Tout savoir sur la norme ISO 27001

par | Oct 26, 2021 | ISO 27001 | 0 commentaires

tout savoir sur la norme ISO 27001

 

ISO 27001 : qu’est-que c’est ?

La norme ISO 27001 a pour vraie appellation : ISO/IEC 27001 – Technologies de l’information – Techniques de sécurité – Systèmes de gestion de la sécurité de l’information – Exigences“.

Nous sommes ici, en présence d’une norme internationale qui établit les standards et les critères de base pour définir, mettre en œuvre et améliorer un système de gestion de la sécurité de l’information. Cette norme est établie par l’Organisation Internationale de Normalisation (International Organization for Standardization ISO) en collaboration avec la Commission Electrotechnique International (the International Electrotechnical Commission IEC). Ces dernières sont toutes deux des organisations de première instance qui élabore des normes internationales.

L’ISO 27001 a pour but d’aider toutes les entreprises ou organisations de n’importe quelle taille et de n’importe quel secteur d’activité à protéger leurs informations grâce à l’utilisation d’un Système de Management de la Sécurité et de l’Information (SMSI).

Les 03 objectifs fondamentaux de la norme ISO 27001 sont :

  • La protection de la Confidentialité de l’information : cela stipule que seuls les individus autorisés ont un droit d’accès aux informations ;
  • La protection de l’Intégrité de l’information : qui signifie que seuls les individus autorisés ont le droit de modifier l’information ;
  • La protection de la Disponibilité de l’information : qui stipule que l’information doit être disponible pour toutes personnes ayant été autorisées.

 

Les bénéfices de la norme ISO 27001 ?

La norme ISO 27001 ne permet pas uniquement à une organisation de protéger ses informations. En effet, grâce à la certification ISO 27001, l’entreprise peut prouver à ses clients et collaborateurs que leurs données sont entre de bonnes mains.

Ne l’oublions pas, l’ISO 27001 est une norme internationale qui est reconnue dans le monde entier. Elle offre donc des opportunités commerciales pour les entreprises qui la mettent en œuvre.

Les avantages organisationnels et commerciaux obtenus par une entreprise quand elle met en œuvre la norme de sécurité ISO 27001 sont nombreux. On peut notamment citer :

  • Le respect des obligations légales : les lois, les codes et autres réglementations en rapport avec la sécurité de l’information se multiplient. Fort heureusement, l’application de la norme ISO 27001 vous aidera à vous assurer du respect de ces obligations. En effet, elle vous donne les moyens et les ressources nécessaires pour vous y conformer ;
  • L’avantage sur la concurrence : Lorsque votre entreprise obtient une certification ISO 27001, alors que vos concurrents ne l’ont pas, vous êtes avantagé et privilégié aux yeux des clients qui sont rigoureux concernant la sécurité de leurs informations ;
  • Les réductions de coûts : Un des principaux bénéfices que vous obtiendrez en appliquant l’ISO 27001 est de réduire fortement la probabilité d’être touché par un grave incident de sécurité de l’information. La réparation de tout incident de sécurité, qu’il soit minime ou dévastateur, nécessite un budget certain. Ainsi, votre entreprise fait le plein d’économie en les empêchant de se produire. Le plus impressionnant dans tout ça est que l’argent que vous aurez à investir dans l’ISO 27001 sera inférieur, à celui que votre entreprise aura économiser en fin de compte ;
  • Une bonne organisation : D’une manière générale, les entreprises qui ont un taux de croissance élevé n’arrivent pas à définir elles-mêmes leurs processus et procédures faute de temps. L’instauration de la norme ISO 27001 dans ces conditions vous incite à mettre en place des procédures dans la sécurité de l’information et dans d’autres domaines pour l’accompagner. Ce qui pourrait favoriser l’organisation du travail des employés et vous faire gagner plus de temps.

 

Qu’est-ce qu’un SMSI ?

Un système de management de la sécurité de l’information constitue un ensemble de règles établies par une entreprise dont le but est :

  • De déterminer les parties intéressées et leurs attentes envers l’organisation en matière de sécurité de l’information ;
  • D’identifier les risques existant pour l’information ;
  • De trouver des solutions et des plans d’atténuation pour répondre aux attentes et mieux gérer les risques ;
  • D’avoirs des idées claires sur les missions qui doivent être accomplies pour assurer la sécurité de l’information ;
  • D’élaborer tous les plans d’actions et de contrôles pour le traitement des risques ;
  • De vérifier en permanence si ces plans de contrôle sont efficaces ;
  • D’effectuer continuellement les modifications nécessaires pour garantir le bon fonctionnement du SMS.

Les règles précitées peuvent être éditées sous forme de politiques, de procédures ou de documents.

 

Comment faire certifier son SMSI ISO 27001 ?

Pour être certifiée ISO 27001, une entreprise doit inviter un organisme de certification accrédité par le COFRAC, pour effectuer un audit de certification. Si l’audit s’avère convaincant, l’organisme pourra délivrer à l’entreprise auditée un certificat ISO 27001.

Cette certification prouve que l’entreprise respecte les exigences de la norme ISO 27001 et le certificat sera valable pour une période de 3 ans. Au cours de cette période, la structure de certification procédera à un audit de contrôle chaque année pour s’assurer que l’entreprise certifiée arrive à maintenir son SMSI et qu’elle procède aux améliorations nécessaires pour garantir son efficacité.

