02 Décembre 2008
Les thèmes d'actualité
- Archivage et sauvegarde
- Banque, assurance, finance
- BI, décisionnel, SIG
- Bureautique
- Calcul scientifique
- Document, connaissances, GED
- Emploi informatique
- Finances, gestion, trésorerie
- Gestion commerciale, CRM
- Hardware
- Législation
- Licences, open source
- Localisation, traçabilité
- Locaux, sécurité physique
- Mobilité
- Politique informatique
- Production, logistique, SCM
- Programmation, développement
- Qualité, certification, référentiels
- Réseaux et communications
- Santé
- Secteur public
- Sécurité logique, virus et intrusions
- Site Internet
- Solutions globales, ERP
- Solutions RH
- Stockage, SAN, NAS
- Systèmes et infrastructure
HSC annonce ses services d'accompagnement BS7799
Novembre 2004
La norme BS7799
La norme BS7799 a été publié pour la première fois par le British Standard Institute en 1995. Son objectif est permettre la mise en place dans l'entreprise un système de management de la sécurité de l'information ou SMSI (ISMS ou Information Security Management System). Pour cela, la BS7799 impose le modèle PDCA (Plan, Do, Check, Act) qui oblige tous les processus relatifs à la sécurité à être cycliquement : planifiés, mis en place, vérifiés puis améliorés.
L'atout principal de la BS7799 selon les consultants techniques du cabinet HSC : "est sa simplicité et son pragmatisme". En effet, la norme n'impose pas de formalisme particulier et laisse libre du choix des méthodes utilisées pour l'analyse de risques et le contrôle.
C'est probablement ce pragmatisme qui a permis à la norme de connaître un essor rapide. L'ISO en a tiré l'ISO17799, en cours de révision, qui se limite pour le moment à donner une liste de bonnes pratiques en matière de sécurité.
Les apports de la BS7799 dans la vie quotidienne du système d'information
1) Certification BS7799 : Les sociétés peuvent vouloir se lancer dans un processus de certification BS7799. Ce processus peut couvrir l'ensemble du SI. Cependant, le coût économique et humain qu'un tel projet à l'échelle globale du SI est tel que seuls quelques processus stratégiques bien ciblés sont retenus pour la certification. La certification BS7799 entraîne l'entreprise dans un cycle de contrôles récurrents sur trois ans. "La plupart de ses clients ne sont pas encore concernés dans l'immédiat par cette démarche" complète Hervé Schauer.
2) Clarification des procédures relatives à la sécurité : l'intérêt principal de cette norme est de permettre la mise en place effective de procédures relatives à la sécurité. La réflexion BS7799 oblige à faire le point sur ce qui est important et sur ce qui l'est moins, sur ce qu'il faut protéger, et comment. Elle oblige surtout à mettre en application le fruit de cette réflexion. Elle contribue par là à une amélioration notable de la sécurité du système d'information. Hervé Schauer commente "La BS7799 demande de formaliser comme nous l'avons fait pour nos clients depuis 15 ans, c'est pourquoi je recommande aux entreprises de se lancer dans une telle démarche.
3) Passer à la tradition écrite : La norme BS7799 contraint toutes les parties prenantes de la sécurité, de la direction jusqu'à la production, à passer d'une société de tradition orale à une société de tradition écrite, sans pour autant sombrer dans une bureaucratie contre productive. Alexandre Fernandez explique "Le formalisme écrit augmente la crédibilité de l'entreprise vis-à-vis de ses partenaires et lui permet de passer sans encombre, le moment venu, vers une certification BS7799".
Ce que HSC apporte à ses clients
Fort de son expérience en matière de sécurité technique, HSC apporte une approche originale de BS7799, en évitant les écueils dus à la méconnaissance du terrain. A ce titre, HSC aide à l'implémentation d'une telle organisation, réalise des études de distance par rapport à la BS7799 sur des processus donnés, et propose des audits techniques cohérents avec la BS7799.
