Skip to the main content.

6 lecture des minutes

Compromission de données - La confiance dans les partenaires est devenue plus qu'une affaire humaine

Compromission de données - La confiance dans les partenaires est devenue plus qu'une affaire humaine

ISO/IEC 27001:2022 ET BNC INSTAURER LA CONFIANCE À L'ÈRE NUMÉRIQUE

RÉPONDRE À LA MENACE OMNIPRÉSENTE DE COMPROMISSIONS DE DONNÉES AU MOYEN DE NORMES COMMUNES

Dans le paysage numérique en perpétuelle évolution, la confiance et la sécurité sont devenues des préoccupations majeures pour les entreprises. Face à ce défi, la norme ISO/IEC 27001:2022 et l'approche de BNC constituent une solution efficace pour établir des pratiques normalisées en matière de sécurité de l'information et gérer efficacement les risques. Découvrez comment cette certification et sa méthodologie aident les entreprises à renforcer la confiance, à convaincre les clients et les partenaires, ainsi qu'à consolider leur réputation en tant qu'acteurs dignes de confiance dans un monde centré sur les données.

La confiance a toujours été au cœur des interactions humaines et le fondement de la fiabilité, comme dans la diplomatie. Dans le monde des affaires, la confiance joue également un rôle clé, mais avec l'augmentation des cyberattaques, elle ne suffit plus. Aujourd'hui, la confiance en matière de technologie et de sécurité de l'information doit être établie, et des actions contractuelles claires doivent être définies en cas de situation défavorable. Cependant, s'assurer de la capacité d'un partenaire à atteindre ces niveaux de sécurité n'est pas une sinécure.

L'impact des cyberattaques sur les partenariats affecte directement les entreprises. Leur capacité à protéger les données dépend de leurs besoins métier dans le cadre de leurs relations avec leurs clients, partenaires ou fournisseurs. Cela implique deux aspects essentiels : les obligations contractuelles, qui définissent les responsabilités, la diligence raisonnable et les devoirs, et les capacités de sécurité de l'entreprise, qui jettent les bases de la confiance et s'alignent sur les engagements contractuels pertinents.

 

Les défis de la protection des données dans le cadre de partenariats interconnectés

L'intégration de la technologie dans nos vies a placé les données au cœur de tout, des appels commerciaux aux systèmes opérationnels, souvent utilisés dans différentes zones géographiques. Cela soulève des questions juridiques et réglementaires concernant la propriété, la protection et le traitement des données, d'autant que diverses entités, certaines liées par contrat et d'autres non, peuvent avoir accès à ces données.

À l'heure de la monétisation et du vol des données, il est essentiel de prendre des mesures de protection adéquates. Cela inclut le traitement des données stockées sur différentes plates-formes telles que SaaS/IaaS/PaaS, où les partenariats deviennent un thème commun. Ces partenariats requièrent confiance et coordination, mais des questions cruciales se posent :

 

// LES PARTENAIRES SONT-ILS INFORMÉS SUR LA SÉCURITÉ ?

// PEUT-ON S'Y FIER POUR ÉVALUER OU SIGNALER AVEC PRÉCISION LES compromissions ?

// COMMENT ÉVALUER LES PARTENARIATS ET S'ASSURER QU'ILS RESPECTENT LES NORMES DE SÉCURITÉ ?

 

Ces défis soulignent la nécessité d'appréhender la gestion et la protection des données avec vigilance dans le monde interconnecté d'aujourd'hui.

 

Un aspect crucial de l'instauration de la confiance dans la sécurité de l'information est la capacité à communiquer en utilisant le même langage et donc à comprendre la stratégie, l'engagement et les contrôles de l'autre partie. Par conséquent, un cadre normalisé et standardisé, idéalement reconnu comme une référence dans divers secteurs, peut offrir une solution efficace. Thomas Viguier, consultant en cybersécurité chez BNC, explique :

« Chez BNC, nous sommes convaincus qu'il convient d'établir la confiance dans le niveau de sécurité en s'appuyant sur la norme ISO/IEC 27001:2022, en tirant parti de l'expertise de nos professionnels et en incorporant d'autres cadres, tels que les lois nDSG/nLPD ou le RGPD. Cette approche nous permet d'établir un langage commun au niveau de la direction et d'aborder des sujets comme la stratégie, la prise de décisions, la priorisation, l'allocation des ressources et la définition des processus. Ce faisant, nous guidons nos clients vers une compréhension mature des exigences complexes liées aux obligations réglementaires et contractuelles. »

 

Toutefois, l'histoire ne s'arrête pas là :

// COMMENT POUVONS-NOUS NOUS ASSURER QUE LES AUTRES PARTIES, ainsi que NOUS-MÊMES, SOMMES DIGNES DE CONFIANCE ?
// LES PARTENARIATS PEUVENT-ILS ÊTRE CONSIDÉRÉS COMME respectant NOS NORMES DE SÉCURITÉ ?

 

L'assurance d'avoir un homologue engagé qui respectera les critères minimaux peut être facilement vérifiée avec une certification ISO/IEC 27001. Mais qu'en est-il si l'entreprise applique des normes plus strictes ? Comment s'assurer que ces normes seront appliquées ?

