_edited.png)
La Cyber-Attaque menée en octobre 2017 contre la multinationale américaine Equifax, spécialisée dans l’évaluation de la côte de crédit, a entrainé un vol massif de données d’emprunts et de données relatives à la capacité de solvabilité de millions de clients à travers le monde. Cette attaque est considérée comme un tournant majeur concernant l’appréciation de la sécurité informatique comme un élément à part entière de la gestion d’une entreprise, quel qu’en soit la taille et l’objet. En effet, le développement d’un Système de Management de la Sécurité de l’Information (SMSI), comme un ensemble de procédures, et de politiques de sécurité intégré au fonctionnement des organisations, se trouve être un rempart de taille pour prévenir et gérer les incidents de sécurité informatique.
Qu'est-ce qu'un SMSI ?
Un SMSI (pour Système de Management de la Sécurité de l'Information) désigne l'ensemble des politiques et processus visant à gérer la sécurité et atténuer les risques, particulièrement ceux liés à la sécurité de l'information. Un SMSI est donc un système de management qui permet de définir des actions (techniques et organisationnelles) pour atteindre un objectif fixé. (1)
Quel est le rôle d'un SMSI ?
Le développement d’un SMSI est une démarche de sécurité incontournable qui s’appuie sur le principe de « défense en profondeur » en privilégiant l’usage de plusieurs mécanismes contrôle. Il permet d’assurer une protection adéquate des systèmes en recommandant la mise en place d’un multiplicité de paramètres essentiels à la sécurité des SI. Ces préconisations, loin de l’imaginaire strictement technique affilié à la Cybersécurité, comprennent des mesures de nature techniques (Chiffrement des données, la mise en place d’antivirus, Journalisation etc.) mais aussi organisationnelles (Sécurité des ressources humaines, Gestion des risques projet, Relation avec les fournisseurs, etc.). Un SMSI, c’est donc une approche englobante de la sécurité informatique déployée dans l’écosystème d’un organisme.
Les 4 critères de sécurité selon ISO 27001
La norme ISO/IEC 27001, ainsi que la norme ISO/IEC 27002 sur laquelle elle s’appuie, développées par l’Organisation Internationale de Normalisation (ISO), constituent des cadres de référence à déployer pour développer et maintenir un SMSI opérationnel.
En effet, la norme ISO/IEC 27001 s’impose comme un cadre normatif international qui définit les exigences requises pour la mise en oeuvre d’un SMSI effectif. Elle s’inscrit dans une démarche pro-active et repose sur 4 critères essentiels à la sécurité des SI : La disponibilité, l’intégrité, la confidentialité et la traçabilité des données et des services. Peut s’ajouter un dernier critère sous-jacent de conformité, notamment en matière de protection des données personnelles. La norme exige, à la suite d’un audit initial détaillé, la mise en place d’une Politique de Sécurité des Systèmes d’Information (PSSI) adaptée à l’organisme. Celle-ci regroupe un ensemble de procédures et de politiques traitant de différents volets thématiques techniques et organisationnels qui doivent être mise en oeuvre afin d’être certifié conforme à la norme ISO/IEC 27001. Cette norme a pour avantage d’obliger les organismes à procéder à des audits réguliers permettant un suivi continu de la sécurité. La mise en conformité nécessite d’être assisté par des professionnels certifiés qui accompagneront la rédaction de votre documentation de sécurité et l’implémentation de celle-ci.
Quelle est la différence entre ISO 27001 et ISO 27002 ?
La norme ISO/IEC 27002 vient compléter la norme ISO/IEC 27001 en proposant un annuaire complet des bonnes pratiques de management des SI et un cadre organisationnel clair pour la sécurité des SI. Au travers de 114 (version 2013) ou 93 (version 2022) mesures 4 thématiques de sécurité pour les SMSI, elle ne débouche pas sur une certification mais s’apparente d’avantage à une ligne directrice en matière de sécurité des SI. A ce titre, les mesures proposés dans la norme ISO/IEC 27002 devraient être mises en oeuvres à la suite d’une analyse de risque pour répondre aux manquements de sécurité identifié par l’évaluation. La pertinence de cette norme tient à son adaptabilité et sa prise en main facile pour répondre aux besoins spécifiques des organismes.
Ainsi, ces deux normes viennent se compléter pour permettre d’adapter spécifiquement les mesures de sécurité au contexte et à l’objet d’un organisme. Elles constituent un socle pour l’ensemble de la famille des normes ISO/IEC 27K qui couvre l’ensemble des pré-requis nécessaires à l’élaboration d’un SMSI . Il faut retenir que les normes ISO/IEC ne sont pas incompatibles les une avec les autres mais qu’elles dressent le panorama global des exigences et mesures nécessaires à la sécurité de l’information autant pour les organismes requérant que pour les professionnels de la cybersécurité.
