[Newsletter HSC] N°39 - Novembre 2007
Newsletter d'information de HSC
newsletter at hsc-news.com
Lun 5 Nov 17:17:28 CET 2007
========================================================================
HSC Newsletter -- N°039 -- Novembre 2007
========================================================================
"Le divorce n'est pas un honneur pour la femme."
[Euripide]
--[ Sommaire ]----------------------------------------------------------
1. Nouveau livre : "Management de la sécurité de l'information"
2. Formation "ISO 20000-1 Lead Auditor"
3. Formations ISO 27001 à Luxembourg, Rennes, Lyon, Toulouse, Nice, ...
4. Formation à Alger
5. Prochaines formations HSC
6. Agenda des interventions publiques
7. HSC à Infosecurity à Paris les 21 et 22 novembre 2007
8. Première conférence du Club 27001 "SMSI et normes 27001"
9. Tutoriels à Solutions Linux
10. Offres d'emploi : consultants sécurité ISO 27001
11. Nouveautés du web HSC
12. Veille en vulnérabilités HSC
13. La sécurité "au jour d'aujourd'hui" - H. Schauer
Conférence du Club 27001 aux Assises de la Sécurité à Monaco
--[ 1. Nouveau livre "Management de la Sécurité de l'Information" ]----
Premier livre français dédié aux Systèmes de Management de la Sécurité
de l'Information :
"Management de la sécurité de l'information"
"Implémentation ISO 27001 et audit de certification"
par Alexandre Fernandez-Toro
La sécurité a été pendant longtemps le parent pauvre de l'informatique.
Or, si on sait sécuriser des serveurs Unix et Windows, protéger des
routeurs et configurer finement les pare-feu, de nombreuses sociétés sont
encore victimes d'actes de malveillance, et pour cause ! Les mesures de
sécurité sont souvent déployées au jour le jour, sans orchestration ni
attachement aux besoins réels de l'entreprise. C'est pourquoi, il est bien
souvent nécessaire de mettre en place un Système de Management de la
Sécurité de l'information (SMSI).
La norme ISO 27001
La norme ISO 27001 permet aux entreprises de démontrer à leurs clients
qu'ils ont mis en oeuvre de bonnes pratiques en matière de sécurité de
l'information. Cette norme comble l'opacité entre les mondes de la
direction, des méthodes et celui de la technique car elle impose la mise
en place d'un système de management de la sécurité de l'information
(SMSI). Par sa démarche, elle permet de justifier les investissements
indispensables à la protection du patrimoine informationnel. Elle
garantit le maintien dans la durée du niveau de sécurité acquis. Elle
facilite les échanges avec les auditeurs externes (SoX, Bâle II, Cour
des comptes, etc.). En somme, elle est le ciment qu'il manquait pour
sortir la SSI de sa bulle et la faire entrer dans une gouvernance globale.
Le livre "Management de la sécurité de l'information"
Cet ouvrage est une aide à la compréhension et l'application des normes
ISO 27001 et ISO 27002, qui se sont imposées comme références pour
l'organisation de la sécurité des systèmes d'information par la mise en
oeuvre d'un processus SMSI. S'appuyant sur notre expérience chez HSC,
cet ouvrage explique la démarche à suivre pour mettre en place un SMSI,
en insistant sur les pièges à éviter. Il est également un guide précieux
pour préparer l'audit de certification ISO 27001 d'un SMSI.
À qui s'adresse ce livre ?
Cet ouvrage est destiné à tous les responsables sécurité des grands
comptes et des PME, ainsi qu'à leurs équipes, et aux chefs de projet chargés
de mettre en place un système de management de la sécurité. Il est également
très utile aux métiers connexes, par exemples les équipes de production
et les professionnels d'ITIL désirant approfondir le volet sécurité,
aux spécialistes de la gouvernance des SI, et enfin à tous les services
contrôle interne, ou qualité, donc aux qualiticiens désirant élargir
leurs compétences dans les SMSI ou à tous les auditeurs dans le domaine
de la conformité (financière, légale, etc.).
L'auteur Alexandre Fernandez-Toro
Alexandre Fernandez-Toro est consultant en sécurité depuis 7 ans et
dirige les activités ISO 27001 au sein d'HSC. Il est auditeur de
certification et conseille ses clients dans la mise en place des Systèmes
de Management de la Sécurité de l'Information (SMSI) et la gouvernance de
la sécurité des SI.
