ISO 27001 : une norme standardisée pour la sécurité de l’information dans les entreprises

À l’heure du numérique, les entreprises doivent respecter un haut niveau d’exigences en matière de sécurité des informations si elles veulent pouvoir travailler efficacement et en toute sécurité. L’organisation internationale de normalisation (ISO) a mis en place une norme pour assurer la sécurité des informations dans les entreprises. En s’y conformant, les entreprises peuvent obtenir une certification attestant du respect de cette norme. Le certificat a été élaboré par des experts de renommée mondiale en matière de sécurité de l’information et définit un protocole que les entreprises doivent mettre en œuvre, afin de garantir un haut niveau de sécurité de leurs informations.

La norme internationale ISO 27001 permet d’instaurer un haut niveau de sécurité de l’information au sein d’une entreprise ou d’un organisme. Elle est structurée de telle sorte que la taille ou le secteur d’activité de l’entreprise n’ont aucun impact sur la mise en œuvre de la norme. Si les prescriptions ont bien été appliquées, l’entreprise peut obtenir la certification ISO 27001. Grâce à elle, une entreprise peut prouver à ses clients et à ses partenaires commerciaux qu’elle est un organisme de confiance, prenant au sérieux la sécurité des informations.

Les avantages pour les entreprises concernent quatre domaines différents. D’une part, un tel certificat servira de base à la mise en œuvre des dispositions légales. Ensuite, le certificat offre un avantage concurrentiel à l’entreprise puisqu’elle se démarque de toutes les entreprises ne détenant pas la certification ISO 27001. Les entreprises ayant obtenu le certificat en question peuvent en effet prouver à leurs clients que les informations sensibles sont traitées de manière sécurisée au sein de leur entreprise. Étant donné que respecter cette norme réduit le risque d’incidents en matière de sécurité des informations, la norme ISO 27001 permet également à l’entreprise de réaliser des économies importantes puisque de tels incidents occasionnent généralement des frais.

En outre, une certification ISO 27001 permet d’optimiser les procédures au sein d’une entreprise. Les « temps morts » des employés sont en effet réduits puisque les principales procédures de l’entreprise sont définies par écrit.

Voici d’autres avantages :

• une réduction des risques commerciaux,
• une réduction des risques de responsabilité à un minimum,
• une baisse du coût des primes d’assurance,
• une identification fiable des problèmes et des menaces.

La norme ISO 27001 se décline en plusieurs parties. La base de la norme correspond à la norme ISO/IEC 27001 elle-même, instaurée en 2005. En 2015, celle-ci a fait l’objet d’une révision conséquente et a été complétée par un nouveau catalogue qui forme la deuxième partie de la norme actuelle. Ce catalogue est annexé à la norme et énonce les mises à jour de manière détaillée. On peut grossièrement diviser la norme en 3 sections : après le chapitre d’introduction vient le chapitre principal. Le dernier chapitre correspond à l’annexe mentionnée ci-dessus.

La partie principale de la norme est déterminante pour la certification ISO 27001. C’est dans cette partie que sont expliqués précisément les objectifs des différentes mesures. Les mesures associées ne constituent cependant en aucun cas un guide permettant de mettre en œuvre la norme, il s’agit plutôt de conseils pour une implémentation réussie de la norme.

Les principes fondamentaux de ces conseils reposent essentiellement sur les trois piliers que sont la confidentialité, la disponibilité et l’intégrité.

Pour simplifier les procédures et la mise en œuvre, la norme ISO 27001 a également adopté les principes d’autres normes. Il existe en effet des similitudes avec d’autres normes (que vous connaissez peut-être déjà) qui aident considérablement les organismes dans leur processus d’implémentation et qui les encouragent à introduire la norme ISO 27001 au sein de leur organisme.

En 2013, les conditions énoncées dans la norme ISO 27001 ont considérablement changé par rapport à la première version de 2005. Non seulement la structure de base de la norme a changé, mais elle a aussi été nettement allégée.

La norme ISO 27001 adopte une approche axée sur les processus pour mettre en œuvre un système de management de la sécurité de l’information (SMSI). Alors que l’ancienne version contenait un renvoi explicite au modèle PDCA, celui-ci n’est plus obligatoire dans la nouvelle version. Les conditions requises sont valables pour tout type d’organisme, quelle que soit sa taille.

La norme ISO 27001 pose notamment comme condition que les entreprises doivent déterminer et prendre en compte tous les sujets externes et internes qui pourraient affecter leur capacité à mettre en œuvre un SMSI. On entend notamment ici la culture de l’entreprise, les conditions environnementales, les contraintes réglementaires, les obligations contractuelles et légales ainsi que les directives officielles en matière de gouvernance. La norme ISO 27001 exige des hautes instances de direction de l’organisme qu’elles définissent la politique en matière de sécurité de l’information ainsi que des compétences et des responsabilités en vue de la mise en œuvre des prescriptions. De plus, l’organisme doit s’engager à sensibiliser l’ensemble de l’entreprise à la sécurité de l’information.

