Il est de notoriété publique que le monde des affaires est confronté à des cyber menaces croissantes depuis quelques années. Ces dernières visent principalement à compromettre l’intégrité des données des entreprises, qui constituent leur atout le plus précieux. Et comme chaque organisation a besoin de rassurer ses clients et partenaires sur la sécurité des informations qu’elle traite, il apparaît impératif que les normes de sécurité informatique soient renforcées. D’où l’intérêt que suscite la norme ISO 27001.
Qu’est-ce que la norme ISO 27001 ?
Non imposée par l’Etat en France, la norme ISO27001 est une certification qui atteste de la capacité d’une entreprise à protéger les informations dont elle dispose de manière efficace via un système de gestion informatique. Pour l’avoir, les entreprises doivent se conformer à un ensemble d’exigences très strictes comme :
- Examiner les risques et vulnérabilités présentes en matière de gestion des données
- Concevoir et mettre en place des systèmes qui veillent à la sécurité des données et assurent leurs transferts sans risques
- Mettre à jour régulièrement les protocoles de sécurité informatiques de sorte à ce qu’ils soient toujours capables de répondre aux besoins de l’organisation
Par ailleurs, une entreprise peut très bien, après avoir obtenu la certification ISO 27001, faire l’objet d’examens réguliers pour savoir si elle mérite bien de porter ce titre.
SMSI et politique de gestion du risque cyber
La norme ISO27001 permet la mise en place d’un cadre global regroupant à la fois les systèmes d’informations mais également les process dans lesquels ils interviennent ainsi que les personnes concernées par ces systèmes et ces process.
Cette organisation est appelée SMSI ou Système de Management de la Sécurité de l’Information. La mise en place d’un SMSI certifié ISO 27001 ne signifie pas que le risque est désormais de 0% ou que la sécurité est effective à 100% mais plutôt que 100% des risques informatiques actuels sont pris en compte et que, dans le cadre d’une démarche d’amélioration continue, les risques futurs seront également intégrés dans ce SMSI.
Par exemple, lors de l’identification d’un risque, il peut être décidé : de prévenir ce risque en minimisant la probabilité qu’il se produise, de réduire ce risque en minimisant son impact potentiel, de partager ce risque avec un prestataire extérieur ou tout simplement d’accepter pleinement ce risque si les mesures pour le contrer sont impossibles à mettre en oeuvre ou coûtent trop cher comparativement au risque lui-même.
Bien évidemment toutes ces décisions sont prises sur la base d’un ratio montrant la probabilité que le risque se produise et son impact (financier, humain, opérationnel) lorsqu’il se produira.
Quels sont les bénéfices de la norme ISO 27001 ?
La norme ISO 27001 est la norme de sécurité informatique la plus reconnue. Une entreprise qui l’adopte fait la démonstration irréfutable de son engagement à gérer le risque informatique. Elle donne également à celle-ci un avantage concurrentiel important, puisque les partenaires et les clients ont une garantie majeure de la sécurité des informations qu’ils lui confient.
Notons également que cette norme est parfois obligatoire au sein de certains référentiels (comme par exemple celui de l’hébergement des données de santé).
Enfin, une telle norme offre la possibilité d’anticiper les évolutions technologiques en matière de sécurité informatique. C’est un avantage indéniable quand on sait que les menaces cyber se développent à grande vitesse et que leurs dégâts sont estimés à des centaines de millions d’euros chaque année.
Rappelons qu’en 2018, un rapport de l’Afnor (Association française de normalisation) indiquait que le nombre de certifications ISO 27001 délivrées dans le monde était de 60 000, contre 39 500 en 2017 et seulement 10 000 en 2011. Preuve que les organisations sont de plus en plus conscientes de l’importance de la sécurité informatique et de son impact tant sur leurs activités quotidiennes que sur leur croissance.
