Etat de l’art en matière de sécurité des systèmes d’information
Dématérialisation et archivage électronique Normes Respecter l’état de l’art en matière de sécurité des systèmes d’information De la loi Sarbanes-Oxley (SOX), aux accords de Bâle II(1), en passant par la loi de sécurité financière (LSF)(2), sécurité quotidienne, sécurité intérieur, Sarkosy I et la loi sur la protection des données personnelles, on ne compte plus les dispositifs légaux et réglementaires relatifs à la sécurité des systèmes d’information. Cet afflux de textes montre que cette préoccupation est aujourd’hui prise en compte par le législateur à travers l’élaboration d’un droit de la sécurité.Il est donc nécessaire pour l’entreprise de connaître avec précision l’ensemble du référentiel légal qui s’applique en matière de sécurité aux informations qu’elle manipule dans son secteur d’activité (aéronautique, santé, banque…). Le recours aux normes peut s’avérer indispensable. Si elles ne sont souvent que des recommandations techniques sans force obligatoire, leur application devient cependant de plus en plus courante au sein des professions, leur conférant ainsi une certaines portée juridique. Elles sont considérées par le juge comme la codification écrite regroupant des « règles de l’art » ou des « usages loyaux et constants ». Aquelle norme se référer pour les SI ? Il existe depuis octobre 2005 une norme internationale concernant la sécurité de l’information, la norme ISO/CEI 27001 dont le titre est « Technologies de l’information -Techniques de sécurité -Systèmes de gestion de sécurité de l’information – Exigences »(3). Cette norme représente le premier cadre normatif en matière d’organisation et de management de la sécurité des SI. Y faire référence dans un contrat par une clause ISO/CEI 27001 ou en l’intégrant au cahier des charges permet de la rendre obligatoire entre les parties. Mais au-delà de cette référence, il s’agit d’une norme qui peut être utilisée dans le cadre d’une certification par un organisme indépendant et reconnu, qui apporte la garantie-sécurité pour l’entreprise. La certification, qui est aujourd’hui possible en France, apporte un atout compétitif. Il est clair qu’une entreprise sera plus enclin à choisir un partenaire qui a mis en place une procédure de certification, preuve de la conformité de son SI. (1) Chantier qui va réformer le système international bancaire à l’échéance de 2007 (2) La SOX a été adoptée le 30/07/2002 par le Congrès américain et la LSF (loi n°2003-706) dont le périmètre est plus large date du 01/08/2003 (3) Elle définit l’ensemble des tests et contrôles à effectuer pour s’assurer du bon respect d’ISO/CEI 17799. Paru dans la JTIT n°50/2006 p.3 (Mise en ligne Mars 2006)