Ancien professeur associé à l'Université, il conçoit et assure les
formations HSC relatives aux systèmes de management en sécurité depuis
2004, en combinant ses qualités pédagogiques à sa double expérience
d'assistance pour la mise en oeuvre des SMSI et d'auditeur de certification.
Alexandre Fernandez-Toro était auparavant responsable de production dans un
environnement mainframe et il est ingénieur CNAM.
Séance de dédicaces le mercredi 21 novembre 2007 à 17h30
A l'occasion de la sortie du livre, Alexandre signera son ouvrage
lors d'une séance de dédicaces sur le stand HSC E.3 au salon Infosecurity
au CNIT Paris-La Defense le mercredi 21 novembre à 17h30. A titre
exceptionnel, l'ouvrage sera vendu sur le stand d'HSC, pour permettre
à tous ceux qui ne l'auront pas acquis dans le commerce de profiter
de la séance.
--[ 2. Formation "ISO 20000-1 Lead Auditor" ]---------------------------
Profitant de son expérience sur l'audit des SMSI d'une part, et de
son expérience ITIL d'autre part, HSC lance en 2008 une nouvelle formation
certifiante : "ISO 20000-1 Lead Auditor" ou responsable d'audit ISO 20000-1.
La norme ISO 20000-1 s'appuie sur ITIL (Information Technology Infrastrucure
Library), ensemble de bonnes pratiques en matière de gestion des services
informatiques, et formalise ITIL sous forme de Systèmes de Management,
permettant une certification comme pour la qualité (ISO 9000) ou la
sécurité de l'information (ISO 27000). Ce nouveau système de management
est complémentaire aux autres, et il est architecturé de manière identique
avec un guide de bonnes pratiques : ISO 20000-2, qui complète la norme
ISO 20000-1, qui elle construit les PDCA (Plan-Do-Check-Act).
Afin de démontrer à leur hiérarchie, comme à leurs utilisateurs ou clients,
la pertinence des processus mis en place pour rendre un service
informatique de qualité, les directions des systèmes d'information (DSI)
ont tout intérêt à s'orienter vers la certification ISO 20000-1.
La formation ISO 20000-1 Lead Auditor vous permet de devenir auditeur
ou responsable d'audit pour les systèmes de management des services
informatiques des organisations, que ce soit pour les audits internes ou
les audits de certification.
La formation s'adresse aux personnes ayant la certification ITIL
foundations, et elle est sanctionnée par une certification délivrée
par LSTI, organisme de certification.
La première session à Paris aura lieu du 10 au 15 mars 2008.
Consultez le programme détaillé, les pré-requis, les informations sur les
formateurs de cette formation sur :
http://www.hsc.fr/services/formations/iso20000_la.html.fr
Pour tout renseignement et pour vous inscrire contactez Lynda Benchikh
formations at hsc.fr -- +33 141 409 704
--[ 3. Formations ISO 27001 à Luxembourg, Rennes, Lyon, Toulouse, Nice ]
Profitez et faites profiter des formations HSC en dehors de Paris,
en province, en Belgique, au Luxembourg et en Suisse.
Ces formations sont vendues au même prix qu'à Paris. Toutes ces
formations se déroulent dans un hôtel du centre ville, facilement
accessible, et dans lequel vous pouvez séjourner pour profiter
pleinement de la formation.
Toutes ces formations certifiantes sont sanctionnées par une
certification reconnue dans le monde entier, délivrée par LSTI,
accrédité par le COFRAC (dossier n° 04-0091) pour les certifications
ISO 27001 Lead Auditor depuis juin 2007, et ISO 27001 Lead Implementer
depuis octobre 2007.
