Qu’est-ce que la norme ISO 27001 et comment se mettre en conformité ?

Avec l’accroissement de la dématérialisation de l’économie, les cybermenaces sont sans cesse plus nombreuses et plus pressantes. Elles représentent autant de dangers et risques pour les entreprises et autres organisations. Dans ce contexte, l’ISO (Organisation Internationale de Normalisation) définit des normes de sécurité aux standards élevés, parmi lesquelles l’ISO 27001, qui couvre la sécurité de l’information. Découvrez son champ d’application et comment se déroulent la mise en conformité, l’obtention et le maintien de la certification.

Qu’est-ce que la norme ISO 27001 ?

La norme ISO 27001 établit un cadre réglementaire sur la gestion de la data et la sécurité de l’information dans les organisations. Après un audit satisfaisant par un organisme indépendant, l’entreprise (ou autres) reçoit la certification ISO 27001 qu’elle peut afficher publiquement. Cette norme est définie par l’ISO, soit l’Organisation Internationale de Normalisation, laquelle recueille et gère de multiples normes au sein de disciplines diverses.

La certification prend un volet officiel, bien que non-obligatoire pour les organisations, avec l’entrée en vigueur du CyberSecurity Act en juin 2019. Ce règlement européen, transposé dans le droit de tous les Etats-membres, introduit un cadre européen unique afin de rendre le marché de la certification plus lisible.

Les enjeux de la norme ISO 27001 impliquent une gestion importante de la Data, une véritable mine d’or pour les cybercriminels… ainsi que pour les fraudeurs. Au moyen des méthodes de l’ingénierie sociale, ceux-ci peuvent accéder à la Data et la manipuler, et ainsi commettre arnaque au FOVI, fraude au changement de RIB, etc.

• Dans cette perspective, en plus de la certification ISO 27001, il est dans l’intérêt de votre entreprise de s’équiper d’une solution SaaS anti-fraude, comme Trustpair. Le logiciel vérifie en continu le référentiel tiers et alerte en cas d’anomalie ou d’erreur détectée. Ce faisant, votre entreprise se prémunit plus efficacement contre la fraude.

Pourquoi se mettre en conformité avec la norme ISO 27001 ?

Si certes la norme ISO 27001 n’est pas obligatoire, elle présente plusieurs avantages pour les entreprises :

• D’abord, c’est l’opportunité de maîtriser la sécurité de l’ensemble des processus, donc de se prémunir plus efficacement contre les attaques et d’être résilient ;
• Ensuite, c’est un avantage concurrentiel qui rassure les clients et les tiers grâce à la certification affichée publiquement ;
• Enfin, cela permet de prendre de l’avance sur la législation, car le caractère non-obligatoire de la norme ISO 27001 peut être amené à évoluer selon les révisions futures de la Commission Européenne.

Pour profiter de ces atouts, l’entreprise doit donc parvenir à obtenir la certification.

Comment obtenir la certification ISO 27001 ?

Il s’agit d’un processus pluriannuel et qui exige donc une grande implication de l’entreprise. Avant de demander la certification, il lui faut de plus s’assurer que son SMSI (Système de management de la sécurité de l’information) couvre les champs d’application concernés par la norme ISO 27001 ; nous y revenons plus en détail dans les parties suivantes.

En général, le processus de certification ISO 27001 se décompose en trois phases :

1. À la demande de l’entreprise, un organisme de certification réalise un premier examen du SMSI et collecte les principales formes de documentation ;
2. L’organisme procède ensuite à un audit approfondi au cours duquel il vérifie, point par point, la conformité avec la norme ISO 27001. Durant cette phase, l’entreprise doit apporter les preuves justifiant la mise en œuvre et le suivi approprié des procédures et bonnes pratiques. Si les contrôles sont satisfaisants, alors l’auditeur délivre la certification ;
3. De nouveaux audits de suivi sont régulièrement programmés afin de garantir le maintien de la conformité

Nous entrons maintenant dans le détail de la norme et de ses champs d’application.

Quelles sont les normes de conformité ISO 27001 ?

