La norme ISO 27001 comme outil

Notre monde du travail est plus que jamais tributaire de systèmes numériques qui fonctionnent. Les processus sont numérisés et (partiellement) automatisés en tant que flux de travail. Un nombre sans cesse croissant de données sensibles sont externalisées vers le cloud. De plus en plus d'entreprises dépendent du bon fonctionnement des systèmes informatiques. Outre une structuration claire et judicieuse des processus d'une entreprise, le fonctionnement et la sécurité des solutions et infrastructures informatiques et de leur utilisation constituent l'une des conditions essentielles à un travail efficace.

Les nouvelles opportunités comportent toujours de nouveaux risques :

• La cybercriminalité est en augmentation. Les entreprises sont des cibles lucratives pour les pirates informatiques. En 2017, 40% de toutes les PME suisses ont été victimes d'une cyberattaque*.
• Les employés représentent un risque sérieux en raison de leur ignorance et de leur manque de sensibilisation :
• Les e-mails de phishing sont présentés de manière de plus en plus sophistiquée et sont difficilement identifiables en tant que tels par les profanes.
• Le nombre de mots de passe requis augmente et de nombreux employés choisissent encore des mots de passe peu sûrs.
• Les données personnelles sont protégées par la loi (loi fédérale sur la protection des données PFPD, RS 235.1) et doivent être stockées et archivées de manière particulièrement sûre. En cas de dommage, il existe un risque d'amendes et d'atteinte à la réputation.
• Le règlement général européen sur la protection des données (RPGD) exige des mesures supplémentaires de protection des données.
• Les réglementations sectorielles telles que les règles de la FINMA, Bâle III et le DEP (dossier électronique du patient), fournissent des directives générales ou spécifiques sur la protection et la sécurité des données.

Afin de minimiser les risques qui surviennent dans la sécurité de l'information et surtout dans la protection des données, des mesures techniques et organisationnelles sont nécessaires. Une assistance complète est fournie par les normes de la série ISO 2700x, qui couvrent tous les domaines de la sécurité de l'information dans l'entreprise.

ISO 27001/02
Les normes ISO 27001/02 ont été élaborées pour définir les exigences relatives à la définition, à la mise en œuvre, à la maintenance et à la mise à jour continue de la

"La sécurité absolue n'est garantie ni dans le monde physique ni dans le monde numérique".

L'objectif est de définir la meilleure façon d'améliorer un système de gestion de la sécurité de l'information. Ils aident les entreprises à exploiter des infrastructures sécurisées, à prendre les bonnes mesures en cas d'incident ou à sensibiliser systématiquement les employés. En plus de satisfaire aux exigences techniques, de nombreuses mesures organisationnelles doivent également être prises. La norme ISO pour la sécurité de l'information couvre une partie importante et importante de la conformité avec le nouveau règlement européen sur la protection des données (en particulier, les droits des personnes de la DSGVO ne sont par exemple pas réglementés dans la norme ISO 2700x). Cela est également indispensable pour de nombreuses entreprises suisses qui entretiennent des relations commerciales avec l'UE. Il faut également s'attendre à ce que des exigences similaires entrent en vigueur en Suisse à moyen terme. Il vaut donc la peine, dans tous les cas, de s'occuper des nouvelles exigences.

Les entreprises qui exploitent déjà des systèmes de gestion selon les normes ISO 9001 (qualité), 14001 (environnement), ISO 45001 (santé et sécurité au travail) ou ISO 50001 (énergie) disposent déjà d'une grande partie de la structure nécessaire pour la mise en œuvre d'un système de gestion de la sécurité de l'information. Concrètement, la norme ISO 27001 est basée sur la même structure de haut niveau que les normes ISO mentionnées ci-dessus.

Comme pour les autres systèmes de gestion, la condition préalable ou la première étape consiste à connaître et à analyser ses propres processus et procédures. Quelles données sont stockées et traitées et comment ? Quelles réglementations (légales) ou attentes doivent être respectées pour quelles données ? Une fois cette situation initiale clarifiée, l'intégration du thème de la sécurité de l'information dans les systèmes et structures de gestion existants est possible avec un effort relatif. Outre la connaissance des systèmes de gestion, cela nécessite également une expertise spécialisée dans les systèmes informatiques. Une fois établi dans un système de gestion, on s'assure que le sujet, comme d'autres sujets, reçoit l'attention nécessaire, est continuellement surveillé et optimisé.

La certification du système peut avoir un sens en tant que preuve pour les clients et le public, mais elle n'est pas absolument nécessaire. Même sans certification, l'intégration dans les structures des systèmes de gestion existants est une approche simple pour remplir le devoir de diligence attendu dans le domaine de la sécurité de l'information ainsi que les exigences légales.

Questions à l'expert
Roland Brunner, consultant senior en sécurité de l'information chez WiB Solutions AG, sur les procédures réalistes :

Toute entreprise doit-elle être certifiée ISO 27001 pour pouvoir garantir une sécurité absolue de l'information ?
Roland Brunner : Non, bien sûr que non. La certification est surtout utile aux entreprises qui possèdent leurs propres centres de données, aux prestataires de services informatiques et aux grandes entreprises. Si l'on s'oriente vers la norme ISO 2700x, cela ne signifie pas qu'il faille chercher à obtenir une certification. Le cadre existant de la norme fournit une structure bien pensée et des "modèles de contrôle", qui peuvent être examinés, utilisés et documentés par chaque entreprise, en tenant compte de ses propres besoins. Enfin, la sécurité absolue n'est garantie ni dans le monde physique ni dans le monde numérique. Les risques doivent être identifiés, classés et des mesures appropriées doivent être prises ou les effets doivent être minimisés.

Existe-t-il des outils pour aider les entreprises à évaluer leur propre sécurité de l'information ?
Le quick check en ligne pour la sécurité de l'information et la protection des données de WiB Solutions AG offre aux entreprises la possibilité d'évaluer leur situation sur la base de 30 questions axées sur la sécurité de l'information ; d'une part, le niveau de maturité des processus et des sujets pertinents est mesuré et, d'autre part, les entreprises reçoivent une évaluation des sujets à pondérer pour l'entreprise dans la mise en œuvre et de quelle manière. Tous les sujets ne sont pas pertinents pour toutes les entreprises.

Conclusion
L'absence de gestion de la sécurité de l'information dans l'environnement des TIC est une "danse sur le volcan" constante - il est certain qu'une éruption se produira, mais on ne sait pas quand, dans quelle mesure et quelles mesures préventives permettront de réduire les risques. Dans cet environnement, les organisations qui sont confrontées à ce problème et dont les employés sont suffisamment flexibles pour réagir rapidement aux changements sont bien placées.