La norme BS7799 a été publié pour la première fois par le British Standard Institute en 1995. Son objectif est permettre la mise en place dans l'entreprise un système de management de la sécurité de l'information ou SMSI (ISMS ou Information Security Management System). Pour cela, la BS7799 impose le modèle PDCA (Plan, Do, Check, Act) qui oblige tous les processus relatifs à la sécurité à être cycliquement : planifiés, mis en place, vérifiés puis améliorés.
L'atout principal de la BS7799 selon les consultants techniques du cabinet HSC : "est sa simplicité et son pragmatisme". En effet, la norme n'impose pas de formalisme particulier et laisse libre du choix des méthodes utilisées pour l'analyse de risques et le contrôle.
C'est probablement ce pragmatisme qui a permis à la norme de connaître un essor rapide. L'ISO en a tiré l'ISO17799, en cours de révision, qui se limite pour le moment à donner une liste de bonnes pratiques en matière de sécurité.
Les apports de la BS7799 dans la vie quotidienne du système d'information
1) Certification BS7799 : Les sociétés peuvent vouloir se lancer dans un processus de certification BS7799. Ce processus peut couvrir l'ensemble du SI. Cependant, le coût économique et humain qu'un tel projet à l'échelle globale du SI est tel que seuls quelques processus stratégiques bien ciblés sont retenus pour la certification. La certification BS7799 entraîne l'entreprise dans un cycle de contrôles récurrents sur trois ans. "La plupart de ses clients ne sont pas encore concernés dans l'immédiat par cette démarche" complète Hervé Schauer.
2) Clarification des procédures relatives à la sécurité : l'intérêt principal de cette norme est de permettre la mise en place effective de procédures relatives à la sécurité. La réflexion BS7799 oblige à faire le point sur ce qui est important et sur ce qui l'est moins, sur ce qu'il faut protéger, et comment. Elle oblige surtout à mettre en application le fruit de cette réflexion. Elle contribue par là à une amélioration notable de la sécurité du système d'information. Hervé Schauer commente "La BS7799 demande de formaliser comme nous l'avons fait pour nos clients depuis 15 ans, c'est pourquoi je recommande aux entreprises de se lancer dans une telle démarche.
3) Passer à la tradition écrite : La norme BS7799 contraint toutes les parties prenantes de la sécurité, de la direction jusqu'à la production, à passer d'une société de tradition orale à une société de tradition écrite, sans pour autant sombrer dans une bureaucratie contre productive. Alexandre Fernandez explique "Le formalisme écrit augmente la crédibilité de l'entreprise vis-à-vis de ses partenaires et lui permet de passer sans encombre, le moment venu, vers une certification BS7799".
Ce que HSC apporte à ses clients
Fort de son expérience en matière de sécurité technique, HSC apporte une approche originale de BS7799, en évitant les écueils dus à la méconnaissance du terrain. A ce titre, HSC aide à l'implémentation d'une telle organisation, réalise des études de distance par rapport à la BS7799 sur des processus donnés, et propose des audits techniques cohérents avec la BS7799.
Pour aller plus loin
Sélection d'actualités
Forum
Vous voulez avoir l'avis d'un expert sur ce sujet ?
Gouvernance
Document, connaissances, GEDEmploi informatique
Législation
Licences, open source
Politique informatique
Qualité, certification, référentiels
Solutions
BI, décisionnel, SIGBureautique
Finances, gestion, trésorerie
Gestion commerciale, CRM
Mobilité
Production, logistique, SCM
Solutions globales, ERP
Solutions RH
Technologies
Archivage et sauvegardeHardware
Localisation, traçabilité
Locaux, sécurité physique
Programmation, développement
Réseaux et communications
Sécurité logique, virus et intrusions
Site Internet
Stockage, SAN, NAS
Systèmes et infrastructure
Editorial
ActualitésAgenda
Annuaire
Blogs
Contributeurs
Dictionnaire
Dossiers
Emploi
Forum
Lettre
Libraire