Voyage au centre de ISO 27001 n dcembre 2008, un de mes clients uvrant dans le domaine de la scurit de l'information me demande de l'aider

ce qu'il obtienne une certification ISO 27001. Bien que je ne connaissais pas cette norme, j'ai accept de l'aider. Bien entendu, j'avais mon actif quelques certifications ISO 9001 dans le domaine du logiciel, une certification ISO 14001, mon CSQE, d'excellentes connaissances en informatique et enfin mes nombreux dossiers de rclamation de crdit d'impt pour des projets logiciels qui est devenu ma spcialit au cours des 6 dernires annes. Mon client avait une partie de la solution et moi j'avais l'autre partie essentielle l'obtention d'une certification ISO 27001. La norme ISO 27001 est si rcente que mon client est la premire entreprise certifie au Canada. Wow! a n'arrive pas tous les jours un consultant.

par Alain Beauseigle

ISO 27001 est donc une nouvelle norme pour mettre en place un systme de management de la scurit de l'information. Encore une, vous me direz! H oui, on n'arrte pas le progrs. Vous avez dj eu un virus informatique, la perte de donnes due la dfaillance de votre disque dur ou subit le vol d'information papier ou stratgique? mon avis, toutes les organisations ont dj subit de tels inconvnients. La norme ISO 27001 vise donc la mise en place d'un systme pour rduire vos risques cet gard. Comme toutes les normes de systme, ISO 27001 a des exigences pour la matrise des documents et des enregistrements, des revues de directions, de la sensibilisation et de la formation, etc. Je ne vous parlerai pas de ces exigences mais je vous entretiendrai plutt des exigences qui font le cur de l'ISO 27001 comme illustr la page suivante.

Le qualipresse, septembre 2009 - page 3

Voyage au centre de ISO 27001 -

par Alain Beauseigle Plan de traitement du risque Pour chacun des risques, des mesures de scurits sont labores dans un plan de traitement du risque. Le plan de traitement du risque est en fait un plan d'actions prventives mettre en place pour amener notre risque au niveau acceptable que les dirigeants de l'entreprise se sont fix. Rapport d'efficacit des contrles Dans la mme ligne de pense de l'ISO 9001 version 2000, l'emphase est mise sur l'efficacit. Ici, l'ISO 27001 exige d'valuer l'efficacit des mesures de contrles mises en place. Cela doit tre fait annuellement bien que les indicateurs de performance en cette matire ne soient pas faciles tablir et mettre en place. Cela est le deuxime talon d'Achille de cette nouvelle norme. Voil l'essentiel de l'ISO 27001! Pour conclure, cette norme va dans le sens global de la gestion du risque. L'ISO 9001 pour les risques qualit, ISO 14001 pour les risques associs l'environnement, OHSAS 18001 pour les risques pour la sant et la scurit au travail, ISO 22000 pour la scurit des produits alimentaires et toutes les autres normes de systme moins connues. Parmi l'ensemble des normes de systme, je crois que celle-ci aura une certaine popularit attendu que l'information occupe de plus en plus de place dans nos environnements de travail, de son impact majeur sur l'organisation et du nombre d'organisations auxquelles la norme ISO 27001 s'applique avec pertinence. Il est clair que les entreprises du domaine des TI seront les premires se prvaloir des bnfices de l'ISO 27001. Alain Beauseigle, ing., CQE, CSQE, FQm Consultant en productivit, qualit et financement R&D Crateur du site de vente de documents d'affaires www.DocServ.biz Groupe Conseil Proformax (514) 990-7434 poste 2 - abeauseigle@proformax.com
Le qualipresse, septembre 2009 - page 4

CONTEXTE / PORTE valuation du risque Analyse du risque IDENTIFICATION DU RISQUE

ESTIMATION DU RISQUE COMMUNICATION DU RISQUE VALUATION DU RISQUE valuation satisfaisante? Non Oui TRAITEMENT DU RISQUE

SURVEILLANCE DU RISQUE ET REVUE

risque ". Ce qui veut dire que nous avons fait notre propre chiffrier. Nous avons identifi les risques l'intrieur de la porte du systme de management de la scurit de l'information (SMSI), les vulnrabilits et menaces pour chacun des actifs hardware, software ou autres. Tel que requis par la norme nous avons identifi l'impact sur la Confidentialit, l'Intgrit et la Disponibilit en attribuant une note de 0 4. C'est sans aucun doute la partie la plus importante de l'ISO 27001. Tout le reste en dcoulera. Dclaration d'applicabilit Qu'est qu'une dclaration d'applicabilit? L'annexe A de L'ISO 27001 fait la liste des mesures de contrle les plus rgulires, soit 133 contrles catgoriss en 39 objectifs de contrles. On s'en sert comme une liste de vrification afin d'tablir quels sont les mesures de contrles appropries et/ou dj mises en place dans l'entreprise. Comme exemple de contrle, la protection contre les intrusions est faite via un couvre-feu et un logiciel anti-virus mis jour rgulirement ou encore; le vol de documents sensibles est assur par des classeurs sous cls et des locaux avec serrures, un systme d'alarme et une sensibilisation du personnel cet effet. Pour chacun des contrles, une valuation d'applicabilit est faite. Une grille Excel est utilise cet effet et un responsable est indiqu pour chacun des contrles applicables. Certains sont peu coteux, d'autres ncessitent une infrastructure plus ou moins onreuse. Objectifs SMSI partir de l'analyse du risque et de la dclaration d'applicabilit, des objectifs SMSI sont tablis selon le niveau d'acceptation du risque et des capacits financires de l'entreprise mettre en place les mesures de contrles ncessaires. Cette exigence est similaire toutes les normes de systme telles que ISO 9001, ISO 14001, OHSAS 18001 ou encore ISO 22000.

Traitement satisfaisant?

Non Oui

ACCEPTATION DU RISQUE

Mthodologie d'analyse du risque ISO 27001 exige d'tablir votre mthodologie d'analyse du risque en matire de scurit de l'information. Sur ce point, cette exigence se rapproche beaucoup l'exigence de la norme ISO 14001 relative l'valuation des impacts environnementaux. Dans le domaine de la scurit de l'information, il existe plusieurs logiciels, avec leur mthodologie propre, nous permettant de faire une analyse de risque. Cependant, c'est outils informatiques sont trs complexe pour une PME et surtout ne rpondent pas entirement l'ensemble des exigences de la norme. Le principal problme tient ce que la norme exige que les rsultats de l'analyse soit comparable et reproductible dans le temps. mon avis, cette exigence est plus thorique que pratique, ce qui est un des deux talons d'Achille de la nouvelle norme. Au bout du compte, la mthodologie choisie se base sur l'annexe E.2 de la norme internationale ISO 27005. Cette mthodologie a t choisie, car la mesure de risque rsultant figure sur une chelle de 0 8 qui peut tre utilise sur une " grille de seuil d'acceptation du