PICSI

Quelle confiance une entreprise peut-elle accorder à un partenaire ? Externalisation des processus,  des ressources informatiques, sous-traitance, dématérialisation des échanges,... autant de facteurs qui font que des entités externes détiennent des informations numériques cruciales appartenant à l'entreprise.

Même si l'entreprise atteint un niveau de sécurité informatique satisfaisant, qu'en est-il de ses prestataires et clients ? Le réseau Wi-Fi du cabinet d'études en charge de la conception d'une nouvelle unité de prodution est-il bien sécurisé ?  Y-a-t-il un risque associé au parc d'ordinateurs portables de l'agence de communication préparant le lancement du nouveau produit ? Les collaborateurs du sous-traitant sont-ils suffisamment sensibilisés à la sécurité de l'information ? Quid du réseau informatique de l'expert comptable ?

Autant de questions légitimes qui peuvent influer sur le choix d'un prestataire.

Démontrer la prise en compte de la sécurité informatique dans ses processus et ses métiers devrait pouvoir apporter un avantage décisif pour gagner des marchés dans un environnement concurrentiel difficile. Et devrait aussi avoir des effets bénéfiques annexes, comme renforcer sa position pour la négociation d'un contrat d'assurance couvrant les risques informatiques, ou encore rassurer des investisseurs.

Pour améliorer et rationnaliser sa démarche sécurité, et surtout le faire savoir, la certification normalisée semble une voie prometteuse.

Certains grands pays, comme le Japon ou le Royaume-Uni ont mis en place des schémas de certification sécurité depuis la fin des années 90 (1000 certificats délivrés, chiffre de 2004, 100% d'augmentation en un an). Si ces certificats restent peu connus ou reconnus en France, la publication des normes ISO 27000 devrait conduire à des processus de certification ayant une forte visibilité nationale et internationale.

La norme ISO 27001, issue de la norme britannique BS 7799-2, concerne les systèmes de management de la sécurité de l'information (SMSI, acronyme plus connu dans sa version anglaise, ISMS).  Publiée en 2005, elle est organisée suivant le modèle PDCA (Plan, Do, Check, Act) emprunté au monde de la qualité et permet la mise en place de la certification de la gestion de la sécurité. D'autres normes sont annoncées, notamment l'ISO 27002, liste de bonnes pratiques en matière de sécurité de l'information.

La France s'est dotée récemment d'un schéma de certification et le premier organisme certificateur (LSTI) a été accrédité récemment par le COFRAC. De grandes entreprises telles Danone, Axalto (cartes à puce) ou La Poste se montrent intéressées par la démarche, bien qu'elles n'affichent pas un objectif de certification à court terme. Les conférences nationales abordant le sujet se multiplient et l'offre commerciale de sociétés de conseil pour l'accompagnement des entreprises se développe.

Après des débuts hésitants, les certifications qualité ISO 9000 sont entrées dans les moeurs des entreprises. Les certifications ISO 27000 suivront-elles le même chemin ? C'est en tout cas le pari de leurs promoteurs. La question des démarches conjointes ISO 9001/ISO 27001, voire ISO 9001/ISO 14001/ISO 27001, est d'ailleurs déjà posée.

Dans le cas de sites Internet marchands, c'est la confiance du grand public qu'il faut gagner. Conscients des réticences du consommateur face aux dangers de l'Internet (compromission de numéros de cartes bancaires, pratiques commerciales invasives et abusives de certains sites,...) des associations et des sociétés commerciales proposent des programmes de labélisation de sites Internet satisfaisant certains critères. Les cas de Trust-e, Verisign, ou Webtrust sont illustratifs. L'impact de ces sceaux sur le comportement des consommateurs n'est pas clairement déterminé, mais ils participent au mouvement général de renforcement de la confiance en ligne.