Les secteurs du BTP, de l’ingénierie et de l’industrie sont concernés directement par les enjeux de sécurité. Dans ce cadre, le sujet du jour porte sur la norme ISO 27001. Décryptage.

Qu’est-ce que l’ISO 27001 et pourquoi devriez-vous vous en soucier ?

Il s’agit de la norme internationale reconnue pour la gestion de la sécurité de l’information dans une organisation. C’est une spécification qui inclut tous les contrôles juridiques, physiques et techniques impliqués dans les processus de gestion des risques de l’information d’une organisation.

La protection des données n’a jamais été aussi importante dans la gestion des processus « métier » qu’aujourd’hui. Avec le règlement général de l’UE sur la protection des données (GDPR) et le grand nombre de violations de données qui font la « Une » des journaux, il est important que votre société et ses fournisseurs soient préparés et disposent de systèmes et de processus de sécurité. ISO 27001 est conçue pour aider les organisations à surveiller, réviser, entretenir et améliorer leurs systèmes de gestion de la sécurité de l’information. Les normes permettent de garantir que les risques de sécurité d’une entreprise sont gérés de manière pérenne et d’envoyer un message important et précieux aux clients et aux partenaires commerciaux : « cette entreprise fait les choses correctement ».

Publiée en octobre 2005 et révisée en 2013, son titre est « Technologies de l’information – Techniques de sécurité – Système de gestion de sécurité de l’information – Exigences. » Elle fait partie de la suite ISO/CEI 27000 et permet de certifier des organisations.

Elle s’adresse à tous les types d’organismes (entreprises commerciales, ONG, administrations …) et définit les exigences pour la mise en place d’un système de gestion de la sécurité de l’information. Ce système recense les mesures de sécurité, dans un périmètre défini, afin de garantir la protection des actifs de l’organisme. L’objectif est de protéger les fonction et information de toute perte, vol ou altération, et les systèmes informatiques de toute intrusion et sinistre informatique. Cela apporte de la confiance pour les parties prenantes. La norme précise que les exigences en matières de mesures de sécurité doivent être adéquates et proportionnées aux risques encourus et donc ne pas être ni trop laxistes ni trop sévères.

 

Avant la certification ; que faut-il faire pour être certifié ISO 27001 ?

Vous savez peut-être que certains de vos fournisseurs de logiciels sont certifiés ISO 27001. Mais qu’est-ce que cela signifie vraiment ?

La certification n’est pas un but en soi, c’est-à-dire que l’organisme qui décide de mettre en place un SMSI (Système de Management de la Sécurité de l’Information) en suivant les exigences de l’ISO/CEI 27001, n’a pas pour obligation de se faire certifier. Cependant, c’est l’aboutissement logique de l’implémentation d’un SMSI puisque les parties prenantes n’ont confiance qu’en un système certifié par un organisme indépendant.

Si une organisation est certifiée 27001, cela signifie que la direction et le personnel s’engagent non seulement à maintenir, mais également à améliorer en permanence la gestion et les contrôles de sécurité de l’organisation.

ISO 27001 utilise une approche basée sur les risques et est neutre sur le plan technologique. Il comprend des détails sur la documentation, les responsabilités de la direction, les audits internes, l’amélioration continue et les actions correctives et préventives. Cependant, il ne décrit pas les contrôles spécifiques à utiliser, mais plutôt une liste de recommandations pour le contrôle.

Pour se préparer à la certification ISO 27001, une entreprise doit suivre les six étapes suivantes :

  1. Définir une politique de sécurité.
  2. Définir la portée du système de gestion de l’information.
  3. Effectuer une évaluation des risques.
  4. Gérer les risques identifiés.
  5. Sélectionnez les objectifs de contrôle et les contrôles à mettre en œuvre.
  6. Préparez une déclaration d’applicabilité.

 

Après la certification ISO 27001; quelles sont les obligations ?

ISO 27001 impose également à l’entreprise d’évaluer régulièrement les progrès et les performances de la sécurité de l’information. Ceci est divisé en 3 actions clés :

1.    La surveillance : l’organisation doit évaluer les performances de la sécurité de l’information et l’efficacité du système de gestion de la sécurité de l’information.

2.    L’audit interne : l’organisation doit effectuer des audits internes à intervalles planifiés pour fournir des informations indiquant si le système de gestion de la sécurité de l’information est toujours adapté à la situation.

3.    L’examen du système : la direction doit examiner le système de gestion de la sécurité de l’information de l’organisation à intervalles planifiés pour s’assurer de son efficacité.

 

ISO 27001 ; une garantie de sécurité de l’information ? Les critiques de la normes

La plupart des organisations et des entreprises auront mis en place une forme ou une autre de contrôle pour gérer la sécurité de l’information, mais ils sont souvent mis en œuvre de manière aléatoire. Certains sont introduits pour fournir des solutions spécifiques à des problèmes spécifiques, tandis que d’autres sont souvent introduits simplement par convention.

Avantages de la norme ISO 27001

  • Une description pratique et détaillée de la mise en œuvre des objectifs et mesures de sécurité.
  • Un audit régulier qui permet le suivi entre les risques initialement identifiés, les mesures prises et les risques nouveaux ou mis à jour, afin de mesurer l’efficacité des mesures prises.
  • Sécurité :
    • Processus d’amélioration continue de la sécurité, donc le niveau de sécurité a plutôt tendance à croître.
    • Meilleure maîtrise des risques
    • Diminution de l’usage des mesures de sécurité qui ne servent pas.
  • Une certification qui améliore la confiance avec les parties prenantes.
  • Homogénéisation : c’est un référentiel international. Cela facilite les échanges, surtout pour les entreprises qui possèdent plusieurs sites.
  • Processus simple et peu coûteux : réduction des coûts grâce à la diminution d’usage de mesures de sécurité inutiles et à la mutualisation des audits (baisse du nombre et de la durée des audits quand on obtient la certification).
  • La norme permet d’identifier plus efficacement les risques et les coûts associés (avantage économique).

Limites de la norme ISO 27001

  • La définition et la mise en place d’une méthodologie sont des tâches lourdes.
  • L’application de cette norme ne réduit pas forcément de manière notable le risque en matière de piratage et de vols d’informations confidentielles. Les intervenants, notamment internes, connaissent les règles et peuvent ainsi plus aisément les contourner. Les normes sont inopérantes dans ce domaine.

 

En définitive, la norme ISO 27001 est vue comme un guide et une liste de contrôle pour éviter que les organisations n’aient des lacunes dans leurs cadres et contrôles de sécurité. Il est conçu pour vous simplifier la vie en évitant les problèmes de sécurité ultérieurs. La norme 27001 comporte 10 chapitres et une annexe ; les exigences qu’ils contiennent doivent être respectées pour obtenir une certification.