Visions comparées de l’ISO 27001

Mickaël Ferton (Digitémis) et moi-même avons lancé une instance locale nantaise du club ISO 27001. Lors d’une des dernières réunions, une table ronde s’est tenue sur un thème absolument passionnant : quelle vision de la 27001 par trois acteurs totalement différents ? Un auditeur très expérimenté, un RSSI dont l’organisation est certifiée depuis plus de 5 ans et un RSSI récemment certifié. Les échanges avec la salle ont montré que ce n’était pas seulement trois versions de l’histoire que l’on pouvait raconter à une Direction Générale, mais plus.

La question peut sembler triviale mais ne l’est pas : comment expliqueriez-vous une démarche ISO 27001 à une Direction Générale qui, à priori, n’y connaît rien et n’est pas experte en démarche qualité ? 

En effet, avant de convaincre une DG de signer un chèque substantiel (entre les coûts financiers direct et la charge RH on arrive vite à un devis à 6 chiffres), encore faut-il la convaincre de ce que cela apporte, de ce que cela implique et accessoirement du risque à ne pas faire. Allons directement à la conclusion : la vision de la 27001 reflète très exactement la maturité de votre interlocuteur –  et la votre.

Quand on débute sur le sujet, la première vision que l’on en a est celle de la production documentaire : être certifié c’est maintenir une pile de procédures, de modes opératoires, de politiques. Vision par ailleurs alimentée par pas mal de discours de consultants dont certains ont pour objectif de forcer le devis : plus il faut produire, plus c’est long et plus il faut de monde.

Vient ensuite la vision réglementaire – ou business. Être certifié c’est avoir un avantage concurrentiel dans les appels d’offre, sorte de sélection naturelle des prestataires qui auront réussi à obtenir le précieux certificat. Côté clients et grands comptes, c’est à l’avenant, car il s’agit d’anticiper une obligation normative qui ne manquera pas d’arriver, voire de répondre plus facilement à des obligations normatives réelles. Par exemple être 27001 permet de cocher plus de 80 % des obligations de la directive NIS à périmètre constant.

Puis c’est la vision conformité, dans le sens du respect des bonnes pratiques. Les mesures techniques à mettre en place préconisées par la 27002 constituent un guide, au même titre que les mesures d’hygiène de l’ANSSI, ou de la bibliothèque ITIL. Cette vision est utile vis-à-vis d’une DSI (ne pas réinventer la roue), moins avec une DG. Par contre elle confère un avantage certain au RSSI qui la met en place : une fois obtenue, la certification (que personne ne veut perdre) devient, dans certains cas, contraignante (dans le bon sens du terme) : il faut faire ceci (ou ne pas faire cela) car c’est une obligation de la norme.

Ensuite c’est la vision traçabilité, extension de celle des bonnes pratiques. Dans un système de management de la qualité (SMQ, dont la 27001 est une déclinaison), tout est tracé, imputable et surtout, on peut facilement trouver l’action à l’origine d’une erreur, voire attribuer des tâches de remédiation à chaque propriétaire d’actif et tracer ces remédiations. Dans les faits, la traçabilité doit être vue comme un bénéfice collatéral d’une certification 27001 plutôt que sa finalité, mais c’est par contre un très bon axe d’explication après d’une DSI.

Inévitablement, au bout d’un certain temps on comprend que la 27001 est faite pour gérer des risques. Cela apparaît une tautologie, mais ce n’est pas si trivial. En effet, on ne traite pas seulement des risques opérationnels directement liés au SI, mais aussi des risques indirects de fonctionnement de l’ISO 27001 à proprement parler – sorte de méta risques.

Enfin, c’est la vision système de management qui arrive à ce stade. Il faut un bon moment pour comprendre véritablement ce qu’est un SMQ – 3 ans au bas mot et je n’exagère pas – et surtout diffuser cette compréhension auprès de tous les acteurs du périmètre. Ma définition – et qui n’engage que moi – est la suivante : macro-processus fractal auto-apprenant et auto-nettoyant.  Et il me faudrait un tableau blanc et un bon moment pour expliquer chaque terme et le sens général de la phrase. Bon, en gros, retenez la culture processus !

Le plus fascinant dans la 27001 – et dans tous les SMQ en général – est que la vision que l’on en a évolue constamment. Il est probable que si je réécris ce même article dans 5 ans, je pourrai proposer une vision de plus, ni tout à fait différente des précédentes ni tout à fait identique. Qu’un concept en apparence aussi simple (PDCA, 4 lettres en tout) et aussi concis (le manuel AFNOR tient en 11 pages hors annexes) suscite autant de débats, réactions, divergences d’interprétation, est absolument déroutant.

Dans l’Histoire des SI, c’est très certainement l’une des plus grosses ruptures de paradigme auquel une DSI ait à faire face.