R�sum� : Le livre de Alexandre Fernandez-Toro de la soci�t� HSC a r�cemment �t� r��dit�, tous les exemplaires de la pr�c�dente �dition ayant �t� vendus. Il d�crit la mise en place d�un SMSI et l�audit de certification.
La norme ISO 27001 permet de formaliser les bonnes pratiques en mati�re de s�curit� de l�information et applique � la s�curit� les principes de la qualit�. Elle permet aussi de mettre en lumi�re toutes ces bonnes pratiques, de nombreuses entreprises ayant int�r�t � �tre certifi�es pour des raisons tant commerciales (�tablir la confiance) que juridiques (Sarbanes-Oxley, Bale II, assurances �).
Le livre d�Alexandre Fernandez-Toro, intitul� � Management de la s�curit� de l�information � et paru aux �ditions Eyrolles d�taille de mani�re extensive la mise en place d�une telle certification. Apr�s une partie introductive sur les diff�rentes normes ISO de la s�rie 27000, l�ouvrage consacre une partie importante � la mise en place d�un SMSI (syst�me de management de la s�curit� de l�information). Les diff�rentes �tapes (choix du p�rim�tre, appr�ciation des risques, documentation �) de la d�marche � adopter lors de la mise en place d�un projet ISO 27001 sont abord�es, et enrichies d�exemples pratiques puis�s dans les exp�riences concr�tes de l�auteur en tant que consultant. De nombreuses erreurs courantes (et � �viter) sont �galement recens�es.
La troisi�me partie de l�ouvrage traite de l�audit des SMSI. En effet, les entreprises certifi�es ISO 27001 doivent �tre r�guli�rement audit�es pour conserver leur certification. C�est ce m�canisme qui assure la confiance. Les entreprises certifi�es sont tenues de sp�cifier des indicateurs (non pr�cis�s par la norme) qui permettront de mesurer la fiabilit� du syst�me. Il est donc essentiel de choisir avec attention ces mesures. La norme ISO 27004, facultative et toujours en cours de discussion, d�finit cette phase. Si la dur�e initiale de la certification est de 3 ans, un audit est r�alis� tous les ans, voire deux fois par an. Les organismes de certification doivent quant � eux se conformer aux normes ISO 17021 et 27006. Ils sont eux-m�mes accr�dit�s et contr�l�s par une autorit� d�accr�ditation (il en existe une par pays). Fait int�ressant, tous les audits peuvent se d�rouler simultan�ment (un auditeur audite une soci�t� et est lui-m�me audit� par un organisme de certification qui est lui-m�me audit� par l�organisme d�accr�ditation, tout cela simultan�ment).
Le probl�me de la confiance � accorder aux certifications est �galement abord�. En effet, une entreprise peut �tre certifi�e sur un p�rim�tre restreint uniquement (par exemple la gestion de la relation client, ou le support �). A l�inverse une certification de l�int�gralit� d�une entreprise, � l��chelle d�une multinationale, entra�ne une impossibilit� d�auditer l�ensemble de l�organisation en m�me temps. Certaines filiales peuvent ainsi ne pas �tre conformes, alors que l�entreprise est certifi�e.
Au final, le livre d�Alexandre Fernandez-Toro d�friche avec brio le sujet ardu de la norme ISO 27001, en apportant de nombreux exemples et une r�daction claire et soign�e.
[ Management de la s�curit� de l�information � Impl�mentation ISO 27001 � Mise en place d�un SMSI et audit de certification 2�me �dition � ISBN 978-2-212-12622-8 � Editions Eyrolles ]
|