- Luxembourg
Responsable d'audit ISO 27001 ..... : 12 au 16 novembre
- Rennes
ISO 27001 Lead Auditor ............ : 26 au 30 novembre
ISO 27001 Lead Auditor ............ : 3 au 7 mars 2008
- Lyon
ISO 27001 Lead Auditor ............ : 3 au 7 décembre
- Toulouse
ISO 27001 Lead Auditor ............ : 4 au 8 février 2008
- Luxembourg
ISO 27001 Lead Auditor ............ : 11 au 15 février 2008
- Nice
ISO 27001 Lead Auditor ............ : 30 juin au 4 juillet 2008
- Lausanne
ISO 27001 Lead Auditor ............ : 23 au 27 juin 2008
- Nantes
ISO 27001 Lead Auditor ............ : septembre 2008
Pour tout renseignement contactez Lynda Benchikh
formations at hsc.fr -- +33 141 409 704
Pour les formations à Luxembourg contactez Irina Neagu :
seminars at pt-consulting.lu ---- http://www.ptc.lu/
Tél : +352 40 26 26 40 -- GSM : +352 621 317 335 -- Fax : +352 40 24 34
Pour les formations à Genève contactez Aurélie Pernet :
sales at idsa.ch -- +41 22 879 8550 -- Fax : + 41 22 793 8632
http://www.idsa.ch/
--[ 4. Prochaines formations HSC ]--------------------------------------
Des places sont disponibles sur les modules suivants :
- Paris
ISO 27001 Lead Auditor ............ : 10 au 14 décembre
ISO 27001 Lead Auditor ............ : 14 au 18 janvier 2008
Sécurité Internet/Intranet ........ : 24 au 25 janvier
Responsable d'implémentation ISO 27001 : 28 janvier au 1er février
Sécurité TCP/IP ................... : 28 au 30 janvier
Sécurité des serveurs web ......... : 31 janvier au 1er février
Sécurité Unix/Linux ............... : 4 au 5 février
Sécurité Windows .................. : 6 au 7 février
Sécurité des réseaux sans fil ..... : 8 février
DNS ............................... : 18 février
Postfix ........................... : 19 février
Lutte contre le spam .............. : 20 février
ISO 20000-1 Lead Auditor .......... : 10 au 15 mars
Responsable d'implémentation ISO 27001 : 17 au 21 mars
Essentiel de la Série ISO 27001 ... : 27 et 28 mars
Certification ISO 27001 ........... : 31 mars
Indicateurs et tableaux de bord SSI : 31 mars
Gestion des mesures de sécurité ISO 27002 : 1 et 2 avril
Gestion des risques SSI (dont ISO 27005) : 3 et 4 avril
ISO 27001 Lead Auditor ............ : 7 au 11 avril
- Genève
Sécurité des réseaux sans fil ..... : 15 novembre
Sécurité de la VoIP ............... : 29 novembre
- Luxembourg
Responsable d'implémentation ISO 27001 : 12 au 16 novembre
ISO 27001 Lead Auditor ............ : 11 au 15 février 2008
- Lyon
ISO 27001 Lead Auditor ............ : 3 au 7 décembre
- Nantes
Sécurité TCP/IP ................... : 3 au 5 mars
Sécurité des serveurs web ......... : 6 au 7 mars
Sécurité Windows .................. : 10 au 11 mars
Sécurité VoIP/ToIP ................ : 12 février
Sécurité des réseaux sans fil ..... : 13 février
- Nice
ISO 27001 Lead Auditor ............ : 30 juin au 4 juillet
- Rennes
ISO 27001 Lead Auditor ............ : 26 au 30 novembre
- Toulouse
ISO 27001 Lead Auditor ............ : 4 au 8 février 2008
Pour tout renseignement contactez Lynda Benchikh
formations at hsc.fr -- +33 141 409 704
Pour les formations à Luxembourg contactez Irina Neagu :
seminars at pt-consulting.lu ---- http://www.ptc.lu/
Tél : +352 40 26 26 40 -- GSM : +352 621 317 335 -- Fax : +352 40 24 34
Pour les formations à Genève contactez Aurélie Pernet :
sales at idsa.ch -- +41 22 879 8550 -- Fax : + 41 22 793 8632
http://www.idsa.ch/
Rappel : pour 4 jours de formation consécutifs commandés
simultanément par la même personne, le 5ème jour est offert (sauf
formations certifiantes).
Retrouvez le détail de nos formations (plan pédagogique, agenda) ainsi que
notre catalogue sur http://www.hsc.fr/services/formations/index.html.fr
--[ 5. Formation ISO 27001 à Alger ]------------------------------------
NT2S (www.nt2s.com) reprend l'organisation de formations et une
formation ISO 27001 assurée par HSC à l'hôtel Sofitel d'Alger (Algérie)
les 29 et 30 décembre 2007.
