Vous êtes sur la page 1sur 18

DOSSIER TECHNIQUE

MANAGEMENT DE LA SECURITE DE
LINFORMATION
UNE APPROCHE NORMATIVE : BS7799-2

Dcembre 2004

Groupe de Travail BS7799-2/SMSI

CLUB DE LA SECURITE DES SYSTEMES DINFORMATION FRANAIS


30, rue Pierre Semard, 75009 PARIS
Tl. : +33 153 25 08 80 Fax : +33 1 53 25 08 88
e-mail : clusif@clusif.asso.fr - Web : http://www.clusif.asso.fr

REMERCIEMENTS
Le CLUSIF tient mettre ici l'honneur les personnes qui ont rendu possible la ralisation de ce
document, tout particulirement :

Rgis BOURDONNEC

BNP Paribas - Cardif

Philippe CHAILLEY

Ercom

Anne COAT

Silicomp AQL

Christian GATEAU

France Telecom Transpac

Stphane GEYRES

Ernst & Young

Frdric HUYNH

Ernst & Young

Jean ISNARD

Euronext

Laurent MARECHAL

Silicomp - AQL

Fred MESSIKA

Lynx Technologies

Batrice RENARD

France Telecom

Paul RICHY

France Telecom

Herv SCHAUER

HSC

Isabelle WAS

Deloitte

Nous remercions aussi les membres ayant particip la relecture.

Management de la SI Une approche normative

-I-

CLUSIF 2004

TABLE DES MATIRES


1.

INTRODUCTION................................................................................................................................................... 1
1.1
1.2
1.3

2.

SYSTME DE MANAGEMENT DE LA SCURIT DE LINFORMATION (SMSI) ................................. 2


2.1
2.2

3.

DFINITION DUN SMSI ................................................................................................................................... 2


COMMENT METTRE EN PLACE UN SMSI ?......................................................................................................... 3

LA NORME BS7799-2:2002 .................................................................................................................................. 4


3.1
3.2
3.2.1
3.2.2
3.3
3.4
3.5
3.5.1
3.5.2
3.5.3
3.5.4
3.5.5
3.6
3.7

4.

OBJECTIF DE CE DOCUMENT ............................................................................................................................. 1


LECTORAT ........................................................................................................................................................ 1
TERMINOLOGIE................................................................................................................................................. 1

HISTORIQUE ..................................................................................................................................................... 4
DESCRIPTION DE LA NORME ............................................................................................................................. 4
Primtre de la norme ................................................................................................................................ 4
Structure de la norme ................................................................................................................................. 5
RECONNAISSANCE INTERNATIONALE ............................................................................................................... 5
BS7799-2 ET SMSI .......................................................................................................................................... 6
BS7799-2 ET LA GESTION DE LA SCURIT....................................................................................................... 7
Qui est concern par la norme elle-mme ? ............................................................................................... 7
Qui est concern par le SMSI ? .................................................................................................................. 8
Analyse des risques..................................................................................................................................... 8
Gestion du risque ........................................................................................................................................ 8
Processus damlioration continue............................................................................................................. 8
BS7799-2 ET QUALIT ..................................................................................................................................... 9
BS7799-2 ET ANALYSE DE RISQUES ................................................................................................................. 9

BS7799-2 ET CERTIFICATION......................................................................................................................... 11
4.1
LA CERTIFICATION BS7799-2 DES ORGANISMES ............................................................................................ 11
4.2
LA CERTIFICATION LEAD AUDITOR DES PERSONNES ................................................................................ 12
4.3
AUTRES PRATIQUES ET NORMES DE CERTIFICATION ....................................................................................... 12
4.3.1
ISO9001 .................................................................................................................................................... 12
4.3.2
ISO15408 .................................................................................................................................................. 13

5.

CONCLUSION...................................................................................................................................................... 15

Management de la SI Une approche normative

- II -

CLUSIF 2004

1. INTRODUCTION
1.1 Objectif de ce document
Lobjectif de ce document est de prsenter au lecteur, travers la norme britannique BS 77992:2002, une dmarche de mise en uvre dun systme de management de la scurit de
linformation dans les organismes.

1.2 Lectorat
Les documents du CLUSIF sont gnralement destination des RSSI et des DSI. Llargissement
du primtre lensemble de linformation (et non plus au systme dinformation) dans le cadre
ISO17799 ou BS7799 nous incite proposer une cible sensiblement plus large :
comme pour le document ISO 17799, tous les professionnels de la scurit de
linformation,
mais aussi tous les professionnels dorganismes impliqus dans la scurit : directeurs
scurit, secrtaires gnraux,
les Directions Gnrales dans la mesure o lon parle de certification, ce qui implique
une dcision et un engagement au plus haut niveau de lorganisme.

1.3 Terminologie
Pour lensemble du document, on entend par organisme : toute entit (entreprise, administration,
organisation, association, etc.) ainsi que tout sous-ensemble de celle-ci (filiale, mtier,
gographique, etc.).

Management de la SI Une approche normative

-1-

CLUSIF 2004

2. SYSTME DE MANAGEMENT DE LA SCURIT DE


LINFORMATION (SMSI)
2.1 Dfinition dun SMSI
Un SMSI est un ensemble dlments interactifs permettant un organisme dtablir une politique
et des objectifs en matire de scurit de linformation, dappliquer la politique, datteindre ces
objectifs et de contrler latteinte des objectifs.
La politique de scurit de linformation donne les grandes orientations de lorganisme en matire
de scurit de linformation et fixe des objectifs quantifis. Elle est officiellement formule par la
Direction, qui sengage fournir les moyens ncessaires pour atteindre ces objectifs.
Elle est cohrente avec les objectifs mtier de lorganisme, et avec les besoins de ses clients et
partenaires. Elle est communique au sein de lorganisme, sa comprhension par les intervenants
internes et externes est vrifie, elle est revue de faon priodique (en gnral annuellement) pour
rester en adquation avec les objectifs globaux de lentit.
Le SMSI est tabli, document, mis en uvre et entretenu. Son efficacit est mesure par rapport
aux objectifs de lentit, et cette mesure permet damliorer en permanence le SMSI.
Le SMSI est cohrent avec les autres systmes de management de lentit, notamment avec les
systmes de management de la qualit, de la scurit des conditions de travail, et de
lenvironnement.
Le SMSI inclut donc au minimum :
des lments documentaires (politique, description des objectifs, cartographie des
processus impacts, des activits de scurit, et des mesures),
la description de la mthode danalyse des risques utilise,
les processus impliqus dans la mise en uvre de la scurit de linformation,
les responsabilits relatives la scurit de linformation,
les ressources ncessaires sa mise en uvre,
les activits relatives la scurit de linformation,
les enregistrements issus des activits relatives la scurit de linformation,
les (relevs de) mesures prises sur les processus,
les actions relatives lamlioration de la scurit de linformation.
Lexistence dun SMSI dans lorganisme permet de renforcer la confiance dans le mode de gestion
de la scurit de linformation.

Management de la SI Une approche normative

-2-

CLUSIF 2004

2.2 Comment mettre en place un SMSI ?


Ladoption dun SMSI est une dcision stratgique pour un organisme. Sa conception, son
implmentation, et son organisation dpendent des besoins de scurit de lorganisme. Ces besoins
sont eux-mmes fonction du mtier de lorganisme, des exigences de scurit (client/interne) qui en
rsultent, des processus mis en place, de sa taille et de sa structure.
Pour initialiser une dmarche de SMSI, lorganisme doit :
dterminer le primtre (fonctionnel, gographique, organisationnel, etc.) concern,
identifier parmi les processus de ce primtre, ceux qui sont concerns par la scurit de
linformation, et leurs risques associs,
dterminer les exigences (objectifs, rfrentiels, mthodes, etc.) ncessaires pour assurer
la scurit des processus,
dfinir les mesures de scurit ncessaires pour se conformer aux exigences exprimes.
Les processus ncessaires au SMSI comprennent ceux relatifs :
aux activits de management,
la mise disposition de ressources,
la ralisation des produits/services,
aux mesures et lamlioration.
Si lorganisme dcide dexternaliser un processus ayant une incidence sur la scurit, il doit en
assurer la matrise et mentionner dans le SMSI les moyens de cette matrise.

Management de la SI Une approche normative

-3-

CLUSIF 2004

3. LA NORME BS7799-2:2002
3.1 Historique
Au dbut des annes 1990 de grands groupes britanniques (BT, Shell, Marks & Spencer,
Nationwide Building Society, etc.) se sont rencontrs au sujet de lassurance des changes
commerciaux en ligne. Lobjectif tait alors de proposer un nombre rduit de mesures cls, lies la
scurisation de linformation, que toute entreprise serait mme de mettre en uvre. Le
Dpartement des Transports et de lIndustrie britannique (DTI) tenait ce que ces dix mesures cls
soient identifies et prsentes dans une norme de gestion de la scurit de linformation, il parraine
donc la rdaction dune premire version de ce document - dans le respect des normes et standards
du BSI (British Standards Institute).
En 1991 un projet de Code de bonnes pratiques a t ralis. Il recommandait en particulier la
formalisation dune politique de scurit de linformation. Cette dernire devait intgrer au
minimum 8 conditions (au niveau stratgique et oprationnel) ainsi quune condition de
"conformit" et tre maintenue jour. Ceci se traduit par laugmentation du nombre de
responsables de la scurit de linformation chargs de sassurer de la conformit en accord avec la
politique de lentreprise.
En 1995, la BS 7799 prsente 10 mesures cls intgrant 100 mesures dtailles potentiellement
applicables.
En 1998, il est adjoint une partie 2 la BS 7799 dans laquelle plus de 100 mesures de scurit sont
dtailles selon le principe du management de la scurit du systme dinformation (Information
Security Management System - ISMS) et fonde sur une approche de matrise des risques. La
motivation de la partie 2 a t de mettre disposition les fondements dun schma de certification
permettant dattester la conformit ce qui est devenu la partie 1.
La priorit a t donne lintgration des problmatiques de-business en les structurant dans la
partie 1 de la BS 7799, pour que cette norme puisse tre prsente lISO. Le nombre de mesures
passe alors 127.
La BS7799-1:1999 est reconnue aprs une rflexion au niveau international et devient alors la
norme internationale ISO / IEC 17799 en 2000.
La BS 7799-2:2002 remplace la version de 1998 de la BS7799-2 pour mieux sinspirer des autres
systmes de management dj existants tels que BS EN ISO 9001:2000 et BS EN ISO 14001:1996
afin de permettre une implmentation intgre des diffrents systmes de management.

3.2 Description de la norme


3.2.1 Primtre de la norme
La norme BS7799-2:2002 dfinit des exigences pour planifier, implmenter, contrler et amliorer
un SMSI. Elle sapplique tout organisme, mais aussi toute unit oprationnelle, tout dpartement
au sein dune entreprise ou tout site gographique, ds lors que celui-ci a la responsabilit de la
protection de son information et donc dispose dun responsable identifi.
Management de la SI Une approche normative

-4-

CLUSIF 2004

Au sein de lorganisme la norme concerne, aussi bien le systme informatique, que les aspects
humains et physiques, les processus, etc.

3.2.2 Structure de la norme


La norme1 est constitue de 2 parties distinctes :
le corps du document rappelle et dfinit les concepts de SMSI, le modle de Plan, Do,
Check, Act (PDCA, cf. 3.4) et insiste sur les tches et limplication du management,
les annexes (A, B, C et D) du document.
En dehors des chapitres introductifs de toute norme ISO (1 Champs dapplication, 2 Rfrences,
3 Dfinitions), la norme aborde les thmes suivants :
la notion de SMSI au travers de lapproche processus et du modle PDCA (0) ainsi
que le parallle entre SMSI et les autres systmes de management (qualit,
environnement) (0),
les jalons et tches cls de la dynamique dun SMSI (4),
les implications et les responsabilits du management associes un SMSI (5 et 6),
lamlioration continue du SMSI (7).
Lannexe A (normative) tablit les objectifs de matrise de la scurit en reprenant les thmes
directeurs de toutes les sections du document ISO17799. Le terme normatif signifie que cette
annexe est dapplication obligatoire pour conformit la norme BS7799-2.
Lannexe B (informative) prsente de manire gnrique les actions mettre en uvre chaque
tape du cycle PDCA.
Enfin, les annexes C et D, galement informatives, prcisent respectivement les similitudes entre les
diffrents systmes de management (ISO 9001:2000, ISO 14001:1996 et BS7799-2:2002) et les
modifications survenues sur les versions antrieures de la norme dans BS7799-2:2002.

3.3 Reconnaissance internationale


Comme le prcise le tableau ci-aprs, la date de rdaction de ce document, la norme BS77992:2002 est soit :
utilise directement dans sa version britannique par les organismes, sans avoir t
adopte formellement par les instances de normalisation nationales,
reprise lidentique, i.e. avec un numro de norme national, comme par exemple en
Australie, en Nouvelle-Zlande ou en Afrique du Sud,
reprise au niveau national, avec adaptation, comme par exemple en Espagne, au
Danemark ou en Sude.

Au-del de la dfinition issue dun dictionnaire, nous pouvons dfinir une norme comme tant un document de
rfrence issu dun consensus dacteurs du march et reconnu au niveau local, rgional, national ou international.

Management de la SI Une approche normative

-5-

CLUSIF 2004

Pays2

Norme

Asie
Japon

JIS X 5080:2002: Information technology Code of practice for information


security management (ISO17799)
JIS Q 2001:2001 Guidelines for Development and Implementation of Risk
Management System (qui joue le role de la BS7799-2)
JIPDEC Certification (Schma de certification rglementaire)

Ocanie
Australie
Nlle Zlande

AS/NZS 7799.2:2003: Information security management - Specification for


information security management systems

Europe
Danemark

DS484-2

Espagne

UNE 71502: "Requisitos para la gestin de la seguridad de TI"


Norme base sur la BS7799-2:2002 comprenant des lments contextuels
supplmentaires, traitant de la protection des donnes personnelles.
Il existe un schma de certification.

Sude

SS 627799.2:2003 Information security management - Specification for


information security management systems
Il existe un schma de certification.

Afrique
Afrique du
Sud

SABS7799-2

A dcembre 2004, plus de 1000 certificats BS7799-2 ont t recenss travers le monde. Ce
nombre reprsente une augmentation de plus de 100% par rapport dbut 2003.
Leur rpartition gographique est de 47% au Japon, environ 18% en Royaume Uni, 14% dans le
reste de lEurope, 17% en Asie (hors Japon), 2% pour les Amriques et 2% Pour le reste du monde.
Aucun certificat na t dlivr en France.
Comme pour les normes ISO9000, ces certificats portent le plus souvent sur un sous-ensemble des
diffrents organismes. De ce fait, certains organismes peuvent dtenir plusieurs certificats. Ces
diffrents points sont dvelopps au chapitre 4.

3.4 BS7799-2 et SMSI


La BS 7799-2 a t tablie pour des managers et leurs quipes afin de fournir un modle pour
mettre en place et grer un Systme de Management de la Scurit de lInformation efficace.

Hors Royaume-Uni.

