ISO 27001 : le seul modèle de SMSI ?

Le modèle PDCA et la maturité des processus et architectures de sécurité

La norme ISO/IEC 27001 est devenue le référentiel incontournable des SMSI. Elle est complétée d’autres normes (série 27000) qui sont pour la plupart des documents en support.

Pourtant cette norme ISO 27001 ne constitue pas un cadre vraiment satisfaisant vis à vis des notions de maturité en sécurité et ne propose aucune approche.

ISM3 : information security management maturity model

Il existe un autre référentiel de SMSI : ISM3, qui est un modèle de maturité des processus de sécurité (stratégique, tactique et opérationnel)

Ce modèle de management de la sécurité est basé sur des processus compatibles à la norme ISO9001, ISO27001, ITIL, COBIT et ISO20000 avec cinq niveaux de maturité et de mesures.

ISM3 propose un système intégrant (dans la dernière version datant de 2009) :

  • 7 types de métrique : Activity, Unavailability,Scope, Load, Quality, Efficacy and Efficiency.
  • des modèles de maturité  : Niveau Basique, Niveau PME PMI, Niveau Commerce électronique, Niveau entreprise, Niveau militaire.
  • des guides liés au :
    • management des mesurages (Measurement-Interpretation-Investigation-Representation-Diagnosis)

Le lien avec les modèles de maturité CMM : capacity maturity model

Définition : « par capacité d’un processus, on entend la gamme des résultats attendus pouvant être obtenus en suivant ce processus. » [Paulk et al., 1993]

Pour le Software Engineering Institute(SEI) , la capacité d’un processus est à situer sur une échelle à six niveaux. Un processus peut donc être incomplet (niveau 0), exécuté (niveau 1), géré (niveau 2), défini (niveau 3), géré quantitativement (niveau 4) et optimisé (niveau 5).

Un modèle de maturité peut se voir comme une représentation simplifiée de l’évolution que peut suivre la maturité d’une organisation, c’est-à-dire dans quelle mesure elle met en oeuvre des processus gérés, définis ou documentés, gérés quantitativement et optimisés.

ISM3 : évolution vers le projet SOMA

Le modèle de maturité ISM3 a récemment évolué vers un projet appelé SOMA (Security Operations Maturity Architecture) qui cherche à faire converger les maturités des processus de sécurité et les technologie liées à la sécurité.

L’organisme, ISECON, en charge du développement de ce projet SOMA est également celui qui a permis la mise au point d’OSSTMM (Open Source Security Testing Methodology Manual) qui est une méthodologie pour effectuer des tests de sécurité (tests d’intrusion et tests de vulnérabilités).

Bref, si ce projet est encore plutôt peu connu en Europe, il faut espérer qu’il permette à terme d’aller vers des niveaux de maturité en sécurité, ce qui est un manque fondamental au modèle PDCA dans le domaine de la sécurité de l’information.

COPYRIGHT YSOSECURE © 2002 - 2021