A l’ère du numérique, toutes les entreprises possède un « SI » (Système d’Information) constitué de l’ensemble des ressources (data, outils technologiques tel que des smartphones ou des pc portables) permettant la collecte, le traitement, le stockage et la diffusion des informations.

Afin de sécuriser ces informations, un « SMSI » (Système de Management de la Sécurité des Informations) regroupant l’ensemble des moyens techniques, organisationnels, juridiques et humains, permet de conserver, rétablir et garantir la sécurité du Système d’Information. L’objectif est de limiter les impacts d’une menace/attaque sur les activités de l’organisme. La norme ISO 27001 s’inscrit dans cette dynamique. Elle témoigne de la fiabilité d’une société en matière de sécurité.

 

Qu’est-ce que la norme ISO 27001 ?

Norme internationale publiée en octobre 2005 et révisée en 2013, elle permet de définir l’ensemble des étapes à respecter dans la gestion d’un SMSI. Cette norme s’adresse à toutes les entreprises qui veulent prendre en compte la sécurité de leurs données.

 

En quoi ça consiste ?

PDCALa norme ISO 27001 est divisé en 11 chapitres et comporte 4 phases qui sont : PLAN – DO – CHECK – ACT

1. La phase PLAN (planifier) :

  • Définir la politique et le périmètre du SMSI : libre de choix, ces éléments sont des leviers de souveraineté pour l’entreprise. Elle peut ainsi être certifiée ISO 27001 sur un périmètre très réduit et une politique sécuritaire peu stricte, sans répondre aux exigences de ses clients en matière de sécurité.
  • Identifier et qualifier les risques de sécurité : il n’y a pas de directives sur la méthode d’appréciation des risques à adopter. Les entreprises peuvent les créer ou choisir parmi les plus courantes, comme la méthode EBIOS (Expression des Besoins et Identification des objectifs de Sécurité) mis en place en France par l’ANSSI (Agence Nationale de la sécurité des systèmes d’information).
  • Définir la Politique de Sécurité du Système d’Information (PSSI) : 114 mesures de sécurité classées en 14 catégories (politique de sécurité, sécurité du personnel, contrôle des accès…), sont annexées à la norme ISO 27001. Cette annexe normative est à compléter avec la norme ISO 27002.
  • Définir les mesures de sécurité et évaluer les risques résiduels : lorsque la décision de traitement du risque est prise, l’entreprise doit identifier les risques résiduels. S’ils sont jugés inacceptables, il faut définir des mesures de sécurité supplémentaires.

2. La phase DO (faire) :

  • Déployer les mesures de sécurité.
  • Définir les indicateurs permettant d’évaluer l’efficacité des mesures et de contrôler la conformité du Système d’Information vis-à-vis des enjeux métiers.
  • Sensibilisation des collaborateurs.

3. La phase CHECK (vérifier) :

  • Audit du système d’information.
  • Suivi des incidents de sécurité.
  • Mesure des écarts entre les objectifs définis et les mesures implémentées.
  • Définition des plans d’action correctrice.

4. La phase ACT (valider) :

  • Mise en œuvre des plans d’action.
  • Contrôle de leur efficacité.

 

Pourquoi être certifié ISO 27001 ?

Il est vrai qu’être certifié est un coût non négligeable pour une entreprise, mais au regard des avantages générés, l’investissement est vite rentabilisé !

C’est un avantage concurrentiel

Pour les entreprises travaillant dans le numérique (de la PME à la GE), la certification ISO 27001 est un enjeu commercial majeur. Le choix d’un prestataire, d’un partenaire, d’un fournisseur… peut se jouer sur cette certification.

C’est un gage de sécurité

Assurant la sécurité et la confidentialité des informations, la norme ISO 27001 garantie la manipulation des données sensibles de l’entreprise et permet d’être mieux armé face à une menace.

C’est rentabilisé

Par l’identification, en amont de la certification, de vos points forts et de vos points faibles sécuritaires, vous économisez un temps précieux en cas de menaces ou de failles futurs. Autre avantage, à toute fin utile… certaines assurances proposent des tarifs préférentiels aux entreprises certifiées ISO 27001 ou engagées dans une démarche de qualité sécuritaire (il n’y a pas de petites économies !).

 

Comme toutes les autres normes de Système de Management de l’ISO, la décision d’être certifié ISO 27001 est un choix fait par l’entreprise, ce n’est pas obligatoire. Certaines sociétés font le choix de la certification pour bénéficier des avantages engendrés par cette norme ; d’autres font le choix de la certification pour garantir à leurs clients qu’ils suivent les recommandations de la norme.

About the author

Stan

Membre actif de la cyber sécurité en entreprise, c’est afin de limiter ma présence sur internet que j’ai choisi l’anonymat pour partager avec vous des actualités sécuritaires, des bonnes pratiques à suivre et des conseils pour vous protéger vous, votre entourage et votre entreprise.

View all articles