Cette article est de la catégorie Internet et domaines 

Un certificat pour le service d'enregistrement

Le service d'enregistrement des noms de domaine est certifié ISO 27001. Pourquoi?

Texte: Christa Falkensammer, publié le 08.09.2014

La préposée à la sécurité de SWITCH répond aux principales questions relatives au système de gestion de la sécurité informatique pour le service d'enregistrement des noms de domaine.

Pourquoi SWITCH s'est-elle fait certifier?

Le système de noms de domaine exploité par SWITCH compte parmi les infrastructures critiques de Suisse. Une panne aurait de graves répercussions sur la population et l'économie. C'est pourquoi SWITCH dispose de protections multiples et à plusieurs niveaux du système de noms de domaine (voir article "Quand la fiabilité n'est pas un hasard"). De plus, nous voulions constituer un niveau de sécurité supplémentaire sous la forme d'un système de gestion de la sécurité informatique (ISMS) et le faire certifier selon ISO27001. ISO27001 est la norme appliquée au niveau mondial pour la certification d'un ISMS. Celui-ci a pour but de protéger les informations sur base d'une analyse des risques commerciaux du point de vue confidentialité, intégrité et disponibilité.

Qu'englobe la constitution et la certification d'un ISMS?

SWITCH a mis sur pied l'année dernière un comité de sécurité informatique (ISA), qui, au niveau de la direction, élabore des directives de sécurité, évalue des analyses de risques et prépare des mesures destinées à améliorer la sécurité informatique. Ce comité est dirigé par la préposée à la sécurité qui en reçoit des mandats et est responsable de l'exploitation et de l'amélioration permanente de l' ISMS.

En vue d'évaluer les processus commerciaux critiques, nous avec effectué une analyse de Business Impact et en avons dégagé des scénarios de cas d'urgence et de mesures de réduction et de minimisation des dommages. Afin que l'exploitation commerciale puisse être rétablie le plus rapidement possible après des perturbations ou des urgences, nous avons défini un processus de management axé sur la pratique et l'avons testé à plusieurs reprises lors d'exercices de simulation de cas d'urgence.

La société-conseil AWK Group a assisté SWITCH dans la création de l'ISMS. Après cette phase intensive, la société SQS a certifié SWITCH selon ISO 27001. Nous sommes ainsi parmi les premiers services d'enregistrement européens à disposer d'un ISMS certifié.

Que cela apporte-t-il pour l'avenir?

Nous partageons notre expérience avec d'autres services d'enregistrement, afin que la sécurité de tout le système des noms de domaine soit maintenue et que nous puissions l'élever à un niveau immédiatement supérieur. Chez les hautes écoles de Suisse, l'introduction d'un ISMS est à l'ordre du jour. SWITCH mettra son expérience à leur disposition.

Mais SWITCH ne va pas se reposer sur ses lauriers: le processus permanent d'amélioration est un élément absolument central de l'ISMS, qui est ancré dans toutes les phases et opérations. La sécurité n'sest pas un état que l'on atteint une fois, c'est un processus. Le prochain audit intermédiaire par SQS est proche: après la certification, c'est avant la certification.

L'auteur
Christa   Falkensammer

Christa Falkensammer

Christa Falkensammer est responsable chez SWITCH du système de gestion de la sécurité informatique et assume le rôle de préposée à la sécurité (CISO). Auparavant, elle a obtenu à la Haute École Spécialisée du Nord-Ouest suisse un Bachelor et un Master of Science en informatique économique.

E-mail
Autres articles