ISO 27001 : le guide ultime de l'étalon-or

• Une certification ISO 27001 confirme qu'une entreprise répond aux normes internationales en matière de sécurité de l'information et fournit un cadre structuré pour protéger les informations sensibles.
• La certification renforce la confiance des clients et des partenaires, améliore la conformité aux réglementations en matière de protection des données telles que le RGPD et ouvre de nouvelles opportunités commerciales.
• Le processus de certification comprend la mise en œuvre d'un système de gestion de la sécurité de l'information (ISMS) basé sur la gestion des risques, les contrôles de sécurité et un examen continu.
• Les entreprises qui optent pour la certification ISO 27001 bénéficient d'une meilleure structure de sécurité, minimisent les risques potentiels et garantissent une conformité à long terme.
• Les coûts de certification varient en fonction de la taille de l'entreprise et peuvent être considérablement réduits en utilisant des plateformes de conformité spécialisées telles que Kertos.

Qu'est-ce que la norme ISO 27001 ?

La collaboration entre l'Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (IEC) a donné lieu à la publication de plus d'un Des dizaines de normes de la série ISO/IEC 27000. La norme ISO/IEC 27001 est la norme la plus connue et la seule de la série ISO 27000, selon laquelle les entreprises peuvent être certifiées.

La norme ISO/IEC 27001 est une norme internationale pour la sécurité de l'information. La norme définit une approche systématique pour la mise en œuvre des politiques, des procédures, de la documentation et des contrôles et inclut des personnes, des éléments qui forment ensemble un système de gestion de la sécurité de l'information (ISMS), pour aider les entreprises à : Confidentialité, intégrité et disponibilité pour garantir leur information.

La norme ISO 27001 fournit un cadre pour l'établissement, la mise en œuvre et l'amélioration continue d'un ISMS. En respectant les exigences en matière d'évaluation des risques, de mise en œuvre de mesures de sécurité et de contrôles réguliers décrites dans la norme ISO/IEC 27001, les organisations peuvent identifier, gérer et atténuer les risques qui pèsent sur leurs actifs informationnels.

La norme NORME ISO 27001 est toujours populaire sur tous les continents et dans tous les secteurs d'activité, avec une variété d'options spécifiques à chaque pays et à chaque secteur disponibles. Lisez ce billet de blog pour savoir comment vous pouvez obtenir la certification ISO 27001 et comment Kertos peut vous aider à y parvenir.

Pourquoi les entreprises ont-elles besoin de la certification ISO 27001 ?

Dans le cadre de la transformation numérique, la plupart des informations des entreprises modernes sont disponibles sous forme numérique, mais certaines valeurs moins tangibles, telles que les politiques et procédures, les connaissances protégées et le consentement de la direction, peuvent également être perdues ou compromises. Une violation ou un accès non autorisé à l'un de ces actifs pourrait avoir un impact négatif sur une organisation.

Les organisations doivent prendre des mesures de sécurité strictes pour lutter contre les risques potentiels liés à la sécurité des données. Ces mesures sont souvent ponctuelles et diffèrent d'une entreprise à l'autre. Bref, elles ne sont pas compatibles avec les cyberrisques croissants. C'est là qu'un cadre reconnu au niveau international pour les meilleures pratiques en matière de sécurité de l'information, ISO 27001, s'avère utile, qui fournit un cadre robuste pour la sécurité des actifs informationnels numériques et non numériques. La norme ISO 27001 fournit aux entreprises un cadre structuré pour protéger leurs actifs informationnels.

Il inclut la gestion des risques, les contrôles, les politiques et les procédures en tant que composants essentiels pour la création et l'amélioration continue de l'ISMS. Lorsqu'une entreprise est certifiée conformément à la norme ISO 27001, cela signifie que son ISMS repose exactement sur les composants décrits dans la norme ISO 27001 et que l'entreprise se conforme donc aux normes les plus strictes en matière de sécurité de l'information.

Contrairement à des réglementations telles que le RGPD et le CCPA, dont la conformité est indispensable pour les organisations, la conformité à la norme ISO 27001 n'est pas obligatoire. La norme ISO 27001 est plutôt une certification volontaire que les entreprises choisissent pour démontrer leur engagement en matière de sécurité de l'information sans y être obligées par la loi. Les clients, les parties prenantes et les partenaires font confiance aux entreprises certifiées ISO 27001, ce qui leur ouvre de nouvelles opportunités commerciales et leur confère un avantage concurrentiel sur le marché international.

