La sécurité des données personnelle est aujourd’hui un sujet majeur pour l’ensemble des individus et des entreprises. Il devient de plus en plus important pour ces dernières de fournir à leurs clients et utilisateurs des garanties sur ce sujet, par exemple par l’intermédiaire de certifications.

Une de ces certifications est l’ISO 27001, relativement peu répandue en France car non imposée par l’Etat. Cependant, elle est de plus en plus intégrée dans les nouveaux référentiels, comme par exemple l’Hébergement de Données de Santé. Intéressons-nous donc de plus près à cette norme internationale, nommée « Technologies de l’information – Techniques de sécurité – Systèmes de gestion de sécurité de l’information – Exigences ».

La norme ISO 27001, qu’est-ce que c’est ?

La particularité de la norme ISO 27001, c’est qu’elle traite la sécurité par les risques. Une entreprise certifiée ISO 27001 montre qu’elle a conscience des risques pesant sur ses données sensibles, qu’elle les prend en compte et qu’elle s’en protège.

Cependant, on ne parle pas ici seulement de protections physiques ou informatiques. L’ISO 27001 a bien pour objectif de protéger l’entreprise de toute perte, vol ou altération de données, mais pas uniquement en défendant les systèmes informatiques contre intrusions ou sinistres. Elle donne des bonnes pratiques conceptuelles qui viennent compléter ces mesures techniques, pour une sécurité à 360°.

Ce périmètre global, à la fois technique et organisationnel, est appelé le SMSI : Système de Management de la Sécurité de l’Information. Il regroupe les systèmes d’informations, les processus et les personnes qui sont concernées par les mesures de protection. La norme ISO 27001, en réalité, fournit donc un cadre permettant de mettre en place, d’exploiter et de faire évoluer ce SMSI dans le contexte d’une organisation.

Comment ça marche ?

Une fois le SMSI défini selon les besoins de l’entreprise, une étude des risques pesant sur les données sensibles comprises dans ce périmètre est réalisée. Pour cela, on étudie, au niveau à la fois macro et micro, le contexte et l’environnement dans lequel évolue l’entreprise, afin de prendre tous les paramètres en compte.

Une fois les risques identifiés, on détermine pour chacun le ratio entre la probabilité qu’il se réalise, et l’impact d’un tel événement. Les mesures de protection pouvant être appliquées sont toutes référencées dans la norme ISO 27002. Elles ne sont pas toutes obligatoires, le verbatim s’articulant autour des termes « doit », « peut » et « il est conseillé de ».

A la Direction de l’entreprise de déterminer celles qui conviennent à son SMSI, selon le traitement réservé à chacun des risques identifiés :

  • Réduction du risque, en réduisant son impact potentiel
  • Prévention du risque, en réduisant la probabilité qu’il se produise
  • Partage du risque avec un prestataire
  • Acceptation du risque, par exemple si la mesure à mettre en place coûte trop cher par rapport au risque

Les mesures choisies sont alors référencées dans la Déclaration d’Applicabilité, document obligatoire matérialisant l’engagement de la Direction et de son entreprise. C’est la phase finale de la définition du Plan de Traitement du Risque.

Processus et amélioration continue

Le Plan de Traitement du Risque est alors décliné en plan d’actions. Ces actions peuvent être très diverses, allant de la mise en place d’un pare-feu à la formation des équipes en passant par la définition de processus de communication et de transmission des informations… Comme on l’a dit, l’ISO 27001 est plus orientée sur l’organisation que sur la technique pure.

Ce plan d’action peut bien entendu être décliné sur le long terme, et inclut notamment un contrôle de l’opérationnel afin de s’assurer du bon fonctionnement du plan d’action et du SMSI sous cette nouvelle organisation. Des indicateurs clé permettent d’identifier, au cours du temps, les points d’amélioration. Mais cela ne suffit pas, il faut également mettre en place ces derniers en réadaptant le plan d’actions ! Cela est permis par plusieurs niveaux de suivi de projet, imposés par la norme ISO 27001, tout au long du cycle de vie du SMSI.

Les clients d’Oceanet Technology faisant héberger leur système sur l’infrastructure dédiée certifiée ISO 27001, par exemple, bénéficient d’un rendez-vous bimensuel ou mensuel avec leur référent d’exploitation. Les modifications de plus grande ampleur, comme celles impliquant par exemple une nouvelle analyse des risques, peuvent, elles, être traitées au cours du Comité de Suivi tous les trois mois, voire même du Comité Sécurité annuel.

Pourquoi choisir ISO 27001 : un système sécurisé dans le temps

Ainsi, grâce à la certification ISO 27001, une entreprise obtient un système fonctionnel, cadré, sécurisé et évolutif. Au-delà de fournir un cadre d’exploitation, le respect de cette norme permet de réduire ses coûts de sécurité, puisqu’elle permet la mise en place d’actions parfaitement adaptées aux besoins. Mais elle constitue également un élément marketing important : elle rassure les clients, les partenaires… et même les employés d’une entreprise, si son système interne fait partie du périmètre !

Cet élément de réassurance peut constituer un avantage concurrentiel sur les concurrents, et finira probablement par devenir un élément indispensable pour ne pas prendre de retard dans l’écosystème informatique. En effet, le nombre de certifications ISO 27001 est en augmentation dans le monde (+7% entre 2013 et 2014), et en plein boom en France (+20% entre 2014 et 2015, avec près de 28 000 certifications actives au 31 décembre 2015).

Vous souhaitez prendre de l’avance sur le marché et vous renseigner sur l’ISO 27001 ? Contactez nos experts qui se feront un plaisir de répondre à vos questions !

Oceanet Technology
Oceanet Technology
De l’hébergement en datacenter, à la virtualisation, l’interconnexion de votre réseau et surtout sa sécurité, Oceanet Technology vous accompagne dans vos projets d’hébergement, d’infogérance et de sécurisation de vos données, vos systèmes d’informations, vos sites web et applicatifs métiers.