ISO 27001 : une norme stan­dar­di­sée pour la sécurité de l’in­for­ma­tion dans les en­tre­prises

À l’heure du numérique, les en­tre­prises doivent respecter un haut niveau d’exigences en matière de sécurité des in­for­ma­tions si elles veulent pouvoir tra­vail­ler ef­fi­ca­ce­ment et en toute sécurité. L’or­ga­ni­sa­tion in­ter­na­tio­nale de nor­ma­li­sa­tion (ISO) a mis en place une norme pour assurer la sécurité des in­for­ma­tions dans les en­tre­prises. En s’y con­for­mant, les en­tre­prises peuvent obtenir une cer­ti­fi­ca­tion attestant du respect de cette norme. Le cer­ti­fi­cat a été élaboré par des experts de renommée mondiale en matière de sécurité de l’in­for­ma­tion et définit un protocole que les en­tre­prises doivent mettre en œuvre, afin de garantir un haut niveau de sécurité de leurs in­for­ma­tions.

La norme in­ter­na­tio­nale ISO 27001 permet d’instaurer un haut niveau de sécurité de l’in­for­ma­tion au sein d’une en­tre­prise ou d’un organisme. Elle est struc­tu­rée de telle sorte que la taille ou le secteur d’activité de l’en­tre­prise n’ont aucun impact sur la mise en œuvre de la norme. Si les pres­crip­tions ont bien été ap­pli­quées, l’en­tre­prise peut obtenir la cer­ti­fi­ca­tion ISO 27001. Grâce à elle, une en­tre­prise peut prouver à ses clients et à ses par­te­naires com­mer­ciaux qu’elle est un organisme de confiance, prenant au sérieux la sécurité des in­for­ma­tions.

Les avantages pour les en­tre­prises con­cer­nent quatre domaines dif­fé­rents. D’une part, un tel cer­ti­fi­cat servira de base à la mise en œuvre des dis­po­si­tions légales. Ensuite, le cer­ti­fi­cat offre un avantage con­cur­ren­tiel à l’en­tre­prise puisqu’elle se démarque de toutes les en­tre­prises ne détenant pas la cer­ti­fi­ca­tion ISO 27001. Les en­tre­prises ayant obtenu le cer­ti­fi­cat en question peuvent en effet prouver à leurs clients que les in­for­ma­tions sensibles sont traitées de manière sécurisée au sein de leur en­tre­prise. Étant donné que respecter cette norme réduit le risque d’incidents en matière de sécurité des in­for­ma­tions, la norme ISO 27001 permet également à l’en­tre­prise de réaliser des économies im­por­tantes puisque de tels incidents oc­ca­sion­nent gé­né­ra­le­ment des frais.

En outre, une cer­ti­fi­ca­tion ISO 27001 permet d’optimiser les pro­cé­dures au sein d’une en­tre­prise. Les « temps morts » des employés sont en effet réduits puisque les prin­ci­pales pro­cé­dures de l’en­tre­prise sont définies par écrit.

Voici d’autres avantages :

• une réduction des risques com­mer­ciaux,
• une réduction des risques de res­pon­sa­bi­lité à un minimum,
• une baisse du coût des primes d’assurance,
• une iden­ti­fi­ca­tion fiable des problèmes et des menaces.

La norme ISO 27001 se décline en plusieurs parties. La base de la norme cor­res­pond à la norme ISO/IEC 27001 elle-même, instaurée en 2005. En 2015, celle-ci a fait l’objet d’une révision con­sé­quente et a été complétée par un nouveau catalogue qui forme la deuxième partie de la norme actuelle. Ce catalogue est annexé à la norme et énonce les mises à jour de manière détaillée. On peut gros­siè­re­ment diviser la norme en 3 sections : après le chapitre d’in­tro­duc­tion vient le chapitre principal. Le dernier chapitre cor­res­pond à l’annexe men­tion­née ci-dessus.

La partie prin­ci­pale de la norme est dé­ter­mi­nante pour la cer­ti­fi­ca­tion ISO 27001. C’est dans cette partie que sont expliqués pré­ci­sé­ment les objectifs des dif­fé­rentes mesures. Les mesures associées ne cons­ti­tuent cependant en aucun cas un guide per­met­tant de mettre en œuvre la norme, il s’agit plutôt de conseils pour une im­plé­men­ta­tion réussie de la norme.

Les principes fon­da­men­taux de ces conseils reposent es­sen­tiel­le­ment sur les trois piliers que sont la con­fi­den­tia­lité, la dis­po­ni­bi­lité et l’intégrité.

