Quels intérêts pour une entreprise d'en appeler à des prestataires de services informatiques certifiés sécurité ?
Qu'est-ce qu'une certification sécurité ?
Cela commence par un audit à savoir un ou plusieurs experts qui analysent la chose à certifier en conduisant des analyses documentaires, des revues de code, des tests techniques, des interviews... Le tout en regard d'un référentiel reconnu qui pourra être une norme internationale comme ISO 15408, ISO 27001 ou un référentiel métier comme SAS 70 type II promue par les experts comptables nord-américains.
Ces auditeurs vont rédiger un rapport sur lequel s'appuiera l'autorité responsable de la certification. En France, il s'agit de la DCSSI pour une certification ISO 15408 ou de possiblement LSTI (accrédité par le COFRAC) pour une certification ISO 27001.
Le choix parmi toutes ces certifications dépend largement du contexte. Pour certifier un produit, ISO 15408 s'impose généralement, alors qu'ISO 27001 s'impose pour la certification d'une entreprise. Mais un contexte réglementaire en imposera une autre, comme Sarbanes-Oxley avec SAS 70 type II.
Les apports du processus de certification
S'ils font bien leur travail, les auditeurs vont bousculer certaines certitudes du prestataire. Par leur regard neuf et leur expertise, ils vont pouvoir montrer la faiblesse d'un produit, d'un processus, ou d'un contrôle. Ils pourront même suggérer une piste d'amélioration.
Pour obtenir un rapport positif, l'entreprise aura intérêt à appliquer tout ou partie des recommandations des auditeurs. Qui plus est, les auditeurs vont s'attacher au niveau de la sécurité au moment de l'audit, mais ils vont aussi vérifier que les processus vont permettre de conserver ce niveau dans le temps. Par exemple, les correctifs de sécurité sont à jour ET il existe un processus pour mettre en œuvre les correctifs à venir. C'est la philosophie d'amélioration continue Plan-Do-Check-Act de la norme ISO 27001.
Concrètement, le regard critique et constructif des auditeurs va in fine améliorer la sécurité du produit, du service, ou de l'entreprise qui vise la certification.
Les apports du certificat
De plus en plus d'acteurs sont soumis à des contraintes légales et/ou réglementaires propres à leur domaine. Protection de la vie privée, loi Sarbanes-Oxley pour les entreprises cotées à New York, Bâle II pour les établissements financiers...
Ces entreprises en appellent à des prestataires pour tout ou partie de leur système d'information. La conformité aux lois et règlements d'une entreprise se décline sur son système d'information et par conséquent sur ces sous-traitants. Et démontrer que l'entreprise respecte la loi implique donc un audit sécurité des prestataires de services clé.
Mais en choisissant un prestataire certifié on peut faire l'économie d'un tel audit. Par exemple, si le prestataire est certifié SAS 70 type II, les obligations Sarbanes-Oxley sont directement couvertes.
Or un audit c'est du temps et de l'argent. Car l'entreprise cliente doit généralement confier l'audit à un cabinet externe contre monnaie sonnante et trébuchante. En appeler à un prestataire disposant de la bonne certification permet de s'en dispenser.
En résumé
Faire appel à un prestataire certifié c'est potentiellement obtenir « mieux et moins cher ».
DCSSI : http://www.ssi.gouv.fr/fr/dcssi
LSTI : http://www.lsti-certification.fr/
COFRAC : http://www.cofrac.fr/
SAS 70 : http://www.sas70.com/
Je suis Chief Security Officer pour Orange Business et adore les systèmes de management de la sécurité de l'information et autres boucles PDCA. Mon but est d'obtenir le meilleur cocktaïl d'humains, process et outils pour faire tourner de l'oeil les hackers. Je donnerais ma main droite pour une Déclaration d’Applicabilité de la certification ISO 27 001 avec les bons controles et justificatifs.