ISO 27001 : Une norme internationale pour la sécurité des données
La raison d’être de la certification ISO 27001, est issue d’un besoin : offrir une garantie pour la sécurité des données d’entreprise hébergées en datacenters. En effet, la sécurité des données personnelle est aujourd’hui un sujet majeur pour l’ensemble des individus et des sociétés. Il devient de plus en plus important pour ces dernières de fournir à leurs clients et utilisateurs des garanties sur ce sujet, par exemple par l’intermédiaire de certifications .
Une de ces certifications est l’ISO 27001 , relativement peu répandue en France car non imposée par l’État. Cependant, elle est de plus en plus intégrée dans les nouveaux référentiels, comme par exemple l’Hébergement de Données de Santé (HDS).
⇒ En savoir plus sur la certification HDS
Intéressons-nous donc de plus près à cette norme internationale, nommée « Technologies de l’information – Techniques de sécurité – Systèmes de gestion de sécurité de l’information – Exigences ».
La norme ISO 27001, qu’est-ce que c’est ?
La particularité de la norme ISO 27001, c’est qu’elle traite la sécurité par les risques. Une entreprise certifiée ISO 27001 montre qu’elle a conscience des risques pesant sur ses données sensibles, qu’elle les prend en compte et qu’elle s’en protège.
Cependant, on ne parle pas ici seulement de protections physiques ou informatiques. L’ISO 27001 a bien pour objectif de protéger l’entreprise de toute perte, vol ou altération de données, mais pas uniquement en défendant les systèmes informatiques contre intrusions ou sinistres. Elle donne des bonnes pratiques conceptuelles qui viennent compléter ces mesures techniques, pour une sécurité à 360°.
Ce périmètre global, à la fois technique et organisationnel, est appelé le SMSI : Système de Management de la Sécurité de l’Information. Il regroupe les systèmes d’informations, les processus et les personnes qui sont concernées par les mesures de protection. La norme ISO 27001, en réalité, fournit donc un cadre permettant de mettre en place, d’exploiter et de faire évoluer ce SMSI dans le contexte d’une organisation.
Comment ça marche ?
Une fois le SMSI défini selon les besoins de l’entreprise, une étude des risques pesant sur les données sensibles comprises dans ce périmètre est réalisée. Pour cela, on étudie, au niveau à la fois macro et micro, le contexte et l’environnement dans lequel évolue l’entreprise, afin de prendre tous les paramètres en compte.
Après l’identification des risques, on détermine pour chacun le ratio entre la probabilité qu’il se réalise, et l’impact d’un tel événement. Les mesures de protection pouvant être appliquées sont toutes référencées dans la norme ISO 27001. Elles ne sont pas toutes obligatoires, le verbatim s’articulant autour des termes « doit », « peut » et « il est conseillé de ».
A la Direction de l’entreprise de déterminer celles qui conviennent à son SMSI, selon le traitement réservé à chacun des risques identifiés :
- Réduction du risque, en réduisant son impact potentiel
- Prévention du risque, en réduisant la probabilité qu’il se produise
- Partage du risque avec un prestataire
- Acceptation du risque, par exemple si la mesure à mettre en place coûte trop cher par rapport au risque
Les mesures choisies sont alors référencées dans la Déclaration d’Applicabilité, document obligatoire matérialisant l’engagement de la Direction et de son entreprise. C’est la phase finale de la définition du Plan de Traitement du Risque.
Processus et amélioration continue
Le Plan de Traitement du Risque est alors décliné en plan d’actions. Ces actions peuvent être très diverses, allant de la mise en place d’un pare-feu à la formation des équipes en passant par la définition de processus de communication et de transmission des informations. Comme on l’a dit, l’ISO 27001 est plus orientée sur l’organisation que sur la technique pure.
Ce plan d’action peut bien entendu être décliné sur le long terme. Il inclut notamment un contrôle de l’opérationnel afin d’assurer son bon fonctionnement ainsi que celui du SMSI sous cette nouvelle organisation. Des indicateurs clé permettent également d’identifier, au cours du temps, les points d’amélioration. Mais cela ne suffit pas, il faut aussi mettre en place ces derniers en réadaptant le plan d’actions ! Cela est permis par plusieurs niveaux de suivi de projet, imposés par la norme ISO 27001, tout au long du cycle de vie du SMSI.
Les clients de CELESTE hébergeant leur projet sur l’infrastructure dédiée certifiée ISO 27001 peuvent par exemple bénéficier d’un accompagnement bimensuel ou mensuel avec un SDM (Service Delivery Manager) afin de garantir la conformité des engagements souscrits, contribuer à l’amélioration des processus clients et de l’organisation etc. Les modifications de plus grande ampleur, comme celles impliquant par exemple une nouvelle analyse des risques, peuvent être traitées et abordées au cours du COPIL (Comité de Pilotage) tous les trois mois, voire même du Comité Sécurité annuel.
Pourquoi choisir ISO 27001 : un système sécurisé dans le temps
Ainsi, grâce à la certification ISO 27001, une entreprise obtient un système fonctionnel, cadré, sécurisé et évolutif. Au-delà de fournir un cadre d’exploitation, le respect de cette norme permet de réduire ses coûts de sécurité, puisqu’elle permet la mise en place d’actions parfaitement adaptées aux besoins. Mais elle constitue également un élément marketing important : elle rassure les clients, les partenaires… et même les employés d’une entreprise, si son système interne fait partie du périmètre !
Cet élément de réassurance peut constituer un avantage concurrentiel sur les concurrents, et finira probablement par devenir un élément indispensable pour ne pas prendre de retard dans l’écosystème informatique.
⇒ En savoir plus l’obtention de la certification
Le saviez-vous ?
Vous souhaitez prendre de l’avance sur le marché et vous renseigner sur l’ISO 27001 ? Contactez nos experts qui se feront un plaisir de répondre à vos questions !
