La norme ISO/CEI 27001, qui a succédé à la norme BS 7799-2 de BSI a été révisée en 2013 et 2022 après sa publication initiale en octobre 2005. Cette norme, qui s’adresse à tous les types d’organismes, y compris les entreprises commerciales, les ONG et les administrations, définit les exigences pour la mise en place d’un système de management de la sécurité de l’information (SMSI). Le SMSI est conçu pour recenser les mesures de sécurité dans un périmètre défini, garantissant ainsi la protection des actifs de l’organisme. L’objectif est de protéger les fonctions et informations contre toute perte, vol ou altération, et de protéger les systèmes informatiques contre toute intrusion et sinistre informatique. Cela renforce la confiance des parties prenantes.
La certification ISO 27001, un gage de sécurité pour les systèmes d’information. La sécurité des systèmes d’information est devenue un enjeu majeur pour les organisations de tous secteurs et de toutes tailles, face à la multiplication des cyberattaques et des exigences règlementaires. Pour garantir la protection, la performance et l’amélioration continue de leurs systèmes d’information, de plus en plus d’organisations optent pour la certification ISO 27001, la norme internationale de référence en la matière.
La certification ISO 27001 atteste qu’une organisation a mis en place un système de management de la sécurité de l’information (SMSI) efficace, basé sur une analyse et une maîtrise des risques liés aux informations sensibles. Elle implique également le respect des bonnes pratiques et principes énoncés dans la norme, tels que la définition d’une politique de sécurité, l’engagement de la direction, la sensibilisation du personnel, ou encore la mise en œuvre de mesures de protection adaptées. La certification ISO 27001 présente de nombreux avantages pour les organisations certifiées, notamment :
- La résilience face aux cyberattaques et aux nouvelles menaces
- La conformité aux exigences légales et contractuelles, notamment en matière de protection des données personnelles
- La confiance et la satisfaction des parties prenantes, telles que les clients, les fournisseurs, les partenaires ou les autorités
- La réduction des coûts liés aux incidents de sécurité ou aux pertes d’information
- L’optimisation des processus et des ressources liés au système d’information
- La différenciation et la valorisation sur le marché
La norme stipule que les exigences en matière de mesures de sécurité doivent être adéquates et proportionnées aux risques encourus, évitant ainsi d’être trop laxistes ou trop sévères.
L’ISO/CEI 27001 énumère une série de points de contrôle à respecter pour assurer la pertinence du SMSI, permettant ainsi son exploitation et son évolution. Plus précisément, l’annexe A de la norme comprend les 114 mesures de sécurité de la norme ISO/CEI 27002 (anciennement ISO/CEI 17799), classées en 14 sections. Tout comme les normes ISO 9001 et ISO 14001, il est possible de faire certifier un organisme ISO/CEI 27001.
Cependant, certains points ont disparu par rapport à la norme BS 7799-2 : l’ISO 27001 n’intègre plus l’amélioration de la compétitivité, des cash flow, de la profitabilité, le respect de la réglementation et l’image de marque.
La première étape consiste à définir la politique et le périmètre du SMSI. Le périmètre, qui est le domaine d’application du SMSI, est librement choisi, mais il est essentiel car il détermine ensuite le périmètre de certification. Il doit comprendre tous les actifs métiers (actifs primordiaux au sens de la norme ISO/CEI 27005) et les actifs support à ces activités qui sont impliqués dans le SMSI. La politique détermine le niveau de sécurité (intégrité, confidentialité, disponibilité de l’information) qui sera pratiqué au sein de l’entreprise. La norme n’impose pas de niveau minimum de sécurité à atteindre dans le SMSI, son niveau devant être proportionné aux risques évalués.
Le choix du périmètre et de la politique étant libre, ces deux éléments sont des “leviers de souveraineté” pour l’entreprise. Ainsi, une entreprise peut être certifiée ISO 27001 tout en définissant un périmètre très réduit et une politique de sécurité peu stricte et sans répondre aux exigences de ses clients en matière de sécurité.
La deuxième étape consiste à identifier et évaluer les risques liés à la sécurité et à élaborer la politique de sécurité. La norme ISO 27001 ne donne pas de directives sur la méthode d’appréciation des risques à adopter. Les entreprises peuvent donc en inventer une en veillant à bien respecter le cahier des charges ou en choisir une parmi les plus courantes, notamment la méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) mise en place en France par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information). Le cahier des charges relatif à l’appréciation des risques se développe en 7 points :
- Identifier les actifs
- Identifier les personnes responsables
- Identifier les vulnérabilités
- Identifier les menaces
- Identifier leurs impacts sur les actifs à défendre
- Évaluer la vraisemblance ou potentialité du risque
- Estimer les niveaux de risque, fonction de leur potentialité et de leur impact
La troisième étape : Gestion de l’incertitude et reconnaissance du risque subsistant. Il existe quatre méthodes possibles pour traiter chaque risque identifié, présentées par ordre décroissant d’intérêt pour l’organisme :
- L’évitement : Si l’incident est jugé inacceptable ou si les mesures sont facilement accessibles, une politique est mise en place. Il s’agit de réorganiser le système d’information à protéger afin d’éliminer totalement la potentialité du risque.
- La réduction : La potentialité et/ou l’impact du risque sont ramenés à un niveau acceptable grâce à la mise en œuvre de mesures techniques et organisationnelles. C’est la solution la plus couramment utilisée.
- Le transfert (ou partage) : La part de risque qui ne peut pas être évitée ou réduite est appelée risque résiduel. L’organisme peut transférer la responsabilité technique de tout ou partie de ce risque résiduel en recourant à une solution d’externalisation de sécurité. Il peut également souscrire une assurance pour réduire l’impact financier du risque.
- L’acceptation (ou maintien) : Aucune mesure de sécurité supplémentaire n’est mise en place car les conséquences du risque résiduel non transférable sont acceptables. Par exemple, le vol d’un ordinateur portable qui ne contient pas de données essentielles pour l’entreprise a un impact minime. Cette solution peut n’être que temporaire.
Une fois la décision de traitement du risque prise, l’entreprise doit identifier les risques résiduels, c’est-à-dire ceux qui persistent après la mise en place des mesures de sécurité. Si ces risques sont jugés inacceptables, des mesures de sécurité supplémentaires doivent être définies. Cette phase d’acceptation formelle des risques résiduels s’inscrit souvent dans un processus d’homologation, le système étant homologué en tenant compte de ces risques résiduels.
Quatrième étape, le choix des procédures de sécurité à implémenter. La norme ISO 27001 comprend une annexe A qui propose 114 mesures de sécurité classées en 14 catégories (politique de sécurité, sécurité du personnel, contrôle des accès…). Cette annexe normative n’est qu’une liste et ne donne aucun conseil de mise en œuvre au sein de l’entreprise. Les mesures sont présentées dans la norme ISO 27002.
La certification ISO 27001 est délivrée par des organismes certificateurs accrédités, tels que l’AFNOR, après un audit du SMSI de l’organisation candidate. La certification est valable pour une durée de trois ans, sous réserve de maintenir et d’améliorer le SMSI et de passer des audits de suivi annuels. La norme ISO 27001 est régulièrement mise à jour pour tenir compte de l’évolution des technologies, des menaces et des besoins des organisations. La dernière version date de 2022 et introduit notamment des changements dans l’annexe A, qui liste les mesures de sécurité à considérer.
La certification ISO 27001 est donc un outil précieux pour les organisations qui souhaitent sécuriser leurs systèmes d’information et se préparer aux défis du numérique.