ISO 27001 : qu’est-ce que c’est et pourquoi se faire certifier ?

ISO 27001 - datacenters CELESTE

ISO 27001 : Une norme internationale pour la sécurité des données

La raison d’être de la certification ISO 27001, est issue d’un besoin : offrir une garantie pour la sécurité des données d’entreprise hébergées en datacenters. En effet, la sécurité des données personnelle est aujourd’hui un sujet majeur pour l’ensemble des individus et des sociétés. Il devient de plus en plus important pour ces dernières de fournir à leurs clients et utilisateurs des garanties sur ce sujet, par exemple par l’intermédiaire de certifications .

Une de ces certifications est l’ISO 27001 , relativement peu répandue en France car non imposée par l’État. Cependant, elle est de plus en plus intégrée dans les nouveaux référentiels, comme par exemple l’Hébergement de Données de Santé (HDS). Intéressons-nous donc de plus près à cette norme internationale, nommée « Technologies de l’information – Techniques de sécurité – Systèmes de gestion de sécurité de l’information – Exigences ».

La norme ISO 27001, qu’est-ce que c’est ?

La particularité de la norme ISO 27001, c’est qu’elle traite la sécurité par les risques. Une entreprise certifiée ISO 27001 montre qu’elle a conscience des risques pesant sur ses données sensibles, qu’elle les prend en compte et qu’elle s’en protège.

Cependant, on ne parle pas ici seulement de protections physiques ou informatiques. L’ISO 27001 a bien pour objectif de protéger l’entreprise de toute perte, vol ou altération de données, mais pas uniquement en défendant les systèmes informatiques contre intrusions ou sinistres. Elle donne des bonnes pratiques conceptuelles qui viennent compléter ces mesures techniques, pour une sécurité à 360°.

Ce périmètre global, à la fois technique et organisationnel, est appelé le SMSI : Système de Management de la Sécurité de l’Information. Il regroupe les systèmes d’informations, les processus et les personnes qui sont concernées par les mesures de protection. La norme ISO 27001, en réalité, fournit donc un cadre permettant de mettre en place, d’exploiter et de faire évoluer ce SMSI dans le contexte d’une organisation.

Comme