Norme ISO 27001

Qu’est-ce que la Norme ISO 27001 ?

La norme ISO/IEC 27001, publiée en 2005 et révisée en 2013 et 2022, est une norme internationale de référence en matière de sécurité des systèmes d’information (SSI).

Son importance s’est accrue face à la multiplication des cybermenaces et à la nécessité pour les organisations de protéger leurs informations sensibles, qu’elles soient stockées sur des ordinateurs, des serveurs, des appareils mobiles ou dans le cloud.

Objectifs de la norme ISO 27001

Protéger la confidentialité, l’intégrité et la disponibilité de l’information

L’objectif principal de la norme ISO 27001 est de protéger les informations sensibles de l’organisation contre les accès non autorisés, la destruction accidentelle ou intentionnelle, la modification non autorisée et la divulgation non autorisée.

Cela inclut les informations confidentielles, telles que les données clients, les secrets commerciaux, les informations financières et les données personnelles.

Exemples

• Mise en place de contrôles d’accès stricts : L’organisation peut mettre en place des contrôles d’accès physiques et logiques pour limiter l’accès aux informations sensibles aux personnes qui en ont besoin.
• Protection contre les malwares et les ransomwares Mise en place de solutions de sécurité pour protéger ses systèmes contre les malwares et les ransomwares qui peuvent chiffrer les données ou les rendre inaccessibles.
• Mise en place de procédures de sauvegarde et de restauration : L’organisation peut élaborer des procédures de sauvegarde et de restauration pour garantir la disponibilité des informations en cas de sinistre.

Démontrer la conformité aux exigences légales et réglementaires

La norme ISO 27001 peut aider les organisations à respecter les lois et réglementations en matière de protection des données, telles que le RGPD, la loi HIPAA et la loi Sarbanes-Oxley.

Exemples

• Mise en place d’une politique de confidentialité et de cookies conforme au RGPD : Création d’une politique de confidentialité et de cookies qui informe les utilisateurs de la manière dont leurs données personnelles sont collectées, utilisées et traitées.
• Élaboration de mesures de sécurité pour protéger les données personnelles : L’organisation peut mettre en place des mesures de sécurité techniques et organisationnelles pour protéger les données personnelles contre les accès non autorisés, la perte, la destruction et le traitement illicite.

Améliorer la confiance des clients et des partenaires

La certification ISO 27001 peut rassurer les clients et les partenaires que l’organisation prend la sécurité de l’information au sérieux. Cela peut donner à l’organisation un avantage concurrentiel et lui permettre de gagner de nouveaux clients et partenaires.

Exemples

• Affichage du logo de la certification ISO 27001 sur le site web de l’organisation : L’affichage du logo de la certification ISO 27001 sur son site web et dans ses documents marketing permet de démontrer son engagement envers la sécurité de l’information.
• Mention de la certification ISO 27001 dans les réponses aux appels d’offres : Mentionner la certification ISO 27001 dans ses réponses aux appels d’offres démontre sa capacité à protéger les informations sensibles des clients.

Réduire les risques de cyberattaques et de fraudes

La mise en place d’un système de management de la sécurité de l’information (SMSI) basé sur la norme ISO 27001 peut aider à prévenir les incidents de sécurité et à minimiser les impacts en cas d’incident.

Exemples

• Créer une politique de sécurité des mots de passe : L’organisation peut mettre en place une politique de sécurité des mots de passe pour garantir que les mots de passe sont forts et difficiles à deviner. Ladite politique en question permet de définir différents niveaux de mot de passe à employer selon le niveau de criticité des données et les habilitations du personnel. Par exemple, un administrateur qui a accès aux ressources sensibles du SI doit nécessairement avoir un mot de passe plus renforcé qu’un employé qui ne réalise que de la bureautique.
• Former et sensibiliser les employés à la sécurité : Il est nécessaire de créer une formation de sensibilisation à la sécurité pour les employés afin de leur apprendre à identifier et à éviter les cyberattaques et les fraudes.

Les Principes Fondamentaux de la norme ISO 27001

L’ISO 27001 ne se contente pas de dicter des mesures de sécurité spécifiques. Elle propose plutôt un cadre flexible et adaptable permettant aux organisations de construire un système de management de la sécurité de l’information (SMSI) robuste et personnalisé.

Ce cadre repose sur 4 piliers :

Approche Holistique

Le SMSI prend en compte l’ensemble des aspects de la sécurité de l’information, depuis la gestion des risques et des contrôles jusqu’à la sensibilisation du personnel et la gestion des incidents. Il s’agit d’une approche globale qui intègre la sécurité dans tous les processus et activités de l’organisation.

