Système de sécurité de l’information à l’aide de la norme ISO 27001
Le sujet de la « sécurité de l’information » devient de plus en plus crucial pour les entreprises en pleine transformation numérique. Sans mesures de sécurité adéquates, il existe un risque de perte et de vol de données par des pirates informatiques, de perturbations opérationnelles dues à des attaques sur le web ou d’utilisation abusive des données. Une alternative à une approche structurée est un système de gestion de la sécurité de l’information (SGSI) conforme à la norme ISO 27001.
Qu’est-ce que la norme ISO 27001 ?
ISO/IEC 27001 est la principale norme internationale pour la mise en œuvre d’un système global de gestion de la sécurité de l’information. Elle met l’accent sur l’identification, l’évaluation et la gestion des risques liés aux processus de gestion de l’information. La sécurité des informations confidentielles est considérée comme un facteur stratégique essentiel. L’information nous entoure partout et fait partie de chaque processus. Elles sont parfois insignifiantes, mais trop souvent, elles sont critiques et confidentielles. Pour faire cette distinction importante pour votre organisation, il est nécessaire de classer les informations. En effet, les mesures de protection d’un système de gestion de la sécurité de l’information (SGSI) conforme à la norme ISO/IEC 27001 sont basées sur cette classification. Un SGSI crée un cadre pour protéger les données de l’entreprise et leur confidentialité. En même temps, la norme mondialement reconnue garantit la disponibilité des systèmes informatiques impliqués dans les processus de l’entreprise. Dans ce contexte, la certification ISO 27001 envoie un signal fort au marché : il s’agit d’une évaluation externe indépendante et d’une confirmation de l’efficacité de votre SMSI. Avec l’EN ISO/IEC 27001:2017-06, une version coordonnée par le Comité européen de normalisation (CEN) a été publiée. Elle combine les deux corrections (corrigenda) Cor 1:2014 et Cor 2:2015. Les changements associés à la correction ne concernent qu’une meilleure description des exigences associées, mais pas de nouvelles exigences supplémentaires. Les certificats conformes à la version ISO/IEC 27001:2013 restent donc valables.
À qui s’adresse la certification ISO 27001 ?
La norme ISO 27001 relative aux SMSI s’applique dans le monde entier. Elle fournit aux entreprises de toutes tailles et de tous secteurs un cadre pour planifier, mettre en œuvre et contrôler leur sécurité de l’information. Les exigences sont applicables et contraignantes pour les entreprises privées et publiques ainsi que pour les organisations à but non lucratif. En Allemagne, par exemple, les entreprises appartenant à un secteur d’infrastructure critique (KRITIS) et dépassant un certain seuil doivent démontrer comment elles assurent la sécurité de leurs informations. Les secteurs KRITIS comprennent l’énergie, l’eau, la santé, la finance et l’assurance, l’alimentation, le transport et la circulation, les technologies de l’information et les télécommunications. La preuve de la mise en œuvre peut être apportée par des audits de sécurité, des tests ou des certifications. À cette fin, des normes reconnues telles que la norme ISO 27001 ou des normes de sécurité sectorielles reconnues par l’Office fédéral allemand de la sécurité de l’information (BSI) peuvent servir de base à l’audit.
En quoi la norme ISO 27001 est-elle utile à mon entreprise ?
La mise en œuvre d’un SMSI conforme à la norme ISO/IEC 27001 est une décision stratégique pour votre entreprise. La conformité aux exigences générales intentionnelles de la norme doit refléter la situation spécifique de l’entreprise. La mise en œuvre dans l’entreprise dépend des besoins et des objectifs, des exigences de sécurité et des processus organisationnels, ainsi que de la taille et de la structure de l’entreprise. La mise en œuvre des mesures de l’annexe A de la norme est particulièrement utile pour la pratique. Outre les exigences relatives au système de gestion (chapitres 4 à 10), la norme ISO contient une liste complète de 35 objectifs de contrôle avec 114 mesures concrètes pour différents aspects de la sécurité dans 14 chapitres de l’annexe A. Les mesures doivent être mises en œuvre dans le cadre du système de gestion. Ces mesures doivent être mises en œuvre dans le cadre du système de gestion, dans la mesure où elles sont pertinentes pour votre entreprise. Il a été démontré qu’un alignement cohérent des processus de l’entreprise sur la norme ISO 27001 présente plusieurs avantages :
- Amélioration continue du niveau de sécurité.
- Réduction des risques existants.
- Respect des exigences de conformité.
- Sensibilisation accrue des employés.
- Augmentation de la satisfaction des clients
Les audits internes et les revues de direction impliquant la direction générale sont les leviers internes permettant d’atteindre ces objectifs. Parmi les autres aspects positifs, citons le fait que les parties prenantes, telles que les autorités réglementaires, les compagnies d’assurance, les banques et les entreprises partenaires, accordent une plus grande confiance à votre entreprise. En effet, un système de gestion certifié indique que votre organisation gère les risques de manière structurée et s’engage à procéder à des améliorations continues, ce qui la rend plus résistante aux effets indésirables. La norme internationale ISO/IEC 27001 peut également être mise en œuvre, exploitée et certifiée indépendamment d’autres systèmes de gestion tels que l’ISO 9001 (gestion de la qualité) ou l’ISO 14001 (gestion de l’environnement).