En France, c’est près de 90% des entreprises qui sont touchées par des cyber-attaques et parfois sans le savoir pendant un moment. Hélas, une fois ce moment venu, c’est en moyenne 1.3M d’€ de dommages et 15 jours d’interruption des services. Il est donc important d’avoir un cadre qui permet de se sentir en sécurité. Il faut qu’il y ait des règles et par conséquent des normes.

 

Norme : définition

Une norme, du latin norma qui signifie l’équerre ou la règle, permet de définir de façon virtuelle ou non tout ce qui est normal (ce qui rentre dans la norme) ou anormal (ce qui sort de la norme).

Les normes sont le produit de savoirs accumulés au fil du temps afin de déterminer une manière convenue de faire quelque chose. 

Au sens de la loi, le terme “norme” fait référence aux règles obligatoires instaurées par les autorités publiques que l’on peut retrouver dans la législation, la Constitution, les décrets, les ordonnances, etc.

Au sein des entreprises, elles permettent de couvrir un grand nombre d’activités mises au service des clients et des salariés.

 

Les normes, à quoi ça sert ?

Les normes remplissent plusieurs fonctions et objectifs. Elles permettent de :

  • faciliter les échanges en commerce
  • fonder des lois pour un pays en s’appuyant sur des normes internationales 
  • poser un cadre dans lequel évoluer pour favoriser l’interopérabilité entre les pays avec des normes communes. Par exemple, les normes sur la sécurité des jouets pour protéger les enfants.
  • contrôler la qualité pour diminuer les défaillances des produits et services
  • faciliter l’accessibilité aux personnes en situation de handicap
  • gérer la consommation énergétique pour réduire les coûts
  • diminuer les accidents au travail (si elle est relative à la santé et à la sécurité)
  • renforcer la protection des clients/utilisateurs/salariés

C’est notamment sur ce dernier point que nous allons nous pencher dans cet article, et plus particulièrement sur les normes ISO, relatives à la sécurité des informations sensibles.

 

Norme ISO/IEC 27001:2013 & son extension ISO/IEC 27701:2019

Parmi les douzaines de normes comprises dans la famille des normes ISO/IEC 27000, la ISO/IEC 27001:2013 est certainement la plus connue. Cette norme concerne la sécurité de l’entreprise dans les risques concernant l’organisation, les clients et partenaires, les salariés, les relations commerciales etc… 

Cela se traduit par différents processus couvrant un large nombre de failles potentielles afin d’assurer un haut niveau de sécurité.

On retrouvera donc :

  • l’analyse des risques et de ses moyens de contrôle
  • la gestion des actifs
  • les contrôles d’accès
  • la gestion des fournisseurs (s’ils sont français ou non)
  • la conformité des entreprises partenaires pour assurer une sécurité globale lors des échanges

👀 On vous conseille la checklist de cet article : Checklist : ISO/IEC 27001:2013 pour les nuls 

 

Les derniers points se rapportent plus à l’extension 27701:2019, portée sur la protection de la vie privée. Celle-ci n’est pas sans importance, car elle vise à maintenir et à améliorer en continue un système de management de la protection de la vie privée (PIMS).

Comme chez Hyperlex (car oui, nous avons la certification et son extension), il faut donc traiter tous les partenaires et les sous-traitants pour veiller à ce que les informations de chacun soit chiffrées, sécurisées, et effaçables sur demande, à tout moment, pour limiter au maximum tous risques de vols de données personnelles.

 

Vous souhaitez en savoir plus ? 

Regardez notre webinar dédié : Comment sécuriser les données juridiques de l’entreprise dans le cloud ?

 

Je regarde le replay

 

A lire aussi :