Bien que la norme ISO 27001 elle-même n'ait aucune incidence directe sur l'attribution ou non d'un contrat aux sous-traitants, certaines entreprises peuvent exiger de leurs fournisseurs qu'ils respectent certaines normes de sécurité définies dans le contrat qui les lie. La certification ISO 27001 est généralement attendue, en particulier dans les secteurs sensibles tels que la santé et la finance. L'annexe A.15 traite de la gestion des risques liés à la sécurité de l'information chez les fournisseurs avec lesquels une entreprise partage l'accès aux actifs informationnels. Cela nécessite la création d'un accord sur le partage de données afin d'optimiser les processus commerciaux entre une entreprise et son fournisseur. Les points clés de l'A.15 sont les suivants :

• Les exigences de sécurité de l'information visant à atténuer les risques associés à l'accès des fournisseurs aux ressources de l'organisation doivent être convenues et documentées.

• Définir les exigences pertinentes en matière de sécurité des informations, qui sont convenues avec chaque fournisseur qui a accès aux informations de l'entreprise, les traite, les stocke, les transmet ou fournit des composants d'infrastructure informatique pour les informations de l'entreprise.

• Définition des exigences pour la gestion des risques de sécurité de l'information associés aux services des technologies de l'information et de la communication et à la chaîne d'approvisionnement des produits dans les accords avec les fournisseurs.

• Suivi, examen et audit réguliers de la fourniture de services par les fournisseurs.

• Sur la base de nouvelles évaluations du risque et de la sensibilité des informations commerciales, les dispositions des conditions convenues devraient être modifiées, notamment en maintenant et en améliorant les politiques, procédures et contrôles existants en matière de sécurité de l'information.

Meilleures pratiques pour préparer la certification ISO

L'ISO 27001 étant une norme complexe, il ne suffit pas de mettre en œuvre une seule mesure, mais un ensemble ISMES être mis en place. Un concept ISMS solide qui protège l'inventaire d'informations d'une entreprise contre les personnes non autorisées.

Un ISMS solide, qui protège la base d'informations d'une entreprise contre toutes les menaces possibles, prend près d'un an ou plus pour être correctement mis en œuvre, et la certification recommandée. La norme ISO 27001 se distingue des autres normes et cadres en raison de son approche en matière de conformité. Alors que d'autres normes et cadres mettent l'accent sur la mise en œuvre de contrôles de sécurité spécifiques, la démonstration de la conformité à la norme ISO 27001 ne nécessite pas le strict respect de contrôles techniques spécifiques ; l'accent est plutôt mis sur la découverte des risques et l'adoption d'une approche proactive pour atténuer ces risques dans l'ensemble de la position de sécurité de l'organisation.

Étant donné que ce cadre est gestion des risques Privilégiant les contrôles techniques obligatoires, une liste de contrôle ISO 27001 universelle ne peut que garantir une certification dans certains cas. Malgré les plus d'une douzaine de contrôles répertoriés dans « l'annexe A » de la norme, pratiquement aucune entreprise ne met en œuvre tous les contrôles pour être certifiée conformément à la norme ISO 27001. Au contraire, chaque entreprise peut décider elle-même de mettre en œuvre une gamme appropriée de mesures de contrôle afin de neutraliser au mieux les risques qui pèsent sur ses processus commerciaux. L'Organisation internationale de normalisation (ISO) ne délivre pas elle-même de certifications ISO 27001. Au lieu de cela, des auditeurs externes ou des auditeurs d'organismes de certification accrédités déterminent si le système ISMS d'une entreprise a été conçu sur la base des meilleures pratiques de sécurité et conformément aux normes ISO. Les auditeurs utilisent leur expérience professionnelle pour évaluer l'ISMS d'une entreprise et déterminer s'il répond aux exigences de certification.

Par où commencer pour obtenir la certification ISO 27001 ?

