Cet article vous décrit l’une des exigences de la norme internationale ISO 27001, la clause 4.2 « Compréhension des besoins et attentes des parties intéressées ». L’entreprise qui l’adopte doit en faire une étude approfondie pour prendre en compte ses exigences .
C’est pourquoi nous allons essayer de vous indiquer les différentes questions importantes à se poser lorsqu’on implémente cette clause.
Mais avant d’aborder les parties intéressées proprement dites, faisons un bref résumé sur la norme ISO 270001.
Table of Contents
Chapitre 1 : Norme ISO 27001, de quoi s’agit-il ?
Créée par des l’Organisation Internationale de Normalisation, la norme ISO 27001 a pour objectif de vous aider à garantir la sécurité de l’information de votre entreprise.
Son vrai nom est “ISO/IEC 27001 – Technologies de l’information – Techniques de sécurité – Systèmes de gestion de la sécurité de l’information – Exigences“.
Cette norme vise à établir un système performant appelé Système de Management de la Sécurité et de l’Information (SMSI) qui permet d’améliorer la sécurité de l’information d’une entreprise, peu importe son domaine d’activité ou sa taille.
Source : YSOsecure
Elle fonctionne sur la base des trois objectifs suivants :
- Assurer la confidentialité de l’information ;
- Assurer l’intégrité de l’information ;
- Assurer la disponibilité de l’information ;
1.1. Qui est concerné par la norme ISO 27001 ?
ISO 27001 est destinée à toute entreprise qui se soucie de la confidentialité, de la disponibilité et de l’intégrité des données de son entreprise. Elle ne concerne donc pas uniquement les entreprises du numérique.
Il est évident que la protection des données est cruciale pour les entreprises High-tech, les spécialistes du numérique ou d’autres domaines similaires. Ces dernières sont à la pointe de l’innovation, mais ne possèdent pas toujours les bons réflexes face aux risques cybernétiques et aux problèmes liés à la gestion de l’information.
Par ailleurs, l’ISO 27001 couvre l’intégralité des informations d’une entreprise et ne se concentre pas uniquement sur le secteur informatique. Il faut dire que l’explosion des données (DATA) ne laisse pas d’autres choix aux secteurs économiques tels que la grande distribution, l’agroalimentaire, la restauration ou le tourisme, que de mettre en place un système de protection bien organisé.
1.2. Les avantages qu’offre la norme ISO 27001 ?
Toute entreprise qui adopte la norme ISO 27001 est amenée à prendre les mesures de sécurité nécessaires pour se protéger contre les risques liés à l’information et qui pourraient mener à sa perte. Il peut s’agir de :
- Risques de pertes de données ;
- Risques d’une cyberattaque ;
- Risques d’atteinte d’image ;
- Risques de pertes financières.
Lorsqu’un système de protection ISO 27001 est instauré, il participe à la fois à l’évolution technologique de votre structure et à la sécurisation de vos données sensibles. Sans oublier qu’il vous confère un avantage compétitif sur les autres entreprises qui ne sont pas au même niveau de protection que vous.
En effet, les clients privilégient les entreprises qui ont une certification ISO 27001, car cela signifie que leurs informations et données sont entre de bonnes mains.
Source : NBN
Voici quelques autres bénéfices que pourrait apporter cette norme à votre entreprise :
- Aide à définir des stratégies précises et efficaces sur l’information et sa protection ;
- Structure méthodiquement les différents processus ;
- Identifie les insuffisances et lutte contre les menaces ;
- Incite le personnel à travailler dans un but commun ;
- Favorise l’accès à des marchés potentiels ;
- Instaure la confiance des clients de par votre marque et votre notoriété ;
- Permets de maîtriser les techniques de gestion de la sécurité ;
- Améliore continuellement le système.
1.3. Peut-on implémenter la norme ISO 27001 sans se faire certifier ?
D’abord, il est important de comprendre l’importance de la certification ISO 27001.
La certification ISO 27001 permet à une entreprise d’obtenir un système :
- Opérationnel ;
- Hiérarchisé ;
- Protégé ;
- Évolutif.