La planification joue également un rôle essentiel dans la certification ISO 27001. Les dispositions doivent par exemple inclure l’évaluation des risques spécifiques liés à la sécurité de l’information au sein de l’entreprise ainsi que l’élaboration d’un plan de gestion des risques. La responsabilité de déterminer les risques et de les prévenir incombe uniquement à l’organisme. De plus, la norme impose que chaque entreprise mobilise les ressources nécessaires pour garantir une amélioration continue du SMSI ainsi que son maintien et sa mise en œuvre. Les informations relatives au SMSI doivent par ailleurs être minutieusement documentées. Les évaluations de performance doivent également être effectuées à des intervalles préalablement déterminés. Les entreprises doivent examiner, mesurer et analyser l’efficacité de leur SMSI, et ce également à des intervalles déterminés.

Dekra présente les informations les plus importantes et des nouveautés. Dès lors que le SMSI est établi, les valeurs de l’entreprise sont soumises à une classification. À nouveau, ce sont les valeurs fondamentales que sont la confidentialité, la disponibilité et l’intégrité qui régissent cette classification. Cette dernière est divisée en trois étapes.

La première étape comprend par exemple tous les documents officiels qui, dans le cas d’une falsification, pourraient causer un tort relativement peu important à l’entreprise, à savoir d’un montant pouvant aller jusqu’à 500 euros. Cette étape est donc associée à des documents qui pourraient difficilement causer un préjudice trop important à l’entreprise, même dans l’hypothèse où les normes ISO ne seraient pas respectées pendant une semaine.

La deuxième étape s’applique aux documents internes de l’entreprise, tels que les factures et les fiches de paie. En cas de violation de la norme ISO relative à la sécurité de l’information, celle-ci pourrait entraîner des dommages pécuniaires pouvant aller jusqu’à 5 000 euros. Un tel incident ne doit pas pouvoir perdurer plus de 24 heures.

La troisième et dernière étape comprend les données extrêmement sensibles internes à l’entreprise. À ce stade, les dommages engendrés par une corruption des informations dépassent la limite des 5 000 euros. Une telle défaillance ne doit pas durer plus de 3 heures.

La mise en œuvre de la norme ISO/IEC 27001 requiert des étapes spécifiques ne pouvant pas faire l’objet d’une application identique dans toutes les entreprises. Chaque organisme doit relever des défis individuels et chaque SMSI doit être adapté à l’organisme concerné. C’est pourquoi nous vous donnons ci-après des explications qui s’appliquent à la plupart des organismes, quel que soit leur secteur d’activité.

La première étape permettant d’obtenir une certification correspond à la garantie du soutien et de l’engagement de la part du personnel de direction. La direction doit mettre la priorité sur la bonne mise en œuvre du SMSI et faire connaître à tous les employés les objectifs qu’elle poursuit en matière de sécurité de l’information.

Une fois que cela est fait, il est temps de déterminer les éléments spécifiques de la politique de sécurité de l’information. À cet effet, l’organisme définit les objectifs et fixe l’orientation stratégique pour les principes de la sécurité de l’information. Ils serviront alors de cadre pour le développement futur.

Dès lors que la politique de sécurité de l’information est définie, l’organisme détermine les champs d’application du SMSI. Il est alors important d’envisager de manière spécifique tous les aspects de la sécurité de l’information qui sont réellement accessibles dans le cadre du SMSI. Une analyse des risques est également créée dans le cadre des mesures de sécurité de l’information. Elle permet de déterminer les dangers potentiels devant être pris en considération. À cet effet, l’analyse recueille en particulier les faiblesses du système actuel.

L’organisme définit alors les mesures appropriées en vue de réduire les risques existants. Le résultat de l’analyse est recensé dans un catalogue de mesures qui doit être contrôlé en permanence et ajusté si nécessaire. Une fois la norme implémentée avec succès, l’organisme exécute un audit préalable, qui a donc lieu avant le véritable audit pour obtenir la certification. Cet audit préalable est effectué dans le but d’identifier les éventuels points faibles et problèmes susceptibles d’avoir un effet néfaste sur le résultat de l’audit et de compromettre la certification. Toute non-conformité avec la norme ISO 27001 est exclue.

La dernière étape pour réussir la mise en œuvre de la norme ISO 27001 correspond à l’audit de certification à proprement parler. Un organisme de certification indépendant procède alors à l’inspection et à l’évaluation du SMSI mis en place. Si le système remplit les conditions de la norme ISO 27001, le contrôle est validé et l’entreprise obtient sa certification. L’organisme de certification délivre alors le certificat. Des audits dits de surveillance doivent cependant avoir lieu à intervalles réguliers. Ils doivent garantir la vérification continue du respect des exigences de la norme. Les audits de surveillance ont lieu tous les trois ans. Le certificat ne peut être renouvelé pour trois ans que si l’audit de surveillance est validé.

Les coûts liés à une certification réussie dépendent toujours de la situation individuelle de l’organisme. Les facteurs de coûts, tels que les formations ou la documentation technique, l’assistance externe et les coûts de la technologie jouent ici un rôle important. De plus, l’organisme ne doit pas oublier que le temps nécessaire à la formation d’un employé coûte également de l’argent. Bien entendu, la certification elle-même engendre aussi des coûts.

Les coûts de la certification à proprement parler sont variables et dépendent de la taille de l’organisme. Ils dépendent également et en grande partie du nombre de jours nécessaires pour réaliser l’audit final. Pour les PME, seuls une dizaine de jours de travail sont généralement nécessaires. Pour les plus grosses entreprises ou les grands groupes, l’audit requiert bien souvent davantage de temps et les entreprises doivent prendre cela en considération dans la planification de leur budget.