Protection contre la cybercriminalité
Série de normes ISO/IEC 2700x
En exemple de cybercriminalité organisée, l'expression "fausse attaque de président" ou fraude de PDG ne circule pas seulement parmi les initiés. Les employés autorisés ou même les PDG sont contactés comme d'habitude - par e-mail ou par fax - par des personnes se faisant passer pour des dirigeants de leur propre entreprise. L'expéditeur demande à l'employé ou au collègue d'effectuer une transaction financière prétendument urgente et confidentielle sur un compte étranger.
Une fois que les employés ont transféré l'argent, il n'y a pas de confirmation officielle. Au contraire, le montant écrémé est rapidement divisé en montants plus petits et transféré sur des comptes non transparents. En Suisse, selon un rapport de la Handelszeitung, les entreprises concernées ont perdu jusqu'à des sommes à cinq chiffres de francs par cas.
Deux entreprises allemandes ont récemment été arnaquées pour un montant allant jusqu'à 40 à 50 millions d'euros. Après l'annonce de la perte, les cours des actions des entreprises attaquées ont immédiatement chuté. Selon les informations figurant sur leur site web, les entreprises allemandes concernées n'étaient pas encore certifiées selon la série de normes ISO/IEC 2700x au moment des pertes
La sécurité par les normes
La certification renforce les contrôles ciblés afin d'éviter les dommages - qui peuvent être causés par des courriels fictifs, par exemple. Les normes européennes protègent désormais également les entreprises contre les méthodes frauduleuses. Jusqu'à présent, la série de normes ISO/IEC 2700x n'était disponible qu'en anglais. Début 2014, l'Institut allemand de normalisation (DIN), l'Institut autrichien de normalisation (ASI) et l'Association suisse de normalisation (SNV) ont créé un groupe de traduction commun dans le but de produire des traductions uniformes de certaines normes ISO et ISO/CEI pour l'ensemble de l'espace germanophone.
Après plus d'une année de travail intensif, une traduction allemande de la norme ISO/IEC 27001:2013 est maintenant disponible et a été adoptée dans le corps de normes suisse en mai 2015 : SN ISO/IEC 27001:2015 (voir encadré à la fin du texte).
Organiser et contrôler
La série de normes ISO/IEC 27000 x constitue un guide pour les chefs d'entreprise. Sur cette base, les responsables peuvent élaborer un concept et des lignes directrices pour l'entreprise en collaboration avec les spécialistes en informatique. Cela nécessite une approche globale pour tous les domaines. Il est important de tenir compte de l'état actuel de la technique et, si nécessaire, de planifier et de mettre en œuvre des ajustements. Cela nécessite une analyse des risques et de la vulnérabilité, en tout cas lors de l'introduction de la norme ISO/IEC 27001 et d'autres normes.
Tout d'abord, le concept de SGSI, c'est-à-dire les objectifs, les processus et les procédures nécessaires à la gestion des risques, est défini lors de la certification.
Afin d'atteindre les objectifs définis, il peut être nécessaire de modifier l'organisation des processus concernés dans l'entreprise. La documentation des mesures et des procédures des processus numériques fait naturellement partie de la gestion de la sécurité et de l'information. Le contrôle permanent de ce fonctionnement est la tâche de la "politique de sécurité" selon la norme ISO/IEC 27003 "Technologies de l'information - Procédures de sécurité informatique - Guide de mise en œuvre des systèmes de gestion de la sécurité de l'information".
En même temps, il ne doit pas jouer au "Big Brother", mais contrôler rigoureusement si les objectifs de sécurité fixés ont été atteints, s'il reste des points faibles et où des améliorations sont possibles et nécessaires.
Nouvelle directive européenne
Pour les entreprises qui font des affaires à l'étranger, le droit international doit être pris en compte. Dans l'UE, la directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 relative à des mesures visant à garantir un niveau commun élevé de sécurité des réseaux et des systèmes d'information dans l'Union (directive NIS) est récemment entrée en vigueur. Il s'agit d'une réglementation européenne en matière de cybersécurité qui est intégrée dans les législations nationales
Le rôle de l'Association suisse de normalisation (SNV)
L'Association suisse de normalisation (SNV) représente les normes mondiales de l'ISO ainsi que les normes européennes (CEN) en Suisse et participe à de nombreux réseaux de normalisation nationaux et internationaux. Ces dernières années, le comité de normalisation SNV INB/NK 149/UK 7 a apporté une contribution importante à la structure et au contenu des normes ISO/IEC 27001:2013 et ISO/IEC 27002:2013. La SNV participe également avec engagement à la nouvelle édition des normes ISO/ IEC 27003, ISO/IEC 27004 et ISO/IEC 27005.
À la SNV, les entreprises ou les associations peuvent devenir membres individuels ou collectifs, selon leur taille et leur activité. Plus de 600 entreprises et institutions suisses bénéficient déjà des avantages de l'adhésion à la SNV. En participant à un comité de normalisation, ils bénéficient à un stade précoce de connaissances sur les futures normes. De cette manière, ils ont donné à leur entreprise le cap sur le rôle de "pionnier".
La SNV propose des cours de formation continue passionnants et, grâce à ses liens directs avec l'Organisation internationale de normalisation (ISO) et le Comité européen de normalisation (CEN), elle dispose des meilleures sources pour informer les clients non seulement sur les dangers, mais aussi sur les dernières normes et leur mise en œuvre pratique.