ISO 27001 : le standard incontournable de la gestion de la sécurité de l’information
Née de la norme britannique BS 7799 en 1995, la norme ISO 27001 a connu plusieurs évolutions pour devenir la référence internationale de la gestion de la sécurité de l’information que nous connaissons aujourd’hui.
Largement adoptée à travers le monde, c’est l’une des cinq normes les plus prisées en France, notamment depuis l’entrée en vigueur du RGPD en 2018. Sa mise en œuvre au sein d’une organisation démontre un engagement sérieux envers la sécurité de l’information, avec un cadre rigoureux pour gérer efficacement les risques et assurer la protection des données. Décryptage…
Il était une fois… la norme ISO 27001
La norme ISO 27001 trouve ses racines dans la norme britannique BS 7799, introduite pour la première fois par le BSI Group en 1995. Le BS 7799 était un guide de gestion de la sécurité de l’information qui a posé les bases de ce qui allait devenir la norme ISO 27001.
En 2000, BS 7799 a été révisée et divisée en deux parties : la BS 7799-1, qui s’intéressait aux exigences de système de management de la sécurité de l’information (SMSI), et la BS 7799-2, qui s’intéressait aux recommandations pour la mise en place d’un SMSI. En 2002, la BS 7799-2 a été révisée avec l’intention de l’aligner avec les normes internationales de systèmes de gestion, notamment ISO 9001 et ISO 14001.
La norme ISO/IEC 27001 a été publiée pour la première fois en 2005 par l’Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (IEC) en remplacement de BS 7799-2. En 2013, une mise à jour majeure a été réalisée, renforçant et modernisant la norme en fonction de l’évolution du paysage de la sécurité de l’information (voir plus bas).
La 27001 fait partie des 5 normes qui ont le plus marché dans l’Hexagone avec l’ISO 9001, 14001, 45001 et 50001, notamment depuis l’entrée en vigueur du RGPD en 2018. En effet, le nombre de certifications a été multiplié par trois en 2018 par rapport 2017. On estime aujourd’hui que le nombre d’organismes certifiés progresse chaque année de 20 %, ce qui fait de l’ISO 27001 la norme standard de facto pour la certification des systèmes de gestion de la sécurité de l’information.
Qu’est-ce que la norme ISO 27001 ?
Il s’agit d’une norme internationale qui définit les exigences pour la mise en place et la gestion d’un Système de Management de la Sécurité de l’Information (SMSI). Le but d’un SMSI est de fournir un cadre pour la mise en place, l’implémentation, le fonctionnement, la surveillance, la révision, la maintenance et l’amélioration de la sécurité de l’information. Ce système repose sur une approche de gestion des risques, dans laquelle les organisations identifient les menaces sur les informations qu’elles détiennent et mettent en place des contrôles de sécurité appropriés pour atténuer ou gérer ces risques.
La norme ISO 27001 se distingue par son approche holistique de la sécurité de l’information. Elle ne se limite pas à la technologie de l’information et aux systèmes informatiques, mais couvre tous les aspects de la sécurité de l’information, notamment sur les plans physique et humain. Elle exige que les organisations prennent en compte cet aspect dans l’ensemble de leurs processus et dans toutes leurs activités.
Les organisations qui se conforment à la norme ISO 27001 peuvent être certifiées par des organismes d’accréditation indépendants. Cette certification démontre que l’organisation a mis en place un SMSI efficace et qu’elle s’engage à maintenir et à améliorer continuellement la sécurité de l’information.
Quelles ont été les principales évolutions de la norme ISO 27001 ?
La norme ISO 27001 a connu plusieurs révisions depuis son introduction en 2005. Les révisions sont mises en œuvre pour s’assurer que la norme reste pertinente face à l’évolution du paysage dynamique de la sécurité de l’information :
- BS 7799 : la norme ISO 27001 est originairement basée sur la norme britannique BS 7799. Introduite en 1995, la BS 7799 était un code de bonnes pratiques pour la gestion de la sécurité de l’information ;
- ISO/IEC 17799 : en 2000, l’ISO a adopté une version révisée de la BS 7799-1 en tant que norme internationale ISO/IEC 17799, « Technologies de l’information – Code de bonnes pratiques pour la gestion de la sécurité de l’information ». Parallèlement, la BS 7799-2 a introduit un système de gestion de la sécurité de l’information (SMSI) pouvant être certifié ;
- ISO 27001:2005 : en 2005, l’ISO a publié la norme ISO/IEC 27001, qui remplaçait la BS 7799-2 et fournissait un ensemble d’exigences spécifiques pour un SMSI. C’est à ce moment que la norme a adopté l’approche de gestion des risques qui est centrale à la norme ISO 27001 que nous connaissons aujourd’hui ;
- ISO 27001:2013 : la norme a subi sa dernière révision en 2013 pour s’adapter à l’évolution du paysage de la sécurité de l’information. Cette révision a introduit un certain nombre de changements, notamment un accent sur le leadership de la direction, une approche de gestion des risques plus détaillée et une plus grande flexibilité sur les contrôles de sécurité que les organisations peuvent choisir d’implémenter. La structure de la norme a été modifiée pour être alignée sur celle d’autres normes de systèmes de gestion, comme ISO 9001 (qualité) et ISO 14001 (environnement), facilitant ainsi leur intégration.