La formation est "L'essentiel de la série ISO27001" dont le détail
figure sur :
http://www.hsc.fr/services/formations/essentiel_iso27001.html.fr
Coût de la formation : 48 000 dinars par personne (soit environ 500 euros)
Organisateur : NT2S (http://www.nt2s.com/)
Prix de chaque formation : 57 000 dinars
Contact : Sofiane Saadi, nt2s at yahoo.fr -- Tel : +213 21 67 86 14
--[ 6. Agenda des interventions publiques ]-----------------------------
- 8 novembre 2007 : Conférence Droit de l'informatique et des nouvelles
technologies par le cabinet Alain Bensoussan Avocats, organisé par
Publi-News - Paris
"Management de la sécurité" - Hervé Schauer
http://lien.dolist.net/id.asp?l=56226-5008136-70393-807-0
- 21 novembre 2007 : Tutoriel organisé dans le cadre d'Infosecurity
France 2007 par Reed Exhibition - CNIT, Paris La Défense
"Sécurité de la voix sur IP" - Guillaume Lehembre et Olivier Dembour
http://www.hsc.fr/conferences/reed2007_securite_voip.html.fr
- 21 novembre 2007 : Conférence "SMSI et normes ISO 27001" organisée dans
le cadre d'Infosecurity France 2007 par le Club 27001
Animation par Hervé Schauer et Eric Doyen
- 21 novembre 2007 : Forum PHP 2007 organisé par l'AFUP
Forum PHP 2007 - Paris
"Audit de code, retour d'expérience" - Nicolas Collignon et Louis
http://www.afup.org/pages/forumphp2007/sessions.php
- 22 novembre 2007 : Tutoriel organisé dans le cadre d'Infosecurity
France 2007 par Reed Exhibition - CNIT, Paris La Défense
"Sécurité des Webservices" - Louis Nyffenegger
http://www.hsc.fr/conferences/reed2007_securite_webservices.html.fr
Retrouvez l'agenda de nos interventions publiques sur
http://www.hsc.fr/conferences/agenda.html.fr
--[ 7. HSC à Infosecurity France 2007 ]--------------------------------
HSC sera présent pour la seconde fois à Infosecurity France 2007 au
CNIT Paris La Défense (http://www.infosecurity.com.fr/).
Venez nous rencontrer sur notre stand E.3.
*******************************************************
Exceptionnel : tirage au sort !
Gagnez un cadeau surprise d'une valeur de 150 euros
Venez déposer sur notre stand votre carte de visite
*******************************************************
(tirage au sort réservé aux professionnels de la SSI)
(Règlement déposé chez maître Florence Huguet-Joannou)
- Un consultant HSC et le responsable commercial étudieront vos projets
- Profitez d'une offre exclusive salon : réduction de 10% sur le
catalogue 2007 des formations commandées sur place
- Achetez le livre d'Alexandre Fernandez-Toro "Management de la sécurité
de l'information" et faites dédicacer votre exemplaire par l'auteur
le mercredi 21 novembre à 17h30
Cette année encore, HSC propose 2 tutoriels en exclusivité :
-> "Sécurité de la Voix sur IP" le 21 novembre
http://www.hsc.fr/conferences/reed2007_securite_voip.html
Ce tutoriel d'une journée présentera les aspects sécurité des
différents protocoles sans revenir sur les bases protocolaires.
Il abordera les risques de certains softphones très répandus.
De bonnes pratiques en vigueur seront détaillées afin d'implémenter
des architectures sécurisées, des attaques VoIP pratiques et
réalisables seront décrites tout comme les moyens de s'en protéger.
Ces exemples d'attaque s'appuieront sur l'expérience de tests
d'intrusion effectués par HSC.
-> "Sécurité des Webservices" le 22 novembre
http://www.hsc.fr/conferences/reed2007_securite_webservices.html
Comprenez de manière exhaustive et concrète les
mécanismes qui sont derrière "SOA" ou Webservices, et leurs
implications pour la sécurité. Le sujet sera traité de manière
indépendante des fournisseurs, en détaillant les technologies
une par une avec des exemples et des démonstrations.
