Qu’est-ce que la norme ISO 27001 ?

Publié le : 27 avril 202315 mins de lecture

Pour faire leur travail en toute sécurité et efficacement à l’ère numérique, les entreprises doivent respecter des normes élevées de sécurité de l’information. L’Organisation internationale de normalisation (ISO) a développé une norme pour la sécurité de l’information dans l’entreprise. Si les entreprises respectent les exigences de la norme, elles peuvent demander une certification ISO de ce type. La certification en question a été développée par des experts renommés et mondialement reconnus dans le domaine de la sécurité de l’information et décrit une méthode que les entreprises doivent appliquer afin de garantir un niveau élevé de sécurité des données.

Qu’est-ce que la norme ISO 27001 ?

ISO 27001 est la norme internationale qui fournit un cadre pour les systèmes de gestion de la sécurité de l’information (ISMS), afin d’assurer la confidentialité, l’intégrité et la disponibilité continue des informations, ainsi que la conformité légale. La certification ISO 27001 est essentielle pour protéger vos actifs les plus vitaux, tels que les informations sur les employés et les clients, l’image de marque et d’autres informations privées. La norme ISO comprend une approche basée sur les processus pour démarrer, mettre en œuvre, exploiter et maintenir votre SMSI.

La mise en œuvre de la norme ISO 27001 est une solution idéale pour maintenir la conformité aux exigences légales, telles que le RGPD, et aux demandes des clients, en gérant et en évaluant les risques découlant des menaces potentielles pour la sécurité, notamment : la cybercriminalité, les violations de données personnelles, les actes de cyberterrorisme, les incendies/dommages , abus, vol.

En 2019, environ 32 % des entreprises ont subi des failles ou des attaques de cybersécurité au cours des 12 derniers mois. La norme ISO 27001 est également structurée pour être compatible avec d’autres normes de système de gestion, telles que ISO 9001, et est neutre en termes de technologie et de fournisseur, ce qui signifie qu’elle est complètement indépendante de toute plate-forme informatique. Par conséquent, tous les membres de l’entreprise doivent être informés de la signification de la norme et de la manière dont elle s’applique à l’ensemble de l’organisation.

L’obtention de la certification accréditée ISO 27001 démontre que votre entreprise s’engage à suivre les meilleures pratiques en matière de sécurité de l’information. De plus, la certification ISO 27001 fournit une évaluation experte de la protection adéquate des informations de votre organisation. Lisez la suite pour explorer également d’autres avantages de la certification ISO 27001.

ISO 27001 a vu une augmentation de 24,7 % des certificats mondiaux en 2020, démontrant la croissance et l’importance de la certification accréditée UKAS ces derniers temps. Statistiques de la dernière enquête ISO.

Qu’est-ce que l’ISMS ?

Le SMSI (Système de Management de la Sécurité de l’Information) est un véritable système de gestion des risques liés à l’information de l’entreprise.

Appelé aussi « modèle SMSI », il doit être élaboré sur la base des spécificités de l’entreprise et de ses processus internes les plus particuliers.

Pour y parvenir, il faut donc suivre des étapes précises :

  1. Établissez une portée de projet et calculez les frais généraux.
  2. Créer une équipe responsable de la gestion de projet.
  3. Identifier les contrôles, les processus et les procédures.
  4. Comprendre le processus de gestion PDCA (Plan – Do – Check – Act) spécifique à l’entreprise ainsi que ses procédures et activités.
  5. Développer concrètement le projet en analysant également tous les risques.
  6. Évaluation et suivi périodiques.

Toutes ces phases nécessitent naturellement des compétences spécifiques. L’aide d’un consultant spécialisé n’est pas seulement utile, elle est indispensable.

C’est aussi parce que le SMSI, si l’on souhaite obtenir la certification 27001, doit avoir des caractéristiques très rigides et précises.

ISO 27001 : Contenu et éléments constitutifs

La norme ISO-27001 se compose de différentes parties. La base est la norme ISO/IEC 27001 elle-même de 2005. En 2015, cette base a été révisée et complétée par un autre chapitre, la deuxième partie. Ce dernier est inclus dans la norme en pièce jointe et montre en détail toutes les actualités mises à jour. La norme peut être globalement divisée en 3 paragraphes : Après le chapitre d’introduction, la partie principale suit. La conclusion contient les deux annexes déjà mentionnées.

Décisif pour la certification selon ISO-27001 est le volet normatif , où les mesures à prendre sont expliquées avec précision. Cependant, les mesures associées ne représentent pas un guide pour la mise en œuvre de la norme mais plutôt des recommandations pour une mise en œuvre efficace. Les fondements de ces recommandations reposent sur les piliers de la confidentialité , de la disponibilité et de l’intégrité .

Pour simplifier les processus et leur mise en œuvre, ISO-27001 utilise également des principes d’autres normes. En effet, les parallèles avec d’autres normes (que beaucoup d’entre vous connaissent peut-être déjà) peuvent aider les organisations dans le processus de mise en œuvre et vous encourageront à introduire les normes ISO-27001.

RGPD et ISO 27001

Le règlement général sur la protection des données (RGPD) a une portée beaucoup plus large que la précédente loi sur la protection des données (LPD) et a été introduit pour rester en contact avec le paysage numérique moderne. Le règlement donne aux individus plus de droits sur leurs données et oblige les organisations à élaborer des politiques et des procédures claires et à mettre en place des contrôles techniques et organisationnels pour protéger les données personnelles.

Le GDPR s’applique à deux types d’utilisateurs, les contrôleurs et les sous-traitants. Les contrôleurs déterminent comment et pourquoi les données personnelles sont utilisées ou traitées et les sous-traitants agissent au nom des contrôleurs de données, tout comme de nombreuses organisations qui dépendent d’un fournisseur de services informatiques. Les sous-traitants ont plus d’obligations légales en cas de violation, mais un sous-traitant sera chargé de s’assurer que les contrats avec le sous-traitant sont conformes au RGPD.

Quels sont les avantages de la norme ISO 27001 pour les entreprises ?

Les avantages pour les entreprises concernent quatre secteurs différents. Tout d’ abord , un tel certificat constitue une base pour la mise en œuvre des dispositions législatives . De plus, avec ce certificat, vous obtenez un avantage concurrentiel puisque toutes les entreprises ne sont pas certifiées ISO 27001. Les entreprises qui ont obtenu la certification en question peuvent fournir aux clients une documentation concrète sur la priorité de leur politique en matière de traitement sécurisé des informations sensibles. La conformité à la norme ISO-27001 réduit le risque d’incidents de sécurité de l’information et contribue également à une réduction des coûts , car les incidents de ce type entraînent des charges financières importantes.

De plus, une certification ISO-27001 optimise les processus métiers. Les temps d’arrêt des employés sont minimisés en enregistrant les principaux processus commerciaux par écrit.

D’autres avantages sont :

  • Réduction des risques commerciaux
  • Minimisation des risques de responsabilité
  • Des primes d’assurance plus avantageuses
  • Système fiable de reconnaissance des problèmes et des menaces

Quelles sont les exigences pour une certification ISO 27001 ?

En 2013, les exigences de la norme ISO-27001 ont considérablement changé par rapport aux premières versions de 2005. Le cadre de la norme a non seulement été modifié, mais également considérablement renforcé.

La norme ISO-27001 suit la mise en place d’un Système de Management de la Sécurité de l’Information (SMSI), une approche procédurale. Alors qu’il y avait encore une référence explicite au cycle PDCA dans la première version , ce n’est plus obligatoire. Les exigences s’appliquent aux organisations de toutes tailles et industries.

ISO-27001 oblige les entreprises à définir et à prendre en compte tous les problèmes externes et internes susceptibles d’affecter leur capacité à mettre en œuvre avec succès un SMSI. Cela comprend notamment la culture d’entreprise, les conditions environnementales, les dispositions réglementaires, les obligations contractuelles et légales ainsi que les directives officielles en matière de gouvernance . Au sommet de la direction d’une organisation, ISO-27001 exige d’établir clairement la politique de sécurité de l’information et de définir les compétences et les responsabilités pour l’exécution des tâches. En outre, une organisation a l’obligation de promouvoir la sensibilisation à la sécurité de l’information dans l’ensemble de l’organisation.

La planification joue également un rôle essentiel dans la certification conforme à la norme ISO-27001. Les dispositions concernent donc l’évaluation des risques spécifiques liés à la sécurité des informations de l’entreprise et l’élaboration d’un plan de traitement. La responsabilité d’établir les risques et les réponses associées incombe uniquement à l’entreprise. De plus, la norme prescrit que les ressources d’une entreprise doivent être prêtes à assurer l’amélioration continue, ainsi que la maintenance et la mise en œuvre du SMSI. Les informations concernant le SMSI doivent également être documentées avec soin. Il est également tenu de préparer des rapports d’information à intervalles réguliers. Les entreprises doivent pouvoir surveiller, quantifier et analyser l’efficacité de leur SMSI.