Le processus de certification ISO 27001
L’obtention de la certification ISO 27001 se fait au terme d’un processus rigoureux qui nécessite un investissement en temps et en ressources. Tout d’abord, l’organisation doit effectuer une analyse détaillée de ses risques de sécurité de l’information et mettre en place les contrôles appropriés pour les gérer. Ces contrôles, qui peuvent comprendre des politiques, des procédures, des formations et des mesures techniques, sont ensuite intégrés dans le SMSI de l’organisation.
Une fois le SMSI mis en place, l’organisation doit le faire auditer par un organisme de certification indépendant. Cet audit comprend une évaluation de la conformité de l’organisation aux exigences de la norme ISO 27001, ainsi qu’une évaluation de l’efficacité du SMSI dans la gestion des risques de sécurité de l’information. Si l’audit est réussi, l’organisation obtient la certification ISO 27001.
Il faut noter que la certification n’est pas une fin en soi, mais plutôt le début d’un engagement à long terme pour la sécurité de l’information. La durée du processus de certification ISO 27001 varie en fonction de plusieurs facteurs comme la taille de l’organisation, la complexité de ses systèmes d’information et le niveau de préparation initial. Il faut compter entre 6 mois et un an. Une fois certifiées, les organisations doivent effectuer des audits internes réguliers et passer des audits de surveillance par un organisme externe généralement tous les ans. La certification doit être renouvelée tous les trois ans, avec un nouvel audit de certification complet (ou audit de renouvellement).
Quel intérêt à se faire certifier ISO 27001 ?
Les entreprises se tournent vers la certification ISO 27001 pour plusieurs raisons, notamment :
- Améliorer la sécurité de l’information : l’ISO 27001 aide les entreprises à identifier, gérer et réduire les risques de sécurité de l’information dans un contexte où la Data constitue un véritable avantage concurrentiel ;
- Démontrer l’engagement envers la sécurité : la certification ISO 27001 est une preuve tangible que l’entreprise prend la sécurité de l’information au sérieux. C’est un moyen d’assurer aux clients, partenaires, fournisseurs et autres parties prenantes que l’entreprise a mis en place un système de gestion de la sécurité de l’information conforme à une norme internationalement reconnue ;
- Décrocher un avantage concurrentiel : dans certains secteurs, comme le numérique et l’industrie, la certification ISO 27001 peut donner à l’entreprise un avantage sur ses concurrents, avec un impact direct sur le volume d’affaires ;
- Se conformer à la réglementation ou aux exigences contractuelles : les exigences liées à la sécurité des informations n’ont jamais été aussi rigoureuses. Les entreprises qui se font certifier recherchent également un cadre efficace pour améliorer leur conformité. Notons également que la certification peut intervenir pour répondre aux exigences contractuelles de clients potentiels, notamment des grands comptes ;
- Améliorer les opérations internes : le processus de mise en conformité avec la norme ISO 27001 peut aider les entreprises à rationaliser leurs opérations et à identifier les domaines d’amélioration dans leur quête de l’excellence opérationnelle ;
- Gérer les relations avec les fournisseurs et les partenaires : lorsqu’une entreprise partage des informations sensibles avec ses fournisseurs et partenaires, elle peut exiger que ces derniers soient certifiés ISO 27001, dans le cadre de sa gestion des risques tiers ;
- Gérer les risques liés à la cybersécurité : avec l’augmentation des menaces de cybersécurité, notamment les attaques par rebond, la certification ISO 27001 aide les entreprises à mettre en place une approche holistique et structurée pour identifier, évaluer et gérer ces risques.
Provigis assure la conformité de vos tiers à la norme ISO 27001
En tant que Tiers de Collecte Probatoire (TCP), Provigis vous propose solution innovante pour collecter et suivre la norme ISO 27001, en intégrant cette certification dans votre démarche globale Qualité, Hygiène, Sécurité, Environnement (QHSE) et Cybersécurité.
Non seulement nous collectons les certificats ISO 27001 de vos tiers, mais nous offrons également la possibilité de compléter cette démarche par des questionnaires personnalisés afin d’obtenir une image encore plus précise du respect de la sécurité de l’information par vos partenaires.
Avec Provigis, assurez-vous que vos tiers respectent bien les exigences de la norme ISO 27001, renforcez votre chaîne de sécurité de l’information et inspirez la confiance à vos clients et partenaires.