Organisateur : Reed Exhibitions
Prix pour chaque tutoriel : 650 euros HT
Contact pour vous inscrire : Sandrine.Jean at reedexpo.fr
Tél : +33 (0)147 566 545 -- Fax : +33 (0)147 566 547
--[ 8. Première conférence du Club 27001 "SMSI et normes 27001" ]------
Le Club 27001 (http://www.club-27001.fr/) organise sa première conférence
annuelle sur l'ensemble de la série des normes ISO 27001 le 21 novembre
2007 au CNIT Paris-La-Defense dans le cadre du salon Infosecurity.
Le programme en cours de finalisation est le suivant :
8h30 : Accueil
9h00 : SMSI et normes ISO 27001, introduction et perspectives par
les membres du Club 27001
9H45 : Retour d'expérience d'un certifié (en cours de confirmation)
10h30 : pause
11h00 : Retour d'expérience sur la mise en oeuvre d'un SMSI
. Luc Petitpré, RSSI, Crédit Mutuel Nord Europe
11h45 : L'approche ISO 27001 au sein du GIE Systalians de Réunica Bayard.
. Emmanuel Garnier, RSSI, Systalians (Reunica-Bayard)
12h30 : Repas
14h00 : Mise en place d'une méthode d'appréciation des risques SI à partir
des normes ISO 27001 et 27002 et des méthodes EBIOS et Méhari
. Rene Khanh, Responsables Méthodes à la DSI, AREVA
14h45 : ISO 27001 : conformité oui, certification ?
. Eric Wiatrowksi, Orange-FT
15h30 : pause
16h00 : Intégration de l'ISO 27001 dans le Référentiel Général de Sécurité
(RGS)
. Alain Gallet, DCSSI (en cours de confirmation)
16h45 : Table-ronde ""Apport de l'ISO27001 à la démarche SSI en entreprise"
Animée par Alexandre Fernandez, auteur du livre "Management de
la Sécurité de l'Information", avec
- Fabrice Bru, RSSI, Danone
- Eric Doyen, RSSI, Crédit Immobiliers
- Jean-François Louapre, RSSI, AG2R
- Lazaro Pejsachowicz, RSSI, CNAM-TS
- Et les intervenants de la matinée
17h30 : conclusion
Inscription : 300 euros HT, au lieu de 650 euros HT, en s'inscrivant
auprès d'Infosecurity avec le bulletin disponible sur le site du Club 27001 :
http://www.club-27001.fr/supports/Inscription-Infosecurity-Club-27001.pdf
Contact : conference at club-27001.fr
--[ 9. Tutoriels à Solutions Linux ]-----------------------------------
HSC sera présent lors de Solutions Linux qui se déroulera du 29 au
31 janvier 2008 au CNIT - Paris la Défense par deux tutoriels exclusifs
sur la sécurité :
-> "Sécurité Tomcat et J2EE" le mardi 29 janvier matin
http://www.hsc.fr/conferences/solutionslinux_2008_j2ee.html.fr
par Louis Nyffenegger
La formation s'adresse aux architectes et développeurs de
solutions avec Tomcat et J2EE qui doivent intégrer la sécurité
dans leurs applications, par des exemples concrets et des
recommandations issus de notre expérience des audits de sécurité
applicatifs.
-> "Sécurité Asterisk" le jeudi 31 janvier après-midi
http://www.hsc.fr/conferences/solutionslinux_2008_asterisk.html.fr
par Olivier Dembour
Asterisk est la plateforme libre d'IPBX. La formation s'adresse
à toute personne impliquée dans le déploiement ou la planification
d'une solution VoIP, et qui donc doit faire attention à la
sécurité. Cette formation s'adresse à un public technique mais
aucune compétence Asterisk préalable n'est nécessaire.
Prix de chaque tutoriel : 200 euros HT pour la demi-journée.
Contact pour vous inscrire : Lucie Foucher, lfoucher at tarsus.fr
Tél : +33 141 188 642
--[ 10. Offres d'emploi ]-----------------------------------------------
HSC recrute des consultants sécurité ISO27001.
HSC recrute régulièrement des consultants aptes à réaliser des
prestation techniques pointues : tests d'intrusion, audits de sécurité.
Nous recrutons désormais des profils plus orientés management capables
d'accompagner les clients dans leur démarche ISO27001 et aptes à
participer aux projets ISO27001 menés par HSC.
Les qualités des candidats doivent être les suivantes :
- Expérience même limitée dans la sécurité ou dans un domaine
connexe : production informatique, exploitation, helpdesk, etc.
