Sur le marché actuel, les entreprises cherchent à transmettre un sentiment de confiance à leurs clients et leur engagement envers la sécurité des informations qu’elles traitent. Pour cela, le fait de disposer d’une certification d’un standard ou d’une norme ISO en matière de sécurité constitue un avantage concurrentiel, car elle est la conséquence d’une gestion correcte des exigences de sécurité dans les processus de traitement de l’information.
La cybersécurité et les normes ISO
La cybersécurité est un sujet d’actualité, pour quelle raison ? Le nombre croissant d’incidents et d’attaques de sécurité liés à l’information et aux systèmes informatiques dont les entreprises sont actuellement victimes fait que garantir la sécurité des dispositifs, des réseaux de communication et des actifs informationnels soit une nécessité indiscutable, qui est à l’origine du concept de cybersécurité.
Ce type d’attaques vise à accéder, modifier ou détruire des informations sensibles de l’entreprise.
La mise en œuvre de mesures de cybersécurité efficaces n’est pas simple car, en raison de la grande quantité d’équipements et de technologies utilisés, les cybercriminels trouvent toujours de nouveaux moyens de mener leurs attaques. Cependant, il existe une façon de mettre en œuvre des mesures de protection des données et des informations qui rend la procédure de mise en œuvre de ces mesures de cybersécurité plus systématique et naturelle.
Il s’agit des standards et normes ISO relatifs à la cybersécurité et à la sécurité de l’information. Les normes ISO sont des standards élaborés et publiés par l’Organisation internationale de normalisation (ISO). L’ISO et la CEI (Commission électrotechnique internationale) sont la référence spécialisée en matière de normalisation au niveau mondial. Par le biais de comités techniques formés par les organismes membres de l’ISO et de la CEI, des normes internationales sont rédigées dans le but de réglementer des processus spécifiques dans des domaines tels que la sécurité de l’information.
Ces normes constituent aujourd’hui un élément indispensable du système de conformité des entreprises et leur confèrent prestige et reconnaissance internationale. La valeur différentielle que la mise en œuvre des normes ISO apporte aux entreprises par rapport à leurs concurrents est due au fait que ces standards certifiés sont périodiquement examinés et audités pour assurer leur conformité, ce qui améliore considérablement l’appréciation des parties intéressées telles que les clients ou les actionnaires.
Les normes ISO sont numérotées progressivement en fonction de leur objet et sont divisées en familles pour regrouper celles qui traitent d’aspects de même nature. L’objectif de ces standards et normes est d’identifier les techniques, les politiques, les guides, la formation, etc., en référence à leur objectif (sécurité, continuité, qualité, entre autres).
Famille ISO 27000
Parmi les normes ISO susmentionnées, il convient de distinguer la famille ISO 27000. Il s’agit d’une série composée de plusieurs normes de sécurité de l’information qui détaillent les directives et les exigences relatives à la mise en œuvre d’un Système de gestion de la sécurité de l’information (SGSI) afin de gérer la sécurité de l’information des entreprises.
Dans cet ensemble de normes, la norme ISO 27001 est la norme principale, la référence pouvant être certifiée de toute la série. Cette norme fournit des exigences pour l’établissement, la mise en œuvre, la maintenance et l’amélioration continue d’un SGSI. Le processus d’amélioration continue est basé sur la célèbre roue de Deming ou PDCA (Plan-Do-Check-Act), qui comprend les 4 phases suivantes : Planifier, Faire, Vérifier et Agir.
Les autres normes de la famille servent de guide et de support pour la mise en œuvre du SGSI. Une autre norme que nous pouvons citer est la norme ISO 27002. Il s’agit d’un guide des bonnes pratiques qui décrit les objectifs de contrôle et les contrôles requis en matière de sécurité de l’information.
La norme ISO 27031 appartient à la même famille et possède un objectif plus spécifique. Il s’agit d’un standard ne pouvant pas être certifié qui sert de guide et fournit un ensemble de méthodes et de procédures pour établir les aspects qui conduisent à une amélioration de la préparation des TIC d’une entreprise pour garantir et consolider la continuité des activités. En d’autres termes, l’objectif principal de cette norme est d’assurer la continuité des services et de garantir que l’entreprise sera en mesure de se remettre d’une situation de catastrophe en rétablissant un état de fonctionnement convenu précédemment.
