Les 42 mesures et la 27001

On pourra lui trouver des défauts : toutes les mesures ne sont pas applicables à tout le monde ou en totalité, beaucoup sont très largement interprétables, il reste de l’ordre du basique, etc. Oui, sauf que si tout un chacun appliquait au mieux ce qui est pertinent pour son domaine/secteur, le monde (cyber) et la sécurité (cyber) ne s’en porteraient que mieux. La question se pose toutefois de savoir comment articuler ce guide avec des démarches normatives telle la 27001. À multiplier les guides, les textes, les obligations réglementaires ou normatives et les bonnes pratiques, le RSSI finit par s’éparpiller sans fin, et on n’avance plus. Paradoxalement, la réponse à cette question de fond n’est pas dans la 27001, mais dans son annexe (déclinée en 27002).

Séparer en deux parties distinctes (27001 et annexe A) ce qui relève du système de management de la qualité (SMQ) des mesures techniques est une spécificité de la 27001 qui déroute les experts issus de la 9001. Certes, appréhender cette approche n’a rien de trivial, mais cette dernière confère un avantage absolument énorme : l’existence d’une déclaration d’applicabilité (DDA, et au demeurant il n’est pas obligatoire de prendre celle de l’annexe A même si c’est fortement conseillé dans un premier temps, mais ce seul sujet nécessiterait un article dédié).

Dans la liste de mesures de la DDA, il faut :

– en retenir la plupart et justifier celles qui ne sont pas retenues (Plan) ;

– mettre en place des mesures techniques pour couvrir celles qui sont retenues (Do) ;

– couvrir ces dernières par des contrôles : si une mesure est prise, un contrôle s’effectue pour vérifier qu’elle est bien déroulée (Check) ;

– améliorer tout le dispositif (Act).

L’idée est de considérer que la DDA est un onglet d’un fichier Excel auquel on va ajouter un onglet pour les 42 mesures d’hygiène de l’Anssi, un autre pour les mesures de la HAS 2024 et un autre pour chaque obligation normative ou réglementaire.
L’autre idée est d’externaliser le registre des mesures afin de disposer d’un catalogue autonome des mesures (MS001 : vérifier les comptes admin de domaine ; MS002 : scanner la DMZ ; MS003 : revoir les habilitations DPI, etc.). Cette démarche permet de factoriser les mesures et de faire pointer la DDA et chaque ligne des autres onglets vers un registre externalisé et mutualisé des mesures. Autant ne faire le boulot qu’une seule fois.
Troisième étape : externaliser les contrôles et faire pointer les mesures vers ce registre des contrôles. Dans certains cas, ce sont directement les lignes de la DDA qui pointent vers les contrôles quand la mesure n’a pas de sens (n’a pas à être documentée) ou constitue un contrôle en soi.

Considérer l’ensemble des obligations normatives ou réglementaires comme un onglet de plus dans la DDA facilite énormément le pilotage de l’ensemble par le RSSI.
Externaliser le registre de mesures permet de les factoriser et de ne faire le travail qu’une seule fois : beaucoup de mesures techniques se recoupent dans l’ensemble de ces obligations. Idem pour le registre des contrôles.

Et cerise sur le gâteau : il est très facile de construire des indicateurs opérationnels, comme le taux de couverture par les mesures de telle norme ou de tel texte, le taux de couverture des mesures par les contrôles, etc.

Et cerise sur la cerise : quand on commence à aborder la 27701 (sécurité des données personnelles), on percute immédiatement sur le fait que :

– à terme, il est probable qu’elle soit éclatée en deux (27701 et 27702) ;
– une bonne partie des mesures couvre déjà une bonne partie de la 27701 existante ;
– idem pour les contrôles.

On peut facilement s’épuiser dans ce qui est en train de devenir un maquis réglementaire : quand on n’a pas de tête, il faut avoir des jambes. Ou on peut poser les crayons deux minutes : travail organisé est à moitié fait.

De rien.

L'auteur

Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.