ISO 27001 : se protéger et protéger les autres des risques Cyber
Nomadisme, extranet client, applications mobiles, accès aux locaux et aux systèmes d’information… les entreprises évoluent dans un contexte de cyber-risques contre lesquels il est primordial de se prémunir. Coup de projecteur sur la démarche ISO 27001 qui amène les organisations à se pencher sur la gestion de leurs risques cyber.
Toutes les entreprises qui évoluent dans l’univers des systèmes d’information vous le diront : il est impossible de se protéger à 100% des menaces cyber. Le nombre croissant de collaborateurs connectés aux systèmes d’information, l’interconnexion entre les réseaux des parties prenantes de l’entreprise et la sophistication grandissante des attaques accentuent la probabilité d’être confronté un jour ou l’autre à un incident de sécurité.
Mais si le risque zéro n’existe pas, les entreprises ont aujourd’hui le devoir de tout mettre en œuvre pour réduire les risques au maximum. Mais comment savoir par où commencer ? Quelles sont les actions à mener ? Et comment être sûr que ces actions couvriront bien l’ensemble des risques ? C’est dans cette optique qu’a été créée la norme ISO 27001.
Prioriser les risques cyber à couvrir
La norme ISO 27001 a été créée en 2005, puis révisée en 2013, pour faire évoluer les niveaux de sécurité des systèmes de management des organisations. Plus pragmatique que sa cousine ISO 9001, la 27001 apporte de nouvelles exigences à prendre en compte pour garantir la protection des actifs de l’entreprise. L’annexe de la norme ISO 27001 présente ainsi 15 objectifs de résultats et de moyens à mettre en place, sous forme de bonnes pratiques en matière de sécurité : faire des tests d’intrusion, faire des audits réguliers, appliquer les correctifs pour pallier les dernières vulnérabilités recensées, etc.
L’intérêt de cette norme est de donner l’occasion à l’entreprise de s’interroger sur la nature de ses propres risques. Plaquer sur son organisation un système de sécurité préconçu, sous prétexte qu’il fonctionne chez les autres, serait contre-productif. Rappelons que, en matière de menaces cyber, le diable se niche souvent dans les détails. Il est également impossible de sécuriser avec la même intensité tous les recoins de l’entreprise. La norme invite donc à se poser la question des risques, la question des coûts, la question des ressources, et donc à prioriser les actions à entreprendre.