Définir le champ d'application de l'ISMS

La section 4.3 de la norme ISO 27001 vise à définir le champ d'application de l'ISMS d'une entreprise. La définition du champ d'application permet de déterminer les domaines dans lesquels l'ISMS doit être utilisé. Selon les services de l'organisation qui ont besoin de créer, d'accéder ou de traiter les informations sensibles, le champ d'application de l'ISMS peut inclure les systèmes, les processus, les filiales, les divisions, etc. de l'entreprise.

Déterminer le périmètre peut prendre quelques minutes dans les petites entreprises, mais jusqu'à un an ou plus dans les grandes entreprises. Par exemple, la portée de l'ISMS pour une plateforme SaaS qui gère les données de santé des sociétés pharmaceutiques peut inclure la conception, le développement, le support technique, les ventes et le marketing.

Pour cette plateforme, il faudrait beaucoup plus de temps pour définir le champ d'application de l'ISMS car plusieurs départements sont concernés.

Pour répondre aux attentes des clients en matière de sécurité des informations, les entreprises doivent se concentrer non seulement sur le développement et la livraison de produits, mais également sur les personnes, les processus et les zones géographiques. Les parties prenantes importantes, les principaux clients et les entreprises à fort pouvoir d'achat ont besoin d'un domaine d'application qui couvre l'ensemble de l'entreprise, qui est désormais également promu par les organismes de certification ISO tels que les services d'accréditation du Royaume-Uni (UKAS).

Réaliser une évaluation des risques

Une évaluation des risques est requise pour se conformer à la norme ISO 27001 et garantir qu'elle répond de manière adéquate aux menaces ISMS. Une évaluation des risques à l'échelle de l'entreprise permet d'identifier les contrôles requis et de créer des plans de traitement des risques hiérarchisés afin d'atténuer les risques applicables. L'évaluation des risques ISO varie d'une entreprise à l'autre ; aucune entreprise n'a les mêmes risques et évaluations.

L'évaluation des risques commence par la création d'une liste des actifs informationnels d'une entreprise, puis par l'identification des risques associés. Les menaces et les vulnérabilités incluent l'accès non autorisé, le détournement de fonds, l'espionnage, la sécurité inadéquate des données et la gestion des mots de passe.

Pour chaque risque identifié, les effets doivent être calculés et évalués sur une échelle de 1 à 10. La classification des risques en fonction de leur impact et de leur probabilité permet de planifier et de hiérarchiser le processus de traitement des risques. Le plan de traitement des risques comprend la documentation des réponses de l'organisation aux menaces, vulnérabilités et risques identifiés.

Détermination complète de l'applicabilité

Avec le plan de traitement des risques, la déclaration d'applicabilité (SOA) est un document important lors de la réalisation d'une évaluation des risques ISO 27001. La SOA fournit aux auditeurs et aux parties prenantes transparence et clarté pour démontrer la conformité de l'entreprise aux exigences de la norme ISO 27001.

Selon la section 6.1.3 de la norme ISO 27001, un SOA doit inclure :

• Quels contrôles de l'annexe A ont été mis en place pour répondre aux risques identifiés

• justification des préférences en matière de contrôles et de leur mise en œuvre, et

• Quels contrôles ont été exclus et pourquoi ?

Documentation des politiques de sécurité de l'information

En collaboration avec la haute direction, les professionnels de la sécurité de l'information et les conseillers juridiques, les entreprises doivent établir une série de directives, les publier et communiquer au sein de l'organisation. Lors de la formulation des politiques, les exigences commerciales, les réglementations et les lois applicables à l'entreprise doivent être prises en compte. Les principes énoncés dans les directives doivent être respectés à la fois par les employés de l'entreprise et par les fournisseurs tiers.

L'ISO exige que les directives soient régulièrement revues et mises à jour lorsque des failles de sécurité, des événements ou des incidents suggèrent qu'un changement de politique est nécessaire, y compris des avancées technologiques et législatives.

Mise en pratique de l'ISMS

La mise en œuvre de l'ISMS nécessite la mise en place de procédures conformes aux paragraphes 6 à 10. Ces sections traitent de la planification, de la gestion des risques, de l'élaboration des politiques, de la mise en œuvre des procédures, du suivi et de la manière dont les politiques et stratégies formulées peuvent être maintenues à jour grâce à des mises à jour et à des améliorations.

