Démarche ISO 27001 : la lettre et l’esprit

Pour ceux qui n’ont jamais mis les pieds dans les grands principes d’une certification ISO (ici, 27001), voici un exemple parfait qui démontre que l’on peut adopter les bonnes pratiques de l’ISO sans objectif de certification immédiat, et ce à moindre coût. Faisons l’exercice : si l’on devait mettre en place un système de prise en main à distance ex nihilo pour les fournisseurs, avec une optique de Security by Design, quelles en seraient les caractéristiques principales ?

Dans ce genre de problème, on découpe traditionnellement en Build et Run. Côté Build, on trouverait en vrac les mesures suivantes :

• limitation des équipements de connexion périphériques (bastion, serveurs VPN, etc.). Mieux vaut éviter de multiplier les bastions de connexion ou les points d’accès VPN et chercher plutôt à les consolider pour les rendre plus faciles à contrôler ;
• durée d’un compte fournisseur limité soit à la durée de l’opération, soit à un an, soit à la durée du marché ; il s’agit d’éviter le travers classique de trouver une bardée de comptes de connexion dont on ne sait jamais s’ils sont toujours utilisés, si le marché est toujours en cours, etc. ;
• un compte de connexion par système cible (modalité biomed, progiciel SI, etc.). L’erreur classique consiste à attribuer un compte par fournisseur, qui pourra ensuite se connecter sur l’ensemble de ses systèmes cibles ; en cas de rachat, on risque de se retrouver avec des comptes utilisés par de multiples acteurs, ce qui est la pire des solutions ;
• mot de passe imposé par l’établissement. Certains fournisseurs sont connus pour imposer le même mot de passe chez tous leurs clients pour se faciliter la vie (authentique !) ;
• charte de connexion fournisseur annexée au contrat.

Côté Run, on trouve les mesures suivantes pour l’établissement :

• revue annuelle des comptes. Il s’agit de pister les comptes inactifs, les comptes obsolètes, etc. ; s’ils sont trop nombreux, il est possible d’échantillonner en sélectionnant une trentaine de comptes ;
• revue périodique des accès a minima par échantillonnage. Idem ;
• audit des fournisseurs, soit en totalité soit par échantillonnage ;

Pour le Run côté fournisseur, on peut citer parmi les mesures :

• existence d’une charte utilisateur interne juridiquement opposable (il s’agit de vérifier son existence, pas forcément de la consulter) ;
• existence d’un plan de formation SSI interne ;
• existence d’un journal des accès et des interventions consultable sur demande ;
• existence d’une certification ISO, audits annuels consultables sur demande ;
• obligation de signaler les incidents de SSI ;
• obligation de désigner un correspondant SSI interne ;
• certification ISO sur le périmètre des services de télémaintenance.

Sur ce dernier point, deux écoles sont en présence : la première consiste à établir un questionnaire plus ou moins précis dans le genre ci-dessus à envoyer chaque année à un ensemble ou sous-ensemble de fournisseurs afin de satisfaire à l’obligation d’audit de la sécurité du processus de télémaintenance. C’est la démarche la plus classique, mais il en existe une autre qui consiste justement à ne poser aucune question précise et à laisser chaque fournisseur se débrouiller avec une question ouverte du genre : « Quelles sont les mesures que vous prenez pour sécuriser les accès à nos systèmes ? » Le principe de la question ouverte est redoutable, je l’ai testé notamment dans des appels d’offres : efficacité garantie.

En procédant de la sorte (Build et Run en deux parties), on adresse les chapitres 12 (« Sécurité liée à l’exploitation ») et 15 (« Relations avec les fournisseurs ») de l’ISO 27002 (qui est l’annexe de l’ISO 27001) en suivant le principe selon lequel un dispositif doit être mis en place pour sécuriser les accès en télémaintenance (Plan et Do) et que ce dispositif doit être audité (Check) pour boucher les trous (Act). La différence entre une entreprise peu mature et très mature sur ce processus est l’étendue des mesures en Build et des audits en Run : plus on a de monde pour s’en occuper, plus les audits seront complets. Au demeurant, il s’agit d’un point qui se mutualise parfaitement au sein d’un GHT.

Une démarche ISO n’est pas forcément coûteuse : démarrer et « se faire la main » sur un processus organisationnellement simple tel que celui-ci est un bon début.