The Centauri Step, gouvernance et Sécurité informatique

Contacter The Centuri Step

3 piliers du monde ISO 27001 | The Centauri Step, gouvernance et Sécurité informatique

3 piliers du monde ISO 27001

Marion Mellor

Avant, la Sécurité ne semblait qu’un caillou dans la chaussure de l’informatique : les priorités étaient plutôt par exemple d’être tourné en priorité vers l’utilisateur, ou de simplifier le travail des développeurs. Mais ça, c’était avant.

Depuis 10 ans, la migration massive d’une grande partie de l’économie vers le numérique a accéléré l’interconnexion généralisée des systèmes d’information. À ce phénomène s’est ajouté un sentiment d’insécurité générale dû à des questions géopolitiques complexes (notamment les interventions des États) et la montée en puissance des réseaux, du Cloud, etc.

C’est alors que la norme ISO 27001 est arrivée comme une bouffée d’oxygène !

1. Une aventure associative

Peu de gens se penchent sur la genèse d’une norme internationale, et c’est un tort ! ISO est une ONG basée en Suisse, qui existe depuis l’après-guerre. Elle est complètement indépendante et a pour objectif d’unifier les pratiques et répondre à des enjeux mondiaux.

L’ONG a opté « pour un nom court : « ISO », dérivé du grec isos, signifiant « égal ». Quel que soit le pays, quelle que soit la langue, la forme abrégée du nom de l’organisation est par conséquent toujours l’ISO. »

Découvrir l'ONG "ISO"

165 pays représentés chacun par 1 membre… On dirait l’ONU ! Et d’ailleurs, l’influence d’ISO n’est plus à prouver.

ISO a participé à faire avancer tous les sujets majeurs d’aujourd’hui : la sécurité alimentaire, les cartes de crédit, l’environnement… et la sécurité.

Quelques exemples parmi d’autres :

 


ISO 9001 traite de la Qualité

ISO 14001 traite de l’Environnement

ISO 22000 traite de la Sécurité alimentaire

ISO 27001 traite de la Sécurité de l’information

ISO 45001 traite de la Santé et de la Sécurité du personnel

2. Un langage commun

Pour le dire simplement : avoir un langage commun pour organiser la Sécurité, c’est un atout quand les systèmes informatiques sont connectés entre eux. Les questions communes de nombre d’acteurs de l’informatique ont justifié de réunir les meilleurs experts et de bâtir une norme pour améliorer les standards applicables à la Sécurité informatique.

 

Car ISO 27001 s’est inspiré des principes existant dans l’industrie – comme pour la qualité – en adoptant une approche globale et dans une logique d’amélioration continue. Dans cette même approche, et pour éviter de faire de cet article une litanie d’expert, je vous parle de« la » norme ISO 27001, à laquelle il faut en réalité inclure toutes les normes qui en sont dérivées et qui en précisent les applications.

 

Pour permettre aux entreprises de s’améliorer en mettant en œuvres des bonnes pratiques exigeantes, un chef d’orchestre est nécessaire : et, comme pour beaucoup d’autres disciplines, ce chef d’orchestre s’appelle un « Système de Management ». C’est ce fameux « SMSI » qui permet, au sein de toute entreprise, de relier l’ensemble des sujets passionnants de la Sécurité.

3. Des objectifs exigeants

Sans entrer dans les détails, précisons que la norme ISO 27001 traite de la Sécurité à la fois du point de vue des accès, des pare-feux, du développement, du chiffrement des données, de l’accès à distance, du Cloud, etc. A minima 114 contrôles différents. La norme traite aussi des RH, des formations, de la gouvernance d’entreprise, de la Sécurité physique, de l’analyse de risques, etc.

Évidemment, toute entreprise peut choisir d’appliquer les normes Sécurité uniquement à un « périmètre » précis. Mais aussi petit soit-il, il y a fort à parier que les procédures de Sécurité qui lui sont applicables le sont également pour le reste de l’entreprise. 

Ce qu’il faut retenir : le SMSI (le chef d’orchestre de tous ces sujets) permet une approche verticale de la Sécurité, avec des objectifs positifs d’amélioration continue. C’est une norme riche, adaptable et en perpétuelle amélioration également. Ce SMSI permet de fixer un cap, et de répondre à ce qu’écrit Sénèque à Lucilius en l’an 63 : « Qui ne sait pas vers quel port il doit tendre, n’a pas de vent qui lui soit bon. »

Reste bien évidemment à vérifier les raisons profondes de la mise en œuvre d’ISO 27001, sans chercher une conformité de façade à tout prix. Cocher des cases ne suffit pas. Mettre en constante relation la Direction et la Technique requiert un engagement complet et un travail de long terme…

 

À suivre…