ISO 27001 : Quels sont les principaux contrôles de cette norme ?

ISO 27001 est une norme internationale qui a été élaborée par l’Organisation internationale de normalisation (ISO) et qui vise à fournir un modèle de management de la sécurité de l’information aux organisations. La première version en tant que norme certifiable a été publiée en 2005.Les normes orientées vers la sécurité de l’information établissent un ensemble de meilleures pratiques qui aident les organisations à protéger et à gérer leurs systèmes d’information contre les risques et les menaces, qu’ils soient intentionnels ou accidentels. Ces normes sont certifiables, ce qui permet de démontrer à des tiers qu’une gestion correcte de la sécurité de l’information est effectuée dans l’organisation.

Le concept de contrôle dans 27001 fait référence aux mesures de sécurité que nous devons appliquer afin d’atténuer les risques éventuels auxquels l’organisation peut être exposée. En général, les contrôles sont généralement classés comme suit :

• Les mesures préventives sont les contrôles qui réduisent la probabilité d’occurrence d’une menace.
• Correctif, les contrôles qui agissent pour atténuer l’impact réel d’une menace, une fois qu’elle s’est produite.

L’objectif des contrôles de sécurité mis en œuvre dans une organisation est de garantir en tout temps la confidentialité, l’intégrité et la disponibilité des informations hébergées dans ses systèmes, contre tout type d’événement indésirable qui pourrait l’affecter négativement.

Un exemple de contrôle préventif est d’avoir un antivirus ou un antimalware, car il détectera et interceptera tout type de logiciel malveillant qui pourrait atteindre nos systèmes, c’est-à-dire qu’il réduira la probabilité d’entrée de logiciels malveillants. Cependant, ce type de programme n’est pas parfait, et il est possible de concevoir des logiciels malveillants qui, n’étant pas préalablement identifiés, parviennent à passer sous le radar de détection, ce qui pourrait entraîner un impact de perte et de destruction d’informations, comme dans le cas des ransomwares.

Pour cette raison, et en agissant de manière complémentaire, nous devons également disposer de contrôles correctifs, comme dans ce cas disposer d’une « sauvegarde » des données, qui nous permettrait de récupérer les informations endommagées ou supprimées, à la fois dans le cas d’une attaque intentionnelle de logiciels malveillants, et en cas d’événement accidentel, qui endommage les ordinateurs et les systèmes qui contiennent des informations au sein de l’organisation.

D’autres types de contrôles visent à maintenir la disponibilité de nos systèmes, par la redondance des éléments et des équipements les plus critiques pour l’entreprise, par exemple, en dupliquant les lignes de communication avec différents fournisseurs, ou en disposant d’équipements de traitement dans différents endroits ou centres de traitement de données, et qui nous permettent de répondre aux besoins de l’organisation. tant face à des incidents qu’à des situations de demande accrue.

Une attention particulière est requise par les contrôles liés à l’accès aux systèmes d’information, tant pour le personnel de l’entreprise que pour les tiers qui, temporairement, ont besoin d’y accéder, dans ce cas, il est important d’examiner périodiquement à la fois les personnes qui y accèdent et les privilèges accordés dans chaque cas, afin de détecter les différences qui peuvent poser un problème de sécurité.

Dans l’ISO 27001, les commandes sont définies à l’Annexe A. Dans la version 2013 de la norme, il y en a 114 regroupés en 14 domaines, qui couvrent les domaines de la politique de sécurité, de l’organisation de la sécurité, de la sécurité des ressources humaines, de la gestion des actifs, du contrôle d’accès, de la cryptographie, de la sécurité physique, de la sécurité des opérations, de la sécurité des communications, de l’acquisition de systèmes, du développement et de la maintenance, des relations avec les fournisseurs, de la gestion des incidents, Continuité et conformité.

Dans la nouvelle version de l’ISO 27001, publiée en mai 2022, ces contrôles ont été réorganisés au sein de l’Annexe A en quatre groupes, qui sont les suivants :

• Contrôles organisationnels.
• Contrôles des personnes.
• Contrôles physiques.
• Contrôles technologiques.

L’annexe A est donc un ensemble de bonnes pratiques visant à fournir des conseils sur les éléments et les contrôles de sécurité sur lesquels il faut se concentrer efficacement pour éviter que les menaces n’aient un impact significatif sur les infrastructures et les systèmes de gestion de l’information d’une entreprise.

L’ISO 27002 nous fournit une série de bonnes pratiques pour la mise en œuvre des contrôles de l’Annexe A de l’ISO 27001.

Une fois qu’une organisation met en œuvre un ensemble de contrôles de sécurité, ceux-ci doivent être maintenus et gérés afin d’atteindre une amélioration continue de leur efficacité, pour laquelle il est recommandé d’établir des critères et des mesures qui fournissent des informations sur leur niveau de performance

de maturité.Evidemment, le meilleur indicateur du bon fonctionnement des contrôles est de voir les incidents diminuer, à la fois en probabilité, entendue comme une réduction de la fréquence des événements indésirables, et l’impact de ceux-ci en cas de survenance.

La mise en place d’un système de management de la sécurité de l’information (SMSI) et le respect des contrôles établis dans la norme ISO 27001 sont essentiels pour protéger les informations traitées par une organisation. En ce sens, GlobalSuite® est une plateforme qui fournit une solution complète pour la mise en œuvre et la gestion du SMSI, et aide les organisations à gérer plus efficacement les contrôles de sécurité en place.

Contactez-nous et découvrez comment notre logiciel GRC avec module ISO 27001 peut aider votre organisation à se conformer aux contrôles établis, à protéger vos informations et à améliorer la sécurité des informations de l’entreprise !