Image
ISO 27001, l’incontournable de la cybersécurité

ISO 27001, l’incontournable de la cybersécurité

7 avr. 2023 - 2 min

Publiée fin 2022, la nouvelle version de la norme ISO 27001 s’enrichit de dispositions qui répondent encore mieux aux enjeux actuels de la sécurité de l’information. Gilbert Phung, responsable des audits sur ce référentiel chez Bureau Veritas, détaille les raisons qui font d’ISO 27001 un outil indispensable pour piloter sa politique de cybersécurité.

Que contient la nouvelle version d’ISO 27001 ?

Gilbert Phung : 2022 vient compléter les dispositions existantes, en s’attachant à l’évolution du secteur informatique et notamment aux problématiques émergentes comme la cybersécurité et la protection des données à caractère personnel.

Un exemple concret : l’usage des services clouds se généralise. Toutefois de nombreux hébergeurs sont situés aux Etats-Unis et donc soumis au Cloud Act et au Patriot Act. Une demande du FBI peut les obliger à donner aux agences fédérales un accès à toutes les données stockées…

Plutôt gênant s’il s’agit de documents sensibles, comme des projets de développement technologiques innovants ! L’ISO 27001 exige la mise en place de processus d'acquisition, d'utilisation, de gestion et de sortie des services cloud conformément aux exigences de sécurité de l'information de l'organisation...

La fuite de données constitue une autre nouveauté de la nouvelle version. Les hackers perfectionnent leurs techniques et savent passer inaperçus : plutôt qu’une fuite massive de données, certains privilégient des piratages beaucoup plus discrets, dont les victimes se rendent compte plusieurs mois plus tard… Une exigence est apparue pour l’implémentation des mesures de sécurité afin de protéger les données sensibles. Il est aussi possible de citer l’effacement des données : les entreprises ont tendance à conserver plus de documents qu’elles ne le devraient, et la dématérialisation encourage cette tendance.
La norme exige l’effacement des données stockées dans les systèmes d’information lorsque leur conservation n’est plus nécessaire. Et il y a d’autres nouveautés en matière de cybersécurité et de protection des données à caractère personnel…

À lire aussi :

Concrètement, qu’apporte ISO 27001 aux entreprises ?

Gilbert Phung : La plupart connaissent les différentes techniques de cybersécurité existantes. Toute la question consiste à bien les orchestrer pour les rendre efficaces, notamment à l’aide d’une analyse de risques structurée qui met en relief les actifs critiques et essentiels à protéger.

C’est précisément l’objet de l’ISO 27001 qui accompagne les sociétés dans le déploiement de leur stratégie, d’un point de vue technique, mais aussi organisationnel. En matière de cybersécurité, l’humain tient une place centrale. J’ai même tendance à dire que l’humain constitue le maillon faible ! Souvent, il ne s’agit pas de malveillance, mais juste d’un manque de vigilance. Il faut donc sensibiliser fortement ses équipes aux risques : le phishing par exemple est un vecteur d’attaque fréquemment utilisé. Par mégarde, des salariés peuvent ouvrir un mail frauduleux ou cliquer sur un lien … Pour cela, il faut sans cesse former et sensibiliser de façon judicieuse et impactante pour créer une culture de la cybersécurité.

C’est précisément l’objet de l’ISO 27001 qui accompagne les sociétés dans le déploiement de leur stratégie, d’un point de vue technique, mais aussi organisationnel

Gilbert Phungresponsable des audits Bureau Veritas

Et sur les aspects plus techniques ?

Gilbert Phung : lls sont nombreux. Certaines mesures de sécurité sont plutôt simples (mais peuvent représenter un certain coût) : protection contre les virus (y.c XDR), avoir un mot de passe robuste en suivant les recommandations de l’ANSSI, ou encore brider les ports USB... D’autres plus délicats (car liées à la culture de l’entreprise) : interdire l’accès à la salle des serveurs, brider l’installation des logiciels sur les postes de travail des développeurs, ou encore partir systématiquement avec son ordinateur portable tous les soirs pour pallier l’un des scénarios de crise (indisponibilité du site)…

Il peut aussi s’agir de la surveillance des journaux et la mise en place d’un Security Operation Center (SOC) qui va monitorer en permanence tous les événements suspects sur les flux informatiques : un collaborateur qui se connecte simultanément à deux endroits différents ou un volume inhabituel de données sortantes sur un poste. Mais encore une fois : tout cela doit s’inscrire dans un système de management global.

La menace est-elle plus forte aujourd’hui ?

Gilbert Phung : De multiples exemples de piratages – par exemple, la fuite de données patients d’hôpitaux – montrent que le phénomène s’accélère. Et que personne n’est à l’abri ! La numérisation croissante associée aux enjeux lucratifs de ces piratages – un dossier patient contenant les données de santé se négocierait 350 € sur le Darknet – laisse à penser que ce n’est pas près de s’arrêter… Dans ce contexte, la norme ISO 27001 inscrit les entreprises dans une démarche d’amélioration continue de leurs pratiques. C’est indispensable face aux menaces !

Il y a quelques années, un mot de passe de 8 caractères suffisait. Désormais, il faut passer aux mots de passe renforcés pour se protéger face aux hackers. Les méthodes de piratage évoluent sans cesse, ce qui nécessite une adaptation simultanée des entreprises…

Pourquoi se certifier si la loi ne l’exige pas ?

Gilbert Phung : Dans le domaine informatique et technologique si mouvant, le législateur affiche généralement un retard de quelques années sur les pratiques : être certifié permet de rester en pointe. Mais c’est aussi s’ouvrir sur des marchés potentiels. Les donneurs d’ordre sont de plus en plus nombreux à exiger de leurs prestataires la preuve de la sécurité et de la résilience de leur système d’information. Et en la matière, la norme ISO 27001 fait référence. La certification est même obligatoire dans certains appels d’offre !

Un organisme indépendant comme Bureau Veritas vient inspecter l’ensemble des pratiques de l’entreprise pour s’assurer de leur conformité. Les auditeurs viennent questionner les méthodes appliquées : sont-elles suffisantes, assez robustes, les équipes assez sensibilisées ?

Comment réussir sa démarche de certification ?

Gilbert Phung : Tout commence par un état des lieux complet de son environnement. Quels sont les actifs à préserver absolument, les risques, les failles, les vulnérabilités, les menaces … Cette analyse constitue le point de départ de la réflexion, qui permettra de déterminer les mesures organisationnelles et techniques à déployer. La très grande majorité des entreprises non certifiées ne disposent pas de démarche de l’analyse de risques formelle (sauf pour les banques et les assurances qui ont par ailleurs des obligations réglementaires et légales).

Mais rien n’est possible sans le soutien et la conviction de la direction de l’entreprise. Elle doit prendre la mesure des enjeux pour s’engager pleinement, promouvoir la démarche et embarquer l’ensemble des équipes dans ce projet d’entreprise, avant tout humain et collectif.

Besoin d'une information ?

Cliquez-ici