Management de la SI Une approche normative

-6-

CLUSIF 2004

La BS 7799-2 sappuie sur une approche processus pour dfinir, implmenter, mettre en fonction,
matriser et amliorer lefficacit de lorganisation dun SMSI.
La dmarche du British Standard suit le Modle PDCA (Plan-Do-Check-Act), connu galement
sous le nom de Roue de Deming (cf. ISO9001:2000) qui sapplique ainsi tout SMSI.
Lapproche processus met laccent sur limportance des points suivants :

PLAN

DO

ACT

CHECK

P (comprhension) : Une bonne comprhension des besoins en matire de scurit de


linformation au regard du business, et la ncessit dlaborer une politique et des
objectifs en matire de scurit de linformation Etablissement du SMSI
D (politique) : Les contrles en phase dimplmentation et de fonctionnement dans un
contexte de management de lensemble des risques de lorganisation Mise en uvre
des processus,
C (surveillance) : La surveillance et la rvision des performances et de lefficacit du
SMSI,
A (amlioration) : Lamlioration permanente du systme de management, base sur
des mesures objectives.

3.5 BS7799-2 et la gestion de la scurit


Diffrents acteurs sont concerns par la BS 7799-2:2002. Chacun deux trouvera dans la lecture de
ce document les informations sur son rle en fonction des tapes de mise en uvre dun SMSI :
analyse des risques,
management du risque,
processus damlioration continu.

3.5.1 Qui est concern par la norme elle-mme ?


Toute personne concerne par une dmarche de SMSI et/ou certification sont directement concerns
par cette norme.

Management de la SI Une approche normative

-7-

CLUSIF 2004

3.5.2 Qui est concern par le SMSI ?


Acteur

Rle / Intrt

Etape

Propritaires des
informations, Responsables
mtiers

Dfinissent les exigences de scurit des informations


dont ils sont les propritaires.

Responsable de lanalyse de
risques

Identifie de manire exhaustive les actifs sensibles de


lentreprise, les menaces pesant sur ces actifs et les
vulnrabilits quelles pourraient exploiter.

P/C

RSSI

Propose des mesures de scurit

Mettent en uvre des mesures de scurit

Participent lamlioration du SMSI

Tous
Lance la dmarche PDCA
Direction Gnrale

P
Valide le traitement du risque

Contrle Interne

Audite la dmarche, les mesures mises en place

3.5.3 Analyse des risques


Les exigences de scurit (Disponibilit, Intgrit, Confidentialit, Preuve) sont dfinies par les
propritaires des informations.
Le responsable de lanalyse des risques partir de lidentification exhaustive des actifs sensibles de
lentreprise, des menaces pesant sur ces derniers et des vulnrabilits quelles pourraient exploiter,
value les risques.

3.5.4 Gestion du risque


Le RSSI est le principal acteur qui sadresse ce document. Il devra :
dfinir la dmarche suivre (description des tapes ncessaires) pour tablir son SMSI,
proposer les mesures de scurit mettre en place a priori (issus de la BS ou non).
La Direction Gnrale a pour attribution principale :
daffecter les ressources humaines et financires ncessaires la mise en uvre des
mesures et ventuellement daccepter certains risques pour lentreprise,
de valider et sengager sur les objectifs de la politique de scurit.
Les diffrentes structures de lentreprise devront mettre en place les mesures valides par la
Direction Gnrale.

3.5.5 Processus damlioration continue


Le Contrle Interne ou Audit a en charge la conduite de missions daudit interne de la gestion de la
politique de scurit dploye. Le document prcise les modalits (la priodicit, les objets et la
qualit) de ces audits du SMSI.

