ISO/CEI 27001 est un ensemble de normes internationales conçues pour encadrer la sécurité de l’information. Ces normes, notamment ISO/CEI 27001:2013, aident les organisations à mettre en œuvre, maintenir et améliorer continuellement un système de management de la sécurité de l’information (SMSI).
La conformité à ISO 27001 n’est pas une obligation. Mais dans un monde où les pirates informatiques ciblent sans relâche vos données et où les exigences de confidentialité des données sont assorties de sanctions sévères, le respect des normes ISO vous aidera à réduire les risques, à vous conformer aux exigences légales, à réduire vos coûts et à obtenir un avantage concurrentiel. En bref, la certification ISO 27001 aidera votre entreprise à conserver ses clients et à en attirer de nouveaux.
Cet article présente en détail les principales exigences d’ISO 27001, les contrôles de sécurité connexes et les étapes du processus de certification. Il prodigue également des conseils sur la manière de se conformer à ISO 27001 et explique en quoi les solutions Netwrix peuvent être utiles.
Qu’est-ce qu’ISO 27001 ?
ISO/CEI 27001 est un ensemble de normes applicables aux technologies de l’information, conçu pour aider les organisations de toute taille et de tout secteur d’activité à mettre en œuvre un système efficace de management de la sécurité de l’information. Il se fonde sur une approche descendante, basée sur le risque, et est neutre sur le plan technologique.
La gestion des risques est au cœur d’ISO 27001 : vous devez identifier les informations sensibles ou précieuses qui doivent être protégées, déterminer les différentes façons dont elles pourraient être menacées et mettre en place des contrôles pour atténuer chaque risque. Les risques incluent toute menace pour la confidentialité, l’intégrité ou la disponibilité des données. La norme fournit un cadre permettant de choisir des contrôles et des processus appropriés.
ISO 27001 vous oblige notamment à :
- Identifier les parties prenantes et leurs attentes vis-à-vis du SMSI
- Définir le domaine d’application de votre SMSI
- Définir une politique de sécurité
- Procéder à une évaluation des risques afin d’identifier les risques existants et potentiels pesant sur les données
- Définir des contrôles et des processus pour gérer ces risques
- Définir des objectifs clairs pour chaque initiative relative à la sécurité de l’information
- Mettre en place des contrôles et d’autres méthodes de réduction des risques
- Mesurer et améliorer continuellement les performances du SMSI
Exigences et contrôles de sécurité
Exigences relatives à ISO 27001
ISO 27001 comporte deux parties principales. La première partie présente les définitions et les exigences, dans les clauses numérotées suivantes :
- Introduction – Description du processus de gestion systématique des risques associés à l’information
- Domaine d’application – Spécification des exigences génériques du SMSI pour les organisations de tout type, de toute taille ou de toute nature
- Références normatives – Liste d’autres normes qui contiennent des informations pertinentes pour déterminer la conformité à ISO 27001 (une seule norme, ISO/CEI 27000, est répertoriée)
- Termes et définitions – Explication des termes complexes utilisés dans la norme
- Contexte organisationnel – Pourquoi et comment définir les aspects internes et externes susceptibles d’affecter la capacité d’une organisation à mettre en place un SMSI. Obligation pour l’organisation d’établir, de mettre en œuvre, de maintenir et d’améliorer continuellement le SMSI
- Leadership – Obligation pour les cadres supérieurs de faire preuve de leadership et d’implication envers le SMSI, de définir la politique et d’attribuer les rôles et responsabilités en matière de sécurité de l’information
- Planification – Description des processus d’identification, d’analyse et de planification permettant de traiter les risques associés à l’information et de clarifier l’objectif des initiatives de sécurité relatives à l’information
- Support – Obligation pour les organisations d’affecter des ressources adéquates, de sensibiliser et de préparer toute la documentation nécessaire
- Exploitation – Précisions sur la manière d’évaluer et de traiter les risques liés à l’information, de gérer les changements et de documenter les choses de manière adéquate
- Évaluation des performances – Obligation pour les organisations de surveiller, mesurer et analyser leurs contrôles et processus de management de la sécurité de l’information
- Amélioration – Obligation pour les organisations d’affiner continuellement leur SMSI, en tenant compte notamment des résultats des audits et des évaluations
Objectifs de référence en matière de contrôle, et contrôles
La deuxième partie, l’annexe A, présente en détail un ensemble de contrôles qui peuvent vous aider à vous conformer aux exigences de la première section. Sélectionnez les contrôles qui correspondent le mieux aux besoins spécifiques de votre organisation, et n’hésitez pas à les compléter par d’autres contrôles selon vos besoins.
Les contrôles sont répartis dans les catégories suivantes :
- Politiques de sécurité de l’information – Pour rédiger et réviser les politiques conformément aux pratiques de sécurité et à l’orientation générale de l’organisation
- Organisation de la sécurité de l’information – Pour attribuer les responsabilités relatives aux tâches spécifiques
- Sécurité des ressources humaines – Pour s’assurer que les employés et les sous-traitants comprennent bien leurs responsabilités.
