La protection des données personnelles est aujourd’hui un enjeu crucial pour les individus et les entreprises.
Pour rassurer leurs clients et utilisateurs, les entreprises doivent fournir des garanties en matière de sécurité des données, et cela peut passer par l’obtention de certifications spécifiques. Parmi ces certifications, difficile de passer outre l’ISO 27001, bien qu’elle soit peu répandue en France car non obligatoire.
Néanmoins, cette norme internationale qui met l’approche par le risque à sa base est de plus en plus intégrée dans les nouveaux référentiels, tels que l’Hébergement de Données de Santé. Il est donc important de s’y intéresser de plus près. Décryptage !
Risque = Actifs x menaces
La notion de risque est, au départ, un concept purement économique. C’est simplement une probabilité de perdre de l’argent (ou des données ou de la confiance, notions qui débouchent chacune sur une perte financière). Une entreprise exposée à un risque met donc indirectement son existence en danger puisque la perte financière peut, in fine, mettre un terme à l’existence de l’entreprise.
A partir de là, on comprend tout à fait l’importance de pouvoir identifier et se protéger contre les risques informatiques ou inhérents au système d’information de l’entreprise.
Il convient donc dans un premier temps de lister tous les “actifs” informatiques de l’entreprise : machines (ordinateurs, routeurs, pabx, smartphones, copieurs, objets connectés…), logiciels, données, flux informatiques nécessaires au fonctionnement de l’entreprise.
Puis des menaces qui peuvent peser sur ces actifs : catastrophe naturelle (tremblement de terre, incendie, inondation, orage magnétique, …), interférence humaine accidentelle (homme de ménage qui débranche un serveur), défaillance d’un des actifs, intervention humaine ou logicielle malveillante (phishing, virus, ransomware, attaque ddos, social engineering…).
Le risque est donc le résultat du produit : actifs x menaces
Si l’un des éléments est nul, le produit sera nul. Il conviendra donc de protéger les actifs existants contre les menaces identifiée ou supposée et le système devrait être protégé contre les risques. Pour cela, une norme existe et tous les professionnels du secteur s’en servent.
Qu’est-ce que la norme ISO 27001 ?
La norme 27001 se distingue par son approche des risques en matière de sécurité. Si une entreprise obtient la certification ISO 27001, cela signifie qu’elle est consciente des menaces qui pèsent sur ses données sensibles, qu’elle les prend en compte et qu’elle se protège contre elles.
Cependant, cette norme ne se limite pas à la sécurité physique ou informatique. Elle vise à protéger l’entreprise contre toute perte, vol ou altération de données, en défendant non seulement ses systèmes informatiques contre les intrusions et les sinistres, mais également en proposant des bonnes pratiques organisationnelles qui complètent les mesures techniques pour une sécurité totale.
Cet ensemble de mesures, à la fois techniques et organisationnelles, est connu sous le nom de SMSI, ou Système de Management de la Sécurité de l’Information. Il englobe les systèmes d’information, les processus et les personnes impliquées dans les mesures de protection. En réalité, la norme ISO 27001 fournit un cadre qui permet de concevoir, de mettre en œuvre et de faire évoluer le SMSI dans le contexte d’une organisation.
ISO 27001 : comment fonctionne cette norme ?
Après avoir défini le SMSI en fonction des besoins spécifiques de l’entreprise, une analyse des risques qui pèsent sur les données sensibles est effectuée. Pour y parvenir, le contexte et l’environnement dans lequel l’entreprise évolue sont examinés à la fois à un niveau macro et micro, afin de prendre en compte tous les paramètres pertinents.
Une fois que les risques ont été identifiés, un ratio est établi pour chacun, qui compare la probabilité qu’un événement se produise à l’impact potentiel de cet événement. Toutes les mesures de protection pouvant être appliquées sont répertoriées dans la norme. Bien que certaines d’entre elles soient obligatoires, le choix final des mesures dépend de la Direction de l’entreprise, qui peut se référer aux termes « doit », « peut » et « il est conseillé de ».
La Direction doit déterminer les mesures les plus appropriées pour son SMSI en fonction du traitement réservé à chacun des risques identifiés, ce qui peut impliquer la réduction de l’impact potentiel du risque, la prévention de son apparition, le partage du risque avec un prestataire ou l’acceptation du risque si la mesure requise est disproportionnée par rapport au risque.
Une fois que les mesures ont été choisies, elles sont consignées dans la Déclaration d’Applicabilité, un document obligatoire qui témoigne de l’engagement de la Direction et de l’entreprise envers le SMSI. Cette phase représente la dernière étape de la définition du Plan de Traitement du Risque.