Introduction

Une entreprise qui désire passer avec succès ses audits de certification devra suivre avec intérêt les exigences de la norme ISO 27001 dans son intégralité. 

La clause 4.3 fait partie de l’une des exigences de cette norme de sécurité et consiste en la détermination du domaine d’application du Système de Management de la Sécurité de l’Information (SMSI). 

Selon le contexte de l’entreprise, le domaine d’application de la norme peut parfois être compliqué à définir, mais c’est une étape essentielle que l’entreprise ne devra pas négliger si elle souhaite implémenter avec succès la norme ISO 27001. 

 

 

Chapitre 1 : Importance de la norme ISO 27001

1.1. ISO 27007 : Qu’est-ce que c’est ?

La norme ISO 27001 est une norme internationale qui permet aux entreprises qui l’adoptent d’assurer la sécurité de l’information de manière efficace et pragmatique. Elle définit ce qu’est un Système de Management de la Sécurité et de l’Information (SMSI). Les entreprises qui se conforme à la norme ISO 27001 seront amenés à mettre en place les règles et les bonnes pratiques de sécurité qui lui permettront de sécuriser ses activités, notamment contre :

  • Le vol ;
  • La perte de données ;
  • Les risques d’attaques cybernétiques ;
  • Tout autre risque lié à l’information.

Plus largement, elle permet de garantir la confidentialité, l’intégrité et la disponibilité de l’information. 

Lorsqu’une entreprise est certifiée ISO 27001, elle prouve qu’elle maîtrise les risques auxquels peuvent être confrontées ses données et qu’elle dispose des aptitudes nécessaires pour s’en protéger.

1.2. Les avantages de la norme ISO 27001 

La norme internationale ISO 27001 offre plusieurs avantages à une entreprise. 

Les avantages ISO 27001 illustrés

Source : BSI

Ceux que nous avons relevés sont aux nombres 5 à savoir :

  • Elle permet d’éviter de lourdes pertes financières : la norme ISO 27001 est la référence internationale en matière de gestion de la sécurité des informations d’une entreprise. Elle permet aux entreprises de se protéger contre des pertes financières dûes à un incident de sécurité sur ses données;
  • Elle protège votre réputation : les cyber attaques sévissent toujours plus en Europe et dans le reste du monde. Elles peuvent impacter considérablement votre entreprise et représente un risque pour votre notoriété. Un SMSI protège l’entreprise et vous prépare à affronter ce type de situation.
  • Elle permet de vous conformer aux exigences, légales, réglementaires, et contractuelles : en effet, l’ISO 27001 est conçu pour vous permettre de respecter plus facilement les réglementations les plus strictes en matière de sécurité d’information telles que le RGPD ( Réglementation Générale sur la Protection de Données) et la Directive NIS (Directive sur la sécurité des réseaux et des systèmes d’information).
  • Elle améliore continuellement la sécurité de votre entreprise et l’aide à établir des règles précises : Lorsqu’une entreprise est en pleine croissance, elle ne tarde pas à découvrir la nécessité de maîtriser les flux d’informations. L’ISO 27001 aide les entreprises à définir les règles en matière de gestion des risques liés aux informations.
  • Elle permet de réduire les coûts d’audit : lorsque vous obtenez la certification ISO 27001, elle est valable dans le monde entier et rassure vos clients sur la sécurité de leurs données. Cela vous permettra de réduire le nombre d’audit et le temps que vous passez pour les rassurer sur votre capacité à protéger leurs données.

 

1.3. Comment obtenir la certification ISO 27001

L’obtention de la certification ISO 27001 nécessite de connaître et de respecter les différentes exigences de la norme. Souvent, ce n’est pas une tâche que le personnel de l’entreprise peut exécuter seul, et il a besoin d’être conseillé, guidé ou bien formé par une entité externe, expérimenté dans l’implémentation de la norme ISO 27001. 

