En matière de sécurité, on entend souvent parler de la norme ISO 27000, plus précisément de la famille de ces normes, censée couvrir tous les aspects du système d’information, dont on sait à quel point il peut être vaste.

On sait aussi que ce travail de normalisation est une tâche de longue haleine et ISO 27000 ne déroge pas à la règle, puisque ses origines remontent à 1995 avec le premier recueil digne de ce nom, élaboré par le BSI (British Standard Institute), sous l’appellation BS 7799. Il aura donc fallu 20 ans pour que l’on dispose d’un cadre normatif complet, sous l’appellation générique ISO/
CEI 27000, commune ISO et CEI (Commission Électrotechnique Internationale). Bien entendu, de nombreux organismes, dans le monde entier, aident les entreprises à acquérir la certification correspondante sans laquelle, il ne peut y avoir de crédibilité pour un prestataire qui effectue des traitements pour ses clients et stocke des données.

Car autant on peut admettre qu’une bonne partie des ressources du TI partent ou vont partir du datacenter, vers le Cloud, autant les utilisateurs seront intransigeants quant aux prérequis que ces prestataires devront satisfaire pour être retenus. ISO 27000, comme ISO 9000, voire même IPv6, qui lui, n’est pas une norme, mais qui tous contribuent à asseoir sa crédibilité.

Pour les entreprises qui n’ont pas cette mission et se contentent de fonctionner, sinon en autarcie, du moins pour leur propre compte, la nécessité de se faire certifier ISO 27000 est beaucoup moins évidente, les problèmes qui se posent à elles étant plus pragmatiques et concrets qu’organisationnels. Toutefois, il peut leur être utile de savoir ce que la norme 27000 recouvre, connaître son état d’avancement et la nature des documents qu’elles peuvent se procurer pour s’informer plus précisément sur certains aspects précis qui pourraient les concerner.