Sélectionner une page

Qu’est-ce que la norme ISO 27001 ?

Comment sécurise-t-on l’information dans une entreprise ? Qui a accès à quoi et quand ? Quelles mesures de protection permettent d’assurer la confidentialité, la disponibilité et l’intégrité de l’information ? Comment les données sont-elles protégées ? Quels sont les risques ? Et comment les minimiser ?

La certification ISO/IEC 27001:2013 a pour objectif de répondre à toutes ces questions, et bien plus. A quoi sert précisément cette norme ? Comment l’obtenir ? On vous dit tout ce que vous avez toujours voulu savoir sur ISO 27 001 (sans jamais oser le demander).

Certification ISO 27001, définition

ISO/IEC 27001:2013 est une certification internationale de référence, pionnière dans le domaine de la sécurité informatique et établie par l’Organisation Internationale pour la Standardisation (ISO). 

Le certificat ISO 27001 est délivré par une entité de certification tierce partie comme, par exemple l’AFNOR en France. Il atteste qu’une entreprise a déployé un système de management de la sécurité (SMSI).

Pour obtenir la certification ISO/IEC 27001:2013, les entreprises doivent suivre une méthodologie bien définie pour identifier les menaces et minimiser les risques en mettant en place les mesures de protection appropriées.

💡 Tout est dans le nom !

Pourquoi ce nom ? D’abord car ISO est dérivé du grec « ISOs », qui signifie égal. Et ensuite, parce que “International Organization for Standardization” (Organisation internationale de normalisation) aurait eu des acronymes différents selon les langues (IOS en anglais, OIN en français), les fondateurs ont donc décidé de lui donner la forme courte ISO. Et comme ça, quel que soit le pays, quelle que soit la langue, ISO sera toujours ISO !

Norme ISO 27001 : à quoi sert-elle ?

La certification ISO 27001 permet aux entreprises de détecter, analyser et corriger tous les risques pour l’organisation, ses partenaires et ses clients, dans le cadre de la réalisation d’une relation commerciale, contractuelle ou autre. En certifiant l’intégralité des activités d’une entreprise, vous pouvez présenter des standards de sécurité extrêmement élevés afin de limiter les risques de tous vos partenaires et clients.

Le saviez-vous ? La norme ISO 27001 traite de différents aspects, et notamment :

  • l’implication de la direction dans les processus de sécurité ainsi que la gouvernance du projet ;
  • l’analyse des risques et de ses moyens de contrôle ;
  • l’amélioration continue du SMI ainsi que les audits et contrôles effectués ;
  • la communication interne et externe et ses implications ;
  • la sécurité des ressources humaines ;
  • la gestion des actifs (matériels, outils, processus, informations…) ;
  • les contrôles d’accès ;
  • la sécurité physique et environnementale ;
  • l’utilisation et la définition des moyens cryptographiques, aussi bien sur les postes de travail que pour les données des clients ;
  • la sécurité dans l’exploitation, dans les réseaux et dans les développements ;
  • la gestion des fournisseurs ;
  • la gestion des incidents de sécurité de tous niveaux, la continuité d’activité et la gestion de crise ;
  • la conformité d’une entreprise ainsi que celle de tous ses partenaires aux standards de sécurité poussés ainsi qu’aux normes et lois en vigueur.

Que couvre la norme ISO/IEC 27001?

La norme ISO/IEC 27001 comporte 10 chapitres et une annexe. L’annexe est composée des 114 mesures de sécurité classées dans 14 sections, qui couvrent des domaines très variés :

 

  • les politiques de sécurité de l’information
  • l’organisation de la sécurité de l’information
  • la sécurité des communications, l’acquisition, le développement et la maintenance des systèmes d’information
  • la sécurité de l’information dans la gestion de la continuité de l’activité ou encore la conformité
  • la sécurité liée à l’exploitation (ex : sauvegardes)
  • la gestion des actifs
  • les contrôle des accès, la cryptographie, la sécurité physique et environnementale
  • la sécurité des ressources humaines

Le glossaire ISO 27001

SMSI : “Système de Management de la Sécurité de l’Information”. Il compose ISO 27001 via des documents, des processus, des informations, des outils et des technologies nous permettant de garantir la sécurité de l’information.