Une fois le SMSI mis en place, nous procédons à la classification des valeurs de l’entreprise . Cela se fait en tenant compte des trois piliers de la confidentialité , de l’intégrité et de la disponibilité. Le classement est divisé en trois niveaux.

Le premier niveau, par exemple, comprend les documents publics qui, en cas d’altération, peuvent causer à l’entreprise un préjudice assez négligeable qui ne dépasse pas 500 euros. Ce niveau comprend des documents qui, même en cas de non-conformité persistante d’une semaine aux normes ISO, ne causent pratiquement aucun dommage à l’organisation.

Le deuxième niveau comprend les documents internes tels que les documents comptables ou de paie. Dans ce cas, des violations de la norme ISO pour la sécurité de l’information peuvent entraîner des dommages économiques considérables allant jusqu’à 5 000 euros. Les incidents de ce type ne peuvent pas durer plus de 24 heures.

Le troisième et dernier niveau concerne les documents qui contiennent des données internes très sensibles. Ici, en cas d’altération, les dommages dépassent le seuil de 5 000 euros. Les incidents de ce type ne peuvent pas durer plus de 3 heures.

Comment mettre en place une certification ISO 27001 ?

La mise en place de la norme ISO/CEI 27001 nécessite de prendre des mesures spécifiques qui ne peuvent pas être appliquées par toutes les entreprises de la même manière. Chaque organisation a des besoins spécifiques et chaque SMSI doit être adapté individuellement à chaque organisation. Ci-dessous, nous avons décrit toutes les étapes que presque toutes les organisations, quel que soit leur secteur d’activité, peuvent suivre.

La première étape d’une certification d’entreprise réussie est d’assurer la protection et les obligations de la haute direction. La priorité du management doit être de réussir la mise en place d’un SMSI et de définir clairement les objectifs poursuivis pour une politique de sécurité de l’information pour l’ensemble des collaborateurs.

Ensuite, des éléments spécifiques de la politique de sécurité de l’information sont établis . À ce stade, l’organisation définit les objectifs et établit l’orientation stratégique des principes de sécurité de l’information. Cela servira de cadre pour les développements futurs.

Dès que la politique de sécurité de l’information est établie, l’organisation définit le périmètre du SMSI. Les définitions spécifiques de tous les aspects de la sécurité de l’information, qui sont effectives dans le SMSI, jouent ici un rôle important. Une analyse des risques est également réalisée en lien avec les mesures de sécurité de l’information. Cela vous permet de communiquer les risques éventuels à prendre en compte. Par conséquent, l’analyse envisage principalement les points faibles du système actuel.

Afin de réduire les risques existants, l’organisation établit des mesures à cet égard. Le résultat de l’analyse est un catalogue de mesures, à vérifier régulièrement et à ajuster au cas par cas. Après avoir mis en place ces mesures avec succès, un pré-audit a lieu dans l’organisation , qui précède ce qui sera le véritable audit pour obtenir la certification. Ce pré-audit sert à détecter d’éventuels problèmes et faiblesses qui pourraient avoir un impact négatif sur l’audit de certification. Le non-respect de la norme ISO-27001 est exclu.

La dernière étape pour une mise en œuvre réussie de la norme ISO-27001 est l’ audit proprement dit pour obtenir la certification. Un organisme de certification indépendant évalue et juge le SMSI produit. Si le plan satisfait aux exigences de la norme ISO-27001, l’audit se termine avec succès et la certification est obtenue. L’organisme de certification préparera le certificat. Dans tous les cas, il est essentiel d’effectuer des audits de surveillance à intervalles réguliers. Celles-ci servent à assurer une vérification continue du respect des exigences de la norme. Des audits de surveillance ont lieu tous les trois ans.

Les frais de certification ISO 27001

Les coûts d’une certification réussie dépendent toujours de la situation de chaque organisation. Des facteurs tels que la formation et la documentation spécialisée , le soutien externe et les coûts de la technologie jouent un rôle majeur. De plus, une organisation doit se rappeler que la période de formation des collaborateurs implique également des coûts. Enfin, les coûts de la certification elle-même doivent bien sûr également être pris en compte.

Les coûts de certification varient et dépendent de la taille de l’organisation . De plus, les coûts dépendent aussi beaucoup du nombre de jours requis pour le dernier audit. Pour les petites et moyennes entreprises, cela prend généralement une dizaine de jours ouvrables. Pour les grandes entreprises ou les groupes, il faut plus de temps et cela entraîne une augmentation du budget à investir.

Qu’est-ce que la norme ISO 20022 ?
Qu’est-ce que la norme ISO 50001 ?

Plan du site