Qu'est-ce que l'ISO 27001?
La norme ISO 27001 est la norme internationale de référence pour organiser la sécurité des informations et des données en entreprise. Elle décrit les exigences à respecter pour mettre en œuvre un système de management de la sécurité de l’information (SMSI), cadre de référence inspiré de la norme ISO 9001 (management de la qualité) et appliqué à la cybersécurité pour organiser les ressources humaines et financières, la stratégie et le leadership.
La norme définit un socle de 93 mesures de sécurité qu’il est obligatoire de considérer sans qu’il soit limitatif et qui couvre tous les domaines techniques et organisationnels d’un système d’information : sécurité des réseaux, sécurité des PC, sécurité applicative, sécurité physique, protection des informations confidentielles, … La mise en œuvre des mesures de sécurité est guidée et priorisée par les risques qui pèsent sur le système d’information.
A qui s'adresse l'ISO 27001?
A l’origine mise en œuvre principalement par les Entreprises de Services Numériques (ESN) (hébergeurs, infogéreurs, cabinet de conseil informatique, …), la norme ISO 27001 a depuis été adoptée par de nombreux autres secteurs d’activités (banque, transports, santé, …) poussée à la fois par la règlementation et les acteurs du Marché en réaction bien souvent à des cyberattaques qui ont fait l’actualité mettant à mal la confiance entre les partenaires commerciaux.
Au-delà de la mise en œuvre de la norme, la certification est souvent imposée par les donneurs d’ordre à leurs sous-traitants dans les appels d’offres. La certification implique un audit réalisé par un organisme indépendant tierce partie pour s’assurer de la bonne application de la norme.
Tout organisme, quelle que soit sa taille ou son secteur d'activité, peut chercher à mettre en œuvre voire à obtenir la certification ISO 27001 s’il souhaite démontrer son engagement à gérer et à protéger efficacement des actifs informationnels et/ou à sécuriser des secrets industriels.
Quels sont les bénéfices de l'ISO 27001?
Les bénéfices de la mise en œuvre de l'ISO 27001 sont constatés à la fois en interne au sein des organismes et également dans leurs relations avec leurs partenaires commerciaux externes.
Bénéfices internes
Faire monter en compétences les équipes sur la cybersécurité
Fédérer les équipes autour d’un projet commun : la certification
Améliorer la résillience aux cyberattaques
Améliorer sa performance globale
Bénéfices externes
Apporter de la confiance aux clients et partenaires commerciaux
Intégrer des nouveaux marchés avec des enjeux cyber forts
Se prémunir face au risque réputationnel d’une cyberattaque
Parler un langage commun avec ses partenaires
Le contexte législatif et règlementaire
Le contexte législatif et réglementaire est favorable au développement et à la popularisation de l’ISO 27001. De nombreux textes existants imposent son application ou la recommandent ou même s’inspirent de son contenu pour définir des obligations.
ISO 27001 obligatoire
Le Décret du 26 février 2018 dit Décret HDS impose la mise en œuvre de l’ISO 27001 aux hébergeurs de données de santé à caractère personnel au travers de la certification HDS.
Le Décret Facturation électronique impose aux plateformes de dématérialisation partenaires d’être certifiées ISO 27001.
ISO 27001 recommandé
Les Directives européennes NIS 1 de 2018 et NIS 2 (à venir) et les lois de transposition associées imposent de mettre en œuvre des mesures de sécurité inspirées de l’ISO 27001.
Le Règlement européen Digital Operational Resilience Act (DORA) de 2022 impose des mesures de cybersécurité aux entités financières qui sont inspirées de l’ISO 27001.
Le Règlement UNECE R155 de 2022 impose aux constructeurs automobiles de mettre en œuvre un système de management de la cybersécurité en adéquation avec l’ISO 27001.
Notre accompagnement
Nous pouvons accompagner les organismes qui découvrent l'ISO 27001 dans tout ou partie de sa mise en oeuvre, de la rédaction de procédures et politiques à la réalisation d'audits internes en passant par l'élaboration de leur analyse de risques.
Nous pouvons accompagner les organismes qui ont déjà mis en oeuvre l'ISO 27001 dans leur transition vers la version 2022 de la norme et la prise en compte des nouvelles exigences.
La dernière version de l'ISO 27001 en vigueur date de 2022 et tous les organismes certifiés sur les anciennes versions 2013 et 2017 de la norme vont devoir transiter et mettre en œuvre les nouvelles exigences et mesures de sécurité.