Management de la SI Une approche normative

-8-

CLUSIF 2004

3.6 BS7799-2 et qualit


La norme dispose dun hritage affich, expos ds le paragraphe dintroduction, avec
lapproche qualit. Cette problmatique est omniprsente dans tout le document.
Ce fort lien est illustr notamment par les deux points suivants :
alignement de la BS 7799-2:2002 avec la norme ISO 9001:2000 pour tre compatible
avec dautres systmes de management,
utilisation de lapproche processus, lment fondamental de management de la qualit
dans lISO 900n:2000, et du modle dit PDCA .
Par ailleurs, le contenu du texte de la BS 7799-2:2002 est, en ce qui concerne la protection de
linformation, en grande partie une dclinaison de lISO 9001:2000.
Enfin, lannexe C fournit les correspondances, chapitre par chapitre de BS7799-2:2002 avec lISO
9001:2000, ainsi que lISO 14001:1996 pour les thmatiques communes.
Il faut nanmoins noter que ces deux premires normes sont structures diffremment :
la structure de la BS 7799-2:2002 est base sur le modle de Deming (PDCA) et de
lanalyse des risques,
la structure de lISO 9001:2000 est une description plus complte de lensemble des
processus impactant la qualit du produit.
Si certains thmes de lISO 9001 sont repris dans la BS 7799-2, dautres sont :
traits de manire trs succincte, comme le paragraphe sur les audits internes, la revue
de direction, etc.
traits de manire indirecte. Par exemple, le paragraphe 6.2 ( Management des
ressources humaines ) de lISO 9001:2000 est rapproch du paragraphe 5.2.2 de la
BS 7799-2:2002 ( Training, awareness and competency ) quoique plus rducteur,
non cits, comme le contenu du chapitre 7 de lISO 9001:2000 ( Ralisation du
produit ), peine voqu par le biais des "actions" dans le paragraphe sur lanalyse des
risques ou le paragraphe 6.3 de lISO 9001:2000 ( Infrastructure ).

3.7 BS7799-2 et analyse de risques


Lanalyse de risques joue un rle essentiel tout au long de la vie du SMSI, aussi bien lors de sa
dfinition (le plan du modle PDCA), que lors de sa maintenance et de son amlioration (le check
du PDCA). En effet, la norme stipule quune analyse de risques doit tre intgre dans le processus
dtablissement du SMSI. Idalement cela peut tre ralis ds la phase de dmarrage, afin de lui
fournir de la matire premire ltablissement des besoins et des mesures de scurit mettre en
uvre. Une approche mthodique est recommande, toute mesure devant avoir un justificatif formel
(i.e., crit et argument) partir des risques identifis.
Les objectifs du SMSI sont alors fixs en vue de ramener les risques identifis un niveau
acceptable pour lorganisme.
Lanalyse de risques intervient de nouveau en phase de supervision et de rvision du SMSI (la
phase check). Cette tape est ncessaire pour garantir la prennit du SMSI et son adquation face
aux volutions de lorganisme, aux changements dordres rglementaires, lgaux et techniques, et
Management de la SI Une approche normative

-9-

CLUSIF 2004

des nouvelles menaces identifies. Cette tape, planifie, est loccasion dadapter les procdures qui
ont t mises en place dans le SMSI en fonction des risques, quils soient initiaux ou nouveaux, et
de leur niveau dacceptation.
Aucune mthode danalyse de risques nest prconise dans la BS7799-2. Toute mthode,
suffisamment prouve, peut tre utilise condition quelle soit bien adapte au SMSI en cours de
dfinition, lorganisme et au contexte dutilisation (application, type de rsultat attendu,
spcificit du domaine, compatibilit avec le rfrentiel de lentit, etc.).
Les mthodes les plus connues en France sont EBIOS (DCSSI) et MEHARI (Clusif).
Chacune possde sa propre base de connaissance (vulnrabilits, mthodes dattaques, exigences de
scurit, etc.), qui peut ne pas traiter tous les thmes cits dans la BS7799-2.

Management de la SI Une approche normative

- 10 -

CLUSIF 2004

4. BS7799-2 ET CERTIFICATION
4.1 La certification BS7799-2 des organismes
Une des motivations des utilisateurs de la BS7799-2 est dobtenir une certification sur une
organisation, un service ou une entit, afin de pouvoir notamment en faire tat. La certification ne
garantit pas un niveau de scurit, elle atteste de lapplication dune dmarche de management de la
scurit de linformation selon la norme BS7799-2.
La validit dun certificat BS7799-2 est de trois ans, sous rserves dune surveillance au minimum
annuelle effectue par lorganisme certificateur sur un chantillon de processus.
Si des non-conformits majeures par rapport la dmarche BS7799-2 sont constates, la
certification BS7799-2 nest pas accorde (ou immdiatement supprime, dans le cas dun audit de
surveillance). Si des non-conformits mineures sont constates, elles sont rapportes dans le rapport
daudit. Lentit est tenue dans un dlai rapide de prsenter un plan des actions correctives, dont
lexcution sera vrifie lors du prochain audit de surveillance.
De notre comprhension, un organisme de certification ne peut pas assister lentit dans sa
dmarche de prparation la certification.
Dans le cadre de la certification BS7799-2, le schma de certification est le suivant :

