4 min.

Cybersécurité et sécurité de l’information : Comment limiter les risques avec la norme ISO 27001

Date de publication : 20.12.19

CybersécuritéAgricoleArtisan - commerçant - TPEAssociationAuto entrepreneurBâtimentCafé Hôtel et RestaurantCréateurFranchisé - franchiseurPMEProfession libérale

Guillaume Chaix

Dans un monde toujours plus interconnecté, renforcé par l’avènement de la 5G et les progrès en matière d’IOT (“Internet Of Things” ou “Internet des Objets”), le grand public, mais aussi les entreprises, s’exposent de plus en plus à des risques pouvant mettre en péril leurs données et celles de leurs clients.

Social Engineering, phishing, ou autres attaques polymorphes s’ajoutent des incidents liés à des erreurs humaines (méconnaissance, mauvaise maîtrise, …). Alors comment limiter les risques ? ISO 27001 (version 2013) peut répondre à cette question en offrant un cadre propice à la protection de l’information.

Découvrez les étapes à ne pas louper pour entamer une démarche de certification.

Qu’est-ce qu’ISO 27001 ?

ISO (International Organization for Standardization) est une organisation internationale de normalisation définissant des spécifications ou en encore des lignes directrices permettant aux entreprises du monde entier de se structurer sur des domaines spécifiques tel que la qualité (ISO 9001) ou encore l’environnement (ISO 14001).

La version ISO 27001 2013 est, quant à elle, la norme certifiante sur les « Technologies de l’information – Techniques de sécurité – Systèmes de gestion de sécurité de l’information – Exigences”. Pour être très synthétique, elle concerne la mise en place d’un système de management et de mesures pour protéger l’information de votre entreprise.

Pour approfondir le sujet : Organisation internationale de normalisation

Pourquoi se lancer dans cette aventure de certification ?

Chaque entreprise devrait assurer à minima la protection de ses informations et de celles de ses clients. Il n’est pas nécessaire de se lancer dans une certification pour s’imposer au quotidien une “hygiène numérique”, cependant ISO 27001 permet de se structurer dans une démarche qualitative en imposant la mise en place d’un système de management. De plus, par le biais de son Annexe A, ISO 27001 exige la mise en place de 114 mesures permettant de réduire les risques face à différentes menaces.

Pour aller plus loin, le référentiel ISO 27002 donne des recommandations utiles en lien avec cette annexe.

Quelles entreprises et organisations sont concernées par le management de la sécurité de l’information ?

Toute organisation souhaitant limiter les risques liés à des vols de données, des divulgations d’informations confidentielles, et lutter contre toute action volontaire ou involontaire pouvant agir de manière négative sur la disponibilité, l’intégrité et la confidentialité de l’information détenue par l’entreprise.

Contrairement aux idées reçues, les entreprises du CAC 40 ne sont pas les seules visées par des attaques. Elles sont d’ailleurs parfois mieux préparées, ce qui peut décourager les pirates. Les PME et TPE sont par conséquent des cibles de choix car moins sensibilisés sur la sécurité de l’information, ce qui donne la possibilité aux cybermalveillants d’agir plus facilement en pouvant obtenir une somme d’argent suffisamment conséquente pour mettre en réelle difficulté l’activité d’une petite structure. Plusieurs méthodes d’extorsion existent, mais une des plus connue et des plus utilisée est celle de l’arnaque aux Faux Ordres de Virement (FOVI) qui exploite les failles de l’organisation d’une société afin d’atteindre les personnes les plus « fragiles » en usurpant l’identité d’une personne influente pour obtenir un virement bancaire sur un compte inconnu.

Quel est le process de certification ?

La préparation impose de la rigueur. Pour une entreprise n’ayant jamais travaillé sur des normes, le challenge peut être compliqué à relever. Lire et comprendre une norme ne s’improvise pas et exige de nombreux points d’attention sur des obligations à respecter. Impossible donc de déroger à ces dernières, au risque de ne pas être certifié (voire de ne plus l’être).