Pour sim­pli­fier les pro­cé­dures et la mise en œuvre, la norme ISO 27001 a également adopté les principes d’autres normes. Il existe en effet des si­mi­li­tudes avec d’autres normes (que vous con­nais­sez peut-être déjà) qui aident con­si­dé­ra­ble­ment les or­ga­nismes dans leur processus d’im­plé­men­ta­tion et qui les en­cou­ra­gent à in­tro­duire la norme ISO 27001 au sein de leur organisme.

En 2013, les con­di­tions énoncées dans la norme ISO 27001 ont con­si­dé­ra­ble­ment changé par rapport à la première version de 2005. Non seulement la structure de base de la norme a changé, mais elle a aussi été nettement allégée.

La norme ISO 27001 adopte une approche axée sur les processus pour mettre en œuvre un système de ma­na­ge­ment de la sécurité de l’in­for­ma­tion (SMSI). Alors que l’ancienne version contenait un renvoi explicite au modèle PDCA, celui-ci n’est plus obli­ga­toire dans la nouvelle version. Les con­di­tions requises sont valables pour tout type d’organisme, quelle que soit sa taille.

La norme ISO 27001 pose notamment comme condition que les en­tre­prises doivent dé­ter­mi­ner et prendre en compte tous les sujets externes et internes qui pour­raient affecter leur capacité à mettre en œuvre un SMSI. On entend notamment ici la culture de l’en­tre­prise, les con­di­tions en­vi­ron­ne­men­tales, les con­traintes ré­gle­men­taires, les obli­ga­tions con­trac­tuelles et légales ainsi que les di­rec­tives of­fi­cielles en matière de gou­ver­nance. La norme ISO 27001 exige des hautes instances de direction de l’organisme qu’elles dé­fi­nis­sent la politique en matière de sécurité de l’in­for­ma­tion ainsi que des com­pé­tences et des res­pon­sa­bi­li­tés en vue de la mise en œuvre des pres­crip­tions. De plus, l’organisme doit s’engager à sen­si­bi­li­ser l’ensemble de l’en­tre­prise à la sécurité de l’in­for­ma­tion.

La pla­ni­fi­ca­tion joue également un rôle essentiel dans la cer­ti­fi­ca­tion ISO 27001. Les dis­po­si­tions doivent par exemple inclure l’éva­lua­tion des risques spé­ci­fiques liés à la sécurité de l’in­for­ma­tion au sein de l’en­tre­prise ainsi que l’éla­bo­ra­tion d’un plan de gestion des risques. La res­pon­sa­bi­lité de dé­ter­mi­ner les risques et de les prévenir incombe uni­que­ment à l’organisme. De plus, la norme impose que chaque en­tre­prise mobilise les res­sources né­ces­saires pour garantir une amé­lio­ra­tion continue du SMSI ainsi que son maintien et sa mise en œuvre. Les in­for­ma­tions relatives au SMSI doivent par ailleurs être mi­nu­tieu­se­ment do­cu­men­tées. Les éva­lua­tions de per­for­mance doivent également être ef­fec­tuées à des in­ter­valles préa­la­ble­ment dé­ter­mi­nés. Les en­tre­prises doivent examiner, mesurer et analyser l’ef­fi­ca­cité de leur SMSI, et ce également à des in­ter­valles dé­ter­mi­nés.

Dekra présente les in­for­ma­tions les plus im­por­tantes et des nou­veau­tés. Dès lors que le SMSI est établi, les valeurs de l’en­tre­prise sont soumises à une clas­si­fi­ca­tion. À nouveau, ce sont les valeurs fon­da­men­tales que sont la con­fi­den­tia­lité, la dis­po­ni­bi­lité et l’intégrité qui régissent cette clas­si­fi­ca­tion. Cette dernière est divisée en trois étapes.

La première étape comprend par exemple tous les documents officiels qui, dans le cas d’une fal­si­fi­ca­tion, pour­raient causer un tort re­la­ti­ve­ment peu important à l’en­tre­prise, à savoir d’un montant pouvant aller jusqu’à 500 euros. Cette étape est donc associée à des documents qui pour­raient dif­fi­ci­le­ment causer un préjudice trop important à l’en­tre­prise, même dans l’hypothèse où les normes ISO ne seraient pas res­pec­tées pendant une semaine.

La deuxième étape s’applique aux documents internes de l’en­tre­prise, tels que les factures et les fiches de paie. En cas de violation de la norme ISO relative à la sécurité de l’in­for­ma­tion, celle-ci pourrait entraîner des dommages pé­cu­niaires pouvant aller jusqu’à 5 000 euros. Un tel incident ne doit pas pouvoir perdurer plus de 24 heures.

La troisième et dernière étape comprend les données ex­trê­me­ment sensibles internes à l’en­tre­prise. À ce stade, les dommages engendrés par une cor­rup­tion des in­for­ma­tions dépassent la limite des 5 000 euros. Une telle dé­fail­lance ne doit pas durer plus de 3 heures.