La norme vous mènera entre autre à :

  • Réaliser une analyse de risques portant sur la sécurité de l’information et un plan de traitement des risques;
  • Rédiger la déclaration d’applicabilité. C’est le document dans lequel figurent toutes les mesures de sécurité sélectionnées pour réduire vos risques de sécurité.
  • Déterminer les moyens à investir et les ressources à mobiliser pour assurer la protection de l’informations;
  • Établir une politique de sécurité et déterminer le domaine d’application du SMSI ;
  • Élaborer des procédure de sécurité, notamment de traitement des risques et de gestion des incidents de sécurité;
  • Définir et mettre en oeuvre des mesures de protection ;
  • Contrôler les mesures mises en oeuvre pour s’assurer de leur efficacité ;

La certification ISO 27001 est valable trois ans. Au cours de cette période, les organismes de certification s’assurent chaque année que l’entreprise maintient et améliore effectivement son SMSI via des audits de suivi.

Les exigences de la norme internationale ISO 27001 sont décrites dans les clauses de 4 à 10. 

L’exigence que nous allons détailler dans la suite de cet article est le troisième point de la clause 4 Organisation et Contexte, le point 4.3 Détermination du domaine d’application du SMSI.

Chapitre 2 : Clause 4.3 : Détermination du domaine d’application du SMSI

La clause 4.3 de la norme internationale ISO 27001 consiste à déterminer l’étendue sur laquelle va s’appliquer votre système de management de la sécurité de l’information (SMSI)

 

2.1. Quel est le but de la détermination du domaine d’application du SMSI ?

Le véritable objectif de la clause 4.3 est de déterminer les données que vous souhaitez protéger grâce à votre SMSI. Il peut s’agir des :

  • Données stockées sur votre poste d’entreprise ;
  • Données sauvegardées dans votre cloud ; 
  • Données disponibles depuis le réseau local ;
  • Données disponibles depuis un accès à distance. 

Dans tous les cas, vous serez entièrement responsables de la sécurité de ces informations, quel que soit la personne qui les a consultées, comment et à quel moment elles ont été consultées.

À titre d’exemple, si vos employés utilisent des ordinateurs portables pour travailler sur votre bureau, cela signifie que ces ordinateurs font partie de votre domaine d’applications. D’autant que, ces ordinateurs peuvent accéder à vos données sensibles et personnelles via le réseau local.

Vous devez également noter que la détermination du domaine d’application vous sera utile lorsque vous désirez certifier votre ISO 27001. Ici, l’organisation de certifications auditera uniquement les facteurs que comprend votre SMSI. Il n’aura pas à gérer les autres options ou systèmes qui sont exclus de l’étendue que vous avez définie. 

2.2. Les exigences de la norme ISO 27001 par rapport au domaine d’application

La norme ISO 27001 désire que vous preniez en compte, au cours de la détermination du domaine d’application, les exigences décrites dans les articles suivants :

  • La clause 4.1 de la norme ISO 27001 qui parle des problèmes internes et externes liés aux résultats du SMSI ;
  • La clause 4.2 de la norme ISO 27001 qui parle des besoins des parties intéressées et de leurs attentes.

En dehors de ces derniers, la norme ISO 27001 exige également la prise en compte des interfaces et des dépendances entre les actions dans l’environnement de votre SMSI et celui de l’extérieur.

Il est nécessaire d’ajouter à votre document d’étendue du SMSI une description de votre zone géographique et votre emplacement physique. Ceci ne constitue pas une exigence stricte de la norme ISO 27001, mais les organismes de certification veulent les voir figurer là-dessus.

La norme ISO 27001 exige que vous rédigiez un document sur l’étendue du SMSI. À ce document, vous pouvez en ajouter d’autres comme la politique de sécurité de l’information. Il est également possible de le garder de manière séparée, ou même le faire servir de référence pour d’autres textes comme les parties prenantes ou l’organisation et son contexte.

L’essentiel dans ce paragraphe est de découvrir la méthode de gestion des interfaces et des dépendances.

2.2.1. Les dépendances du SMSI

Comme le mot “dépendance” l’indique, il s’agit des processus ou facteurs qui dépendent de votre système de management de la sécurité de l’information. Il vous serait plus facile de les décrire graphiquement. 

Il vous suffit de tracer un cercle dans lequel vous incluez à l’intérieur tous les facteurs que comprend l’étendue de votre SMSI. Et à l’extérieur du cercle, vous pouvez décrire les facteurs hors de l’étendue de votre SMSI. 