De nombreuses lectures peuvent s’avérer nécessaire pour comprendre les subtilités de la norme.  De plus, les traductions de l’anglais vers le français peuvent créer parfois des incompréhensions (le mot Policy peut se voir traduire par Politique ou Procédure en fonction des cas). Si la langue de Shakespeare est votre amie, optez pour cette version.

Une fois la compréhension mieux maîtrisée, et le périmètre de certification déterminé, un Gap Analysis sera nécessaire afin de faire un état des lieux entre l’existant et les clauses / exigences de la norme.

Par la suite, priorité à la mise en place système de management de la sécurité de l’information (SMSI) qui permettra de déterminer les objectifs en matière de sécurité, les indicateurs permettant de piloter et évaluer l’atteinte de ces derniers, et également installer, entre autres,  les fondations pour l’analyse de risques (pièce maîtresse du SMSI).

Mesurer, contrôler et réviser?

ISO 27001, comme un acte de bon sens, impose une amélioration continue. C’est-à-dire que l’ensemble du SMSI devra être revu à fréquence régulière. Cela implique notamment le suivi  du plan de traitement des risques, du corpus documentaire (politiques, procédure, …), etc.

Qui peut répondre à vos doutes et interrogations ?

En plus de l’organisation responsable de la sécurité au sein de votre société, des organismes gouvernementaux tel que la CNIL ou l’ANSSI proposent, entre autres, des matrices de risques et des kits de sensibilisation.

Il est également intéressant de vous inscrire à des associations (ex : www.clusif.fr) permettant de partager des retours d’expérience auprès de nombreux professionnels et acteurs de la cybersécurité.

Parmi ses nombreuses exigences, ISO 27001 impose le respect des réglementations en vigueur. Ce qui implique une veille juridique au plus près donnant un excellent socle pour accueillir le RGPD. D’ailleurs, une nouvelle norme (uniquement en version anglaise à ce jour) inclus la protection des données personnelles : la 27701.

A lire : RGPD : Tout savoir sur le nouveau Règlement Européen

Bien entendu, la certification n’est pas une fin en soi et entraine un travail régulier qui sera contrôlé à minima 2 fois par an (1 audit interne et 1 audit de suivi). Elle est valable 3 ans mais peut être perdue les 2 années suivantes si l’organisme certificateur considère que le SMSI n’est pas fiable et que, par conséquent, la sécurité n’est plus assurée.

Quoiqu’il en soit, une entreprise certifiée ISO 27001 apportera de la confiance aux clients ainsi qu’aux prospects inquiets de la protection de leurs données.

Partagez cet article
A propos de L’auteur

Guillaume Chaix

Manager SI, Lead Auditor ISO 27001

Guillaume Chaix dirige le pôle PMO & Cybersécurité au sein d’In Extenso Opérationnel à Lyon. Il est spécialisé en audit et management des risques SI

Voir d'autres articles

VOUS AIMEREZ AUSSI...

Zoom sur le nouveau régime des contrats d’apprentissage

Le dispositif de l'apprentissage a été remodelé par la loi du 5 septembre 2018, pour la liberté de choisir son avenir professionnel.

Une indemnisation pour les lanceurs d’alerte fiscaux

L’administration fiscale peut désormais indemniser toute personne, étrangère aux administrations publiques, qui lui fournit des renseignements [...]

Topo

Tout ce qu’il faut savoir sur le statut de conjoint collaborateur

Votre conjoint travaille régulièrement dans votre entreprise, sans percevoir de rémunération et sans avoir la qualité d'associé ? [...]

Vous avez aimé cet article, vous avez une question ? Laissez un commentaire

Notre politique de protection des données personnelles.

Contact rapide
close slider
bouton rappel

Contact rapide

* champs obligatoires


Les informations recueillies sur ce formulaire sont enregistrées dans un fichier informatisé par la société In Extenso Opérationnel pour la gestion des envois de documentations/inscriptions à nos newsletters, ainsi qu’aux événements organisés par le Groupe In Extenso. Vous pouvez demander à tout moment votre désinscription à nos newsletters, revues ou événements. En savoir plus sur notre politique de protection des données personnelles.