Si vous souhaitez vérifier qu’une entreprise en particulier est certifiée, approchez-vous de l’organisme qui a délivré le certificat. En effet, bon nombre de personnes pensent que le site ISO présente une liste des organisations qui ont été certifiées, ce qui n’est pas vrai. Par contre, pour obtenir une vue d’ensemble des organisations certifiées et classées par secteur, pays, etc., vous pouvez vous rendre sur le site de l’ISO :  ISO.org.

 

Une personne peut-elle obtenir une certification ?

Une personne peut obtenir une certification ISO 27001. Pour obtenir une certification à titre personnel, il est souvent nécessaire de pouvoir justifier d’une expérience professionnelle dans le domaine de la sécurité de l’information, suivre une formation dans la spécialité visée et enfin réussir un examen final.

Il existe principalement deux certifications ISO 27001 destinée aux professionnels de la sécurité :

  • la certification ISO 27001 Lead Implementer qui atteste qu’une personne dispose des connaissances pratiques et des capacités professionnelles pour mettre en œuvre les exigences de la norme ISO/IEC 27701 dans une organisation.
  • la certification ISO 27001 Lead Auditor qui atteste qu’une personne dispose des connaissances et des compétences nécessaires pour planifier et réaliser un audit de certification ISO 27001 conformément aux processus de certification ISO 19011 et ISO/IEC 17021-1.

 

Combien ça coûte d’être certifié ISO 27001 ?

Le coût de la mise en place et de la certification d’ISO 27001 sera déterminé en fonction de la taille et de l’ampleur du SMSI à élaborer, ce qui diffère d’une entreprise à une autre. Cela dépendra aussi, des divers coûts engagés de part et d’autre pour la mise en place du système.

Voici quelques exemples de coûts que vous aurez à engager dans ce processus :

  • Les formations ;
  • Les aides extérieurs ;
  • L’installation et la mise à jour des technologies ;
  • Le travail des employés ;
  • Les coûts des structures de certifications.

 

Quelle est la “bonne” version de la norme ISO 27001 ?

En 2021, la version ISO 27001 en cours de validité est la version de 2013 (ISO/IEC 27001:2013). La version initiale de l’ISO 27001 a été publiée en 2005 (ISO/IEC 27001:2005), ensuite est survenue la deuxième version publiée en 2013. Cette dernière a été révisée pour la dernière fois en 2019, mais il s’est avéré qu’aucune modification majeure n’était nécessaire. Par conséquent, c’est toujours la version de 2013 qui reste la référence pour passer les audits de certification.

Il est important de savoir que plusieurs pays membres de l’ISO ont eu à traduire la norme internationale ISO 27001 dans leurs langues tout en y ajoutant des avant-propos qui ne changent rien aux contenus à caractère international qu’elle présente. Ce qui fait de ces normes traduites, de nouvelles versions de la norme internationale qui sont différenciées par l’ajout de quelques lettres.

Par exemple :

  • NBR ISO/IEC 27001 : Pour la version Brésilienne ;
  • BS ISO/IEC 27001 : Pour la version Britannique.

Ces nouvelles versions classiques proposées par des pays contiennent aussi l’année à laquelle elles ont été mises en exécution de telle manière que la dernière version publiée par les Britanniques en 2017 s’est présentée comme suit : BS ISO/IEC 27001:2017.

 

Les exigences de la norme ISO 27001

Comme toutes les normes ISO sur la mise en place d’un système de management, celle-ci possède des exigences qui sont présentées dans les articles/clauses de 4 à 10. Le respect de ces exigences dans une entreprise prouve que celle-ci se conforme à la norme.

Nous vous résumons les exigences des articles 4 à 10 de la norme ISO 27001 comme suit :

Article 4 : L’organisation et son contexte – Il établit des règles pour :

  • La compréhension des problèmes internes et externes ;
  • La compréhension des parties intéressées et de leurs attentes ;
  • L’établissement du champ d’application du SMSI.

Article 5 : Leadership – Il établit :

  • Les responsabilités de l’administration,
  • Les rôles ;
  • Les contenus de la politique de sécurité de l’information de haut niveau.

Article 6 : Planification – Il établit les règles pour :

  • L’évaluation des risques ;
  • La réduction des risques ;
  • La déclaration d’applicabilité ;
  • Le plan de traitement des risques ;
  • Les objectifs de sécurité de l’information.

Article 7 : Support – Il établit les règles concernant la disponibilité :

  • Des ressources ;
  • Des compétences ;
  • De sensibilisation ;
  • De communication ;
  • De vérification des documents et des enregistrements.

Article 8 : Exploitation – Il établit la mise en place :

  • De l’évaluation et de la résolution des risques ;
  • Des processus importants pour l’atteinte des objectifs de sécurité de l’information.

Article 9 : Évaluation des performances – Il établit les exigences :

  • De suivi ;
  • De contrôle et d’audit interne ;
  • De toutes les procédures relatives à la vérification des installations.

Article 10 : Amélioration – Il établit les règles relatives aux :

  • Non-conformités ;
  • Corrections ;
  • L’amélioration continue.

 

Découvrir notre offre de services ISO 27001

 

Poster le commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *