L’ISO 27001, quésako ?
L’ISO, c’est une organisation internationale travaillant sur la normalisation. Elle porte bien son nom : « ISO » est un terme emprunté au grec qui signifie « égal ». Cette organisation vise donc à mettre en place des normes pour s’assurer que toutes les structures soient sur un même pied en termes de démarche, de méthode ou d’organisation.
Depuis la rédaction de sa première norme en 1951, l’ISO a fait bien du chemin jusqu’à devenir un standard international. L’ISO 27001 quant à elle est une norme visant à mieux encadrer la sécurité de l’information. Elle voit ses prémisses au Royaume Uni dans les années 90 et ne sera publiée sous sa forme actuelle qu’en 2005 puis révisée en 2013 et 2022.
Une démarche vertueuse pour consolider les fondamentaux de la sécurité
Oui mais concrètement, de quoi parle-t-on ? Sébastien Mesnier, RSSI chez Altiore MT, nous explique que l’ISO 27001 consiste en un certain nombre d’exigences (93 tout de même !) portant sur les facteurs suivants : la technique, le physique, l’organisation et les personnes.
Selon l’AFNOR (organisme français en charge de la normalisation), ces différentes mesures « définissent une méthodologie pour identifier les cyber-menaces, maîtriser les risques associés aux informations cruciales de votre organisation, mettre en place les mesures de protection appropriées afin d’assurer la Confidentialité, la Disponibilité et l’Intégrité de l’information ».
L’ISO 27001 n’impose donc ni technologie, ni méthodologie spécifique. L’essentiel est que l’organisation déploie ses propres outils pour répondre aux exigences (et puisse le démontrer !).
Le but intrinsèque est de cadrer la gouvernance de son organisation, de s’assurer de la mise en place de bonnes pratiques, de processus et de documentation pour protéger au mieux ses informations et en assurer le DICT (niveau adéquat de Disponibilité, Intégrité, Confidentialité, Traçabilité).
Cet acronyme, c’est le socle de la sécurité selon Sébastien Mesnier, son principe fondamental.
- La Disponibilité : c’est détailler à quel point une information doit être disponible. Votre SI gère des transactions financières, peut-il être indisponible pendant plusieurs heures ?
- L’Intégrité : c’est s’assurer que les données ne sont pas compromises. Pour les fichiers comportant des données sensibles (RIB des collaborateurs pour les paies), ont doit s’assurer que l’information ne peut être modifiée de façon intempestive
- La Confidentialité : c’est s’assurer que seules les personnes autorisées ont accès aux informations afin de protéger les données. Si les mots de passe des collaborateurs sont dans un fichier partagé de tous, le risque de fuite à l’extérieur est fortement accru.
- La Traçabilité : c’est s’assurer que le niveau de traçabilité est conforme avec les exigences. Est-ce que les documents doivent être signés électroniquement ? Ai-je besoin d’une preuve tangible qu’un document a été consulté et approuvé ?
La conformité, ou l’art de rassurer
L’ISO 27001 ou plus exactement ISO/IEC 27001 : 2022 (on ne plaisante pas avec la précision face à un RSSI), c’est donc une norme reconnue internationalement qui démontre la démarche qualité entreprise par une structure afin de fiabiliser son Système de Management de la Sécurité de l’Information (connu sous le doux nom de SMSI).
Une structure certifiée, c’est gage d’un respect du RGPD, de la mise en place de procédures vous assurant du fameux DICT des données confiées, c’est en quelques mots un signe de robustesse d’une structure consciente des cybermenaces qui déploie tous les moyens afin d’y répondre au mieux. Des entreprises aux agences étatiques en passant par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), nombre d’acteurs sont alignés sur l’ISO 27001, de quoi conforter sa légitimité !
L’ISO 27001 pour les multinationales oui, mais quid des TPE/PME ?
D’aucuns rétorqueront que les TPE/PME n’ont pas les moyens nécessaires pour mettre en œuvre une telle norme. S’il est en effet nécessaire d’avoir un système d’information solide et un système qualité éprouvé pour répondre à l’ensemble des exigences, il ne faut pas perdre de vue l’essence même de ces mesures.
L’ISO 27001 répertorie avant tout des bonnes pratiques qui doivent être considérées comme des “guidelines” pour fiabiliser une organisation (peu importe sa taille) et renforcer ses mesures de sécurité… sans pour autant simplement viser la certification. C’est une démarche vertueuse qui devrait être considérée dès lors que l’on construit son système d’information.
Des procédures… mais pas que !
Si la mise en place de procédures et de documentation est essentielle, elle peut être complexe et chronophage. Sébastien Mesnier attire l’attention sur le fait que nombre d’exigences concernent également le facteur organisationnel et humain. Ces mesures peuvent être plus simples à mettre en œuvre pour les organisations qui débuteraient. L’exigence 6.3 à titre d’exemple, promeut la « sensibilisation, l’éducation et la formation à la sécurité de l’information ».
Des formations doivent être mises en place dans les structures pour répondre à cette exigence, comme la « Sensibilisation Be Cyber Safe » de l’Académie 365. Consciente des enjeux de cybersécurité et de l’importance de former ses collaborateurs, elle propose un premier pas dans la conscientisation des collaborateurs sur les cybermenaces actuelles et permet de se mettre en ordre de marche pour débuter une démarche qualité qui débouchera peut-être un jour (qui sait) … sur une certification ISO 27001 !