Comme dans le cas précédent, nous pouvons parler de la norme ISO 27701, qui fait également partie de la famille ISO 27000. Cette norme définit les exigences en matière d’administration, de gestion et de protection de la confidentialité des données à caractère personnel de la compagnie, conformément aux réglementations et aux lois telles que le RGPD (Règlement général de protection des données). Basée sur les exigences, les contrôles et les objectifs de la norme de sécurité ISO 27001, elle comprend des indications pour protéger la confidentialité des données à caractère personnel traitées dans une compagnie. Il convient de noter que la certification de cette nouvelle norme ne peut être obtenue que conjointement avec la certification de la norme ISO 27001.
Autres normes et standards
Outre les normes ISO expliquées ci-dessus, il existe de nombreux autres standards liés à l’univers de la cybersécurité.
Les normes du NIST, l’Institut national des normes et des technologies, une agence d’administration de la technologie du département américain du commerce, en sont un bon exemple. Parmi les normes qu’elle élabore, nous pouvons citer par exemple la norme SP 800-53. La norme SP 800-53 fournit une liste de contrôles qui soutiennent le développement de systèmes d’information fédéraux sûrs et résilients. Ces contrôles sont à la fois des guides et des standards opérationnels et techniques utilisés par les systèmes d’information pour maintenir la sécurité de ces informations.
Il existe également ce que l’on appelle les Contrôles de Service et d’Organisation 2 (SOC 2). Il s’agit d’une norme internationale de rapports sur les systèmes de gestion des risques de cybersécurité des entreprises, élaborée par l’Institut américain des experts-comptables agréés (AICPA). Ces rapports sont élaborés sur les contrôles qu’une entreprise met en place dans ses systèmes en rapport avec la sécurité.
Dans le rapport SOC 2, nous pouvons distinguer 2 types. Le SOC de type 1 est une évaluation ponctuelle. En d’autres termes, une évaluation est effectuée à un moment précis dans le but de déterminer si les contrôles mis en place par l’organisation ont été correctement conçus et sont appropriés au regard des exigences auxquelles ils doivent répondre.
Quant au SOC 2 de type 2, il s’agit d’une évaluation à plus long terme, couvrant généralement environ un an. Dans ce type de rapport, les contrôles de l’organisation sont évalués sur la période convenue afin de déterminer s’ils ont été correctement conçus et s’ils fonctionnent de manière adéquate pendant toute la période d’évaluation.
Dans le contexte national, il existe des guides, des normes et des instructions de sécurité élaborés par le CCN (Centre national de cryptologie) qui visent à protéger la sécurité des entreprises et à accroître leur degré de cybersécurité. Les séries développées sont principalement axées sur les administrations publiques.
Il convient de citer dans cet article la série 800. Cette série est liée au Système national de sécurité (ENS), car elle fournit des procédures pour la mise en œuvre correcte des mesures et des exigences qui y sont définies.
Il convient également de mentionner l’existence à la fois du modèle COSO et de la norme COBIT. COSO (Committee of Sponsoring Organizations of the Tradeway Commission) est une organisation composée d’organismes privés, basée aux États-Unis, qui fournit un modèle commun d’orientation aux entités sur les aspects fondamentaux de la gestion exécutive et de la gouvernance, de l’éthique d’entreprise, du contrôle interne, de la gestion des risques d’entreprise, du contrôle de la fraude et de la réalisation de rapports financiers. La norme COBIT (Control Objectives for Information and related Technology) est, quant à elle, un ensemble de bonnes pratiques pour la gestion des systèmes d’information des entreprises.
Chez GlobalSuite Solutions, nous proposons nos services d’aide et de conseil à tous les types d’entreprises et de secteurs pour la mise en œuvre des systèmes de gestion requis par ces normes. Nous disposons également du logiciel GlobalSUITE®, développé par notre équipe, un outil qui permet la mise en œuvre, la gestion et le maintien des exigences requises par les différentes normes ISO.