S'assurer que les principes et les stratégies sont cohérents avec les mesures tactiques montre également la nature opérationnelle et reproductible de l'ISMS. Cela signifie que les processus et activités établis (évaluation des risques, mise en œuvre de processus de contrôle, suivi des chiffres clés et identification et mise en œuvre de mesures correctives) peuvent être réalisés de manière fiable dans le temps.

Réalisation d'un audit interne

Un audit par l'équipe interne seule ou sous la supervision de consultants externes est nécessaire pour suivre l'ISMS et rendre compte des résultats à la direction. Un audit interne réalisé de manière indépendante aide une entreprise à identifier tout écart par rapport à l'ISMS et à recommander des options d'amélioration possibles.

La prochaine action devrait consister à prendre des mesures correctives et à évaluer leur efficacité. La haute direction devrait revoir en permanence le système et planifier des réunions d'examen régulières pour discuter de l'état actuel des révisions du ISMS, des commentaires issus des audits internes et des évaluations des risques, et documenter les résultats et les mesures connexes.

Embaucher un organisme de certification accrédité

Enfin, il est temps qu'un organisme de certification accrédité soit chargé de réaliser l'audit. L'audit comprend deux phases. Au cours de la première phase, l'organisme de certification vérifie si l'entreprise dispose de tous les documents et procédures nécessaires, ainsi que des preuves de mise en œuvre, des indicateurs définis avec précision et le soutien de la direction.

Dans un premier temps, l'organisme de certification vérifie si l'entreprise dispose de tous les documents et processus nécessaires, si la mise en œuvre a été prouvée, si les valeurs de mesure sont connues et si la direction fournit un soutien.

Dès que ces exigences sont remplies, l'organisme de certification passe à un audit détaillé de phase 2, qui examine la conformité des contrôles appliqués dans l'entreprise aux exigences énoncées dans la norme. Dans cette phase, l'auditeur s'appuie sur les évaluations de la première phase pour vérifier que l'entreprise a effectivement mis en œuvre tout ce qui est indiqué dans la documentation. Les entreprises devraient mettre en œuvre des mesures correctives pour corriger les écarts identifiés par les auditeurs et suivre leur efficacité.

Une fois que l'entreprise a obtenu la certification ISO 27001, elle doit se soumettre à un audit de suivi annuel pour maintenir la conformité à la norme ISO 27001. Bien que ces audits récurrents ne soient pas aussi rigoureux que ceux de la phase 2, le non-respect de l'une des exigences pourrait entraîner le retrait de la certification avant la date d'expiration spécifiée.

Coûts de la certification ISO 27001

Les coûts de la certification ISO dépendent largement de la taille de l'entreprise et de la complexité de l'ISMS. Les coûts sont principalement répartis dans les domaines suivants :

• Formation du personnel en ce qui concerne les meilleures pratiques complexes de la norme ISO 27001.

• Réaliser une analyse de vulnérabilité pour identifier les lacunes de l'ISMS et l'améliorer afin qu'il réponde aux exigences de la norme.

• Embaucher un service de conseil familiarisé avec la certification ISO 27001 pour comprendre les exigences ISO 27001, développer un ISMS à partir de zéro et démarrer la certification ISO 27001.

• Les frais du fournisseur d'accréditation.

En résumé, la phase préparatoire, qui comprend la définition du champ d'application de l'ISMS, l'identification de l'endroit où les informations sensibles sont stockées, la réalisation d'une évaluation des risques et la mise en œuvre de politiques et de contrôles, coûte entre 10 000 et 39 000 dollars américains. Le coût de l'embauche d'un auditeur est de 14 000 à 16 000 dollars pour une petite entreprise en démarrage. L'embauche de l'un des quatre principaux cabinets d'audit (PwC, Deloitte, Ernst & Young et KPMG) entraîne des coûts élevés.

Une fois certifiés, le coût des audits de surveillance est généralement de 6 000 à 7 500 dollars par audit. Si vous le faites vous-même, le coût de la certification peut aller de 57 000 à 78 000 dollars américains ; si vous engagez un consultant pour effectuer la certification, les coûts peuvent atteindre 66 000 à 69 000 dollars américains. Cependant, si vous profitez d'une plateforme de conformité pour la certification, les coûts peuvent être considérablement réduits et se situent largement entre 43 000 et 51 000 dollars américains.