ISO/IEC 27001Systèmes de management de la sécurité de l'information

Désormais, le vol de données, la cybercriminalité et la question de la responsabilité lors de fuites de données confidentielles représentent un risque que toutes les organisations se doivent de prendre en compte. Toute entreprise doit envisager en termes stratégiques ses besoins en matière de sécurité de l’information, et en quoi ces derniers sont indissociables de ses propres objectifs et processus, de sa taille et de sa structure. La norme ISO/IEC 27001 permet aux organisations de mettre en place un système de management de la sécurité de l’information et d’appliquer un processus de gestion des risques adapté à leur taille comme à leurs besoins, mais aussi d’adapter ce système en fonction de l’évolution de ces facteurs.

Si le secteur des technologies de l’information (TI) est le secteur qui compte le plus grand nombre de certificats selon ISO/IEC 27001 (selon l’Étude ISO 2021, près d’un cinquième de l’ensemble des certificats valides), les avantages offerts par cette norme ont su séduire les entreprises, tous secteurs économiques confondus (qu’elles soient spécialisées dans la production ou les services de tous types, mais aussi les entreprises du secteur primaire comme les organisations privées, publiques ou à but non lucratif).

En adoptant l’approche holistique décrite dans ISO/IEC 27001, les entreprises pourront s’assurer que la sécurité de l’information fait partie intégrante de leurs processus organisationnels, systèmes d’information et contrôles de gestion. Elles gagnent en efficacité et bon nombre se positionnent en chefs de file dans leur secteur.

La mise en œuvre du cadre définit dans la norme ISO/IEC 27001 pour la sécurité de l’information vous aide à :

• Limiter votre vulnérabilité face à la menace croissante des cyberattaques
• Répondre à l’évolution des risques en termes de sécurité
• Assurer l’intégrité, la confidentialité et la disponibilité d’actifs tels que les états financiers, la propriété intellectuelle, les données des employés et les informations confiées par des tiers
• Fournir un cadre géré de manière centralisée qui sécurise toutes les informations en un seul endroit
• Préparer les personnes, processus et technologies de l’ensemble de l’organisation à faire face aux risques technologiques et autres menaces
• Sécuriser les informations sous toutes leurs formes, y compris les données numériques, sur papier ou hébergées sur le Cloud
• Économiser de l’argent grâce à des gains d’efficacité et une réduction des dépenses consacrées à des technologies de défense inefficaces

1. Confidentialité
   → Signification : Seules les bonnes personnes ont accès aux informations détenues par l’organisation.
   ⚠ Exemple de risque : Des criminels s’emparent des identifiants de connexion de vos clients et les revendent sur le Darknet.
2. Intégrité de l’information
   → Signification : Les données utilisées par l’organisation dans le cadre de ses activités ou celles dont elle assure la sécurité pour d’autres sont stockées de manière fiable et ne sont ni effacées, ni endommagées.
   ⚠ Exemple de risque : Un employé supprime accidentellement une ligne lors du traitement d’un fichier.
3. Disponibilité des données
   → Signification : L’organisation et ses client ont accès aux informations à tout moment afin de répondre aux objectifs opérationnels et aux attentes des clients.
   ⚠ Exemple de risque : La base de données de votre entreprise est indisponible en ligne en raison de problèmes liés aux serveurs et de lacunes en termes de sauvegarde.

Un système de management de la sécurité de l’information conforme aux exigences d’ISO/IEC 27001 garantit la confidentialité, l’intégrité et la disponibilité de l’information au travers d’un processus de management du risque et donne aux parties intéressées l’assurance que les risques sont gérés de manière adéquate.

Bien que l’on fasse parfois référence à ISO 27001, ISO/IEC 27001 est en réalité l’abréviation officielle de la Norme internationale définissant les exigences relatives aux systèmes de management de la sécurité de l’information. En effet, cette norme a été publiée conjointement par l’ISO et la Commission électrotechnique internationale (IEC). Le numéro indique que cette norme est sous la responsabilité du sous-comité SC 27 (sécurité de l’information, cybersécurité et protection de la vie privée) du comité technique mixte ISO/IEC  sur les technologies de l’information (ISO/IEC JTC 1).

La certification selon ISO/IEC 27001 permet de démontrer à vos parties prenantes et clients que vous avez pris l’engagement et êtes en mesure de gérer les informations de manière sûre et sécurisée. Un certificat délivré par un organisme d’accréditation est un gage de confiance supplémentaire. En effet, cela signifie qu’un organisme d’accréditation a confirmé de manière indépendant la compétence de l’organisme de certification. Si vous souhaitez utiliser un logo pour indiquer que vous êtes certifié, il vous faut prendre contact avec l’organisme de certification qui a délivré votre certificat. Comme dans d’autres contextes, il convient de toujours faire référence à une norme en indiquant sa référence complète, par exemple « certifié ISO/IEC 27001:2022 » (et non « certifié ISO 27001 »). Plus de précisions sur l’utilisation du logo de l’ISO.

Comme pour d’autres normes de systèmes de management ISO, les entreprises qui appliquent ISO/IEC 27001 peuvent décider si elles souhaitent ou non se lancer dans une procédure de certification. Certaines organisations choisissent de mettre en œuvre ISO/IEC 27001 pour tirer parti des meilleures pratiques contenues dans la norme, tandis que d’autres cherchent à obtenir une certification pour rassurer leurs clients ou leurs utilisateurs.

ISO/IEC 27001 est largement appliquée dans le monde. Selon l’Étude ISO 2021, plus de 50 000 certificats valides ont été délivrés dans plus de 140 pays, tous secteurs économiques confondus, de l’agriculture aux services sociaux en passant par l’industrie manufacturière.