Qu’est-ce qu’un audit ISO 27001 et mon entreprise en a-t-elle besoin ?

Dans notre monde de données marchandisées, les normes de cybersécurité doivent être très strictes et rigoureuses. La plupart des entreprises, même si elles ne sont pas immédiatement liées à la technologie, finiront par devoir s'armer de l'intérieur.

Il y a plus d'une décennie, l'Organisation internationale de normalisation a adopté une spécification appelée ISO 27001. De quoi s'agit-il exactement ? Que peut nous dire un audit ISO 27001 sur les machinations internes d'une organisation ? Et comment décidez-vous si votre entreprise doit être auditée ?

Qu'est-ce qu'un système de gestion de la sécurité de l'information (SGSI) ?

Un système de gestion de la sécurité de l'information (SGSI) est la principale ligne de défense d'une organisation contre les violations de données et d'autres types de cybermenaces de l'extérieur.

Un SMSI efficace garantit que les informations protégées restent confidentielles et sécurisées, fidèles à la source et accessibles aux personnes habilitées à les utiliser.

Une erreur courante consiste à supposer qu'un SMSI n'est rien de plus qu'un pare-feu ou d'autres moyens techniques de protection. Au lieu de cela, un SMSI entièrement intégré est tout aussi présent dans la culture de l'entreprise et dans chaque employé, ingénieur ou autre. Cela va bien au-delà du service informatique.

Plus qu'une simple politique et procédure officielle, la portée de ce système inclut également la capacité de l'équipe à gérer et à affiner le système. L'exécution et la manière dont le protocole est réellement appliqué sont primordiales.

Cela implique d'adopter une approche à long terme de la gestion et de l'atténuation des risques. Les dirigeants d'une entreprise doivent être intimement familiers avec les risques associés à l'industrie dans laquelle ils travaillent en particulier. Armés de cette perspicacité, ils pourront construire les murs autour d'eux en conséquence.

Qu'est-ce que l'ISO 27001 exactement ?

En 2005, l'Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (CEI) ont réorganisé la BS 7799, une norme de gestion de la sécurité établie pour la première fois par le groupe BSI 10 ans auparavant.

Désormais officiellement connue sous le nom d'ISO/IEC 27001:2005, ISO 27001 est une norme internationale de conformité décernée aux entreprises exemplaires en matière de gestion de la sécurité de l'information.

Il s'agit essentiellement d'un ensemble rigoureux de normes auxquelles le système de gestion de la sécurité de l'information d'une entreprise peut être soumis. Ce cadre permet aux auditeurs d'évaluer ensuite la ténacité du système dans son ensemble. Les entreprises peuvent choisir de procéder à un audit lorsqu'elles souhaitent rassurer leurs clients et leurs clients que leurs données sont en sécurité dans leurs murs.

Cet ensemble de dispositions comprend : les spécifications concernant la politique de sécurité, la classification des actifs, la sécurité environnementale, la gestion du réseau, la maintenance du système et la planification de la continuité des activités.

L'ISO a condensé toutes ces facettes de la charte BSI originale, les distillant dans la version que nous reconnaissons aujourd'hui.

Creuser dans la politique

Qu'est-ce qui est évalué exactement lorsqu'une entreprise se soumet à un audit ISO 27001 ?

La norme a pour objectif de formaliser une politique d'information efficace et sécurisée à l'international. Il incite à adopter une position proactive, qui cherche à éviter les problèmes avant qu'ils ne surviennent.

L'ISO met l'accent sur trois aspects importants d'un SMSI sécurisé :

1. Analyse et reconnaissance constantes du risque : cela inclut à la fois les risques actuels et les risques qui peuvent se présenter à l'avenir.

2. Un système robuste et sécurisé : cela inclut le système tel qu'il existe au sens technique, ainsi que tous les contrôles de sécurité que l'organisation utilise pour se protéger contre les risques susmentionnés. Ceux-ci seront très différents, selon l'entreprise et l'industrie.

3. Une équipe de leaders dévoués : ce seront les personnes qui mettront réellement les contrôles au service de la défense de l'organisation. Le système est aussi efficace que ceux qui travaillent à la barre.

L'analyse de ces trois facteurs contributifs clés aide l'auditeur à brosser un tableau plus complet de la capacité d'une entreprise donnée à fonctionner en toute sécurité. La durabilité est privilégiée par rapport à un SMSI qui ne repose que sur la force technique brute.

En relation: Comment empêcher les employés de voler les données de l'entreprise lorsqu'ils partent

Il y a un élément humain important qui doit être présent. La manière dont les personnes au sein de l'entreprise exercent un contrôle sur leurs données et leur SMSI passe avant tout. Ces contrôles sont ce qui protège réellement les données.

Qu'est-ce que l'annexe A de la norme ISO 27001 ?

Des exemples spécifiques de "contrôles" dépendent de l'industrie. L'annexe A de la norme ISO 27001 offre aux entreprises 114 moyens de contrôle officiellement reconnus sur la sécurité de leurs opérations.

Ces contrôles entrent dans l'une des quatorze classifications :

A.5— Politiques d' information et de sécurité : les politiques et procédures institutionnalisées suivies par une entreprise.

A.6— Organisation de la sécurité de l'information : l'attribution des responsabilités au sein de l'organisation en ce qui concerne le cadre du SMSI et sa mise en œuvre. Curieusement, la politique régissant le télétravail et l' utilisation des appareils au sein de l'entreprise est également incluse ici.

A.7— Sécurité des ressources humaines : concerne l'intégration, la désintégration et le changement de rôle des employés au sein de l'organisation. Les normes de dépistage et les meilleures pratiques en matière d'éducation et de formation sont également décrites ici.

