Les médias parlent volontiers de virus et d'intrusions. Mais ils passent à côté des sujets importants dans le domaine de la sécurité. La norme ISO 27001 fait partie de ces oubliés.

Par Hervé Schauer, PDG du cabinet de consultants en sécurité informatique HSC.
Beaucoup de sujets futiles sont traités régulièrement. J'ai lu par exemple toutes les news sécurité sur le site de L'Atelier : vous rendez-vous compte de leur intérêt et de leur absence d'intérêt ? J'avoue ne pas comprendre que la publication d'un ouvrage sur ISO 27001, un sujet qui sera encore au coeur des entreprises dans 20 ans ne fasse pas la une de l'actualité. D'autant que rien n'avait encore été publié sur le sujet. Il s'agit du livre "Management de la sécurité de l'information ", écrit par mon collaborateur Alexandre Fernandez-Toro (*). Non seulement le sujet est crucial, mais alors qu'expliquer une norme peut être rébarbatif, Alexandre a fait un bon travail de vulgarisation. ISO 27001, c'est l'application de la qualité à la sécurité de l'information.
Une norme opposable en justice
Cela permet d'avoir une amélioration continue dans ce domaine. Et ne sont pas des principes qui rigidifient le fonctionnement. La norme est très souple et ne donne que les bases. Pensez, elle ne fait que douze pages ! Mais avec ces douze pages, une entreprise peut faire certifier ce qu'elle a mis en œuvre et le promouvoir auprès de ses clients et de ses actionnaires. Il devient possible de prouver qu'il y a un processus qui tourne et qui s'améliore dans le temps. Sans compter que, comme c'est une norme homologuée par l'Etat français, elle est opposable en justice. De mon point de vue, l'adoption d'ISO 27001 est critique pour la survie des entreprises françaises dans la mondialisation. Que pourront-elles faire quand l'Union Européenne lancera des appels d'offres en demandant une certification ?
Des filiales d'entreprises françaises certifiées
Pourtant, elle remporte surtout du succès en Allemagne, en Espagne et en Italie. Quant aux SSII indiennes, elles sont aussi certifiées. La plus grosse certification francophone a été faite par Maroc Telecom. L'opérateur Orange en a une, mais c'est Orange UK ! En France, il y a tout de même des gens qui s'intéressent au sujet. Mais peu exigent la certification de leurs sous-traitants. C'est étonnant qu'une entreprise accepte de confier sa base de données client à une entreprise spécialiste de l'email marketing sans exiger une sécurisation des informations. Il ne faut pas se plaindre si après ils en font n'importe quoi…
(*) "Management de la sécurité de l'information Implémentation ISO 27001 - Mise en place d'un SMSI et audit de certification" par Alexandre Fernandez-Toro, aux éditions Eyrolles.