La mise en œuvre de la norme ISO/IEC 27001 requiert des étapes spé­ci­fiques ne pouvant pas faire l’objet d’une ap­pli­ca­tion identique dans toutes les en­tre­prises. Chaque organisme doit relever des défis in­di­vi­duels et chaque SMSI doit être adapté à l’organisme concerné. C’est pourquoi nous vous donnons ci-après des ex­pli­ca­tions qui s’ap­pli­quent à la plupart des or­ga­nismes, quel que soit leur secteur d’activité.

La première étape per­met­tant d’obtenir une cer­ti­fi­ca­tion cor­res­pond à la garantie du soutien et de l’en­ga­ge­ment de la part du personnel de direction. La direction doit mettre la priorité sur la bonne mise en œuvre du SMSI et faire connaître à tous les employés les objectifs qu’elle poursuit en matière de sécurité de l’in­for­ma­tion.

Une fois que cela est fait, il est temps de dé­ter­mi­ner les éléments spé­ci­fiques de la politique de sécurité de l’in­for­ma­tion. À cet effet, l’organisme définit les objectifs et fixe l’orien­ta­tion stra­té­gique pour les principes de la sécurité de l’in­for­ma­tion. Ils serviront alors de cadre pour le dé­ve­lop­pe­ment futur.

Dès lors que la politique de sécurité de l’in­for­ma­tion est définie, l’organisme détermine les champs d’ap­pli­ca­tion du SMSI. Il est alors important d’envisager de manière spé­ci­fique tous les aspects de la sécurité de l’in­for­ma­tion qui sont réel­le­ment ac­ces­sibles dans le cadre du SMSI. Une analyse des risques est également créée dans le cadre des mesures de sécurité de l’in­for­ma­tion. Elle permet de dé­ter­mi­ner les dangers po­ten­tiels devant être pris en con­si­dé­ra­tion. À cet effet, l’analyse recueille en par­ti­cu­lier les fai­blesses du système actuel.

L’organisme définit alors les mesures ap­pro­priées en vue de réduire les risques existants. Le résultat de l’analyse est recensé dans un catalogue de mesures qui doit être contrôlé en per­ma­nence et ajusté si né­ces­saire. Une fois la norme im­plé­men­tée avec succès, l’organisme exécute un audit préalable, qui a donc lieu avant le véritable audit pour obtenir la cer­ti­fi­ca­tion. Cet audit préalable est effectué dans le but d’iden­ti­fier les éventuels points faibles et problèmes sus­cep­tibles d’avoir un effet néfaste sur le résultat de l’audit et de com­pro­mettre la cer­ti­fi­ca­tion. Toute non-con­for­mité avec la norme ISO 27001 est exclue.

La dernière étape pour réussir la mise en œuvre de la norme ISO 27001 cor­res­pond à l’audit de cer­ti­fi­ca­tion à pro­pre­ment parler. Un organisme de cer­ti­fi­ca­tion in­dé­pen­dant procède alors à l’ins­pec­tion et à l’éva­lua­tion du SMSI mis en place. Si le système remplit les con­di­tions de la norme ISO 27001, le contrôle est validé et l’en­tre­prise obtient sa cer­ti­fi­ca­tion. L’organisme de cer­ti­fi­ca­tion délivre alors le cer­ti­fi­cat. Des audits dits de sur­veil­lance doivent cependant avoir lieu à in­ter­valles réguliers. Ils doivent garantir la vé­ri­fi­ca­tion continue du respect des exigences de la norme. Les audits de sur­veil­lance ont lieu tous les trois ans. Le cer­ti­fi­cat ne peut être renouvelé pour trois ans que si l’audit de sur­veil­lance est validé.

Les coûts liés à une cer­ti­fi­ca­tion réussie dépendent toujours de la situation in­di­vi­duelle de l’organisme. Les facteurs de coûts, tels que les for­ma­tions ou la do­cu­men­ta­tion technique, l’as­sis­tance externe et les coûts de la tech­no­lo­gie jouent ici un rôle important. De plus, l’organisme ne doit pas oublier que le temps né­ces­saire à la formation d’un employé coûte également de l’argent. Bien entendu, la cer­ti­fi­ca­tion elle-même engendre aussi des coûts.

Les coûts de la cer­ti­fi­ca­tion à pro­pre­ment parler sont variables et dépendent de la taille de l’organisme. Ils dépendent également et en grande partie du nombre de jours né­ces­saires pour réaliser l’audit final. Pour les PME, seuls une dizaine de jours de travail sont gé­né­ra­le­ment né­ces­saires. Pour les plus grosses en­tre­prises ou les grands groupes, l’audit requiert bien souvent davantage de temps et les en­tre­prises doivent prendre cela en con­si­dé­ra­tion dans la pla­ni­fi­ca­tion de leur budget.