ISO 27001 : se protéger et protéger les autres des risques Cyber

Nomadisme, extranet client, applications mobiles, accès aux locaux et aux systèmes d’information… les entreprises évoluent dans un contexte de cyber-risques contre lesquels il est primordial de se prémunir. Coup de projecteur sur la démarche ISO 27001 qui amène les organisations à se pencher sur la gestion de leurs risques cyber.

Toutes les entreprises qui évoluent dans l’univers des systèmes d’information vous le diront : il est impossible de se protéger à 100% des menaces cyber. Le nombre croissant de collaborateurs connectés aux systèmes d’information, l’interconnexion entre les réseaux des parties prenantes de l’entreprise et la sophistication grandissante des attaques accentuent la probabilité d’être confronté un jour ou l’autre à un incident de sécurité.

Mais si le risque zéro n’existe pas, les entreprises ont aujourd’hui le devoir de tout mettre en œuvre pour réduire les risques au maximum. Mais comment savoir par où commencer ? Quelles sont les actions à mener ? Et comment être sûr que ces actions couvriront bien l’ensemble des risques ? C’est dans cette optique qu’a été créée la norme ISO 27001.

Prioriser les risques cyber à couvrir

La norme ISO 27001 a été créée en 2005, puis révisée en 2013, pour faire évoluer les niveaux de sécurité des systèmes de management des organisations. Plus pragmatique que sa cousine ISO 9001, la 27001 apporte de nouvelles exigences à prendre en compte pour garantir la protection des actifs de l’entreprise. L’annexe de la norme ISO 27001 présente ainsi 15 objectifs de résultats et de moyens à mettre en place, sous forme de bonnes pratiques en matière de sécurité : faire des tests d’intrusion, faire des audits réguliers, appliquer les correctifs pour pallier les dernières vulnérabilités recensées, etc.

L’intérêt de cette norme est de donner l’occasion à l’entreprise de s’interroger sur la nature de ses propres risques. Plaquer sur son organisation un système de sécurité préconçu, sous prétexte qu’il fonctionne chez les autres, serait contre-productif. Rappelons que, en matière de menaces cyber, le diable se niche souvent dans les détails. Il est également impossible de sécuriser avec la même intensité tous les recoins de l’entreprise. La norme invite donc à se poser la question des risques, la question des coûts, la question des ressources, et donc à prioriser les actions à entreprendre.

Cécile FOK TONG

Responsable Qualité

Cécile FOK TONG est Responsable Qualité chez Hub One. Ingénieur en Génie Biologique de formation, elle est tombée sous le charme de l’Ile Maurice et de son côté très cosmopolite : des cultures, des religions et des personnes foncièrement différentes qui parviennent à vivre ensemble sur un tout petit bout de terre à couper le souffle. Le gadget technologique dont elle ne pourrait plus se passer reste sans nul doute son enceinte Bluetooth qu’elle emmène partout avec elle pour ne jamais avoir à vivre sans musique !