Faut-il en conclure qu'ils sont meilleurs en sécurité ? Je ne pense sincèrement pas, car si une certification ISO 27001 a été fondamentalement bien conçue, et conçue pour apporter une réelle confiance, cet objectif initial n'est malheureusement pas atteint, et parfois bien au contraire.

Les milliers de certificats ISO 27001 de nos voisins ne sont pas des certificats de SMSI. Ce sont des certificats de SMQ-SI : Système de Management de la Qualité, appliqués à la Sécurité de l'Information.

En France, les professionnels ont largement été influencés par mon collègue Alexandre Fernandez-Toro [2], et ils ont été parmi les rares à réellement appliquer la norme ISO 27001, et à ne pas systématiquement la galvauder.

L'ISO 27001 définit une organisation de la SSI basée sur un engagement fort et visible de la direction générale, une gestion des risques continue et reproductible en sécurité de l'information, imposant un pilotage et un suivi rigoureux de la SSI, une réelle gestion des incidents, des mesures de sécurité utiles et efficaces, des audits internes et une cohérence d'ensemble. Le SMSI est une organisation de la SSI qui fait réellement augmenter le niveau de sécurité.

L'ISO 27006 impose aux organismes de certification des auditeurs réellement compétents, qui revérifient l'appréciation des risques, qui contrôlent explicitement l'adéquation des mesures de sécurité aux risques et la pertinence de la mise en oeuvre de ces mesures.

L'ISO 27006 s'applique obligatoirement aux organismes de certification et ce sont les autorités d'accréditation étatiques qui sont sensées le contrôler. Cf http://www.hsc.fr/ressources/presentations/certif27001/

Ainsi l'ISO 27001 et l'ISO 27006 sont sincèrement conçues pour apporter une réelle confiance, une vraie valeur ajoutée. Un SMSI certifié ISO 27001, c'est vraiment sérieux. Il devrait être possible de faire vraiment confiance à un prestataire certifié ISO 27001.

Force est de constater que dans les certifications ISO 27001, de par le monde et même parfois en France, les auditeurs sont plutôt des qualiticiens, dont parfois aucun n'a la moindre compétence en SSI, voire en informatique, contrairement à ce qu'impose formellement l'ISO 27006. Quand un auditeur réellement compétent est employé, il est bâillonné par l'organisme de certification, injustement limité dans le temps et il ne peut pas respecter l'ISO 27006. Il ne sert donc que de faire-valoir. Ou quand un auditeur réellement compétent est employé, il est affublé d'un collègue ni formé à l'audit, ni certifié auditeur (ISO 9001 ou ISO 27001 Lead Auditor), pas du tout qualifié pour être auditeur, et ne fait que consommer le temps limité de l'audit.

Si un qualiticien expert des systèmes de management et un auditeur très expérimenté dans l'audit de certification sont indispensables, ils ne sont pas suffisants, et c'est écrit dans l'ISO 27006.

Les organismes de certification et les autorités d'accréditation doivent réaliser qu'une certification ISO 27001 n'est pas une certification ISO 9001 sur la sécurité de l'information. Il y a peu de certificats ISO 27001 en France car nos directions générales ont un manque de volonté vis-à-vis de la certification de SMSI, car elles interprètent correctement le mot SMSI. Nos voisins ont beaucoup de certificats car ils ne font que des SMQ appliqués à la sécurité, dans lesquels, par exemple l'appréciation des risques est parfois complètement passée à la trappe. Les milliers de certificats de par le monde (plus de 12000 en 2009, cf : http://www.iso.org/iso/survey2009.pdf) ne correspondent pas à ce que les auteurs des normes ont écrit et ne reflètent pas une amélioration de l'organisation de la SSI aussi significative qu'attendue.

Le SMQ-SI, c'est-à-dire le Système de Management de la Qualité appliqué à la Sécurité de l'Information, revient à faire le minimum en matière de Sécurité de l'Information, et l'enrober dans une coquille Système de Management : revue de direction, documentation tape à l'oeil, indicateurs peu utiles en sécurité, etc... Et là, nous avons alors l'adhésion de directions générales en faveur du SMQ-SI, avec la certification ISO 27001 sans mise en oeuvre de SSI.

Le monde de la SSI a besoin de SMSI, des vrais, qui mettent en oeuvre de la sécurité, et ainsi des certifications ISO 27001 utiles. Ne faisons pas comme les autres pays qui n'ont que des certifications de SMQ-SI.

Il conviendrait que les organismes de certification respectent les normes, et que certains d'entre eux cessent de prendre le monde la sécurité de l'information pour des idiots. Il faut également que les autorités d'accréditation aient les moyens de commencer à jouer leur rôle de contrôleur.

Ne soyez pas crédules et faites preuve de rigueur et de discernement, comme vous l'a inculqué l'enseignement hexagonal en SSI, et si la certification ISO 27001 demeure un pré-requis logique et indispensable à toute relation contractuelle, vérifiez qui a audité, et jugez les auditeurs de certification comme vous jugeriez tout expert en SSI.

[2] Consultant en sécurité et auteur du livre "Management de la Sécurité de l'Information, Implémentation ISO 27001, Mise en place d'un SMSI et audit de certification" publié chez Eyrolles : ISBN : 978-2-212-12622-8

Auteur : Hervé Schauer Consultants - [Newsletter HSC] N°77 - Janvier 2011