Autorit daccrditation
(COFRAC, UKAS, etc.)
Accrdite sur la base de EN45012 + EA-7/03

Organismes accrdits
(organismes certificateurs)
valuent puis certifient le SMSI sur la base de la BS7799-2 et les documents
fournis par lentit (politique de scurit, plan de traitement des risques, etc.)

Organisme certifi

Utilise le certificat pour dmontrer ses partenaires, clients, etc., sa


conformit une dmarche de management de la scurit de linformation.

Clients, partenaires, etc.

Management de la SI Une approche normative

- 11 -

CLUSIF 2004

A ce jour, il nexiste pas de certificateur franais. Nanmoins, il est possible pour un organisme
franais de se faire certifier par un certificateur (franais ou tranger) accrdit lui-mme par une
autorit dun autre pays europen.
Des organismes franais ont envisag dentamer une dmarche en vue dune certification, mais la
plupart se sont interrompus, notamment faute dun certificateur franais.

4.2 La certification Lead Auditor des personnes


Dans le cadre de ses activits para-normatives, le BSI organise depuis plusieurs annes, diffrents
cycles de formation autour de la norme BS7799-2. Un de ces cycles de formation appel BS7799
Lead Auditor permet aux participants, majoritairement des auditeurs internes ou externes,
daborder les notions de base des principes daudit gnral de scurit, de lanalyse et du
management des risques et de lapproche de la certification BS7799-2. Elle permet de participer
un examen final des connaissances, dont la russite est sanctionne par lattribution de la
certification BS7799 Lead Auditor .
Il nexiste pas de liste exhaustive de personnes certifies BS7799 Lead Auditor . Des organismes
proposent des listes dindividus certifis construites partir de critres supplmentaires (diplmes
acadmiques, annes dexpriences professionnelles, audits raliss, cotisation, etc.).
Selon notre comprhension :
la certification BS7799 Lead Auditor apporte la garantie que lauditeur a suivi et
compris la formation et a russi lexamen,
il nest pas ncessaire (ni suffisant) dtre qualifi BS7799 Lead Auditor pour
pouvoir participer lquipe de certification dun SMSI selon la BS7799-2. En effet, il
nest fait mention daucune obligation de qualification officielle du personnel de
certification dans les normes EA7/03.
A la date de rdaction de ce document, dautres socits que le BSI sont habilites dispenser le
cours et lexamen du BS7799 Lead Auditor .

4.3 Autres pratiques et normes de certification


4.3.1 ISO9001
Il faut distinguer la certification d'organisations (ex. ISO 9001, ISO 14001, OHSAS 180013), de la
certification de produits ou systmes (ex. ISO 15408). Pour rester dans la perspective globale de ce
document, nous parlerons dans ce paragraphe, titre d'exemple, de l'audit de certification ISO
9001:2000 des Systmes de Management de la Qualit.
L'audit de certification selon l'ISO 9001 se droule en plusieurs tapes, qui sont :
La dfinition du primtre de l'audit et sa planification,