Quels sont les pré-requis pour être certifié ISO 27001 ?
Lorsque un organisme veut prétendre à la certification ISO/IEC 27001 il doit, en amont de sa demande, mettre en place avec un professionnel les exigences requises par la norme. Afin d’obtenir le certificat, les requérants doivent se rapprocher d’une structure certificatrice accréditée par le Comité Français d’Accréditation (COFRAC) en charge de veiller à leur l’impartialité. Les organismes de certification réalisent un audit initial détaillé du système d’information du requérant et, si celui-ci répond aux exigences de la norme, lui délivre un certificat ISO/IEC 27001 valable 3 ans. La réalisation d’un audit annuel de suivi est obligatoire afin de s’assurer que le certifié maintient son SMSI à jour.
De manière plus concrète, ces normes permettent d’assurer aux personnes concernées et aux utilisateurs une protection renforcée de leur données. Par exemple, la norme ISO/IEC 27001 est l’une des certifications demandées à tous les Hébergeurs de Données de Santé (HDS). Le référentiel HDS destiné aux responsables de traitement de données de santé exige, entre autre, la mise en oeuvre complète de la norme ISO/IEC 27001 et de la norme ISO 20000-1 relatives aux système de gestion de la qualité des services. Cela doit aussi s’accompagner d’un processus de mise en conformité au RGPD ainsi que du respect de certains contrôles de la norme ISO27018 et des exigences spécifiques aux HDS établies par l’ANSSI. Ainsi, les normes ISO sont ainsi non seulement nécessaires à l’implémentation d’un SMSI dans les organismes professionnels, mais également une garantie de protection de vos données personnelles sensibles.
Les normes certifiantes en cybersécurité, si elles sont suffisamment adaptées aux tailles et aux objets des organismes, seront emmenées à jouer un rôle croissant dans la pérennité des entreprises de demain. Par exemple, le développement croissant des offres de cyber-assurance, conduira les organismes à témoigner de leurs efforts en la matière puisque les assurances requerront un niveau de sécurité suffisant au regard des risques que comporte l’activité du futur assuré. Ainsi, la mise en place d’un SMSI, que l’on a vu comme une approche englobante de la sécurité des SI, pourraient devenir une condition préalable à la souscription de l’offre d’assurance. Ces pré-requis normatifs seront également des garanties pour les assurances car elles permettront de contrecarrer au phénomène que l’on constate aujourd’hui, soit le délaissement de la sécurité informatique au prétexte que l’organisme est assuré.
L'amélioration continue du SMSI (PDCA)
La démarche d'amélioration continue du SMSI suit le modèle de DEMING, Plan-Do-Check-Act (PDCA).
Plan (pour planifier) : cette étape consiste à collecter les informations nécessaires à l'identification des failles de sécurité et à l'évaluation des risques. C'est sur cette base que sont définis les processus et politiques de sécurité de l'organisation.
Do (pour faire) : cette deuxième étape consiste à appliquer les politiques précédemment élaborées.
Check (pour vérifier) : il s'agit ici de contrôler et de mesurer l'efficacité des processus mis en place et d'évaluer les résultats.
Act (pour agir) : cette dernière étape consiste à améliorer les processus existants, à en éliminer ou à en élaborer de nouveaux grâces à ces résultats.
Pour conclure
Ainsi, les normes accompagnant la mise en oeuvre des SMSI permettent aux organismes de profiter d’un large éventail de bénéfices sur le long terme en s’assurant la confiance des usagers, en se saisissant de la cybersécurité comme d’un atout marketing et en sécurisant le patrimoine de l’organisme pour s’assurer de sa capacité de résilience.
Sources :
(1) : "Le SMSI : comment gérer la sécurité de l'information dans l'entreprise ?", Trustpair, le 13 septembre 2021.
Articles complémentaires :
Vous avez apprécié cet article de blog ?
Retrouvez plus de contenus en rapport avec la cybersécurité et la conformité réglementaire au RGPD sur le blog de CyberSecura !
Découvrez notre prestation d'accompagnement vers la certification ISO 27001 !
Nous avons besoin de vos réponses !
En répondant à cette enquête, vous nous permettez de mieux comprendre vos interactions avec notre site ainsi que vos potentiel besoins.
Vos réponses sont anonymes, et à moins que vous ne demandiez à être re-contacté(e) par nos équipes, aucune information personnelle ne vous est demandée !
Merci pour vos réponses !
Vous souhaitez être informé(e) de nos actualités, et recevoir nos derniers articles de blog directement dans votre boite mail ? Abonnez-vous à notre newsletter mensuelle !
Vous souhaitez discuter de vos difficultés, de vos besoins, de nos offres ? Demandez à être contacté, gratuitement et sans engagement, par l'un de nos expert en cybersécurité !