Publication cover
ISO 27001

Qu’est-ce que la norme ISO 27001 et comment se mettre en conformité ?

Introduction


Avec l’accroissement de la dématérialisation de l’économie, les cybermenaces sont sans cesse plus nombreuses et plus pressantes. Elles représentent autant de dangers et risques pour les entreprises et autres organisations. Dans ce contexte, l’ISO (Organisation Internationale de Normalisation) définit des normes de sécurité aux standards élevés, parmi lesquelles l’ISO 27001, qui couvre la sécurité de l’information. Découvrez son champ d’application et comment se déroulent la mise en conformité, l’obtention et le maintien de la certification.

Qu’est-ce que la norme ISO 27001 ?

La norme ISO 27001 établit un cadre réglementaire sur la gestion de la data et la sécurité de l’information dans les organisations. Après un audit satisfaisant par un organisme indépendant, l’entreprise (ou autres) reçoit la certification ISO 27001 qu’elle peut afficher publiquement. Cette norme est définie par l’ISO, soit l’Organisation Internationale de Normalisation, laquelle recueille et gère de multiples normes au sein de disciplines diverses.

La certification prend un volet officiel, bien que non-obligatoire pour les organisations, avec l’entrée en vigueur du CyberSecurity Act en juin 2019. Ce règlement européen, transposé dans le droit de tous les Etats-membres, introduit un cadre européen unique afin de rendre le marché de la certification plus lisible.

Les enjeux de la norme ISO 27001 impliquent une gestion importante de la Data, une véritable mine d’or pour les cybercriminels… ainsi que pour les fraudeurs. Au moyen des méthodes de l’ingénierie sociale, ceux-ci peuvent accéder à la Data et la manipuler, et ainsi commettre arnaque au FOVI, fraude au changement de RIB, etc.


Pourquoi se mettre en conformité avec la norme ISO 27001 ?

Si certes la norme ISO 27001 n’est pas obligatoire, elle présente plusieurs avantages pour les entreprises :

  • D’abord, c’est l’opportunité de maîtriser la sécurité de l’ensemble des processus, donc de se prémunir plus efficacement contre les attaques et d’être résilient.

  • Ensuite, c’est un avantage concurrentiel qui rassure les clients et les tiers grâce à la certification affichée publiquement.

  • Enfin, cela permet de prendre de l’avance sur la législation, car le caractère non-obligatoire de la norme ISO 27001 peut être amené à évoluer selon les révisions futures de la Commission Européenne.


Comment obtenir la certification ISO 27001 ?

Il s’agit d’un processus pluriannuel et qui exige donc une grande implication de l’entreprise. Avant de demander la certification, il lui faut de plus s’assurer que son SMSI (Système de management de la sécurité de l’information) couvre les champs d’application concernés par la norme ISO 27001 ; nous y revenons plus en détail dans les parties suivantes.

En général, le processus de certification ISO 27001 se décompose en trois phases principales :

  • 1 - À la demande de l’entreprise, un organisme de certification réalise un premier examen du SMSI et collecte les principales formes de documentation.
  • 2 - L’organisme procède ensuite à un audit approfondi au cours duquel il vérifie, point par point, la conformité avec la norme ISO 27001. Durant cette phase, l’entreprise doit apporter les preuves justifiant la mise en œuvre et le suivi approprié des procédures et bonnes pratiques. Si les contrôles sont satisfaisants, alors l’auditeur délivre la certification.
  • 3 - De nouveaux audits de suivi sont régulièrement programmés afin de garantir le maintien de la conformité.

  • Les trois principales phases peuvent être découpée comme suite :


    Quelles sont les normes de conformité ISO 27001 ?

    Comme on l’indiquait précédemment, avant de demander la certification, l’entreprise doit se familiariser avec les différentes composantes de la norme. Elle est divisée en 12 sections distinctes :

    • Introduction : définit la « sécurité de l’information » et détaille les raisons de la gestion des risques en entreprise.
    • Champ d’application : couvre les domaines du SMSI auxquels s’applique uniformément la norme.
    • Références normatives: détaille la relation entre les normes ISO 27000 et 27001.
    • Termes et définitions : explique la terminologie complexe du texte officiel de la norme.
    • Contexte de l’organisation : décrit les parties prenantes de l’entreprise impliquées dans le SMSI.
    • Leadership : détaille les bonnes pratiques des dirigeants eu égard le SMSI.
    • Planification : brosse un aperçu de la gestion planifiée des risques dans l’entreprise.
    • Soutien : décrit les pratiques de sensibilisation à la sécurité de l’information et l’attribution des responsabilités.
    • Fonctionnement : couvre la mise en œuvre de la gestion des risques et la production de la documentation pour l’audit.
    • Evaluation de la performance : détaille le suivi et le mesure de la performance du SMSI.
    • Amélioration :
    • Objectifs de contrôle et contrôles de référence : fournit une annexe détaillant les différentes composantes d’un audit de certification ISO 27001.

    • Comment maintenir la conformité de l’ISO 27001 ?

      Afin d’y parvenir, l’entreprise doit réaliser ses propres audits internes ISO 27001 une fois tous les trois ans. Pour autant, face, d’une part, à l’évolution rapide des menaces, et d’autre part, aux évolutions structurelles de l’organisation, il est recommandé de procéder à un tel examen une fois par an.

      Un groupe de travail ISO 27001 doit donc être formé. Il est composé de toutes les parties prenantes et se réunit une fois par mois pour examiner les questions en suspens et discuter de mises à jour. Entre autres, il doit produire une liste de conformité comportant plusieurs éléments, parmi lesquels par exemple :

      • Le soutien de la direction pour toutes les activités liées à l’ISO 27001.
      • Le caractère « continu » de la mise en conformité avec la norme.
      • Les programmes de formation et de sensibilisation à destination des collaborateurs.
      • Les résultats des audits et les actions préventives et / ou correctives à mettre en place.
      blog
      blog

      Conclusion

      En conclusion, la certification ISO 27001 témoigne de votre engagement envers la sécurité de l’information et de votre volonté de mettre en place un SMSI solide et conforme aux normes internationales. Elle est le résultat d’un processus rigoureux d’audits internes et externes, et elle représente un atout précieux pour renforcer la confiance de vos clients et la crédibilité de votre organisation dans un environnement de plus en plus numérique et connecté.

      Was this article helpful?
      Yes, it was fine! No, or there was something off