Utilité de la norme ISO27001 et grandes étapes de déploiement

Nous entendons de plus en plus, dans le domaine professionnel, le terme ISO 27001. Dans l’un de nos précédents articles, nous avons pris la peine de définir la famille ISO 27000 de manière générale. Cet article fera un focus sur la norme ISO 27001, ses enjeux ainsi que les grandes phases de sa mise en place.

La norme ISO 27001

La norme ISO 27001 est la norme la plus connue de la famille ISO 27000 et la seule certifiante. Comme évoqué dans notre précédent article, il représente les exigences relatives aux Systèmes de Management de la Sécurité de l’Information (SMSI). Un SMSI est un ensemble de politiques, de processus, de procédures régissant la sécurité de l’information au sein d’une entreprise. La mise en oeuvre du SMSI facilite la gestion des actifs sensibles telle que la sécurité des données financières, les données personnelles, les documents de propriété intellectuelle, les informations à responsabilités partagées

Quels sont les bénéfices et enjeux de la norme ISO 27001 pour les entreprises?

Se faire certifier ISO 27001 pour une entreprise, c’est:

• Sécuriser l’ensemble des informations de l’entreprise en prenant en compte tous les différents supports d’information (numérique et papier);
• Réduire la surface d’attaque et d’exposition afin d’être résilient vis à vis des aléas du cyber-environnement;
• Intégrer la notion du “Security by Design” ou de l’ISP (Intégration de la Sécurité dans les Projets) à l’échelle de l’ensemble des projets de l’entreprise à travers une gestion des risques, des vulnérabilités et des incidents;
• Répondre à l’évolution des menaces cyber;
• Garantir les critères de sécurité de base que sont la Confidentialité, l’Intégrité, la Disponibilité et la Traçabilité;
• Réduire les coûts et investissements en termes de cybersécurité.

Initier un processus de certification, c’est s’embarquer dans un processus d’amélioration continue perpétuelle (c’est une hyperbole qui a tout son sens 🙂) Au-delà des bénéfices cités ci-dessus, la norme ISO 27001 présente des enjeux pour l’entreprise. On dénote:

• L’enjeu Stratégique/Concurentiel: la mise en place de l’ISO27001 permet aux entreprises de justifier d’une organisation stable en termes de gestion de la sécurité. De ce fait, l’acquisition de la norme représente atout pour les entreprises dans la mesure où, elles leurs permet de se demarquer vis à vis de la concurrence et de rassurer leurs clients quant à la prise en charge des problématiques de sécurité;

• L’enjeu économique: A travers l’ISO 27001, les entreprises pourront nouer une relation de confiance avec leurs clients et pourront donc tabler sur ce démarquage concurrentiel, afin de conquérir des marchés supplémentaires. Il est de même intéressant de rappeler que l’ISO 27001 est une norme internationale connue et reconnue. Les entreprises pourront donc élargir le périmètre de leurs clients à l’international et bénéficier de nouvelles opportunités;

• L’enjeu sécuritaire: Avec l’évolution de la sécurité ces dernières années qui ne se limitent plus à une conception uniquement technologique mais de même stratégique, du fait de la considération des erreurs humaines, il est important pour les entreprises de se concentrer sur l’analyse des risques, la sensibilisation, la communication et la mise en place du corpus documentaire qui sont inhérents à la norme. L’impact des erreurs humaines, qui fait partie des principales causes des attaques, sera de facto pris en compte dans la sécurité de l’information.

Mais comment se fait il que des personnes (physiques) sont certifiées ISO 27001 ?

En effet, n’ayez pas peur, l’ISO 27001 n’a pas uniquement pour cible les entreprises. Les individus et professionnels de la cybersécurité peuvent de même se faire certifiés ISO 27001. Il existe deux types de certifications pour les individus:

• La certification ISO 27001 Lead Implementer qui assure que l’individu maitrise les différentes étapes pour la mise en place du SMSI

• La certification ISO 27001 Lead Auditor qui montre que l’individu possède les capacités d’audit du SMSI.