OHSAS 18001 : Certification Sant et Scurit au Travail

Management de la SI Une approche normative

- 12 -

CLUSIF 2004

La phase d'audit proprement dite, avec l'examen du systme de management de la


qualit, et les diffrents entretiens, dont les entretiens avec la direction.
Cette phase se droule gnralement sur quelques jours, mais la dure et le nombre
d'auditeurs et d'intervenants internes peuvent varier selon la taille de l'organisation, et le
primtre de l'audit. Elle se conclut par une premire runion de restitution " chaud"
avec la direction, qui permet d'claircir des ambiguts ou des remarques issues des
entretiens.
Elle se termine par l'mission, dans des dlais brefs (une deux semaines), du rapport
d'audit, qui rcapitule les conformits et les atouts de l'organisation par rapport ses
objectifs et la norme, mais aussi les remarques, voire les non-conformits, qui
justifient la conclusion :
d'attribution ou non du certificat lors de l'audit initial,
de renouvellement ou de retrait du certificat, dans le cadre d'un audit de
renouvellement.
Les audits se droulent conformment aux recommandations de la norme ISO 19011 Lignes
directrices pour l'audit des systmes de management de la qualit et/ou de management
environnemental. Elle requiert notamment l'indpendance entre l'organisme effectuant l'audit de
certification de l'organisation et l'organisation, donc, ventuellement, l'entreprise accompagnant
l'organisation dans sa dmarche de certification.
Le certificat est valide pour une dure maximale de 3 ans, et fait l'objet d'audits annuels de suivi,
puis, au bout de 3 ans, d'un audit de renouvellement.
Durant cette priode, l'organisme ayant attribu le certificat surveille l'emploi qui en est fait par
l'organisation, et peut sanctionner, par exemple, des annonces abusives sur des extensions de
primtre imaginaires, sanctions pouvant aller jusqu'au retrait immdiat du certificat hors audit.
L'organisme certificateur doit avoir t accrdit par le COFRAC pour la norme considre.

4.3.2 ISO15408
La certification selon les Critres Communs ( CC ou encore ISO15408 ) concerne les
produits et systmes informatiques (pas ncessairement des produits et systmes de scurit
informatique).
A la diffrence des autres certifications, un produit est certifi ISO15408 par rapport un niveau
dassurance ( tort aussi appel niveau de scurit ) de EAL1 (le plus faible) EAL7 (le plus
lev). Ces diffrents niveaux impliquent une tude plus ou moins approfondie de la cible
dvaluation (Target Of Evaluation, TOE) qui dlimite le primtre du produit qui est valu.
Le schma de certification ISO15408 diffre des certifications traditionnelles puisquil nexiste
quun seul organisme de certification gouvernemental : la DCSSI, en France. De mme, les
laboratoires dvaluation (CESTI) sont accrdits par le COFRAC, et doivent tre aussi agrs par
la DCSSI.
Ainsi, un organisme souhaitant faire valuer un produit (ou systme) doit :
dterminer sa cible dvaluation (TOE), qui inclut le niveau dassurance,
la faire valider par la DCSSI,
choisir un laboratoire dvaluation agr,
faire valuer son produit.

Management de la SI Une approche normative

- 13 -

CLUSIF 2004

A lissue de lvaluation, le dossier dvaluation est transmis la DCSSI, qui mettra le cas chant
le certificat correspondant.
La certification dun produit ou dun systme est un investissement long terme puisque le
processus dvaluation peut prendre plusieurs mois.
De mme, tout changement significatif de la cible dvaluation ncessite une r-valuation de
lensemble.

Management de la SI Une approche normative

- 14 -

CLUSIF 2004

5. CONCLUSION
La norme BS7799-2 a rencontr une large audience et adhsion dans diffrents pays. Il est
vraisemblable qu'elle servira de base de travail une prochaine norme internationale de type ISO.
Jusqu' prsent il manquait une dmarche structure de mise en uvre d'une politique de scurit
au quotidien. La BS7799-2 comble ce vide et permet des organismes de structurer la gestion de
leur scurit.
Si on se rfre aux donnes publiques, il apparat l'vidence une trs forte croissance en termes de
nombre de certificats dlivrs sur un an. Toutefois on constate que l'Europe continentale et
l'Amrique du Nord sont en retard par rapport la Grande Bretagne et l'Asie sur ce point.

Management de la SI Une approche normative

- 15 -

CLUSIF 2004