En quelques mots, pouvez-vous résumer ce qu'est l'ISO 27001 ?
Pour schématiser, l'ISO 27001 est à la sécurité des systèmes d'information ce qu'est l'ISO 9001 à la qualité. L'objectif de cette norme est selon la terminologie ISO de "mettre en place, exploiter et améliorer un SMSI (système de management de la sécurité de l'information) documenté." Concrètement, il s'agit de mettre en place des bonnes pratiques techniques et organisationnelles pour améliorer la sécurité des SI.

Quelles sont les motivations qui peuvent pousser une entreprise à s'engager dans une certification ISO 27001 ?
La première motivation pour la certification reste la pression du marché. Certains clients ayant des attentes fortes en matière de protection de l'information peuvent exiger de leur prestataire qu'il soit certifié.
Néanmoins beaucoup d'entreprises s'engagent dans la démarche ISO 27001 sans aller jusqu'à la certification pour des questions de contraintes et de coût. En effet le processus de management de la SSI proposé par l'ISO permet d'avoir une bonne base de pilotage pour mettre en place un SMSI.

Vous avez consacré un ouvrage au management de la sécurité des systèmes d'information, pourquoi ?
Mon objectif était de transmettre de façon très pragmatique mes connaissances et expériences de la norme ISO 27001. L'ouvrage se veut très pratique, afin d'aider concrètement les responsables sécurité, RSSI ou qualiticiens dans l'adoption de cette norme. L'ouvrage se découpe grosso modo en trois grandes parties : la présentation de la norme, l'implémentation d'un SMSI et enfin le système de certification. Mon livre peut servir de guide pour entrer dans le process de certification et se préparer à l'audit.

 

En savoir plus

  • Management de la sécurité de l'information - Implémentation ISO 27001 et ISO 27002 - Mise en place d'un SMSI et audit de certification par Alexandre Fernandez-Toro - Editions Eyrolles, mars 2012 (édition remise à jour en janvier 2014)