Le Centre de Recherche Public Henri Tudor met actuellement en place une grappe d’organisme, dont l’objectif sera l’implémentation d’un Système de Management de la Sécurité de l’Information.

Le projet de recherche « Information Security Management System pour PME » (ISMS-PME) mené par le Centre de Recherche Public Henri Tudor et financé par le Ministère de l’Economie et du Commerce Extérieur, a produit un ensemble de résultats ayant pour objectif d’apporter un support aux PME dans la mise en place d’un Système de Management de la Sécurité de l’Information (SMSI), tel que décrit dans la norme ISO/IEC 27001. Un tel système vise à déterminer les mesures de sécurité à mettre en place afin d’assurer la protection des biens sensibles d’une organisation. Au cœur de cette démarche se trouve une gestion des risques de sécurité de l’organisme, étape assurant un bon alignement entre le besoin de sécurité de l’organisme et les mesures de sécurité mises en place.

A l’aide de ces résultats, un modèle d’établissement d’un SMSI en grappe de PME a été défini. Une grappe de PME est un ensemble de trois à cinq organismes partageant la même volonté de mettre en place un SMSI. Ces organismes vont mutualiser les coûts liés à la formation et profiter du retour d’expérience de chacun dans la mise en place de son SMSI. Le modèle en grappe s’appuie essentiellement sur :

• Un bilan initial dans lequel est analysé l’état actuel de l’organisme et qui le compare à l’état à atteindre pour être certifiable ISO/IEC 27001.
• Une formation complète de six jours et demi, composée d’une formation initiale d’un jour et demi et de dix formations thématiques d’une durée d’une demi-journée.
• Un outil logiciel de gestion des risques, inspiré des lignes directrices de l’ISO/IEC 27005, permettant d’accélérer la saisie, l’analyse et la maintenance des résultats.
• Des coachings individualisés, réalisés sur demande et en fonction du besoin, permettant de valider la bonne application sur le terrain des éléments vus en formation. Ils se révèlent également un gage de qualité du SMSI de chaque organisme.

Le CRP Henri Tudor vient de démarrer un accompagnement en grappe à la certification ISO/IEC 27001 pour quatre organismes, trois PME du Grand Duché du Luxembourg et une institution européenne :

• Sandstone, société d’intelligence stratégique et économique, proposant des services dans le domaine du Due Diligence et du support Compliance, notamment dans la lutte contre le blanchiment (AML) et la connaissance du client (KYC),
• Streff, proposant un ensemble de services dans le domaine du déménagement, du stockage d’archive, de la numérisation et de la destruction de support de données,
• Learch (Luxembourg e-Archiving S.A.), entreprise créée au Luxembourg pour offrir des services de tiers-archivage numérique à valeur légale,
• La Cour des Comptes Européenne, qui peut aisément s’intégrer au modèle en grappe, de par son activité très ciblée.

Cette démarche, commencée en mai avec les premières formations, se terminera en février 2011 avec les derniers coachings. Suite au bilan de l’existant et à la formation initiale, le déroulement de la grappe propose des cycles de 3 à 4 semaines, composés d’une formation thématique commune suivie de coachings individualisés.

Pour plus d’informations sur la thématique de la sécurité de l’information ou pour participer à la prochaine formation en grappe, contactez Nicolas Mayer par mail : nicolas.mayer@tudor.lu.

Par Nicolas Mayer, Product Manager, CRP Henri Tudor