Les facteurs ne représentent pas uniquement le processus de sécurité ou de l’information, il peut inclure toutes les autres activités liées à votre étendue.

2.2.2. Les interfaces du SMSI

Il est très important que vous identifiez les interfaces de votre SMSI, car elles aident l’entreprise à maîtriser les limites de son SMSI et à examiner puis protéger les éléments qui entrent et qui sortent de cette interface.

Plusieurs méthodes peuvent être employées pour déterminer les interfaces. 

La première méthode est d’essayer de relever tous les points d’extrémités qui sont sous votre contrôle. Pour y parvenir, posez-vous la question de savoir quel est le routeur de votre réseau local. Concernant les bureaux, l’interface pourrait représenter les périphériques d’entrée et sortie.

La seconde est probablement la méthode la plus efficace. Il s’agit de définir les différentes caractéristiques importantes des interfaces grâce aux 3 facteurs suivants : 

  • Les personnes : Ils représentent les utilisateurs de logiciels, ainsi que ceux qui s’occupent de la maintenance et du développement des logiciels ;
  • Les processus : Il pourrait s’agir du support qui pourrait vous aider à résoudre les bogues de logiciel qui surviennent lors de l’exécution des programmes, et qui pourrait également favoriser le développement de nouveaux systèmes de logiciel ; 
  • La technologie : Elle peut représenter une application, l’e-mail, le VPN, ou le serveur FTP.

2.3. Les réalités à comprendre sur l’étendue du SMSI 

Lorsque vous déterminez l’étendue de votre système de management de la sécurité et de l’information, il vous faudrait faire attention aux points suivants :

  • Une étendue plus ou moins restreinte ne signifie pas un moindre effort fourni : Lorsque vous établissez votre étendue en bannissant certaines parties que vous jugez “Non-figurant”, le plus grand travail est de s’assurer que celles-ci n’ont plus aucun accès sur les données. Cela pourrait vous mettre face à beaucoup d’autres problèmes que vous n’avez pas prévus au départ. Il est plus facile de bloquer l’accès au domaine d’application pour les entreprises de grande taille que celles de taille petite ou moyenne ;
  • La suspension des procédures de contrôle n’a aucun impact sur le domaine du SMSI : C’est un point sur lequel, il faudrait que vous soyez prudent. Vous ne pouvez pas désirer supprimer un tel ou tel contrôle de votre propre gré. En effet, les contrôles peuvent être exclus uniquement s’il n’existe pas de risques ou d’exigences qui pourraient nécessiter l’établissement de ceux-ci. Vous devez donc garder à l’esprit que s’il y a des risques ou des exigences, vous ne pouvez pas exclure les contrôles qui sont en rapport.

2.4. Les problèmes liés à la détermination du domaine d’application du SMSI

La détermination du domaine d’application prévu pour la mise en œuvre de la norme ISO peut sembler très simple à première vue, mais ne vous réjouissez pas trop vite, car elle peut vous causer pas mal de tracasseries. 

Des entreprises réduisent volontairement leur étendue du SMSI parce qu’elles essayent de rabaisser le coût de mise en œuvre. Ces firmes se retrouvent alors confrontées à des problèmes pour lesquels certains domaines d’application se transforment en de véritables casse-tête. 

2.4.1. Les problèmes lorsque l’étendue du SMSI ne couvre pas tous les secteurs de l’entreprise

Le saviez-vous ? Lorsque l’étendue ne couvre pas toute l’entreprise, le problème qui peut en résulter est que le système de management de la sécurité de l’information est obligé d’avoir un espace dédié aux non-figurants. Dans ce cas de figure, les non-figurants ne sont pas uniquement les fournisseurs, clients ou partenaires. 

Ils peuvent également comprendre les services propres à l’entreprise qui ne figure pas dans l’étendue. Cela peut paraître comme un déni, mais vous devez savoir qu’un service qui ne figure pas dans le domaine d’application du SMSI doit recevoir le même traitement qu’un fournisseur qu’on considère de base comme un non-figurant. 