- Gestion des ressources – Pour identifier les ressources informationnelles et définir les responsabilités en matière de protection
- Contrôles d’accès – Pour que les employés ne puissent consulter que les informations se rapportant à leur travail
- Chiffrement – Pour chiffrer les données afin d’en assurer la confidentialité et l’intégrité.
- Sécurité physique et environnementale – Pour empêcher tout accès physique non autorisé, tout dommage ou toute interférence avec les locaux ou les données, et pour contrôler les équipements afin de prévenir toute perte, tout dommage ou tout vol de logiciels, de matériel et de dossiers physiques
- Sécurité des opérations – Pour assurer la sécurité des installations de traitement de l’information
- Sécurité des communications – Pour protéger les réseaux d’information
- Acquisition, développement et maintenance de systèmes – Pour sécuriser les systèmes internes et ceux qui fournissent des services via les réseaux publics
- Relations avec les fournisseurs – Pour gérer correctement les accords contractuels avec les tiers
- Gestion des incidents de sécurité de l’information – Pour gérer et signaler efficacement les incidents de sécurité
- Aspects de la sécurité de l’information dans le cadre de la gestion de la continuité des activités – Pour minimiser les interruptions d’activité
- Conformité – Pour garantir le respect des lois et règlements en vigueur et atténuer les risques de non-conformité
Conformité à ISO 27001 et certification
Avantages
En satisfaisant volontairement aux exigences d’ISO 27001, votre organisation peut réduire de manière proactive les risques liés à la sécurité de l’information et améliorer sa capacité à se conformer aux obligations de protection des données. En allant plus loin et en décrochant la certification ISO 27001, vous prouverez à vos clients, partenaires, fournisseurs et autres parties prenantes votre engagement à protéger vos ressources informationnelles. L’instauration de cette confiance peut renforcer la réputation de votre entreprise et vous procurer un avantage concurrentiel.
Documents obligatoires
Plusieurs documents sont nécessaires pour prouver votre conformité à ISO 27001, et notamment :
- Domaine d’application du SMSI (clause 4.3)
- Politique de sécurité de l’information (clause 5.2)
- Objectifs de sécurité de l’information (clause 6.2)
- Attestation de compétence des personnes affectées à la sécurité de l’information (clause 7.2)
- Résultats de l’évaluation des risques liés à l’information (clause 8.2)
- Programme d’audit interne du SMSI et résultats des audits réalisés (clause 9.2)
- Preuve des examens du SMSI par la direction (clause 9.3)
- Preuve des non-conformités identifiées et des actions correctives engagées (clause 10.1)
Définir le domaine d’application du SMSI
Lors de la mise en œuvre d’ISO 27001, l’une des principales exigences consiste à définir le domaine d’application du SMSI. À cette fin, suivez les étapes ci-dessous :
- Faites l’inventaire de toutes les informations que vous stockez sous toutes les formes, physiques ou numériques, localement ou dans le Cloud.
- Identifiez les différentes façons dont les gens peuvent accéder à l’information.
- Déterminez quelles données relèvent du domaine d’application de votre SMSI et lesquelles n’en relèvent pas. Par exemple, les informations sur lesquelles votre organisation n’a aucun contrôle sont hors du domaine d’application de votre SMSI.
Processus de certification
Le processus de certification ISO 27001 comprend les étapes suivantes :
- Développez un SMSI comprenant des politiques, des procédures, des personnes et des technologies.
- Effectuez un examen interne pour identifier les non-conformités et les actions correctives.
- Invitez les auditeurs à effectuer un examen sommaire du SMSI.
- Corrigez les problèmes constatés par les auditeurs.
- Faites réaliser par un organisme de certification agréé un audit approfondi des composantes d’ISO 27001 pour vérifier si vous avez respecté les politiques et les procédures.
La certification peut prendre de trois à douze mois. Pour réduire le coût du processus de certification, de nombreuses organisations effectuent une analyse préliminaire des lacunes par rapport à la norme, afin d’avoir une idée des efforts requis pour mettre en œuvre les changements nécessaires.
Coût de la certification
Le coût de la certification dépend de nombreuses variables, si bien que chaque organisation devra y consacrer un budget différent. Les principaux coûts portent sur la formation et la documentation, l’assistance externe, les technologies à actualiser ou à déployer, le temps et le travail des employés et l’audit de certification lui-même.