A.8— Asset Management : concerne les données manipulées. Les actifs doivent être inventoriés, entretenus et gardés confidentiels, même à travers les départements dans certains cas. La propriété de chaque actif doit être clairement établie ; cette clause recommande aux entreprises de rédiger une « Politique d'utilisation acceptable » spécifique à leur secteur d'activité.

A.9— Contrôle d'accès : qui est autorisé à traiter vos données, et comment allez-vous limiter l'accès aux seuls employés autorisés ? Cela peut inclure l'établissement d'autorisations conditionnelles au sens technique ou l'accès à des bâtiments verrouillés sur le campus de votre entreprise.

A.10— Cryptographie : traite principalement du cryptage et d'autres moyens de protéger les données en transit. Ces mesures préventives doivent être gérées activement ; l'ISO décourage les organisations de considérer le cryptage comme une solution unique à tous les défis profondément nuancés associés à la sécurité des données.

A.11— Sécurité physique et environnementale : évalue la sécurité physique de l'endroit où se trouvent les données sensibles, que ce soit dans un véritable immeuble de bureaux ou dans une petite salle climatisée remplie de serveurs.

A.12— Sécurité des opérations : quelles sont vos règles internes de sécurité lorsqu'il s'agit de l'exploitation de votre entreprise ? La documentation expliquant ces procédures doit être conservée et révisée fréquemment pour répondre aux nouveaux besoins commerciaux émergents.

La gestion du changement, la gestion des capacités et la séparation des différents départements relèvent tous de cette rubrique.

A.13— Gestion de la sécurité des réseaux : les réseaux qui connectent chaque système au sein de votre entreprise doivent être étanches et soigneusement entretenus.

Les solutions fourre-tout telles que les pare-feu sont encore plus efficaces lorsqu'elles sont complétées par des points de contrôle de vérification fréquents, des politiques de transfert formalisées ou en interdisant l'utilisation de réseaux publics lors du traitement des données de votre entreprise, par exemple.

A.14— Acquisition, développement et maintenance du système : si votre entreprise n'a pas déjà mis en place un SMSI, cette clause explique ce qu'un système idéal apporte à la table. Il vous aide à vous assurer que la portée du SMSI couvre tous les aspects de votre cycle de vie de production.

Une politique interne de développement sécurisé donne à vos ingénieurs le contexte dont ils ont besoin pour créer un produit conforme dès le début de leur travail.

A.15— Politique de sécurité des fournisseurs : lorsque vous faites affaire avec des fournisseurs tiers extérieurs à votre entreprise, quelles précautions sont prises pour éviter les fuites ou les violations des données partagées avec eux ?

A.16— Gestion des incidents de sécurité de l'information : lorsque les choses tournent mal, votre entreprise fournit probablement un cadre sur la façon dont le problème doit être signalé, traité et évité à l'avenir.

L'ISO recherche des systèmes de rétorsion qui permettent aux figures d'autorité au sein de l'entreprise d'agir rapidement et avec beaucoup de préjugés après la détection d'une menace.

A.17— Aspects de la sécurité de l'information de la gestion de la continuité des activités : en cas de catastrophe ou d'un autre incident improbable qui perturbe irrévocablement vos opérations, un plan devra être mis en place pour préserver le bien-être de l'entreprise et de ses données jusqu'à ce que les affaires reprennent normalement.

L'idée est qu'une organisation a besoin d'un moyen de préserver la continuité de la sécurité dans des moments comme ceux-ci.

A.18— Conformité : nous arrivons enfin au véritable contrat d'accords auquel une entreprise doit souscrire pour répondre aux exigences de la certification ISO 27001. Vos obligations sont énoncées devant vous. Il ne vous reste plus qu'à signer sur la ligne pointillée.

L'ISO n'exige plus que les entreprises conformes n'utilisent que des contrôles qui correspondent aux catégories énumérées ci-dessus. La liste est un excellent point de départ si vous commencez tout juste à jeter les bases du SMSI de votre entreprise.

Connexes : Comment améliorer votre pleine conscience avec de bonnes pratiques de sécurité

Mon entreprise doit-elle être auditée ?

Ça dépend. Si vous êtes une toute petite start-up travaillant dans un domaine qui n'est pas sensible ou à haut risque, vous pouvez probablement attendre jusqu'à ce que vos plans pour l'avenir soient plus sûrs.

Plus tard, au fur et à mesure que votre équipe grandit, vous pourriez vous retrouver dans l'une des catégories suivantes :

  • Vous travaillez peut-être avec un client important qui demande à votre entreprise d'être évaluée afin de s'assurer qu'elle sera en sécurité avec vous.
  • Vous voudrez peut-être passer à une introduction en bourse à l'avenir.
  • Vous avez déjà été victime d'une violation et devez repenser la façon dont vous gérez et protégez les données de votre entreprise.

Prévoir l'avenir n'est pas toujours facile. Même si vous ne vous voyez dans aucun des scénarios ci-dessus, cela ne fait pas de mal d'être proactif et de commencer à incorporer certaines des pratiques recommandées par l'ISO dans votre régime.

Le pouvoir est entre vos mains

Préparer votre SMSI pour un audit est aussi simple que de faire preuve de diligence raisonnable, même si vous travaillez aujourd'hui. La documentation doit toujours être conservée et archivée, vous donnant la preuve dont vous aurez besoin pour sauvegarder vos déclarations de compétence.

C'est comme au collège : tu fais les devoirs et tu obtiens la note. Les clients sont sains et saufs et votre patron est très content de vous. Ce sont des habitudes simples à apprendre et à garder. Vous vous remercierez plus tard lorsque l'homme avec un presse-papiers viendra enfin vous appeler.