La norme ISO 27001 : la mise en place chez TheCodingMachine !

Si vous ne savez pas ce qu’est la norme ISO 27001, voici un article qui décrit succinctement ce qu’elle est, pourquoi nous faisons cette démarche et où nous en sommes. C’est un projet en cours, pas encore un retour d’expérience. Si vous souhaitez échanger avec moi sur le sujet, n’hésitez pas à prendre contact !

Image illustrant la cybersécurité pour la norme ISO 27001

D’abord, quels sont les points clés de la norme ISO 27001 ?

La norme ISO 27001 est une norme internationale de gestion de la sécurité de l’information. Elle est là pour mettre en place, maintenir, surveiller et améliorer un système de gestion de la sécurité de l’information (SMSI) au sein d’une organisation. L’objectif principal de l’ISO 27001 est de garantir la confidentialité, l’intégrité et la disponibilité des informations sensibles et critiques. En quelques points clés : 

  • Elle vise à aider les organisations à établir un cadre pour identifier, évaluer et gérer les risques liés à la sécurité de l’information : la perte de données, la cybercriminalité, les violations de sécurité, les interruptions de service et d’autres menaces liées à l’information.
  • La mise en place d’un SMSI implique l’identification des actifs d’information critiques, l’évaluation des risques, la mise en place de contrôles de sécurité appropriés, la formation des employés et la surveillance continue de la performance du SMSI.
  • Les organisations doivent être auditées par des tiers indépendants pour vérifier leur conformité à la norme ISO 27001. 

Cette norme encourage enfin l’amélioration continue de la gestion de la sécurité de l’information. Les organisations sont incitées à surveiller et à réviser régulièrement leur SMSI pour s’assurer qu’il reste efficace face aux menaces changeantes.

Pourquoi mettre en place cette démarche ?

Nous avons entamé cette démarche, il faut l’avouer, un peu sous la contrainte. Un de nos gros clients l’exigeait de la part de ses partenaires. En y regardant de plus près, nous nous sommes dits que cela pouvait être intéressant pour plusieurs raisons : 

  • Mieux protéger les informations sensibles comme les données des clients, les données financières ou bien les secrets commerciaux.
  • Réduire les menaces et les incidents de sécurité tels que les violations de données, les interruptions de service et les cyberattaques.
  • Se conformer aux exigences légales et réglementaires en matière de sécurité de l’information. 
  • Renforcer la confiance avec nos clients, nos partenaires commerciaux.
  • Mieux gérer la continuité des activités, être préparé à faire face aux interruptions de service, aux catastrophes et aux situations d’urgence.

Et puis nous espérons aussi que cette démarche va nous permettre : 

  • D’améliorer notre efficacité opérationnelle en rationalisant les processus et les opérations liés à la sécurité de l’information.
  • Et éventuellement de réaliser des économies (les incidents de sécurité peuvent entraîner des coûts significatifs).

Ce que nous avons fait et ce qu’il nous reste à faire !

La première chose que nous avons faite est de créer une équipe projet avec des collaborateurs de différents services connaissant nos différents processus : SI, RH, Direction, Commercial, Projets, Direction Technique. Cette équipe accompagnée d’un auditeur externe de France Certification nous a permis de conduire une première évaluation de la situation : l’identification des actifs d’information (les données, les systèmes, les équipements, les documents et les processus), les menaces que nous pourrions rencontrer, les vulnérabilités et les risques associés.

Ensuite, nous avons défini les objectifs de notre SMSI en identifiant les processus, les services, les emplacements et les actifs d’information qui seront inclus dans son périmètre. Nous avons aussi rédigé : notre charte informatique, notre politique de développement sécurisé, notre politique de transfert etc. Nous avons aussi énoncé les engagements de l’organisation en matière de sécurité.

Enfin, nous avons mis en place, les premiers éléments de notre SMSI : 

  • La gestion des actifs d’information comme les données, les systèmes, les équipements et les documents. Par exemple, nous nous sommes rendus compte à cette étape que nos leasings n’étaient pas très bien gérés (nous avions encore des leasings sur des ordinateurs que nous n’avions plus !). 
  • L’analyse des risques de sécurité de l’information en identifiant et en évaluant les risques associés aux actifs d’information. C’est certainement la phase la plus longue, il faut passer sur tous les risques et toutes les vulnérabilités liés à votre organisation.
  • En fonction des risques que nous avions identifiés, nous avons élaboré et mis en place un plan de traitement et des contrôles de sécurité grâce à l’Annexe A de la norme ISO 27001. Ils incluent des contrôles techniques, organisationnels et physiques.
  • Le plan de traitement des risques qui définit comment les risques sont évalués, gérés et surveillés au fil du temps.
  • La structure organisationnelle, y compris les responsabilités et les rôles liés à la sécurité de l’information, a été clairement définie.
  • Les procédures pour gérer les incidents de sécurité, tout doit être enregistré, étayé et stocké.

Par ailleurs, plusieurs réunions ont été conduites avec l’ensemble des collaborateurs pour les sensibiliser à la sécurité de l’information, pour comprendre les risques et les pratiques de sécurité. Pour rendre le sujet un peu ludique, nous avons même réalisé plusieurs quiz et tests aléatoires afin de nous assurer que le message était bien passé et suffisamment intégré.

Les prochaines étapes sont d’effectuer un audit interne pour évaluer la conformité aux exigences de la norme ISO 27001 et pour identifier les éventuels écarts et l’audit de certification qui sera mené par un organisme de certification accrédité.

Conclusion

La mise en place d’une démarche de certification de la norme ISO 27001 demande du temps et de l’engagement, mais nous estimons qu’elle est essentielle pour renforcer la sécurité de l’information et répondre aux exigences de sécurité.

La suite au prochain épisode : date de l’audit externe septembre ! On vous tient au courant…

Un article de Nicolas Peguin

Vous pourriez également être intéressé par notre article sur la gestion de la sécurité web avec OWASP


par TheCodM

Articles similaires TAG