Cybersécurité et sécurité de l’information : Comment limiter les risques avec la norme ISO 27001

Dans un monde toujours plus interconnecté, renforcé par l’avènement de la 5G et les progrès en matière d’IOT (« Internet Of Things » ou « Internet des Objets »), le grand public, mais aussi les entreprises, s’exposent de plus en plus à des risques pouvant mettre en péril leurs données et celles de leurs clients.

Social Engineering, phishing, ou autres attaques polymorphes s’ajoutent des incidents liés à des erreurs humaines (méconnaissance, mauvaise maîtrise, …). Alors comment limiter les risques ? ISO 27001 (version 2013) peut répondre à cette question en offrant un cadre propice à la protection de l’information.

Découvrez les étapes à ne pas louper pour entamer une démarche de certification.

Qu’est-ce qu’ISO 27001 ?

ISO (International Organization for Standardization) est une organisation internationale de normalisation définissant des spécifications ou en encore des lignes directrices permettant aux entreprises du monde entier de se structurer sur des domaines spécifiques tel que la qualité (ISO 9001) ou encore l’environnement (ISO 14001).

La version ISO 27001 2013 est, quant à elle, la norme certifiante sur les « Technologies de l’information – Techniques de sécurité – Systèmes de gestion de sécurité de l’information – Exigences ». Pour être très synthétique, elle concerne la mise en place d’un système de management et de mesures pour protéger l’information de votre entreprise.

Pour approfondir le sujet : Organisation internationale de normalisation

Pourquoi se lancer dans cette aventure de certification ?

Chaque entreprise devrait assurer à minima la protection de ses informations et de celles de ses clients. Il n’est pas nécessaire de se lancer dans une certification pour s’imposer au quotidien une « hygiène numérique », cependant ISO 27001 permet de se structurer dans une démarche qualitative en imposant la mise en place d’un système de management. De plus, par le biais de son Annexe A, ISO 27001 exige la mise en place de 114 mesures permettant de réduire les risques face à différentes menaces.

Pour aller plus loin, le référentiel ISO 27002 donne des recommandations utiles en lien avec cette annexe.

Quelles entreprises et organisations sont concernées par le management de la sécurité de l’information ?

Toute organisation souhaitant limiter les risques liés à des vols de données, des divulgations d’informations confidentielles, et lutter contre toute action volontaire ou involontaire pouvant agir de manière négative sur la disponibilité, l’intégrité et la confidentialité de l’information détenue par l’entreprise.

Contrairement aux idées reçues, les entreprises du CAC 40 ne sont pas les seules visées par des attaques. Elles sont d’ailleurs parfois mieux préparées, ce qui peut décourager les pirates. Les PME et TPE sont par conséquent des cibles de choix car moins sensibilisés sur la sécurité de l’information, ce qui donne la possibilité aux cybermalveillants d’agir plus facilement en pouvant obtenir une somme d’argent suffisamment conséquente pour mettre en réelle difficulté l’activité d’une petite structure. Plusieurs méthodes d’extorsion existent, mais une des plus connue et des plus utilisée est celle de l’arnaque aux Faux Ordres de Virement (FOVI) qui exploite les failles de l’organisation d’une société afin d’atteindre les personnes les plus « fragiles » en usurpant l’identité d’une personne influente pour obtenir un virement bancaire sur un compte inconnu.

Quel est le process de certification ?

La préparation impose de la rigueur. Pour une entreprise n’ayant jamais travaillé sur des normes, le challenge peut être compliqué à relever. Lire et comprendre une norme ne s’improvise pas et exige de nombreux points d’attention sur des obligations à respecter. Impossible donc de déroger à ces dernières, au risque de ne pas être certifié (voire de ne plus l’être).

De nombreuses lectures peuvent s’avérer nécessaire pour comprendre les subtilités de la norme.  De plus, les traductions de l’anglais vers le français peuvent créer parfois des incompréhensions (le mot Policy peut se voir traduire par Politique ou Procédure en fonction des cas). Si la langue de Shakespeare est votre amie, optez pour cette version.

Une fois la compréhension mieux maîtrisée, et le périmètre de certification déterminé, un Gap Analysis sera nécessaire afin de faire un état des lieux entre l’existant et les clauses / exigences de la norme.

Par la suite, priorité à la mise en place système de management de la sécurité de l’information (SMSI) qui permettra de déterminer les objectifs en matière de sécurité, les indicateurs permettant de piloter et évaluer l’atteinte de ces derniers, et également installer, entre autres,  les fondations pour l’analyse de risques (pièce maîtresse du SMSI).

Mesurer, contrôler et réviser?

ISO 27001, comme un acte de bon sens, impose une amélioration continue. C’est-à-dire que l’ensemble du SMSI devra être revu à fréquence régulière. Cela implique notamment le suivi  du plan de traitement des risques, du corpus documentaire (politiques, procédure, …), etc.

Qui peut répondre à vos doutes et interrogations ?

En plus de l’organisation responsable de la sécurité au sein de votre société, des organismes gouvernementaux tel que la CNIL ou l’ANSSI proposent, entre autres, des matrices de risques et des kits de sensibilisation.

Pour aller plus loin :

– www.ssi.gouv.fr
– www.cybermalveillance.gouv.fr
– www.cnil.fr

Il est également intéressant de vous inscrire à des associations (ex : www.clusif.fr) permettant de partager des retours d’expérience auprès de nombreux professionnels et acteurs de la cybersécurité.

Parmi ses nombreuses exigences, ISO 27001 impose le respect des réglementations en vigueur. Ce qui implique une veille juridique au plus près donnant un excellent socle pour accueillir le RGPD. D’ailleurs, une nouvelle norme (uniquement en version anglaise à ce jour) inclus la protection des données personnelles : la 27701.

A lire : RGPD : Tout savoir sur le nouveau Règlement Européen

Bien entendu, la certification n’est pas une fin en soi et entraine un travail régulier qui sera contrôlé à minima 2 fois par an (1 audit interne et 1 audit de suivi). Elle est valable 3 ans mais peut être perdue les 2 années suivantes si l’organisme certificateur considère que le SMSI n’est pas fiable et que, par conséquent, la sécurité n’est plus assurée.

Quoiqu’il en soit, une entreprise certifiée ISO 27001 apportera de la confiance aux clients ainsi qu’aux prospects inquiets de la protection de leurs données.