La dématérialisation des échanges, qui possède d’innombrables atouts, s’accompagne aussi de risques liés à la sécurité des données. Vol, piratage, détérioration de données, intrusion… Petites ou grandes, les entreprises doivent, pour profiter pleinement des bénéfices de la transition numérique, se prémunir de ces cybermenaces et, ce faisant, rassurer leur environnement sur leur niveau de sécurité. Bien conscientes de ces risques majeurs, un nombre croissant d’organisations publiques ou privées investissent dans la sécurisation des data et vont, parfois, jusqu’à solliciter la certification ISO/CEI 27001.
Comme toutes les normes de la famille ISO/CEI 27000, celle-ci définit des exigences en matière de sécurité des données sensibles :
- Données comptables et financières
- Données RH
- Données liées à la propriété intellectuelle…
La certification ISO 27001 est la plus répandue de ces certifications. Dans le monde entier, elle fait figure de référence en matière de Systèmes de Management de la Sécurité des Informations (SMSI), c’est-à-dire de protection à 360° contre :
- Le vol, la perte, la destruction ou l’altération de données
- Les sinistres
- Les intrusions …
L’ISO 27001 est facultative. L’objectif des entreprises qui demandent à être certifiées est double :
- Améliorer leurs pratiques en matière de management de la sécurité des informations, et tendre vers l’excellence dans ce domaine
- Accroître la confiance de leurs clients, prospects, salariés, partenaires nationaux et internationaux…
L’ISO 27001 est accordée pour 3 ans par l’AFNOR, qui délivre aussi des éléments graphiques que les entreprises certifiées peuvent apposer sur leurs produits, site Web, documents commerciaux…
Elle concerne, en théorie, toutes les organisations (entreprises, administrations, associations…) mais intéressera particulièrement celles qui détiennent ou manipulent des données sensibles. Dans certains secteurs – le domaine médical, par exemple – la certification ISO 27001 est même un prérequis.
Le champ d’application de la certification ISO 27001
Très complète, la certification consiste en un cahier des charges de 10 chapitres et 114 points de contrôle qui sont autant de bonnes pratiques en matière de :
- Sécurité des infrastructures
- Sécurité des personnes
- Sécurité des logiciels.
Pour satisfaire à l’ISO 27001, une organisation doit identifier les risques auxquels elle est exposée et mettre en place des mesures et dispositifs justement proportionnés visant à :
- Éviter ces risques
- Les partager (avec un prestataire spécialisé)
- Les assumer, quand ils sont jugés acceptables.
Une fois certifiée, l’organisation assure à son environnement qu’elle :
- A identifié les risques auxquels pourraient être exposées ses données
- Maîtrise lesdits risques
- A mis en place des mesures propres à garantir la confidentialité, l’intégrité et la disponibilité des données
- Fait évoluer son SMSI pour s’adapter en permanence aux nouvelles menaces
- S’engage durablement à maintenir un niveau de sécurité maximum.
Les grandes étapes de la certification
Vous êtes déterminé à demander la certification ISO 27001 ? Ce projet d’envergure nécessite du temps, un soutien ferme de la direction générale et l’accompagnement d’un cabinet d’audit spécialisé en certification ISO. Une fois le cabinet d’audit choisi, le projet se structurera en 6 étapes :
Étape 1 : Diagnostic
Avec l’aide de ce cabinet, vous réalisez une première étude des enjeux du projet et des risques auxquels votre entreprise est exposée.
Étape 2 : Audit
Le cabinet observe vos pratiques et dispositifs et rencontre vos équipes sur site.
Étape 3 : Restitution
Le cabinet vous présente les conclusions de son audit et vous remet un rapport circonstancié proposant une politique de SMSI, un plan d’action, un chiffrage des ressources, un planning…
Étape 4 : Déploiement
C’est l’étape cruciale, le nerf de la guerre ! Cette étape inclut :
- La communication aux équipes et partenaires
- La mise en place des systèmes et processus
- La formation des équipes
- La mesure d’efficacité des actions
- La mise en place d’actions correctives…
Étape 5 : Certification
Si tout se passe bien, l’AFNOR vous délivre votre certificat de conformité à la norme ISO 27001.
Étape 6 : Surveillance et amélioration continue
Vous êtes tenu de faire réaliser, en années 2 et 3, un audit de maintien, puis un audit de renouvellement au bout de 3 ans.
Et après l’obtention de la certification ISO 27001 ?
Vous venez d’obtenir la certification ISO 27001 ? Bravo, cela signifie que vous avez adopté d’excellentes pratiques en matière de SMSI ! Mais vos efforts ne doivent pas s’arrêter là. La certification ISO 27001 doit être renouvelée tous les 3 ans et vous engage à évaluer en continu la performance de votre SMSI. Les risques informatiques sont en constante évolution, c’est pourquoi vous devez vous aussi rester en veille.
Pour aller plus loin :
Un nouveau dispositif d’alerte des TPE en cas de cyberattaque
Cyber-risques : comment protéger votre entreprise de la fraude aux fournisseurs ?