Amélioration continue

Le SMSI n’est pas un projet statique. Il s’agit d’un processus dynamique qui doit être constamment revu et amélioré pour s’adapter aux nouvelles menaces et aux changements organisationnels. Cela implique une surveillance continue, des tests et des mises à jour régulières.

Démarche basée sur les risques

L’organisation identifie ses actifs informationnels critiques (données clients, propriété intellectuelle, etc.), évalue les risques qui les menacent (piratage, logiciels malveillants, erreurs humaines, etc.) et met en place des contrôles proportionnés pour les atténuer.

Les risques à prendre en compte ne sont pas seulement informationnels mais aussi matériels, logiciels, humains, environnementaux, etc., cela concerne tout le SI.

Cette approche permet de concentrer les efforts sur les points les plus sensibles et d’optimiser l’allocation des ressources.

Pilotage par la direction

La direction s’engage et assume la responsabilité du SMSI, en allouant les ressources nécessaires et en encourageant la participation de tous les membres du personnel.

L’implication de la direction est essentielle pour garantir le succès de la démarche et la pérennité du SMSI.

Structure de la norme ISO 27001 : 2022

La norme ISO 27001 version 2022 est divisée en deux parties principales :

Partie 1 : Exigences

• Domaine d’application : Définir le domaine d’application de la norme et les organisations qui peuvent l’utiliser.
• Référentiels normatifs : Liste les autres normes et documents normatifs qui sont utilisés dans la norme ISO 27001.
• Termes et définitions :  Définit les termes clés utilisés dans la norme ISO 27001.
• Contexte de l’organisme : Comprend des exigences pour que l’organisation comprenne son contexte et les besoins et attentes de ses parties prenantes.
• Leadership : Regroupe des exigences pour que la direction s’engage à la mise en place et au maintien d’un SMSI.
• Planification : Contient des exigences pour que l’organisation planifie son SMSI, y compris la définition des objectifs et des risques.
• Support : Comprend des exigences pour que l’organisation mette en place les ressources nécessaires au fonctionnement de son SMSI.
• Réalisations : Comprend des exigences pour que l’organisation mette en place et gère les contrôles de sécurité de l’information.
• Mesures, analyses et amélioration : Contient des exigences pour que l’organisation surveille et mesure son SMSI, et prenne des mesures pour l’améliorer.

Partie 2 : Mesures de sécurité

• Introduction : Cette section représenté par l’annexe A normative de l’ISO 27001 présente les mesures de sécurité de l’information.
• Mesures : La norme ISO 27001 propose une liste de 93 mesures de sécurité regroupés en 4 catégories. Chaque mesure est décrite en détail, avec des informations sur son objectif, ses exigences et ses conseils de mise en œuvre.

Voici les 4 catégories de mesures :

1.   Mesures de sécurité organisationnelles

Les mesures de sécurité organisationnelles consistent à établir des politiques et des procédures de sécurité de l’information ainsi que l’attribution de responsabilité et autorité par la direction, pour assurer leur mise en œuvre et leur conformité.

2.   Mesures de sécurité applicables aux personnes

Les mesures de sécurité applicables aux personnes consistent à sensibiliser et former le personnel aux pratiques de sécurité de l’information, ainsi qu’à définir des règles d’accès et des responsabilités claires pour garantir une utilisation sécurisée des systèmes et des données.

3.   Mesures de sécurité physique

Les mesures de sécurité physique de la norme ISO 27001 comprennent la protection des locaux, des équipements et des ressources contre les menaces physiques, telles que l’accès non autorisé, le vol ou les dommages intentionnels.

4.   Mesures de sécurité technologiques

Les mesures de sécurité technologiques consistent à mettre en place des contrôles et des solutions techniques, telles que les pares-feux, les logiciels de détection d’intrusion et la cryptographie, pour protéger les systèmes informatiques et les données contre les menaces et les vulnérabilités.

Il est important de noter que la norme ISO 27001 ne prescrit pas de manière obligatoire l’implémentation de toutes les mesures de sécurité. L’organisation doit sélectionner les mesures qui sont pertinentes pour son contexte et ses besoins, mais doit toutefois apporter la justification de l’exclusion des mesures de sécurité de l’annexe A.

