Cybersécurité – Quid de la norme 27001 ?

0
235

Cette norme est l’une des plus connue de la famille ISO/IEC 27000. Et pour cause, elle constitue un véritable tronc commun pour l’élaboration des exigences de cybersécurité d’un système d’information. Voici un topo sur le sujet, trop souvent mis de côté en France.

Les normes ISO ont un cycle de 5 ans, au terme duquel elles sont réexaminées. A l’heure où les cyberattaques se multiplient et que les impacts potentiels sont exponentiels et les conséquences souvent désastreuses pour les entités touchées, l’ISO/CEI 27001 spécifie les exigences relatives à l’établissement, à la mise en œuvre, à la mise à jour et à l’amélioration continue d’un système de management de la sécurité de l’information dans le contexte d’une organisation. Ces normes sont malheureusement trop souvent mises à l’écart et non appliquées, ce qui créer rapidement des incidents grave, comme on peut en croise actuellement avec les ransomwares (ou rançongiciels, ndlr) hors de contrôle dans certains établissement de santé par exemple.

Cette norme comporte également des exigences sur l’appréciation et le traitement des risques de sécurité de l’information, adaptées aux besoins de l’organisation sur les SGSI*. Les exigences fixées dans l’ISO 27001 sont génériques et prévues pour s’appliquer à toute organisation, quels que soient son type, sa taille et sa nature.

Toute entreprise peut être certifiée ISO/IEC 27001:2013 en déployant une méthodologie spécifique afin d’identifier les e-menaces et d’implémenter des protections dédiées en face de chacune d’elles. il s’agit d’une certification internationale (Organisation Internationale pour la Standardisation), dont les lignes directrices permettront à toute entité de lutter  efficacement contre les différentes cyber-menaces tout en limitant les ressources dédiées.

Le maître mot est alors l’évaluation des risques axées sur les activités de l’entreprise dans l’optique d’identifier et de traiter les menaces à la sécurité par rapport au cadre prédéfini selon le niveau de risque.

Bien entendu, ISO 27001 aide aussi au respect du RGPD (Règlement Général sur la Protection des Données) et de la Directive NIS (réglementations relatives aux réseaux et systèmes d’information).

Les objectifs d’une certification ISO 27001 pourrait se résumer de cette façon :

  • Protection des données
  • Augmentation de la résilience face aux cyberattaques
  • Réduction des coûts liés à la cybersécurité
  • Réponse adaptative aux e-menaces et leurs évolutions/variantes
  • Amélioration de la culture d’entreprise en rapport aux risques cyber du quotidien.

* Un SGSI est une approche systématique composée de processus, de technologies et de personnes vous aidant à protéger et à gérer toutes les informations de votre entreprise grâce à une gestion des risques efficace.

 

Note : article publi-rédactionnel