Durée de la certification
Une fois que vous avez obtenu la certification, vous devrez effectuer régulièrement des audits internes. L’organisme de certification procédera à un nouvel audit au moins une fois par an et vérifiera les éléments suivants :
- Résolution de toutes les non-conformités constatées lors de la visite précédente
- Fonctionnement du SMSI
- Mises à jour de la documentation
- Examens de la gestion des risques
- Actions correctives
- Suivi et mesure des performances du SMSI
Conseils pour obtenir et conserver la conformité à ISO 27001
- Le soutien des parties prenantes est essentiel à la réussite de la certification. L’engagement, les conseils et les ressources de toutes les parties prenantes sont nécessaires pour identifier les changements nécessaires, hiérarchiser et mettre en œuvre les actions de remédiation, puis examiner et améliorer régulièrement le SMSI.
- Définissez l’impact d’ISO 27001 sur votre organisation. Prenez en compte les besoins et les exigences de toutes les parties concernées, y compris les régulateurs et les employés. Considérez les facteurs internes et externes qui ont une influence sur la sécurité de vos informations.
- Rédigez une déclaration d’applicabilité. Cette déclaration précisera les contrôles ISO 27001 qui s’appliquent à votre organisation.
- Procédez régulièrement à une évaluation des risques et appliquez des mesures correctives.Lors de chaque évaluation, rédigez un plan de réduction des risques qui précise si chaque risque sera traité, toléré, supprimé ou transféré.
- Évaluez les performances du SMSI. Surveillez et mesurez votre SMSI et vos contrôles.
- Mettez en œuvre des programmes de formation et de sensibilisation. Formez tous vos employés et sous-traitants aux processus et procédures de sécurité et sensibilisez l’ensemble de l’organisation à la sécurité des données.
- Réalisez des audits internes. Découvrez et corrigez les problèmes avant que des audits externes ne les découvrent.
Comment Netwrix peut vous aider à vous conformer à ISO 27001
La plateforme de sécurité des données Netwrix vous permet d’atteindre et de maintenir la conformité à ISO 27001 :
- Découvrez et classez les données de vos systèmes de stockage locaux et dans le Cloud
- Identifiez et hiérarchisez les risques liés aux technologies de l’information
- Surveillez les tentatives de connexion au système, les accès aux fichiers et les modifications apportées aux données et aux configurations, pour détecter toute activité anormale
- Identifiez les profils de menace et enquêtez à leur sujet
- Instaurez une solide gouvernance de l’accès aux données
Conclusion
Aujourd’hui, alors que la sécurité des données est plus essentielle que jamais pour réussir, la certification ISO 27001 offre un avantage concurrentiel précieux. En vous appuyant sur les exigences et les contrôles de cette norme, vous pourrez mettre en place et améliorer en permanence votre système de management de la sécurité de l’information, démontrant ainsi votre engagement envers la sécurité des données à vos partenaires et à vos clients.
FAQ
- Quel est le but d’ISO 27001 ?
La norme ISO 27001 a été développée pour permettre aux organisations de toute taille et de tout secteur d’activité de protéger leurs données en utilisant efficacement un système de management de la sécurité de l’information (SMSI).
- Quelle est la norme ISO 27001 la plus récente ?
La version la plus récente proposée par ISO/CEI est 27001:2013. Une mise à jour régionale de l’Union européenne a été publiée sous le titre ISO/CEI 27001:2017.
- Quelles sont les exigences d’ISO 27001 ?
ISO 27001 impose aux organisations de :
- Comprendre le contexte organisationnel
- Faire preuve de leadership et d’implication envers le SMSI et d’attribuer les rôles et responsabilités en matière de sécurité de l’information
- Élaborer un plan d’identification, d’analyse et de traitement des risques liés à l’information
- Affecter les ressources adéquates au soutien du SMSI
- Évaluer et traiter les risques opérationnels
- Évaluer les performances du SMSI
- Améliorer continuellement le SMSI
- Pourquoi est-ce qu’ISO 27001 est aussi importante ?
La norme ISO 27001 protège la confidentialité, l’intégrité et la disponibilité des informations au sein d’une organisation et lorsqu’elles sont partagées avec des tiers.
- Quelle est la différence entre ISO 27001 et ISO 27002 ?
ISO 27001 est la norme principale de la série ISO 27000 et contient les exigences de mise en œuvre d’un SMSI. ISO 27002 est une norme supplémentaire qui précise les contrôles de sécurité de l’information que les organisations peuvent choisir de mettre en œuvre, elle complète les brèves descriptions de l’Annexe A d’ISO 27001.
- Quelle est la différence entre NIST et ISO 27001 ?
NIST est un organisme de normalisation américain comparable à ISO. NIST 800-53 est plus axée sur le contrôle de la sécurité qu’ISO 27001, avec une variété de groupes contribuant des bonnes pratiques liées aux systèmes d’information fédéraux. ISO 27001 est moins technique et plus axée sur les risques, elle s’applique aux organisations de toutes tailles et de tous secteurs d’activité.
- Quelle est la différence entre SOX et ISO 27001 ?
ISO 27001 est une norme internationale facultative pour la mise en œuvre d’un SMSI. SOX 404 est une loi américaine que toutes les sociétés cotées en bourse aux États-Unis doivent respecter.