Véritable référence en matière de sécurité informatique, la norme ISO 27001 définit un cadre pour la mise en place d’un système de management de la sécurité de l’information. Quelles sont les exigences de la norme ? Pourquoi passer la certification ? Découvrez les réponses.
La certification ISO 27001, une référence internationale
ISO 27001 est la norme internationale de référence en matière de cybersécurité. Elle donne les lignes directrices pour aider les organisations de tous types (entreprises privées, administrations publiques, ONG, …) à protéger leurs informations numériques. Les entreprises sont alors invitées à mettre en place un système de management de la sécurité de l’information (SMSI) en se basant sur les processus, actions et périmètres de la norme ISO. Ce faisant, elles renforcent la protection contre tous les risques liés à la sécurité de l’information (perte, vol, altération, intrusion, sinistre, …).
Publiée pour la première fois en octobre 2005, la norme ISO/IEC 27001 a subi quelques remaniements (2013 et 2022). Dans sa dernière version de 2022, de nouveaux points ont été abordés, notamment concernant la prévention, la détection, la réaction aux cyberattaques et la protection des données (en accord avec le NIST Cybersecurity Framework).
Les exigences de la norme ISO 27001
La norme ISO 27001 est constituée de 10 chapitres. Les 3 premiers étant consacrés à l’introduction, au domaine d’application ainsi qu’aux termes et définitions, nous allons nous focaliser sur les 7 suivants :
Bon à savoir : pour être certifiées ISO 27001, les organisations doivent respecter les exigences de la norme qui sont caractérisées par le terme “l’organisme DOIT”. Lorsque c’est le terme “devrait” qui apparaît, il s’agit davantage de conseils pour la mise en œuvre.
1 - Contexte de l'organisation
C’est le cadre général du système de management de la sécurité.
Selon la norme ISO 27001, l’organisme doit :
- Déterminer les facteurs internes et externes qui peuvent influencer son SMSI. Cela s’apparente à un SWOT où l’entreprise identifie ses forces, faiblesses, menaces et opportunités.
- Identifier les parties prenantes ayant un rôle à jouer dans la sécurité des systèmes d’information (comme les partenaires, clients et prospects).
- Définir le domaine d’application du SMSI, notamment les sites, infrastructures, services, et processus concernés.
2 - Leadership
L’objectif est de soutenir et promouvoir la mise en oeuvre du SMSI à travers un ensemble d’actions, telles que :
- Définir la politique de sécurité de l’organisation ;
- Nommer un responsable du SMSI ;
- Sensibiliser les employés sur la cybersécurité et ses enjeux ;
- Soutenir la mise en œuvre des mesures de sécurité ;
- Gérer les risques informatiques.
Dans ce chapitre ISO 7001, ce sont davantage les organes de direction qui sont visés : ils doivent démontrer leur rôle de leader.
3 - Planification
L’identification des risques cyber et les mesures de traitement sont au cœur de ce chapitre ISO 27001. Concrètement, l’organisation doit :
- Identifier ses actifs d’information : pour chaque actif, il convient de déterminer un niveau de confidentialité et de sensibilité.
- Évaluer les risques liés à la sécurité de l’information : en fonction de la criticité du risque, de la sensibilité des données, du niveau d’urgence, de la faisabilité du risque, etc.
- Déterminer les mesures de traitement des risques : ce sont les mesures de sécurité visant à réduire le risque.
- Définir des objectifs de sécurité : l’entreprise doit élaborer un plan de traitement pour atteindre ces objectifs, et s’assurer de son efficacité.
4 - Support
L’organisation doit mettre en place les ressources nécessaires pour soutenir le fonctionnement du SMSI. C’est-à-dire :
- Documenter le SMSI ;
- Gérer les documents et enregistrements ;
- Contrôler les changements ;
- Assurer la compétence des parties prenantes impliquées dans le SMSI (RSSI, développeurs web, administrateurs réseaux, …) ;
- Communiquer et sensibiliser les collaborateurs ;
- Acquérir des ressources nécessaires (outils, équipements informatiques, solutions d’hébergement, cloud, …).
5 - Exploitation
C’est la mise en œuvre du plan de traitement planifié en étape 3. Selon ISO 27001, l’organisation doit :
- Implémenter des contrôles de sécurité opérationnels ;
- Suivre toutes les modifications du plan et analyser ses impacts ;
- Gérer les incidents de sécurité de l’information ;
- Améliorer continuellement le SMSI.
6 - Évaluation des performances
C’est la surveillance du plan de traitement. L’objectif étant d’évaluer sa performance avant de l’améliorer. Pour cela, l’organisation doit :
- Mettre en place des indicateurs pour évaluer les résultats du SMSI ;
- Suivre ces KPI ;
- Réaliser des audits internes du SMSI ;
- Évaluer la conformité aux exigences de la norme.
7 - Amélioration continue
Le dernier chapitre de la norme ISO 27001 est consacré à l’amélioration continue. Au vu des multiples changements en matière de sécurité informatique, les organisations doivent impérativement implémenter des processus pour améliorer continuellement le SMSI. Ce qui suppose une veille technologique permanente pour identifier les nouvelles menaces et les nouvelles pratiques cyber.
En plus de ces 10 chapitres, la norme ISO 27001 comprend une annexe A qui fournit des contrôles de sécurité de l’information recommandés.
Les avantages de la certification ISO 27001
Alors que les risques cyber sont en constante augmentation, la certification ISO 27001 apparaît comme un garde-fou. À travers son système de management de la sécurité de l’information, elle donne les bonnes pratiques à mettre en œuvre pour protéger ses données.
En plus d’une sécurité renforcée, la certification améliore aussi l’image de marque des entreprises vis-à-vis de ses parties prenantes. Clients, partenaires et fournisseurs auront davantage confiance à travailler avec une organisation qui met en place un SMSI.
D’où l’importance de passer la certification ISO 27001. Vous souhaitez vous y préparer ? Rejoignez DataScientest.