Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Pourquoi choisir un prestataire de services certifié sécurité ?

Pourquoi choisir un prestataire de services certifié sécurité ?
2008-12-122013-02-11lois, réglementations, standards et certificationsfr
Quels intérêts pour une entreprise d'en appeler à des prestataires de services informatiques certifiés sécurité...
Publié le 12 Décembre 2008 par Eric Wiatrowski dans lois, réglementations, standards et certifications


Quels intérêts pour une entreprise d'en appeler à des prestataires de services informatiques certifiés sécurité ?



Qu'est-ce qu'une certification sécurité ?

Cela commence par un audit à savoir un ou plusieurs experts qui analysent la chose à certifier en conduisant des analyses documentaires, des revues de code, des tests techniques, des interviews... Le tout en regard d'un référentiel reconnu qui pourra être une norme internationale comme ISO 15408, ISO 27001 ou un référentiel métier comme SAS 70 type II promue par les experts comptables nord-américains.

Ces auditeurs vont rédiger un rapport sur lequel s'appuiera l'autorité responsable de la certification. En France, il s'agit de la DCSSI pour une certification ISO 15408 ou de possiblement LSTI (accrédité par le COFRAC) pour une certification ISO 27001.

Le choix parmi toutes ces certifications dépend largement du contexte. Pour certifier un produit, ISO 15408 s'impose généralement, alors qu'ISO 27001 s'impose pour la certification d'une entreprise. Mais un contexte réglementaire en imposera une autre, comme Sarbanes-Oxley avec SAS 70 type II.

Les apports du processus de certification

S'ils font bien leur travail, les auditeurs vont bousculer certaines certitudes du prestataire. Par leur regard neuf et leur expertise, ils vont pouvoir montrer la faiblesse d'un produit, d'un processus, ou d'un contrôle. Ils pourront même suggérer une piste d'amélioration.

Pour obtenir un rapport positif, l'entreprise aura intérêt à appliquer tout ou partie des recommandations des auditeurs. Qui plus est, les auditeurs vont s'attacher au niveau de la sécurité au moment de l'audit, mais ils vont aussi vérifier que les processus vont permettre de conserver ce niveau dans le temps. Par exemple, les correctifs de sécurité sont à jour ET il existe un processus pour mettre en œuvre les correctifs à venir. C'est la philosophie d'amélioration continue Plan-Do-Check-Act de la norme ISO 27001.

Concrètement, le regard critique et constructif des auditeurs va in fine améliorer la sécurité du produit, du service, ou de l'entreprise qui vise la certification.

Les apports du certificat

De plus en plus d'acteurs sont soumis à des contraintes légales et/ou réglementaires propres à leur domaine. Protection de la vie privée, loi Sarbanes-Oxley pour les entreprises cotées à New York, Bâle II pour les établissements financiers...

Ces entreprises en appellent à des prestataires pour tout ou partie de leur système d'information. La conformité aux lois et règlements d'une entreprise se décline sur son système d'information et par conséquent sur ces sous-traitants. Et démontrer que l'entreprise respecte la loi implique donc un audit sécurité des prestataires de services clé.

Mais en choisissant un prestataire certifié on peut faire l'économie d'un tel audit. Par exemple, si le prestataire est certifié SAS 70 type II, les obligations Sarbanes-Oxley sont directement couvertes.

Or un audit c'est du temps et de l'argent. Car l'entreprise cliente doit généralement confier l'audit à un cabinet externe contre monnaie sonnante et trébuchante. En appeler à un prestataire disposant de la bonne certification permet de s'en dispenser.

En résumé

Faire appel à un prestataire certifié c'est potentiellement obtenir « mieux et moins cher ».

DCSSI : http://www.ssi.gouv.fr/fr/dcssi

LSTI : http://www.lsti-certification.fr/

COFRAC : http://www.cofrac.fr/

SAS 70 : http://www.sas70.com/

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage