Qu’est-ce qu’un audit ISO 27001 et mon entreprise en a-t-elle besoin ?

Dans notre monde de données marchandisées, les normes de cybersécurité doivent être extrêmement élevées et extrêmement précises. La plupart des entreprises, même si elles ne sont pas immédiatement liées à la technologie, finiront par se heurter à la nécessité de se ceindre de l’intérieur.

Il y a plus de dix ans, l’Organisation internationale de normalisation a adopté une spécification appelée ISO 27001. Alors, qu’est-ce que c’est exactement ? Que peut nous apprendre un audit ISO 27001 sur les rouages ​​internes d’une organisation ? Et comment décidez-vous si votre entreprise doit être auditée ?

Qu’est-ce qu’un système de gestion de la sécurité de l’information (ISMS) ?

Un système de gestion de la sécurité de l’information (ISMS) est la principale ligne de défense d’une organisation contre les violations de données et d’autres types de cybermenaces provenant de l’extérieur.

Un SMSI efficace garantit que les informations protégées restent confidentielles et sécurisées, fidèles à la source et accessibles aux personnes autorisées à les utiliser.

Une erreur courante consiste à supposer qu’un SMSI n’est rien de plus qu’un pare-feu ou un autre moyen technique de protection. Au contraire, un SMSI totalement intégré est tout aussi présent dans la culture de l’entreprise et chez chaque collaborateur, ingénieur ou non. Cela va bien au-delà du service informatique.

Plus qu’une simple politique et procédure officielles, la portée de ce système inclut également la capacité de l’équipe à gérer et à affiner le système. L’exécution et la manière dont le protocole est réellement appliqué sont primordiales.

Cela implique d’adopter une approche à long terme de la gestion et de l’atténuation des risques. Les dirigeants d’une entreprise doivent être intimement familiarisés avec tous les risques associés à l’industrie dans laquelle ils travaillent spécifiquement. Armés de cette perspicacité, ils seront capables de construire les murs autour d’eux en conséquence.

Qu’est-ce que la norme ISO 27001, exactement ?

En 2005, l’Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (CEI) ont remanié la norme BS 7799, une norme de gestion de la sécurité établie pour la première fois par le groupe BSI 10 ans auparavant.

Désormais officiellement connue sous le nom d’ISO/IEC 27001:2005, ISO 27001 est une norme internationale de conformité décernée aux entreprises exemplaires en matière de gestion de la sécurité de l’information.

Il s’agit essentiellement d’un ensemble rigoureux de normes auxquelles le système de gestion de la sécurité de l’information d’une entreprise peut être tenu. Ce cadre permet aux auditeurs d’évaluer ensuite la ténacité du système dans son ensemble. Les entreprises peuvent choisir d’avoir un audit lorsqu’elles veulent rassurer leurs clients et clients que leurs données sont en sécurité dans leurs murs.

Cet ensemble de dispositions comprend : les spécifications concernant la politique de sécurité, la classification des actifs, la sécurité environnementale, la gestion du réseau, la maintenance du système et la planification de la continuité des activités.

Voir aussi :  Les 4 plus gros hacks de 2021 (et ce que nous pouvons en apprendre)

L’ISO a condensé toutes ces facettes de la charte BSI originale, les distillant dans la version que nous reconnaissons aujourd’hui.

Creuser dans la politique

Qu’est-ce qui est évalué exactement lorsqu’une entreprise se soumet à un audit ISO 27001 ?

L’objectif de la norme est de formaliser une politique d’information efficace et sécurisée à l’international. Cela encourage une attitude proactive, qui cherche à éviter les problèmes avant qu’ils ne surviennent.

L’ISO met l’accent sur trois aspects importants d’un SMSI sécurisé :

1. Analyse et reconnaissance constantes des risques : cela comprend à la fois les risques actuels et les risques qui pourraient se présenter à l’avenir.

2. Un système robuste et sécurisé : cela comprend le système tel qu’il existe au sens technique, ainsi que tous les contrôles de sécurité que l’organisation utilise pour se protéger contre les risques susmentionnés. Celles-ci seront très différentes selon l’entreprise et l’industrie.

3. Une équipe de dirigeants dévoués : ce seront les personnes qui mettront réellement les contrôles en œuvre pour défendre l’organisation. Le système est seulement aussi efficace que ceux qui travaillent à la barre.

L’analyse de ces trois facteurs contributifs clés aide l’auditeur à brosser un tableau plus complet de la capacité d’une entreprise donnée à fonctionner en toute sécurité. La durabilité est privilégiée par rapport à un ISMS qui ne repose que sur la force technique brute.

Il y a un élément humain important qui doit être présent. La manière dont les personnes au sein de l’entreprise exercent un contrôle sur leurs données et leur SMSI passe avant tout. Ces contrôles sont ce qui protège réellement les données.

Qu’est-ce que l’annexe A de la norme ISO 27001 ?

Code sur un écran --- Unsplash

Les exemples spécifiques de « contrôles » dépendent de l’industrie. L’annexe A de la norme ISO 27001 propose aux entreprises 114 moyens de contrôle officiellement reconnus sur la sécurité de leurs opérations.

Ces contrôles entrent dans l’une des quatorze classifications :

A.5— Politiques d’information et de sécurité : les politiques et procédures institutionnalisées suivies par une entreprise.

A.6— Organisation de la sécurité de l’information : la répartition des responsabilités au sein de l’organisation en ce qui concerne le cadre du SMSI et sa mise en œuvre. Curieusement, on y trouve également la politique régissant le télétravail et l’utilisation des appareils au sein de l’entreprise.

A.7— Sécurité des ressources humaines : concerne l’intégration, la délocalisation et le changement de rôle des employés au sein de l’organisation. Les normes de dépistage et les meilleures pratiques en matière d’éducation et de formation sont également décrites ici.

A.8— La gestion d’actifs : implique que les données sont manipulées. Les actifs doivent être inventoriés, entretenus et gardés confidentiels, même au-delà des lignes ministérielles dans certains cas. La propriété de chaque actif doit être clairement établie ; cette clause recommande aux entreprises de rédiger une « politique d’utilisation acceptable » spécifique à leur secteur d’activité.

Voir aussi :  Les 10 meilleures extensions VPN gratuites pour Google Chrome

A.9— Contrôle d’accès : qui est autorisé à traiter vos données et comment limiterez-vous l’accès aux seuls employés autorisés ? Cela peut inclure l’établissement d’autorisations conditionnelles au sens technique ou l’accès à des bâtiments verrouillés sur le campus de votre entreprise.

A.10— Cryptographie : traite principalement du cryptage et d’autres moyens de protéger les données en transit. Ces mesures préventives doivent être gérées activement ; l’ISO décourage les organisations de considérer le chiffrement comme une solution unique à tous les défis profondément nuancés associés à la sécurité des données.

A.11— Sécurité physique et environnementale : évalue la sécurité physique de l’endroit où se trouvent les données sensibles, que ce soit dans un immeuble de bureaux réel ou dans une petite salle climatisée remplie de serveurs.

A.12— Sécurité des opérations : quelles sont vos règles internes de sécurité concernant le fonctionnement de votre entreprise ? La documentation expliquant ces procédures doit être conservée et révisée fréquemment pour répondre aux nouveaux besoins commerciaux émergents.

La gestion du changement, la gestion des capacités et la séparation des différents départements relèvent toutes de cette rubrique.

A.13— Gestion de la sécurité du réseau : les réseaux qui relient chaque système au sein de votre entreprise doivent être étanches et soigneusement entretenus.

Les solutions fourre-tout comme les pare-feu sont encore plus efficaces lorsqu’elles sont complétées par des éléments tels que des points de contrôle de vérification fréquents, des politiques de transfert formalisées ou en interdisant l’utilisation de réseaux publics lors du traitement des données de votre entreprise, par exemple.

A.14— Acquisition, développement et maintenance du système : si votre entreprise n’a pas encore de SMSI en place, cette clause explique ce qu’un système idéal apporte à la table. Il vous aide à vous assurer que la portée du SMSI couvre tous les aspects de votre cycle de vie de production.

Une politique interne de développement sécurisé donne à vos ingénieurs le contexte dont ils ont besoin pour créer un produit conforme dès le début de leur travail.

A.15— Politique de sécurité des fournisseurs : lorsque vous faites affaire avec des fournisseurs tiers extérieurs à votre entreprise, quelles précautions sont prises pour éviter les fuites ou les violations des données partagées avec eux ?

A.16— Gestion des incidents de sécurité de l’information : lorsque les choses tournent mal, votre entreprise fournit probablement un cadre sur la manière dont le problème doit être signalé, traité et prévenu à l’avenir.

L’ISO recherche des systèmes de représailles qui permettent aux figures d’autorité au sein de l’entreprise d’agir rapidement et avec beaucoup de préjugés après la détection d’une menace.

Voir aussi :  Qu'est-ce que le SIEM et comment l'utiliser pour optimiser votre sécurité ?

A.17— Aspects de la sécurité de l’information de la gestion de la continuité des activités : en cas de sinistre ou de tout autre incident improbable qui perturbe irrévocablement vos opérations, un plan devra être mis en place pour préserver le bien-être de l’entreprise et de ses données jusqu’à ce que les activités reprennent normalement.

L’idée est qu’une organisation a besoin d’un moyen de préserver la continuité de la sécurité dans des moments comme ceux-ci.

A.18— Conformité : enfin, nous arrivons au contrat d’accords proprement dit qu’une entreprise doit souscrire afin de répondre aux exigences de la certification ISO 27001. Vos obligations sont énoncées devant vous. Il ne vous reste plus qu’à signer sur la ligne pointillée.

L’ISO n’exige plus que les entreprises conformes emploient uniquement des contrôles qui entrent dans les catégories énumérées ci-dessus. Cependant, la liste est un excellent point de départ si vous commencez tout juste à jeter les bases du SMSI de votre entreprise.

Mon entreprise doit-elle être auditée ?

Ça dépend. Si vous êtes une très petite start-up travaillant dans un domaine qui n’est pas sensible ou à haut risque, vous pouvez probablement attendre jusqu’à ce que vos projets pour l’avenir soient plus sûrs.

Plus tard, au fur et à mesure que votre équipe s’agrandit, vous pourriez vous retrouver dans l’une des catégories suivantes :

  • Vous travaillez peut-être avec un client important qui demande que votre entreprise soit évaluée afin de s’assurer qu’il sera en sécurité avec vous.
  • Vous voudrez peut-être passer à une introduction en bourse à l’avenir.
  • Vous avez déjà été victime d’une violation et devez repenser la façon dont vous gérez et protégez les données de votre entreprise.

Faire des prévisions pour l’avenir n’est pas toujours facile. Même si vous ne vous voyez dans aucun des scénarios ci-dessus, cela ne fait pas de mal d’être proactif et de commencer à intégrer certaines des pratiques recommandées par l’ISO dans votre régime.

Le pouvoir est entre vos mains

Préparer votre SMSI pour un audit est aussi simple que de faire preuve de diligence raisonnable, même si vous travaillez aujourd’hui. La documentation doit toujours être conservée et archivée, vous donnant la preuve dont vous aurez besoin pour étayer vos revendications de compétence.

C’est comme au collège : tu fais les devoirs et tu as la note. Les clients sont sains et saufs et votre patron est très content de vous. Ce sont des habitudes simples à apprendre et à conserver. Vous vous remercierez plus tard lorsque l’homme avec un presse-papiers viendra enfin vous appeler.

Cliquez pour évaluer cet article !
[Total: Moyenne : ]

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *