Par Louise T. Dunne, PDG, Auriga
Devenir conforme à la norme ISO 27001 peut véritablement ouvrir des portes aux PME, rassurer clients, partenaires et fournisseurs ou la sécurité de vos systèmes d’information et pratiques commerciales. Bien que la norme ne soit pas (encore) obligatoire, elle est désormais souvent recherchée dans les processus d’approvisionnement. Elle est bien respectée et l’adoption de la norme peut permettre à l’organisation de surmonter son poids et de rivaliser plus efficacement, en aidant l’organisation dans son premier cycle de croissance. Mais cela peut aussi être coûteux, avec des frais de conseil élevés et des projets de sécurité qui semblent s’étendre indéfiniment. De nombreuses sociétés de conseil en sécurité de l’information et en assurance ont capitalisé sur la demande, offrant une certification à un prix élevé dans des projets qui peuvent devenir incontrôlables et entraîner des coûts supplémentaires. En conséquence, beaucoup décident de reporter la mise en conformité jusqu’à ce qu’ils sentent qu’ils peuvent encaisser le coup financier sans se rendre compte que cela peut entraîner des inefficacités opérationnelles et exposer l’entreprise à des risques plus importants.
ISO27001 est une norme internationale qui spécifie un système de gestion de la sécurité de l’information (ISMS), un cadre de politiques et de procédures documentées pouvant être mises en œuvre pour gérer les risques. Une mise à jour récente a vu la norme grandement simplifiée avec quelques changements subtils mais substantiels. ISO 27001 inclut la nécessité de répertorier tous les tiers et un accent renouvelé sur les entités externes ainsi que sur les canaux de communication internes ; la perte des clauses Plan, Do, Check, Act et l’exigence d’une méthodologie documentée d’évaluation des risques ; l’exigence d’une évaluation des risques avec certains niveaux de risque, niveaux d’impact sur l’activité et probabilité d’occurrence ; et l’attribution de la gestion des risques aux propriétaires des risques au sein de l’organisation. Ces changements ont rapproché la norme des autres normes de gestion et facilité une plus grande transparence, ce qui facilite la démonstration de la conformité aux actionnaires, aux partenaires, aux clients et, en fin de compte, au gouvernement. Les changements doivent être applaudis car ils répondent à certaines des principales critiques formulées à l’encontre de la norme – à savoir la nécessité d’une évaluation progressive des risques, de l’adhésion de la haute direction et de la formation du personnel – et en rendant la norme plus pertinente, ils l’ont également rendue plus souhaitable.
Retarder les efforts pour se conformer à la norme ISO 27001 peut avoir des répercussions importantes. L’organisation sera moins consciente de son exposition au risque et le risque de violation de données sera considérablement accru. En cas de violation, la publicité négative pourrait menacer la réputation de l’organisation et la rentabilité de l’entreprise. De plus, si votre organisation est jugée négligente pour avoir omis de se conformer à la loi sur la protection des données (DPA), par exemple, elle pourrait faire face à des sanctions importantes de la part du Bureau du commissaire à l’information (ICO). La mise en œuvre précoce de la norme ISO 27001, d’autre part, alors que l’organisation ou le service en est encore à ses balbutiements, peut grandement améliorer l’entreprise en permettant la mise en œuvre de processus et de procédures qui permettent la croissance, la promotion des meilleures pratiques parmi une dotation en personnel efficace et l’allocation des ressources. , aidant à cibler la stratégie et les dépenses informatiques. Plusieurs cycles Plan-Do-Check-Act (PDCA) ont été incorporés dans la version précédente et, bien que non spécifiés dans la version 2013, les principes sont toujours valables. Les actions préventives et correctives sont priorisées dans cette nouvelle version garantissant que les contrôles de sécurité de l’information ne sont pas simplement spécifiés et mis en œuvre comme une activité ponctuelle, mais sont continuellement revus et adaptés pour prendre en compte les stratégies commerciales, les impacts commerciaux et les éventualités.
S’engager à respecter la conformité n’a pas à être coûteux. Bien que parfaitement réalisable, il peut être décourageant d’entreprendre seul un tel projet de conformité et cela sortira de nombreuses PME de leur zone de confort. L’alternative est de rechercher une approche intermédiaire, qui offre tous les avantages d’une mise en œuvre à faire soi-même, mais avec l’avantage supplémentaire de conseils d’experts. Les avancées dans la mise en œuvre de la norme ont ouvert la voie à des services de conseil prêts à l’emploi, offrant aux PME un projet à coût prédéterminé qui peut être soutenu et vérifié de manière indépendante par des consultants pragmatiques. Avant de s’engager dans cette voie, cependant, il est conseillé de procéder à une analyse des processus métier pour ouvrir la voie à une gestion efficace des risques. Cela rend beaucoup plus facile de travailler avec la norme et cela devient comme d’habitude.
La dernière itération de la norme ISO 27001 est à saluer, mettant à jour la norme et la rendant beaucoup plus complète sans nous envelopper de bureaucratie, mais il est important de reconnaître et d’accepter que la conformité à la norme ISO 27001 ne garantit pas la sécurité. La norme est un bon point de départ et fournit un cadre efficace, permettant à l’organisation d’évaluer et d’évaluer les risques de manière plus judicieuse, mais elle ne tient pas compte des nuances de l’entreprise ou de l’industrie. Devriez-vous franchir le pas maintenant et devenir conforme ? Indubitablement. Dépasser le seuil de conformité ouvre des portes et démontre à vos clients, partenaires et fournisseurs la valeur que vous accordez à la protection de vos informations. Mais ISO 27001 n’est peut-être que la première étape vers le développement d’une compréhension des menaces pour votre entreprise et la protection contre elles, mais nous devons tous commencer quelque part…