Mise en place d'un SMSI ISO27001

  • Partager via facebook
  • Partager via Twitter
  • Partager via LinkedIn

Interview de Jean-Jacques Riera, RSSI, Française des Jeux ; élu RSSI de l'année 2009 par 01 Informatique.

Vous avez mis en place un SMSI ISO27001 au sein de la FDJ ; quels sont les ambitions et le champ d'action de cette norme ?

Il faut absolument retenir que la norme ne fixe en aucun cas un niveau de sécurité dans l'absolu mais témoigne de la mise en place d'un processus d'amélioration continue fondé sur une approche de gestion des risques permettant, in fine :
- de prendre les décisions au bon niveau de la hiérarchie
- d'accroître fortement la création de valeur d'usage des dispositifs de sécurité de l'information
- de trouver, encore et toujours, un équilibre approprié entre les besoins de sécurité de l'information exprimés par le métier et les mesures de sécurité de l'information mises en œuvre au sein de la FDJ.

Le champ d'action est étroitement lié au périmètre embarqué dans le SMSI et c'est une première zone d'interprétation assez importante de la norme de mon point de vue car beaucoup d'entreprises mettent en avant une certification ISO27001 qui souvent n'est pas significative en largeur et en profondeur. La largeur étant adressée par l'ensemble des processus concernés par la certification et la profondeur par le sérieux des analyses de risque intimement lié à la méthode retenue et à la validation des risques résiduels non seulement au bon niveau mais n'engageant pas trop dangereusement l'entreprise. Bien entendu, chaque entreprise est entièrement libre d'accepter un certain niveau de risque résiduel, il est hors de question dans mon esprit de remettre en cause cette liberté fondamentale des dirigeants/actionnaires (j'attends d'ailleurs la même circonspection d'un auditeur dans ce domaine là vis-à-vis de l'entreprise auditée). Cependant, et c'est là une deuxième zone d'interprétation de la norme à mon sens, un certificat aussi "large" soit-il ne vous calibre pas le niveau de risque résiduel accepté globalement par l'entreprise alors que potentiellement elle pourrait devenir votre partenaire.

Je précise que la FDJ est certifiée ISO27001 de façon très significative à savoir avec 85% initialement puis 100% de ses processus, après un premier « tour de roue », et beaucoup de sérieux ainsi que de profondeur dans les analyses de risques (méthode, implication de tous les acteurs, gouvernance, ..).

Comment avez-vous mené le projet ?

Plusieurs choix structurants ont été faits par la FDJ à l'issue de l'étude de cadrage avant la certification afin, non seulement de garantir la mise en place d'un processus d'amélioration continue, mais aussi de le faire de façon très significative. Ces choix portent sur :
- Le périmètre ;
- La définition d'une méthode d'appréciation des risques et sa mise en œuvre effective par les métiers ;
- L'organisation mise en place en complément de l'organisation existante impliquant l'ensemble des métiers de la FDJ.

Le choix du périmètre de certification a été basé sur les principes suivants :
- La prise en compte des processus qui sont dans le « cœur de métier » de l'entreprise ;
- Les processus qui soutiennent directement les processus « cœur de métier » de l'entreprise et au premier plan les processus de la DSI ;
- Les processus du SMSI qui ont été formalisés dans le cadre de ce projet.

Le responsable de la Direction de la Sécurité et de la Gestion des Risques (DSGR) est responsable de son fonctionnement et du plan de traitement des risques.
La DSI assure sa mise en œuvre dans le cadre des mesures de sécurité ainsi que l'audit de son fonctionnement.
Concernant la maitrise des risques liés au SI, la FDJ a défini un processus mettant en œuvre une adaptation de la méthode EBIOS 27005.

Quel bilan dressez-vous à ce jour ?

Très succinctement, l'établissement du SMSI au sein de la FDJ a permis à cette dernière de :
- Répondre à une exigence contractuelle de l'Euromillions qui implique à tous ses membres d'être certifiés vis-à-vis d'un cadre de normes de sécurité de la WLA Word Lottery Association qui embarque l'ISO27001.
- Apporter à la FDJ des bonnes pratiques reconnues internationalement en termes de gestion de la sécurité de l'information (méthode d‘appréciation des risques, mesures de sécurité de l'information, gestion des projets sécurité, etc.).
- Lier les besoins métiers aux besoins IT.
- Intégrer les orientations stratégiques de la FDJ dans la gestion de la sécurité de l'information.

La FDJ en un tour de roue a pu aussi :
- Elargir son périmètre de SMSI à 100% de ses processus
- Définir une méthode d'appréciation des risques globale à la FDJ,
- S'orienter vers un système de management mutualisé : qualité, contrôle interne
- Optimiser la gestion des actions correctives et préventives ainsi que des audits
- Maintenir bien entendu sa certification, en ayant réalisé déjà tous les points ci-dessus, mais aussi en approfondissant certains sujets et en menant le Plan de traitement des risques (le ACT a vu certains chantiers terminés en 2009 et d'autres ouverts en 2010).

Inscrivez-vous à notre newsletter

Recevez les articles du Mag des compétences

  • Facebook
  • Twitter
  • LinkedIn
  • Youtube

Inscription newsletter

En savoir +

Informations légales