Comment la certification ISO 27001 peut aider à sécuriser l’information de votre entreprise

La norme ISO 27001 vous permet de démontrer que vous gérez bien la sécurité de vos données

Temps de lecture: 5 minutes

Partager

L’information est au cœur de toutes les prises de décisions d’une entreprise. Elle joue un rôle essentiel dans la gestion et le fonctionnement au quotidien. Trop d’organisations négligent cependant de la protéger adéquatement. Quand une entreprise se fait pirater, quand ses systèmes de données sont hors service, quand l’information n’est plus accessible, il est trop tard pour mettre en place un plan d’action.

Obtenir la certification ISO 27001 peut vous permettre de vous préparer pour éviter que votre entreprise soit compromise. 

Le numérique est là pour rester. Les entreprises doivent démontrer qu’elles gèrent la sécurité de leurs données.

La norme de sécurité de l’information  ISO 27001 existe depuis 2005. Élaborée par l’Organisation internationale de normalisation (ISO) conjointement avec la Commission électrotechnique internationale (CEI), elle permet aux entreprises de mettre en place une démarche de gestion de la sécurité de leurs systèmes d’information.

«Ces derniers temps, la demande pour la certification ISO 27001 explose», constate Isabelle Ledoux, conseillère d’affaires principale, BDC Services-conseils. Ce regain d’intérêt des entreprises pour la sécurité de l’information coïncide avec une série de failles dans les systèmes de gestion de l’information et de cyberattaques très médiatisées contre de petites et de grandes organisations.

«Les PME se rendent compte qu’elles ne peuvent plus négliger la sécurité de l’information», poursuit Mme Ledoux, qui accompagne des entrepreneurs désirant obtenir la certification ISO 27001.

Quelle est l’utilité de la norme ISO 27001?

La mise en place de normes de sécurité facilite la gestion de la sécurité de vos actifs les plus sensibles comme:

  • les données financières
  • les documents concernant la propriété intellectuelle
  • les données personnelles
  • toutes les informations utiles au bon fonctionnement de votre entreprise

Les risques les plus fréquents pour la sécurité des données sont les tentatives d’hameçonnage et les rançongiciels. Dans le premier cas, des pirates s’emparent de noms d’utilisateur et de mots de passe en utilisant des courriels frauduleux qui ont l’air tout à fait légitimes. Les rançongiciels sont des logiciels qui bloquent les accès aux données et au matériel informatique. Les pirates exigent une rançon pour vous redonner accès à vos données.

L’application de la certification ISO 27001 protège les informations les plus sensibles de votre entreprise et augmente sa crédibilité en rassurant vos clients et vos fournisseurs.

La certification ISO 27001 oblige l’entreprise à mettre en place des mécanismes pour assurer la sécurité de l’information et à élaborer un plan de continuité qui détaille comment elle va poursuive ses activités en cas de cyberattaque. Quels sont les risques potentiels? Quoi faire en premier? «On va graduer les risques, en commençant par ceux qui ont le plus d’impact sur l’entreprise», explique Isabelle Ledoux.

«Ça n’empêchera pas nécessairement de se faire hacker, reconnaît-elle. Mais ça cible les bonnes pratiques et ça met en place les bons plans de contingence.»

5 étapes pour obtenir la certification ISO 27001

1. Évaluez ce qui est déjà en place

«Avant même de se lancer dans les démarches de certification, on commence par un état des lieux, précise la conseillère d’affaires. On évalue ce qui est déjà en place.» Une série d’audits permet de s’assurer que les processus et les systèmes fonctionnent.

«À moins qu’elles n’aient l’expertise à l’interne, on recommande aux entreprises de faire affaire avec des experts qui connaissent les requis de la norme», ajoute Mme Ledoux.

2. Établissez la portée de la certification

Votre entreprise doit ensuite établir la portée de la certification. Un document comportant plus d’une centaine de questions permet de définir les risques, d’établir les priorités et de remettre en question certains processus.

 La mise en place de la certification permet de redéfinir, dans les grandes lignes, les mécanismes en place et de préciser les interactions entre les processus. Le processus de certification se penche sur l’ensemble des menaces de sécurité externes et internes et les lie à vos objectifs commerciaux et à vos indicateurs de rendement clés.

Votre entreprise se doit d’être résiliente sur tous les plans de la sécurité informatique. «Imaginez si vous protégez les données des clients tout en laissant votre infrastructure informatique ouverte aux rançongiciels, illustre Mme Ledoux. Avec ISO 27001, ce type de scénario ne se présenterait même pas, car il est obligatoire de protéger votre entreprise et vos clients.»

Une fois obtenue, la certification doit être maintenue. L’entreprise doit pour cela démontrer l’efficacité des contrôles, notamment en procédant sur une base annuelle à des audits internes, à des évaluations de vulnérabilité et à des tests d’intrusion.

3. Fixez votre cadre de gestion

De façon plus approfondie, la certification fournit un cadre de gestion de la sécurité informatique pour l’ensemble de l’organisation. Elle porte sur les pratiques, la saine gestion, et l’établissement de comportements responsables documentés, reproductibles et qui peuvent continuellement être améliorés. Du traitement des données privées aux informations confidentielles en passant par les données personnelles, les transactions, les dessins techniques, les plans d’affaires, les informations bancaires et les documents juridiques, ISO 27001 couvre tous les aspects de l’information.

À titre d’exemple, la certification définit les normes de sécurité à adopter lorsqu’un employé quitte l’entreprise. Elle établit les balises pour récupérer son matériel, retirer ses accès, gérer les mots de passe et prévenir les actions malveillantes.

4. Formez votre équipe

Pour que tout cela puisse se mettre en place et que votre entreprise profite de la certification ISO 27001, vous devez en outre pouvoir compter à l’interne sur des ressources qualifiées. C’est pourquoi la certification ne se fait pas sans une formation complète et pointue de votre personnel responsable de la sécurité et de la conformité de l’information. La norme ISO 27001 est généraliste, et une formation pertinente de vos employés clés permet de l’adapter à votre entreprise.

5. Faites certifier votre entreprise 

Seul un organisme externe peut certifier votre entreprise. Il existe plusieurs registraires accrédités. Votre entreprise doit s’engager pour trois ans avec l’organisme de certification de son choix. BDC Services-conseils peut vous aider à démystifier les soumissions et vous accompagner dans vos démarches de certification.

Un avantage pour vendre à l’étranger

«Quand on est certifié 27001, conclut Isabelle Ledoux, on est bien placé pour les normes internationales. L’Europe, le Japon, les États-Unis ont tous des normes différentes.»

Il existe en effet une trentaine de lois sur la confidentialité à travers le monde.

Les nouvelles réglementations en matière de confidentialité adoptées ces dernières années par les gouvernements, telles que le règlement général sur la protection des données de l’Union européenne (RGPD) et la California Consumer Privacy Act, obligent les entreprises à agir.

De plus en plus d’organisations exigent l’enregistrement ISO 27001 dans la chaîne d’approvisionnement et dans certains pays, comme le Japon et l’Inde, c'est même une obligation légale.

Partager