Mis à part le fait de procurer un cadre de travail optimisé, elle permet la réduction des coûts de dépenses, favorisée par la mise en place des actions qui correspondent précisément à vos besoins.
Pour être certifié ISO 27001, il faut se rapprocher d’un organisme de certification accrédité qui pourra vous délivrer un certificat ISO 27001. Celui-ci est délivré après que l’organisme a procédé à l’audit de votre système, si celui-ci se montre concluant.
La certification est valable 3 ans au cours desquelles l’organisme de certification fera des visites de contrôle pour vérifier l’évolution du SMSI.
Il est possible de mettre en œuvre la norme ISO 27001 sans vouloir pour autant obtenir la certification d’un auditeur. Vous aurez les mêmes bénéfices en termes de structuration des processus et de niveau de protection des données. Vous perdez cependant l’avantage que procure la certification sur l’image et le niveau de confiance qu’accordent vos clients à votre entreprise.
Source : Apave
De plus, mettre en œuvre toute la norme ISO 27001 est une démarche qui demande une grande implication du personnel de l’entreprise. Obtenir la certification représente alors en quelque sorte la récompense ultime pour avoir effectué toute la démarche de sécurité et remercier l’implication de chacun.
1.4. L’exigence 4 de la norme internationale ISO 27001 ?
Les exigences de la norme ISO 27001 sont présentées sous forme d’articles numérotés de 4 à 10. L’article qui nous intéresse aujourd’hui est l’article 4 “Contexte de l’organisation” . La liste des exigences se présente comme suit :
Source : PQB
L’article 4 de la norme ISO 27001 : Contexte de l’organisation
- 4.1 Compréhension des problèmes internes et externes ;
- 4.2 Compréhension des besoins et des attentes des parties intéressées ;
- 4.3 Détermination du domaine d’application du SMSI.
Dans la suite de cet article, nous parlerons précisément de l’exigence 4.2 qui vise à nous interroger sur les besoins et les attentes des parties intéressées par notre Système de Management de la Sécurité de l’Information.
Chapitre 2 : Les besoins et les attentes des parties intéressées envers le SMSI
Les parties intéressées parfois appelées parties prenantes représentent une personne ou un groupe d’individus qui portent un grand intérêt pour la réalisation des activités de sécurité de l’information de votre entreprise.
Ces personnes ont une certaine influence sur votre organisation, raison pour laquelle vous devez comprendre leurs présences, leurs besoins ainsi que leurs attentes en ce qui concerne votre système de management de la sécurité de l’information (SMSI).
2.1. Qui sont les parties intéressées dans la norme ISO 27001 ?
Une partie intéressée est un individu, un groupe ou une entité qui porte un intérêt pour votre SMSI ou pour votre organisation elle-même. Si vous avez identifié les enjeux internes et externes qui peuvent influer sur les résultats de votre SMSI comme exigé de la clause 4.1 de la norme ISO 27001, il vous sera plus facile d’identifier la majorité de vos parties intéressées.
Source : LinkedIn
Les parties prenantes peuvent comprendre (liste non exhaustive) :
- Le personnel : Il s’agit des employés, qui peuvent ressentir le besoin de connaître leurs obligations en termes de sécurité de l’information et qui ont des exigences vis-à-vis de la sécurité de leurs données personnelles;
- Les actionnaires et administrateurs : Ce sont les personnes qui ont investi dans votre entreprise et veulent s’assurer de la sécurité de leur placement (investissement) ;
- Les législateurs et les régulateurs : Ils sont là en contrôleurs. Ils dictent des lois en termes de sécurité de l’information et vérifient si elles ont été appliquées ;
- Les clients : Ils s’assurent que leurs données soient bien sécurisées ;
- Les fournisseurs : Ils veulent s’assurer que vous avez appliqué leurs exigences contractuelles, et désirent être informés de toutes les nouvelles clauses contractuelles en rapport avec la sécurité de l’information ;
- Les médias : Ils peuvent communiquer au public vos incidents de sécurité, les fuites d’information, etc.
Nous pouvons aussi lister les syndicats, vos prospects ou vos concurrents. Les parties intéressées par un SMSI peuvent être différentes en fonction de la nature de votre activité ainsi que des enjeux auxquels votre entreprise fait face.
Vous pouvez analyser les parties intéressées en fonction de leurs pouvoirs, de leurs intérêts et des aides qu’ils portent à votre entreprise. En résumé, il s’agit de leur capacité à impacter ou à modifier les résultats attendus de votre SMSI.
Source : ISO
En fonction des attendus et des retours faits par les parties intéressées, vous serez peut-être contraint de modifier votre démarche dans la mise en œuvre de votre SMSI pour pouvoir répondre à leurs attentes. Vous démontrez ainsi que vous répondez à leurs besoins.
Assurez-vous cependant que leurs attentes vis-à-vis de votre SMSI vont tout aussi bien dans leurs intérêts que dans les vôtres.
Par exemple, si un client vous demande d’engager un budget conséquent pour répondre à sa demande, vous n’avez pas l’obligation de répondre à sa demande pour être conforme, d’autant plus si vous vous apercevez que celui-ci est un acteur ayant peu d’influence pour votre organisation. Par contre, s’il s’agit d’un client qui représente une part importante de votre chiffre d’affaires, vous avez tout intérêt à considérer sa demande et à l’inclure dans SMSI.
Les approches sur lesquelles il ne faut surtout pas hésiter sont celles des autorités de contrôle, c’est-à-dire les législateurs et les régulateurs qui sont des parties prenantes redoutables.
2.2. Les parties intéressées que vous devez satisfaire pour votre SMSI ISO 27001
Lorsqu’une partie prenante est puissante et représente un fort intérêt pour votre entreprise, vous devez les prioriser et, si possible, les classer dans une catégorie que vous aurez à nommer “Toujours satisfaites”. Il est important que vous vous demandiez, quels politiques et contrôles vous pourriez utiliser pour mieux les satisfaire. Il peut notamment s’agir :
- de clients très importants ;
- d’autorités gouvernementales et de régulateurs ;
- de vos actionnaires ;
- des auditeurs externes.
Ce sont des parties prenantes qui ont le pouvoir d’influer sur l’organisation de votre entreprise et qui ont la capacité d’impacter vos objectifs, aussi bien sécuritaires que commerciaux.
Certaines parties intéressées vont jusqu’à prescrire des méthodes de fonctionnement spécifiques à respecter, c’est le cas notamment des régulateurs.
L’exemple le plus couramment rencontré est la Commission nationale de l’informatique et des libertés (CNIL) qui exige de votre entreprise qu’elle respecte scrupuleusement le règlement général sur la protection des données (RGPD).
2.3. Satisfaire les besoins et attentes des autres parties intéressées pour réussir son SMSI
D’autres parties prenantes peuvent être intéressées par les résultats de votre SMSI.
Il peut s’agir :
- De votre personnel ;
- De vos fournisseurs ;
- De vos clients.
Ce sont des personnes qui contribuent à vos activités quotidiennes ou qui ont une forte interaction avec votre entreprise, car d’une manière ou d’une autre, elles sont aussi affectées par la sécurité de l’information. Les parties prenantes peuvent être nombreuses, mais faites attention à ne pas dépenser trop d’énergie pour celles qui impactent peu votre entreprise.
Celles qui possèdent une faible influence sur l’atteinte de vos objectifs, mais qui montrent un fort intérêt pour la sécurité de l’information peuvent être simplement informées du déroulement de votre démarche. Répondre à toutes leurs demandes peut vous faire perdre à la fois votre temps et votre investissement. C’est pourquoi il vaut mieux prendre le temps pour bien analyser vos parties prenantes.
Résumé
La norme internationale ISO 27001 axée sur la sécurité de l’information exige dans sa clause 4.2 que les organisations analysent et connaissent les besoins et les attentes de leurs parties intéressées.
Ces parties sont des personnes qui, de proche ou de loin, possèdent une certaine influence sur le système de gestion de la sécurité de l’information de votre entreprise.
Dans cet article figurent les parties intéressées dont votre entreprise devra tenir compte et dont les attentes devront être respectées pour la réussite de votre SMSI ainsi que pour la croissance de votre entreprise.
À bientôt !
Commentaires récents