Comme on l’indiquait précédemment, avant de demander la certification, l’entreprise doit se familiariser avec les différentes composantes de la norme. Elle est divisée en 12 sections distinctes :

1. Introduction : définit la « sécurité de l’information » et détaille les raisons de la gestion des risques en entreprise ;
2. Champ d’application : couvre les domaines du SMSI auxquels s’applique uniformément la norme ;
3. Références normatives : détaille la relation entre les normes ISO 27000 et 27001 ;
4. Termes et définitions : explique la terminologie complexe du texte officiel de la norme ;
5. Contexte de l’organisation : décrit les parties prenantes de l’entreprise impliquées dans le SMSI ;
6. Leadership : détaille les bonnes pratiques des dirigeants eu égard le SMSI ;
7. Planification : brosse un aperçu de la gestion planifiée des risques dans l’entreprise ;
8. Soutien : décrit les pratiques de sensibilisation à la sécurité de l’information et l’attribution des responsabilités ;
9. Fonctionnement : couvre la mise en œuvre de la gestion des risques et la production de la documentation pour l’audit ;
10. Evaluation de la performance : détaille le suivi et le mesure de la performance du SMSI ;
11. Amélioration : explique la nécessité de mises à jour régulières à la suite du suivi et d’audits ;
12. Objectifs de contrôle et contrôles de référence : fournit une annexe détaillant les différentes composantes d’un audit de certification ISO 27001.

C’est, d’ailleurs, sur ce dernier point que nous nous concentrons ci-dessous.

Les contrôles d’audit de conformité de l’ISO 27001

La documentation de la norme ISO 27001 décompose les bonnes pratiques en 14 contrôles distincts, qui correspondent aux domaines des contrôle de sécurité du SMSI. Ce sont ces points qui sont individuellement contrôlés lors de l’audit de certification :

1. Politiques de sécurité de l’information
2. Organisation de la sécurité de l’information
3. Sécurité des ressources humaines
4. Gestion des actifs
5. Contrôle d’accès
6. Cryptographie
7. Sécurité physique et environnementale
8. Sécurité des opérations
9. Sécurité des communications
10. Acquisition, développement et maintenance des systèmes
11. Relations avec les fournisseurs
12. Gestion des incidents de sécurité de l’information
13. Aspects de la gestion de la continuité des activités liés à la sécurité de l’information
14. Conformité

Si certes, on le constate, l’informatique est au cœur des technologies de l’information, c’est une erreur de confier la création, la mise en œuvre et la gestion du SMSI à la seule équipe IT de l’entreprise. Il couvre un ensemble de processus et de procédures et doit, à ce titre, concerner toutes les parties prenantes de l’entreprise. Par exemple, les normes comptables sont impactées par l’ISO 27001 et, consécutivement, le SMSI doit aussi concerner les équipes financières et comptables.

De plus, pour conserver la norme ISO 27001, l’entreprise doit régulièrement planifier de nouveaux audits pour confirmer la mise en conformité.

Comment maintenir la conformité de l’ISO 27001 ?

Afin d’y parvenir, l’entreprise doit réaliser ses propres audits internes ISO 27001 une fois tous les trois ans. Pour autant, face, d’une part, à l’évolution rapide des menaces, et d’autre part, aux évolutions structurelles de l’organisation, il est recommandé de procéder à un tel examen une fois par an.

Un groupe de travail ISO 27001 doit donc être formé. Il est composé de toutes les parties prenantes et se réunit une fois par mois pour examiner les questions en suspens et discuter de mises à jour. Entre autres, il doit produire une liste de conformité comportant plusieurs éléments, parmi lesquels par exemple :

• Le soutien de la direction pour toutes les activités liées à l’ISO 27001 ;
• Le caractère « continu » de la mise en conformité avec la norme ;
• La méthodologie d’évaluation des risques ;
• Les programmes de formation et de sensibilisation à destination des collaborateurs ;
• Les mesures de contrôle des meilleures pratiques ;
• Les résultats des audits et les actions préventives et / ou correctives à mettre en place.

POINTS À RETENIR :

• La norme ISO 27001 définit un cadre réglementaire sur la gestion de la data et la sécurité de l’information.
• Elle est obtenue après un audit interne devant être renouvelé tous les 3 ans.
• Elle permet de mieux maîtriser la sécurité de l’ensemble de ses processus
• Parmi les 14 pratiques que définit la norme ISO 27001 et qui sont chacun individuellement contrôlés, on retrouve: l’organisation de la sécurité de l’information, la sécurité des informations et la relations avec les fournisseurs.
• Les processus manuels ne peuvent être exemptés de risque. En plus de renforcer les dispositifs pour prévenir des erreurs humaines et autres risque de fraude, des solutions technologiques comme Trustpair vous aide à multiplier les points de contrôle tout au long de la chaîne de paiements.