- Bon contact humain
- Bonne qualité de rédaction en français
Les ingénieurs sélectionnés seront formés sur l'ISO27001 par HSC.
Les postes sont basés à Levallois-Perret (à 5 minutes de Paris-St Lazare).
Si vous souhaitez proposer votre candidature, nous vous remercions d'envoyer
votre CV de préférence en texte par courrier électronique à cv at hsc.fr.
Pour plus d'informations : http://www.hsc.fr/societe/recrutement.html.fr
--[ 11. Nouveautés du web HSC ]----------------------------------------
- Article "(In)Sécurité de la VoIP" par Guillaume Lehembre
Editorial du numéro 10/2007 (28) de Hakin9, publié en
octobre/novembre 2007.
http://www.hsc.fr/ressources/articles/hakin9_edito_voip/index.html
- Présentation "VoIP et sécurité : révolution ou dévolution ?"
par Hervé Schauer
Présentation effectuée à la conférence VoIP : state of the art
organisée par l'EPFL et HES-SO à Lausanne, le 2 novembre 2007.
http://www.hsc.fr/ressources/presentations/voip-epfl07/index.html
- Brève "Revisite de la configuration du client OpenSSH"
par Nicolas Collignon et Louis Nyffenegger
http://www.hsc.fr/ressources/breves/ssh_config.html
- Présentation "Sécurité des bases de données"
par Louis Nyffenegger
http://www.hsc.fr/ressources/presentations/clusir_SGBD/index.html.fr
--[ 12. Veille en vulnérabilités HSC ]----------------------------------
1314 10-10-2007 Vulnérabilités multiples dans les produits Microsoft
1315 11-10-2007 Multiples vulnérabilités dans BrightStor ARCserve Backup
1316 12-10-2007 Exécution de code arbitraire à distance sur Kaspersky en
ligne (Kaspersky Online Scanner)
1317 18-10-2007 Multiples vulnérabilités dans les produits Oracle
1318 24-10-2007 Vulnérabilité distante dans l'authentification sur IBM DB2
1319 25-10-2007 Multiples vulnérabilités dans différents produits CISCO
1320 26-10-2007 Multiples vulnérabilités dans IBM Lotus Notes
1321 26-10-2007 Multiples vulnérabilités dans IBM Lotus Domino Server
1322 26-10-2007 Exécution de commande arbitraire dans Microsoft Internet
Explorer 7
1323 31-10-2007 Multiples vulnérabilités dans IBM AIX 5.x
--[ 13. La sécurité "au jour d'aujourd'hui" - Hervé Schauer ]-----------
Conférence du Club 27001 aux Assises de la Sécurité à Monaco
Le vendredi 12 octobre dernier, par l'intermédiaire d'Hervé Schauer,
de Mauro Israel, et d'Eric Doyen, le Club 27001 a animé une conférence
qui a réuni 65 personnes autour de deux retours d'expérience de la
norme ISO 27001 par des utilisateurs.
Le premier témoignage est celui d'Olivier Lemoine, RSSI
d'Odiso, une société basée à Roubaix spécialisée dans le déploiement,
l'optimisation et la maintenance d'applications Internet complexes.
Le projet de SMSI (Système de Management de la Sécurité de l'Information)
a été lancé début septembre 2005, avec une DdA (Déclaration
d'Applicabilité ou SoA) sélectionnant les 133 mesures de sécurité de
l'annexe A de l'ISO 27001, et 80 indicateurs pour mesurer leur
efficacité.
Le projet est à l'initiative de la direction dans l'objectif de la
certification ISO 27001 pour l'image de sérieux que cela procure,
mais aussi suite à des incidents de virus et au fait que la société
reçoit de nombreux stagiaires.
Lors du déroulé d'un premier audit de certification en septembre 2006,
la difficulté d'apport de preuves s'est ressentie. La personne en
charge du projet a assuré aussi le suivi des incidents auprès des
correspondants métiers. Une démarche de formation a été réalisée
auprès des correspondants et le RSSI a suivi la formation ISO 27001
Lead Auditor. La démarche de certification a permis d'engager un
projet PCA (Plan de Continuité d'Activité) et a considérablement
structuré la gestion de la SSI dans une entreprise qui a évolué de
30 à 150 personnes en 3 ans.
