Tribune - Créée en 2005, la certification ISO 27001 permet aux entreprises de démontrer à leurs clients qu’elles ont mis en oeuvre de bonnes pratiques en matière de sécurité de l'information.

La démarche vise à instaurer un système de management de la sécurité de l'information (SMSI). Encore peu utilisée en France, la norme sert en revanche de guide ou de cadre aux RSSI.

Une certification, pourquoi faire ?
Parce que la sécurité n'est plus aujourd'hui une option et que le marché, de plus en plus exigeant, exerce de fortes pressions sur les entreprises, beaucoup d'entre elles sont amenées à remettre en question leurs méthodes. La norme ISO 27001 pose les fondamentaux en matière de sécurité des systèmes d'information : planification des actions à entreprendre, mise en pratique et amélioration des opérations en réalimentant le cycle vertueux de progrès. La certification est une garantie du maintien dans le temps du niveau de sécurité acquis. Elle fait l'objet d'un audit externe tous les six mois.

ISO 27001 permet d'intégrer la sécurité du système d'information dans une gouvernance globale. Les entreprises sont soumises à une multitude d'audits, fondés sur des règlements qui font autorité. En facilitant les échanges avec les auditeurs externes (LSF, Sarbanes-Oxley, Bâle II, Commission bancaire, etc.), la certification permet d'éviter l'accumulation chronophage d'audits.

Pourquoi choisir de se conformer à cette norme ?
Toutes les entreprises n'entreprennent pas une démarche ISO 27001 dans le but d'être obligatoirement certifiées. L'étape n'est pas systématiquement franchie. Certaines veulent simplement adopter de bonnes pratiques. Elles sont d'accord pour ISO 27001 mais sans le cachet officiel ! La norme permet d'identifier plus efficacement les risques et les coûts associés.

Les bonnes pratiques ont un effet positif sur l'efficacité et l'allocation du budget en fonction des risques. La norme permet aussi de gérer, de manière cohérente dans le temps, les mesures de protection et les mises en conformité légale. Véritable mode d'emploi, elle guide vers l'accession aux bonnes pratiques. Tout en apportant aux RSSI et aux DSI, un outil (SMSI) pour qualifier les risques du système d'information, la norme fournit aussi des indicateurs clairs et fiables ainsi que des éléments de pilotage financier aux directions générales.

Certains RSSI choisissent de suivre une formation 27001 pour devenir Lead Auditor. Ce label permet d'être fonctionnellement performant. Il atteste de l'acquisition des compétences nécessaires à la mise en place d'un SMSI, mais aussi, et surtout, il donne en interne la légitimité à le faire. Pour certains RSSI, c'est le moyen de sensibiliser direction et employés aux risques et à la nécessité de mettre en place un SMSI viable et fonctionnel.

La certification ISO 27001 revêt d'autres avantages encore, notamment vis-à-vis de l'extérieur. Dans un contexte économique adapté et avec une communication pertinente, elle constitue un élément différenciateur de confiance et de respect.

Comment mettre en place ISO 27001 ?
Tout d'abord en délimitant avec précision le périmètre. Ce qui se traduit notamment par une analyse de risques macroscopique et une cartographie des flux, outils et processus de sécurité. Ensuite, est analysé l'écart par rapport à la norme - identification des plans d'actions, utilité de l'implémentation, intérêt d'adopter les principes, de se certifier globalement, par sous-système ou métier spécifique.

Facebook, le site communautaire aux 200 millions de membres, sera-t-il un jour rentable ? Oui, selon Marc Andreessen, membre du conseil d'administration de la société depuis un an. Dans un entretien accordé à Reuters, le créateur de Mosaic (premier navigateur Internet) et de Netscape affirme que Facebook devrait réaliser un chiffre d'affaires de 500 M$ en 2009 et que dans cinq ans les revenus du site se compteront en milliards de dollars.

D'après Marc Andreessen, Facebook aurait même déjà dû franchir la barre du milliard de revenus si la société s'était davantage mobilisée pour monétiser son audience. Il estime néanmoins que Facebook (au même titre que Twitter, dans lequel il a investi) a eu raison de se concentrer sur sa base utilisateurs pour l'étoffer, sans être obnubilé par l'argent comme l'a fait MySpace. Longtemps chouchouté par les internautes, le réseau social racheté en juillet 2005 par le milliardaire Rupert Murdoch (pour 580 M$) a trop mis l'accent sur la vente de publicités et a négligé le développement de sa plateforme, entrouvrant une brèche dans laquelle Facebook n'a pas manqué de s'engouffrer.

Marc Andreessen vient par ailleurs de lancer un fonds d'investissement avec Ben Horrowitz, son associé depuis des années. Ce fonds est doté d'un capital de 300 M$. Il servira à financer des jeunes pousses du secteur IT, à hauteur de 300 000 $ pour les sociétés qui viennent de se lancer et de 15 M$ pour celles qui sont déjà bien positionnées. Au cours de sa carrière de mentor, Marc Andreessen a notamment investi dans les réseaux sociaux Ning, LinkedIn et Digg.

Depuis le décollage de l'audience de Facebook, de nombreux investisseurs ont injecté des millions de dollars dans le site, comme Microsoft (240 M$), les fonds Accel Partners et Peter Thiel, le milliardaire chinois Li Ka-Shing (60 M$) ou encore le Russe Sky Digital Technologies (200 M$ en mai dernier). Le site communautaire a toujours refusé de communiquer le moindre résultat financier.