En fonction des besoins et de l’orientation du professionnel cyber, il décidera du parcours à embrasser pour enrichir sa carrière professionnelle. En fonction de votre niveau, vous pourrez prétendre à un certain grade compris entre le provisional implementer/auditor au Senior Lead Implementer/Auditor. Nous vous invitons à regarder les sources de cet article pour avoir plus d’informations ou si vous souhaitez échanger avec nous directement sur le sujet ou sur vos orientations professionnelles, nous serons ravi d’échanger avec vous sur le sujet. 🙂 Maintenant que nous avons évoqué la norme de façon générale, abordons maintenant les grandes étapes de la mise en oeuvre du SMSI. Par expérience et étant certifié ISO 27001 Auditor, pour la mise en oeuvre du SMSI, nous utilisons la méthodologie PDCA. Qu’est ce que le PDCA ?

La norme ISO 27001 a adopté la méthodologie du PDCA pour « Plan-Do-Check-Act » ou « Planifier-Déployer-Contrôler-Agir » en français. Encore appelée la roue de Deming, cette méthode est appliquée à la structure de tous les processus d’un SMSI avec en entrée de notre système de management, les exigences et attentes en sécurité de l’information et en sortie les résultats de sécurité de l’information qui satisfont à ces exigences. Quelles sont les différentes grandes parties de chacune des étapes du PDCA. Nous avons des indispensables pour chacune des étapes du PDCA. Etayons en quelques lignes ces indispensables.

La phase de Planification

Dans cette phase, dans la peau d’un consultant GRC (Gouvernance Risques Conformité), les différentes actions suivantes seront mises en oeuvre:

• L’étude du contexte de l’entreprise par le suivi en occurence de la méthodologie PMBOK;
• L’analyse des écarts pour identifier le niveau actuel de maturité du Système d’information et le niveau cible à l’issu de l’acquisition de la norme. Cette étape permets d’identifier le gap entre les deux étapes;
• L’identification du périmètre de certification est obligatoire et doit être formalisé, validé et diffusé;
• L’analyse des risques avec les deux étapes que sont l’appréciation des risques et la mise à disposition du Plan de Traitement des Risques;

• La mise en place de la Déclaration d’Applicabilité (DdA) qui permettra à l’entreprise de décrire clairement le périmètre des bonnes pratiques qui seront mises en oeuvre en réponse à la gestion des risques, aux obligation légales ou aux exigences contractuelles. Il est de même intéressant de terminer cett partie avec l’établissement des KPI pour le suivi du projet.

La phase de Déploiement

Dans cette étape, les actions suivantes seront mises en oeuvre:

• La mise en place des procédures et processus de sécurité revenant sur les bonnes pratiques identifiées dans la DdA;
• La communication et la sensibilisation sur les thématiques cyber devront être abordées avec les collaborateurs;
• La formation et la montée en compétences des collaborateurs sur la cybersécurité afin de garantir un niveau de sécurité adapté;
• La gestion des opérations afin de mettre en oeuvre les outils permettant le déploiement des outils indispensables pour la conformité de l’infrastructure vis à vis des pratiques identifiées;
• La gestion des changements à travers l’établissement des politiques à cet effet et des Plans de Continuité d’Activité et Plan de Reprise d’Activité;
• Un processus portant sur la gestion des incidents devra de même être mis en oeuvre

La phase de contrôle

Dans cette phase, un professionnel du domaine devra:

• Surveiller, mesurer, analyser et évaluer les différents KPI implémentés dans la phase de planification
• Réaliser un audit interne afin de mesurer le niveau de conformité du SMSI en place vis à vis du niveau cible recherché afin de s’assurer que les objectifs identifiés à la base du projet de certification soient atteint ou en bonne voie. L’objectif principal reste cependant l’identification des non-conformités majeures afin de pouvoir les palier rapidement avant l’audit de certification
• Organiser une revue de direction où les résultats de l’audit interne seront évoqués auprès des différents acteurs.

La phase d’amélioration continue

Dans cette phase, il faudra traiter les non-conformités identifiées et débuter le processus d’amélioration continue. Les rapports de traitement de ces conformités seront établis et conservés pour une meilleure gestion du SMSI. L’ensemble des phases ci-dessus évoquées feront l’objet d’articles spécifiques où l’on pourra revenir en détail sur chacune d’elles. Nous évoquerons certainement dans les prochains articles le déroulé de l’audit de certification. Laissez nous des messages par mail si ces thématiques vous intéressent et n’hésitez pas à nous faire des propositions ;-).

Let’s LEARN Together 🙂

Sources

• ISO 27001
• ISO 27001 Lead Auditor
• ISO 27001 Lead Implementer
• PDCA & Amélioration continue
• SMSI