Après cette phase de résolution des non conformités, la certification
a été obtenue en mars 2007. Elle a permis de valoriser l'offre de
produits, notamment l'e-mailing.
Cet expérience a montré l'existence de structures de conseil et
d'expertise qui n'étaient pas encore au point sur la norme. C'est de
leur conseil que venait la sélection de toutes les mesures de sécurité
d'où les 80 indicateurs. L'objectif est la sélection des mesures de
sécurité qui servent à appliquer l'ISO 27001 ou à réduire réellement
un risque à l'issue de l'appréciation des risques et démarrer avec
le minimum nécessaire pour s'améliorer par la suite.
La certification a été assurée par BVQI, qui a fait appel à un
sous-traitant, en 5 jours d'audit [1]. Le projet demande une
personne à plein temps et a coûté environ 50 keuros à l'entreprise.
Il a permis à une PME d'intégrer la SSI avec succès dans son quotidien.
Le second témoignage est celui de Mohamed Jazouli, RSSI de
Maroc Telecom, l'opérateur historique marocain, offrant tous les
services de télécommunications. Maroc Telecom appartient en majorité
au groupe Vivendi et en minorité à l'état du Maroc, qui ont soutenu
la démarche de certification ISO 27001.
Le projet a été lancé en mars 2005 avec la désignation du responsable,
nominé et mandaté par le président de Maroc Telecom. La démarche décrite
par Mohamed Jazouli est une réelle démarche structurante, engagée au
plus haut niveau, avec un soutien sans faille de la direction générale,
dans un objectif de progrès de l'entreprise.
Le SMSI couvre toute la société et toutes ses activités, comme la
certification ISO 9001 obtenue un an plus tôt. La DdA prend en
compte les 133 mesures de sécurité de l'annexe A de l'ISO27001
car il n'y en a aucune qui ne soit pas nécessaire quelque part.
Chaque métier a réalisé l'appréciation des risques SSI pour son métier.
Les 133 mesures de sécurité représentent environ 200 procédures
opérationnelles. Le SMSI s'appuie sur 70 documents.
Les 36 responsables sécurité de la société ont été formés et certifiés
ISO 27001 Lead Auditor et environ 95% du personnel a été formé ou
sensibilisé à la SSI (environ 12000 postes collaborateurs).
La certification des individus a créé une dynamique de certification,
le label devient indispensable, c'est une forme de couronnement qui
est un moteur et une dynamique de motivation.
Un premier audit de certification à blanc a été réalisé par LSTI en
octobre 2006, pour mieux préparer l'audit de certification planifié
en décembre 2007. Presque 200 audits internes ont été déjà réalisés
et ils permettent de garantir que le SMSI fonctionne.
Les gains d'ores et déjà obtenus au niveau des assurances dépassent
les dépenses pour le projet. L'investissement est interne et avant tout
humain : le projet a consommé 2500 jours/hommes en 2 ans [2], par exemple
le temps passé à faire un audit interne, rédiger une procédure,
assister à une réunion de pilotage, etc, dont moins de 10% en externe.
La dépense de la certification n'est pas encore comptée.
Ces deux expériences donnent un éclairage intéressant sur des
utilisations très diverses de la norme, avec ici une différence
de taille des deux entreprises et de leurs SMSI respectifs.
L'engagement et les réalisations spectaculaires de Maroc Telecom
ont fait pâlir de jalousie de nombreux responsables et consultants
dans l'assistance.
Les transparents de présentations seront prochainement disponibles
sur le site du Club 27001 : www.club-27001.fr
[1] : BVQI étant accrédité par l'UKAS en Grande-Bretagne il est sur
l'ancien système de calcul des jours EN 45012 identique à l'ISO 9001,
et n'utilise pas encore l'ISO 17021/ISO 27006 comme les organismes
accrédités par le COFRAC en France. L'ISO 27006 impose 10 jours
d'audit pour un audit de certification d'un SMSI de 50 personnes.
[2] : Pour ceux qui pensent que 2500 j/h est lourd, il faut mettre
en perspective la situation au lancement du projet (peu de sensibilité
aux risques de l'organisation) et la taille de l'entreprise (près de
13 000 personnes).
Merci à Eric Doyen, Jean-François Louapre et Mauro Israel pour leur
collaboration sur ce compte-rendu.
Plus d'informations sur la liste de diffusion newsletter