Le but d’ISO 27001 est de mettre en place le SMSI de l’entreprise, d’analyser ses risques et de prendre un maximum de mesures permettant de réduire ces risques afin de garantir la protection et la sécurité des informations.

SMI : “Système de Management Intégré”. C’est un mélange entre ISO 27001 et ISO 27701. Cela implique qu’un SMSI traite également des données sensibles et est complètement intégré dans nos processus en tant que sous-traitant et fournisseur.

    Quelques chiffres ISO/IEC 27001:2013

    •  350 – c’est le nombre de certificats ISO/IEC 27001 en France en 2019
      un chiffre en augmentation de + 57 % par rapport à 2018

    • 36 300 – c’est le nombre de certificats ISO/IEC 27001 dans le monde en 2019
      un chiffre en augmentation de + 14 % par rapport à 2018

    • Il existe deux types de certification : obligatoire ou facultative

    💡 Pour aller plus loin

    Connaissez-vous ISO 27701:2019 ? C’est est l’extension de ISO/IEC 27001 relative à la protection de la vie privée.

    💡 Bon à savoir

    Il vous faut compter 6 à 12 mois pour obtenir la certification ISO 27001.

    Quelle formation pour ISO 27001 ?

    Il existe des myriades de formations ISO/IEC. Des sociétés comme Deloitte, Lead Implementer, l’AFNOR, HS2, IT governance, M2i ou BSI en proposent, et elles durent environ 1 semaine. Mais vous n’êtes pas obligés de les suivre pour obtenir la certification 

    Quelles sont les bonnes pratiques de la norme ISO 27001 ?

    1) Ne faites pas de la documentation pour faire de la documentation. Tout ce que vous écrivez doit être appliqué dans l’entreprise.

    2) Faites en sorte que tout soit simple d’utilisation. Créer un SMI massif, c’est bien, mais si personne ne sait l’utiliser, cela ne vous servira à rien !

    A lire aussi :
    Qu’est-ce que la compliance ?
    Sécurité : 15 questions à poser à votre CLM

    Bon à savoir

    Depuis sa création, l’ISO publie chaque mois des informations sur ses comités techniques, les normes publiées et les changements administratifs concernant l’organisation et ses membres.

    La petite histoire de l’ISO

     

    En 1946, à Londres, 65 délégués de 25 pays se réunissent pour discuter de l’avenir de la normalisation internationale. En 1947, l’ISO voit officiellement le jour avec 67 comités techniques : des groupes d’experts se concentrant sur un sujet spécifique.

    Les premiers bureaux de l’ISO
    En 1949, l’ISO s’installe dans les bureaux d’une petite maison privée à Genève. Au début des années 1950, le Secrétariat central compte 5 membres du personnel.

    La première norme de l’ISO
    En 1951, la première norme ISO “ISO/R 1:1951” Température de référence normalisée pour les mesures industrielles de longueur, est publiée. Depuis lors, la norme a été mise à jour à de nombreuses reprises et est désormais la norme ISO 1:2016 Spécifications géométriques des produits (GPS) – Température de référence normalisée pour les spécifications géométriques des produits.

    L’ISO et les pays en développement
    Au cours des années 1960, l’ISO s’efforce d’inclure davantage de pays en développement dans ses travaux de normalisation internationale. En 1961, elle crée le DEVCO, un comité pour les questions relatives aux pays en développement, et en 1968, elle introduit le statut de membre correspondant. Celle-ci permet aux pays en développement d’être informés des travaux de la Normalisation internationale sans avoir à payer le coût total de l’adhésion à l’ISO.
    Le statut de membre correspondant reste aujourd’hui une option populaire pour de nombreux pays. Au début de 2012, l’ISO comptait 49 membres.

    Une orientation internationale
    Dans les années 1970, le Secrétaire général de l’ISO, Olle Sturen, s’attache à faire de l’ISO une organisation véritablement internationale. Si les membres de l’ISO viennent du monde entier, au début des années 1970, ils sont relativement peu nombreux à être pleinement actifs dans l’élaboration des normes internationales. Les visites de Sturen aux membres aboutissent à la participation active de pays comme l’Australie, le Japon et la Chine. Le secrétariat central reflète également ce sentiment international, avec une moyenne de 25 nationalités représentées.

    L’ISO passe au numérique
    En 1995, l’ISO lance son premier site Web. Cinq ans plus tard, en 2000, l’ISO commence à vendre ses normes en ligne.