier.
[3]
voir www.synergies-
publiques.fr/rubrique.php?i
d_rubrique=71.
[6]
Une version de travail
du RGS est publie sur
Internet : www.synergies-
publiques.fr/IMG/pdf/070
531_RGS_draft_0_096e
-2.pdf.
Diffrents secteurs dactivits ont
prouv le besoin dlaborer des
normes sectorielles, adaptes
une activit particulire. Par exemple,
les oprateurs de tlcom-
munications avec lISO 27011, les
professionnels de sant avec lISO
27799, etc. Certains experts
redoutent une explosion de normes
napportant rien dutile et
sopposent une multiplication
dbride de celles-ci. Yannick
Kereun nous explique lintrt
dune norme ISO 27799 pour les
professionnels de sant
> UNE DCLINAISON POUR LE
SECTEUR DE LA SANT AVEC LA
NORME ISO/CEI 27799:2008
La norme ISO/CEI 27799:2008
("Gestion de la scurit de
l'information relative la sant
en utilisant l'ISO/CEI 27002:2005"),
parue en juin dernier
[1]
, est
destine aux organisations
dpositaires de donnes
personnelles de sant.
Elle a t homologue norme
franaise NF EN ISO 27799:2008
le 13 septembre 2008 et devient
donc opposable aux tiers en droit
franais. Dans ce secteur, la
continuit et la qualit des soins
reposent de plus en plus sur les
systmes dinformations. Ceux-ci
doivent garantir la scurit du
patient, le respect de sa vie prive
et l'efficacit des soins mdicaux
qui lui sont apports. Plusieurs
mesures de scurit taient
essentielles ; l'ISO27799 rend ainsi
obligatoire l'implmentation de plus
d'une vingtaine de mesures,
essentiellement tires du guide de
bonnes pratiques ISO 27002 en
faisant des exigences. Au-del des
dispositions de cette norme, il faut
prendre en compte les rglements
et lois en vigueur : par exemple, en
France, un dcret de mai 2007
rend obligatoire lusage de la carte
CPS pour tout accs par des
professionnels (mdecins,
infirmires, etc.) des donnes
personnelles de sant.
Le GMSIH
[2]
a retenu l'ISO 27799
(avant mme quil ne soit finalis)
dans ltude de dclinaison du
rfrentiel gnral d'interoprabilit
(RGI)
[3]
et de dmarche d'laboration
des rfrentiels de sant.
Au-del de prcisions utiles sur le
principe de gouvernance mixte
mdical/ administratif, du chapitre
7 (mesures obligatoires ou non) et
de lannexe A donnant un aperu
des menaces pesant sur les
informations de sant, la norme
reformule les principes dj
clairement dcrits dans lISO
27001. A mon sens, et comme nous
le conseillons nos clients (plates-
formes rgionales de sant,
hpitaux), les organisations grant
des donnes de sant devraient
dj appliquer lISO 27001 pour
tirer bnfice de la gnricit
de ses concepts et de ses
mthodes ; lISO 27799 reste
toutefois un rfrentiel utile
pour les personnes moins
familires avec les exigences
et contraintes du monde
de la sant. I
>
LES NORMES SECTORIELLES DE LA FAMILLE 27000
...
...
N21 43
DO S S I E R
N21 44
SMSI : Systme de Management
de la Scurit de lInformation
Jean-Pierre Lacombe nuance pour sa part avec humour:
La logique de ces normes est de mettre en place une
logique damlioration continue ; le minimum est donc
damliorer galement de manire progressive les
rfrentiels. Plus srieusement, il convient dapporter
des claircissements dans ISO27001, en particulier
sur les notions de politique de management et de poli-
tique de scurit qui sont mal comprises ; il convient
galement dadapter les pratiques de ISO27002 aux
volutions technologiques (nomadisme par exemple),
ou de mettre en cohrence la liste de pratiques et les
mtiers des organisations (exploitation, administra-
tion, production, etc.). Cest dailleurs lune des raisons
pour lesquelles Fidens simplique depuis sa cration
dans les travaux normatifs de lAfnor et de lISO.
Concrtement, est-il difficile de mettre en uvre les
exigences de la norme 27001? Cela dpend de la matu-
rit de lentreprise ou de ladministration, prcisent nos
experts. Seuls les organismes les plus matures en
scurit de l'information leur paraissent aptes mettre
en uvre un systme de management comme celui
dfini dans l'ISO27001.
Par ailleurs, Matthieu Grall fait remarquer que la certifi-
cation selon l'ISO 27001 pourra se baser sur le texte
homologu en tant que norme franaise, dont la traduc-
tion sera reconnue comme rfrence, et non sur la ver-
sion anglaise de l'ISO 27001. Une certification franaise
ISO 27001 devient donc, en droit franais, opposable aux
tiers: en cas de litige, on ne peut pas demander une
entreprise ainsi certifie de prouver quelle na commis
aucune ngligence ; on doit apporter la preuve a priori de
ses erreurs ou renoncer au litige. Grme Billois conclut
pour sa part que la norme ISO27001, et en particulier le
SMSI, permet datteindre ce que la gouvernance classique
de scurit prcdente navait pas pu faire, notamment
une vritable mesure de lefficience, une adaptation entre
les risques et les cots, et si on le souhaite, une recon-
naissance externe et interne travers la certification.
Il faut faire un tri dans les 133
mesures de lISO27002
Tous nos experts saccordent pour dire que ltape ini-
tiale dapprciation des risques doit permettre des hi-
rarchiser les besoins de protection de linformation
avec discernement. Laurent Treillard indique prudem-
ment, mais fort justement, que le rfrentiel
ISO27002 et ses 133 mesures de scurit est utilis
comme repre selon les thmes de scurit abords
dans les projets.
Matthieu Grall, pour sa part, ne mche pas ses mots et
enfonce le clou en affirmant que l'ISO27002 doit tre
utilis comme un simple catalogue de mesures de
scurit dans lequel il est possible de slectionner des
La mthode Mhari a t
dveloppe par le Clusif
[1]
. Comme
toute mthode dapprciation
des risques, elle confronte les
enjeux critiques de lentreprise
aux vulnrabilits pour identifier
les risques inacceptables.
Elle comprend des questionnaires
daudit complets des
vulnrabilits rparties en 12
thmes et un ensemble de
scnarios permettant dapprcier
les risques du systme
dinformation de lentreprise.
Trs pragmatique, cette mthode
demande un travail avec les
utilisateurs pour tablir une
photographie du SI. Elle est en
revanche peu adapte une
tude de scurit dtaille
dun lment technique isol.
La version 2007 tablit un
chanage avec les mesures
de scurit du guide de bonnes
pratiques ISO 27002. Elle est
conue pour sinsrer dans une
dmarche SMSI 27001. Le Clusif
travaille, par ailleurs,
sur la prochaine version 2009 de
Mhari, plus proche encore de
lISO 27005, et plus approfondie
la fois pour les services de
scurit mais aussi quant aux
scnarios de risque. Cette
nouvelle version mettra en
vidence les exigences de la
norme ISO 27001. Depuis leur
mise en ligne gratuite sur le site
du Clusif, dbut 2008, les bases
de connaissances de Mhari ont
t tlcharges plus de 10 000
fois depuis plus de 100 pays. I
>
MHARI 2007 : UNE APPROCHE PRAGMATIQUE PAR
QUESTIONNAIRES, JEUX DE SCNARIOS ET CORRESPONDANCE
AVEC LES 133 MESURES DE SCURIT DE LISO27002
[1]
Club de la scurit de
l'information franais
regroupant un grand nombre
dentreprises franaises
et trangres
www.clusif.asso.fr.
...
...
D
O
S
S
I
E
R
solutions types pour traiter des risques pralablement
apprcis. Ceux qui imaginent encore qu'il faut mettre
en uvre toutes les mesures de scurit de
l'ISO 27002 sont heureusement de plus en plus
rares. De tels exemples existent pourtant... Grme
Billois va dans le mme sens et prcise que les acti-
vits de commerce lectronique ou encore de dvelop-
pement ne sont pas toujours prsentes dans les entre-
prises et nont donc pas lieu dentrer dans la dclara-
tion dapplicabilit.
Thierry Jardin, partner de Logica Management
Consulting
[7]
, ne dit pas autre chose en affirmant
quune dmarche SMSI a intrinsquement un objec-
tif de retour sur investissement en slectionnant, lors
de ltape dapprciation des risques, les mesures de
scurit rellement utiles. Et Matthieu Grall confirme
en indiquant que le rfrentiel tend aujourdhui une
utilisation plus approprie que lors de sa publication.
L'ISO27001 impose quune apprciation des risques
soit ralise. Lensemble de mesures de scurit de
lISO27002 ne correspondant aucun risque, des
risques accepts par la direction lors de la revue, ou
des risques rsiduels issus du plan de traitement de
risques et na pas besoin dtre couvert par des pro-
tections onreuses. Cest tout lintrt de la dclara-
tion d'applicabilit des mesures de scurit contenue
dans l'ISO 27001. I
...
[7]
Voir encadr ISO 27001 et 27002.