La soci�t� Codasystem vient d��tre certifi� ISO/IEC 27001, preuve de la s�curit� de ses processus. Le CRP Henri Tudor l�a accompagn� dans la voie de la certification.
La s�curit� de l�information est devenue une pr�occupation importante au sein des entreprises. Dans un contexte r�glementaire de plus en plus contraignant en mati�re de ma�trise des risques et pour r�pondre � une forte pr�occupation des clients, la mise en place d�un syst�me de management de la s�curit� de l�information (SMSI) s�impose petit � petit comme une r�ponse probante. En effet, l�organisation internationale de normalisation (ISO) a publi� en 2005 la norme ISO/IEC 27001 qui d�finit les bonnes pratiques pour la s�curit� des syst�mes d�information. L�ISO succ�de au British Standard Institute (BSI), qui fut, en 1995, le premier organisme � publier une norme dans ce domaine. Il est donc aujourd�hui possible de faire certifier son organisation pour apporter la preuve de la s�curit� des processus de l�entreprise et accro�tre la confiance de ses clients.
C�est le choix qu�a fait la soci�t� Codasystem, jeune PME d�une dizaine d�employ�s, cr��e en 2001. L�activit� de cette entreprise, situ�e au Technoport d�Esch-sur-Alzette, repose sur la cr�ation d�originaux de photos num�riques, qui ne peuvent �tre modifi�s et qui sont conserv�s dans des conditions de s�curit� en garantissant l�int�grit�. Ainsi, Codasystem offre la possibilit� � ses clients de prendre des photos avec un smartphone, puis en assure le traitement, de mani�re � donner force probante et permettre l�opposabilit� � des tiers. Le mat�riel et le logiciel forment une solution homog�ne et l�gale qui certifie le document, sa date de cr�ation et sa localisation. Ma�trisant pour cela chacun des maillons de la cha�ne depuis la cr�ation du document, jusqu�� son archivage, en passant par sa diffusion au destinataire final. C�est donc la sp�cificit� de son activit� et ses enjeux en termes de s�curit� des informations trait�es qui ont d�cid� Codasystem � se lancer, d�but 2007, sur la voie de la certification ISO/IEC 27001. De son c�t�, le CRP Henri Tudor s�int�resse de longue date � la s�curit� des syst�mes d�information. Ainsi, dans le cadre de ses projets de recherche Cassis S�curit� et Information Security Management System pour PME (ISMS_PME), en partenariat avec le Minist�re de l�Economie et du Commerce Ext�rieur, le concept de normes comme un �l�ment moteur de l��conomie du savoir est promu. Il vise � proposer aux PME un outil adapt� leur permettant de d�ployer leur syst�me de management de la s�curit� de l�information. Le CRP Henri Tudor, qui participe par ailleurs aux travaux du JTC1 (Joint Technical Committee) de r�vision de la norme ISO/IEC 27001, a donc trouv� chez Codasystem l�opportunit� de tester sa d�marche sur une PME luxembourgeoise du secteur IT et qui pr�sentaient de fortes contraintes de s�curit�.
L�exp�rimentation s�est d�roul�e en 8 �tapes:
- Constitution et formation de l��quipe projet,
- Sensibilisation du personnel,
- Identification des processus cl�s, des actifs correspondants,
- Evaluation des risques associ�s,
- Elaboration de la politique et du plan de traitement,
- R�daction des principaux documents du syst�me de management (proc�dures, enregistrements, fiches de fonction),
- Traitement des risques et audit interne,
- Audit externe et certification.
L�entreprise a pass� avec succ�s l�audit final au mois de mai et a obtenu le certificat quelques temps apr�s. La r�ussite de cette exp�rimentation r�sulte de la capacit� de la m�thode � s�adapter aux sp�cificit�s d�une PME, notamment par la r�duction de la structure documentaire, la limitation du nombre de processus et la responsabilisation du personnel � toutes les �tapes. La d�marche s�est, de plus, appuy�e sur une �quipe dirigeante tr�s impliqu�e au quotidien dans le d�ploiement du syst�me, et sur une �quipe projet qui a toujours privil�gi� les solutions simples et pragmatiques pour convaincre le personnel. Du lancement du projet � l�audit final, 18 mois de travail ont �t� n�cessaires. Et � l�heure du bilan, plusieurs constats s�imposent. Pour Codasystem, si l�investissement a �t� tr�s important, l�implication de la direction, l��talement dans le temps et la mise � contribution de tous ont permis de maintenir la satisfaction des clients et d�assurer la gestion des affaires courantes. Les b�n�fices sont aujourd�hui au rendez-vous avec:
- une meilleure ma�trise des processus et des risques de l�entreprise,
- une approche proactive des incidents,
- un suivi continu des indicateurs cl�s du syst�me d�information.
Tous ces �l�ments s�ajoutent au certificat pour faire progresser et promouvoir la s�curit� de l'organisation et am�liorer la confiance des clients. Pour le CRP Henri Tudor, l�exp�rience a permis de tester, de renforcer et d�adapter sa m�thode de d�ploiement et le r�f�rentiel associ� destin� aux PME. La m�thode d�analyse des risques, le choix des processus, la documentation et la gestion du projet ont notamment fait l�objet d�une approche sp�cifique. Ainsi, le projet a grandement contribu� au d�veloppement d�un guide � usage des PME luxembourgeoises, qui doivent faire face � des menaces num�riques grandissantes, sans disposer des meilleures armes pour se prot�ger. Ce r�f�rentiel est en cours d�am�lioration, avec le concours de l'ANSIL (Association de Normalisation pour la Soci�t� de l'Information du Luxembourg), et plus particuli�rement de son groupe CNLSI (Comit� de Normalisation Luxembourgeois pour la S�curit� de l'Information), ainsi qu'avec d�autres phases d'exp�rimentation dans les mois � venir. Issu d�un projet fortement support� par le Minist�re de l�Economie et du Commerce Ext�rieur, le guide a vocation � �tre ensuite largement diffus� afin de contribuer � la sensibilisation des PME, � l�accroissement de la s�curit� de leurs informations et � la confiance des acteurs du march�.
Pour plus de renseignements sur le projet et sur les exp�rimentations � venir, vous pouvez contacter S�bastien Pineau (tel: +352 52 59 91 844 | e-mail: [email protected]) ou B�atrix Barafort (tel : +352 42 59 91 263 | [email protected]).
S�bastien Pineau (Ing�nieur R&D � CRP Henri Tudor) et
Nicolas Mayer (Ing�nieur R&D � CRP Henri Tudor)
|