Mise en œuvre concrète de l’ISO 27001

1. Phase de préparation

• Engagement de la direction : La direction doit s’engager à mettre en œuvre et à maintenir la norme ISO 27001.
• Définition des rôles et responsabilités : Bien que la norme ISO 27001 n’exige pas explicitement la présence d’un RSSI, elle met l’accent sur la nécessité d’avoir une direction engagée envers la sécurité de l’information et d’assigner des responsabilités claires pour la gestion de la sécurité. Dans de nombreuses organisations, la désignation d’un RSSI est une pratique recommandée pour remplir ces exigences.
• Évaluation des risques : Une évaluation des risques doit être réalisée pour identifier les menaces et les vulnérabilités de l’organisation.
• Définition des objectifs : Les objectifs de la mise en œuvre de la norme ISO 27001 doivent être définis.
• Planification du projet : Un plan de projet doit être élaboré, avec des échéances et des budgets précis.

2. Phase de mise en œuvre

• Formation : Les employés doivent être sensibilisés et formés à la sécurité de l’information ainsi qu’aux exigences de la norme ISO 27001.
• Mise en place des mesures : Les mesures de sécurité sélectionnées doivent être mis en place.
• Documentation : Le système de management de la sécurité de l’information (SMSI) doit s’appuyer sur des documents formalisés par l’organisation, tel que des politiques de sécurité, processus et procédures.
• Audit interne : Un audit interne doit être réalisé pour vérifier la conformité au SMSI.

3. Phase de certification

• Choix d’un organisme de certification : Un organisme de certification accrédité doit être choisi.
• Audit de certification : Un audit de certification sera réalisé par l’organisme de certification.
• Décision de certification : L’organisme de certification décidera si l’organisation est conforme à la norme ISO 27001.

4. Phase de maintien

• Revue de direction : La direction doit revoir régulièrement le SMSI.
• Amélioration continue : Le SMSI doit être continuellement amélioré.
• Audits internes : Des audits internes doivent être réalisés régulièrement.
• Surveillance des mesures : Les mesures de sécurité doivent être surveillés et mis à jour si nécessaire.

---

Interview sur l’intérêt de s’appuyer sur la norme ISO 27001 pour la sécurité de l’organisation

Découvrez notre interview exclusive d’Éric Abauzit, le consultant en GRC (Gouvernance Risque analytique et Conformité) chez Ziwit.

Interviewer: « Bonjour à tous, aujourd’hui nous avons le plaisir d’accueillir Éric Abauzit, consultant en GRC chez Ziwit. Nous allons discuter de l’importance de la norme ISO 27001 et des bonnes pratiques de sécurité au sein des organisations. »

Interviewer: « Tout d’abord, pourriez-vous nous donner un bref aperçu de ce qu’implique la norme ISO 27001 ? »

Éric Abauzit: « Bien sûr. La norme ISO 27001 est une norme internationale qui définit les exigences pour un SMSI efficace. Elle fournit un cadre pour identifier, gérer et réduire les risques liés à la sécurité de l’information au sein d’une organisation. En adoptant la norme ISO 27001, les entreprises peuvent mettre en place des processus et des contrôles pour protéger leurs informations sensibles, assurer la confidentialité, l’intégrité et la disponibilité des données. »

Interviewer: « Quels sont, selon vous, les principaux avantages pour une organisation qui adopte la norme ISO 27001 et intègre ses bonnes pratiques de sécurité ? »

Éric Abauzit: « Les avantages sont nombreux. Tout d’abord, la norme ISO 27001 aide les organisations à identifier et à évaluer les risques liés à la sécurité de l’information, ce qui leur permet de prendre des mesures proactives pour les atténuer. Ensuite, elle favorise une culture de la sécurité au sein de l’entreprise, sensibilisant les employés à l’importance de protéger les données. De plus, en mettant en œuvre les contrôles et les processus recommandés par la norme, les organisations renforcent leur résilience face aux cybermenaces et aux incidents de sécurité. »

Interviewer : « Passons à la certification ISO 27001. En quoi consiste-t-elle et quel est son intérêt pour une organisation ? »

Éric Abauzit: « La certification ISO 27001 est une reconnaissance officielle délivrée par un organisme d’accréditation tiers, confirmant que l’organisation a mis en œuvre un système de gestion de la sécurité de l’information conforme aux exigences de la norme ISO 27001. Cette certification atteste de l’engagement de l’organisation envers la sécurité de l’information et renforce sa crédibilité auprès des clients, des partenaires et des parties prenantes. Elle peut également ouvrir de nouvelles opportunités commerciales en démontrant la conformité aux normes internationales de sécurité de l’information. »

Interviewer: « Merci beaucoup Monsieur Abauzit pour ces précieuses informations sur la norme ISO 27001 et ses avantages pour la sécurité des organisations. »