Comme présenté dans un précédent article, l'ANSSI a publié en mai 2010, le Référentiel Général de Sécurité, fournissant aux autorités administratives (AA) les clés de compréhension et de mise en œuvre de téléservices fiables et sécurisés. Afin de respecter le décret et le référentiel associé, les AA doivent principalement mettre en place une méthode de management des risques.
Plusieurs méthodes comme MEHARI, EBIOS, OCTAVE ou encore CRAMM peuvent cadrer cette démarche.
Cependant, la norme l'ISO 27005:2008 publiée, le 4 juin 2008 et depuis cet été disponible en version Française sur le site de l'ISO, est également adaptée aux recommandations du RGS.
Contrairement à d'autres méthodes, l'ISO 27005 propose une démarche pérenne dans le temps, exactement comme le demande le référentiel de l'ANSSI. Elle applique en effet, à la gestion des risques le cycle d'amélioration continue PDCA (Plan, Do, Check, Act).
Comparatif des exigences du RGS & démarche ISO 27005:2008
Le schéma ci-dessous présente comment la norme ISO 27005 permet de répondre aux exigences du RGS. A noter que la norme préconise en complément, la communication régulière visant à atteindre un accord sur la manière de gérer les risques par un échange et/ou un partage des informations relatives au risque avec les décideurs. L'objectif étant la compréhension permanente du processus et des résultats de la gestion du risque de l'organisation.
Dans un prochain article, nous présenterons de manière plus détaillée, comment mener une analyse des risques dans le cadre du RGS, en utilisant la norme ISO 27005.
Les consultants Sécurité des SI de VOIRIN Consultants à votre disposition
Fort de leur connaissance des normes de la famille ISO 2700x, du RGS et de leur expérience dans le domaine de la SSI dans les collectivités et administrations, les experts du département Sécurité de VOIRIN Consultants, sont en mesure vous faire bénéficier de leur savoir-faire dans les domaines de la Sécurité des Systèmes d'Information et sont en mesure d'accompagner les organismes dans l'application de ce référentiel.
* Contacter nos chargés d'affaires:
- Bureau de Strasbourg : Stéphanie KLEIN
- Bureau de Paris et de Lyon : Laëtitia TUROCHE