Voici un cas de figure : lorsque vous définissez votre service informatique comme votre seul domaine d’application, mais que ce service sollicite les prestations du service des ventes. Le service informatique, dans ces conditions, se doit d’examiner les risques que pourrait entraîner le service des ventes sur les informations dont il est responsable. 

2.4.2. Les problèmes de coût en rapport avec les domaines d’application 

Très souvent, il se pose un problème de coût supplémentaire, lors du processus de détermination du domaine d’application. Pour mieux comprendre, il faut vous mettre un instant à la place de l’organisme chargé de la certification. 

Ce dernier doit certifier que votre entreprise est en mesure d’assurer la sécurité des informations liées aux éléments de son étendue. Cependant, il ne peut malheureusement pas auditer les services qui se retrouvent en dehors de cette étendue. 

Le moyen qui s’offre à lui pour régler de telles situations est de traiter ses étendues comme une entreprise à part entière. Il faut noter que les organismes de certifications ne sont pas vraiment enchantés de voir un domaine d’application très limité.

Les problèmes ne s’arrêtent pas là, quelquefois, choisir un petit domaine d’application est tout simplement une chose impossible, car il n’existe pas un espace dédié aux non-figurants. 

À titre d’exemple, 

  • Si les travailleurs de votre étendue SMSI et ceux hors de votre étendue cohabitent dans un même espace de travail, ce genre d’étendue serait difficile à réaliser ;
  • Si les travailleurs à l’intérieur et hors de votre étendue SMSI utilisent le même réseau local sans aucune séparation, en ayant tous accès au même serveur, une telle étendue ne peut être définie. Il vous serait donc impossible de contrôler le circuit de l’information uniquement de l’intérieur de votre étendue.

Ainsi; vous devez retenir qu’il vous serait impossible de réduire l’étendue de votre SMSI, et même si ça devait être le cas, cela pourrait vous coûter des frais généraux ainsi que de faux frais. 

Finalement, ce qui semblerait être un mauvais choix s’avère être le choix idéal à faire, celui d’étendre votre domaine d’application sur l’intégralité de votre entreprise. 

La règle fondamentale à privilégier est ce qui suit : Lorsqu’une entreprise détient moins de 100 employés et offre quelques emplacements minimums, la meilleure décision à prendre sans réflexion est d’étendre le SMSI sur l’entièreté de l’entreprise

Par ailleurs, s’il vous est compliqué d’étendre votre domaine d’application sur toute votre entreprise, essayer de faire ces choses : 

  • Placez le SMSI sur un secteur suffisamment indépendant ;
  • Résolvez les liens existants en dehors du domaine d’application avec d’autres services en examinant leurs différentes actions aux moyens des politiques et procédures. Ces derniers se présenteront sous forme de règlements d’accords qui serviront de guide pour chaque secteur. Ce qui leur permettra de fixer, chacun, leurs responsabilités à chaque niveau de manière quotidienne.

2.5. Les avantages de la définition de l’étendue du SMSI

Comme on le dit souvent : “après la pluie vient le beau temps.” 

De la même manière, déterminer le domaine d’application du SMSI est un chemin rempli d’embûches, mais la destination en elle vous sera favorable. 

Le grand avantage présent dans la détermination du domaine d’application est de pouvoir se concentrer sur les données sensibles et réellement importantes pour votre entreprise.  

C’est la raison fondamentale pour laquelle vous devez déterminer et documenter le domaine d’application du SMSI avant d’aborder d’autres exigences de la norme ISO 27001.

Résumé 

Les entreprises manifestent un réel besoin, celui de protéger leurs informations sensibles. Forte heureusement, qu’il existe la norme internationale ISO 27001 conçue pour assurer la gestion de la sécurité de l’information des entreprises peu importe leur taille.

Pour mieux bénéficier de ces fonctions, il est important de pouvoir observer la clause 4.3 qui relève de cette norme et qui nous parle de la détermination du domaine d’application du SMSI. 

Dans ce contenu, nous avons détaillé toutes les informations que vous devez savoir sur cette clause tout en mentionnant ses problèmes et ses avantages.

Espérant que ce contenu vous a été utile nous vous disons à bientôt.