Dans un tel cas de figure, la norme est appliquée en parallèle avec une série de mesures spécifiques en plus des suivantes :

  • Sensibilisation de l'entreprise, gestion des risques, soutien et engagement (clauses 4, 6, 7 et 8, A.5.19 et A.5.2) 
  • Gestion de la chaîne logistique, audit et révision (A.5.21, A.5.20 et A.5.22) 
  • Conformité (A.5.31) 
  • Définition des exigences contractuelles (A.5.31 et A.5.34) 
  • Définition des mesures de sécurité de l'information pour les projets (A.5.8)

Comme on peut le voir, il existe deux groupes de mesures différents : les clauses et les contrôles annexes. Les clauses font partie intégrante du cadre ; elles définissent le cœur du système de management de la sécurité de l'information (SMSI) et jettent les bases des principes clés, tels que l'approche basée sur les risques par le biais d'un processus de gestion des risques. Les contrôles sont quant à eux conçus pour guider l'entreprise lors du traitement de sujets spécifiques. Cette approche en deux étapes permet de mettre en œuvre des contrôles minimaux de sécurité de l'information qui sont adaptés au contexte, à la réalité et aux exigences de l'entreprise.

Toutefois, comme la norme est sujette à interprétation et ne fournit pas de solutions spécifiques, des conseils et une assistance à la mise en œuvre sont nécessaires.

« En ce sens, BNC fournit une méthodologie basée sur la gestion des risques, les exigences métier et la pertinence financière. Bien que certaines lignes directrices ou certains principes soient énoncés dans la norme, BNC apporte ses conseils, son analyse et sa perspective pour créer les outils et ainsi implémenter des solutions adaptées et conformes, telles que la stratégie de sécurité de l'information, l'organisation des ressources, la politique et les processus de réponse aux incidents, la politique et les exigences en matière de gestion de la continuité des activités, ainsi que les critères et les exigences en matière de gestion des risques », explique Thomas Viguier.

 

LE RÔLE DE La norme ISO/IEC 27001:2022 DANS L'IDENTIFICATION DES PARTIES PRENANTES ET LA GARANTIE DES NORMES DE SÉCURITÉ

La clause 4.2 de la norme ISO/IEC 27001:2022 stipule qu'une entreprise est tenue d'identifier ses « parties intéressées » et de s'acquitter des obligations légales, réglementaires et contractuelles qui en découlent. Par exemple, si un fournisseur SaaS cherche à obtenir une certification, il doit considérer ses clients non seulement comme une source de revenus, mais aussi comme des cibles potentielles de cyberattaques, ce qui exige une attention particulière pour éviter les retombées juridiques, financières ou réglementaires. Par conséquent, cela conduit à des actions ciblées en matière de sécurité de l'information dans le cadre du développement de projets, de la gestion des contrats et de la réponse aux incidents. BNC joue un rôle clé dans l'identification des parties prenantes et l'alignement des visions de la direction sur les pratiques de sécurité. En outre, la norme soulève des questions quant aux normes de fiabilité et de sécurité, affirmant son rôle dans l'établissement de la confiance grâce à un processus de gestion des risques approuvé par une tierce partie et vérifié par un audit et une certification indépendants.

 
Renforcer la confiance et la sécurité dans les partenariats interconnectés : Tirer parti de la certification ISO/IEC 27001:2022

La solution pour instaurer la confiance repose sur la collecte de preuves, la gestion des risques et un alignement stratégique clé. L'utilisation de l'approche de BNC en combinaison avec la norme ISO/IEC 27001:2022 offre un avantage unique : la certification atteste de la qualité de l'entreprise et de son adhésion à des normes de sécurité de l'information robustes. Cela permet non seulement de valider les stratégies, mais aussi d'améliorer la réputation.

En outre, même s'il existe des incertitudes concernant les aspects liés à la sécurité, le fait que les deux parties soient certifiées ISO/IEC 27001 garantit une approche sérieuse de la sécurité de l'information et le respect d'une méthodologie commune.

En employant la méthodologie de BNC en combinaison avec la norme ISO/IEC 27001:2022, l'entreprise profite d'avantages qui vont au-delà de la reconnaissance en tant que partenaire fiable. En voici quelques-uns :

  • Maturité améliorée et crédible en matière de sécurité de l'information
  • Identification claire des risques liés à l'entreprise, à ses opérations et à ses produits
  • Poursuite du développement des capacités existantes, tant techniques qu'organisationnelles
  • Développement de nouvelles capacités 
  • Mise en conformité avec les exigences réglementaires, juridiques et contractuelles pertinentes 
  • Visibilité renforcée sur les aspects de la sécurité de l'information de l'entreprise ainsi que ses composantes (actifs, processus, politiques, mesures techniques, contrôle du trafic, IAM, BCM, etc.)
  • Mise en place d'un processus d'amélioration au sein de l'entreprise en vue d'atteindre des normes plus élevées en matière de sécurité de l'information

 

En résumé, les deux domaines clés mis en évidence par les avantages sont la sensibilisation et un niveau de maturité établi.

Pour les entreprises, et plus particulièrement les petites et moyennes entreprises (PME), il s'agit d'un gage de confiance et de sécurité. La sensibilisation alimente les discussions sur les risques, tandis que la maturité garantit une mise en œuvre et un suivi efficaces des contrôles.

L'adoption de cette approche renforce l'image de confiance d'une PME, en indiquant aux parties prenantes et aux partenaires potentiels que l'entreprise est prête à opérer en toute sécurité. La certification démontre la maturité de l'entreprise et sa volonté de nouer des partenariats, établissant ainsi sa crédibilité en tant que fournisseur fiable.

Thomas Viguier, consultant en cybersécurité chez BNC, résume la situation :

« En conclusion, la nécessité d'instaurer la confiance en raison de l'augmentation des cyberattaques a rendu la norme ISO/IEC 27001:2022 vitale. Bien que l'obtention de la certification nécessite des efforts, elle permet d'améliorer la réputation et la collaboration avec les parties prenantes, et offre aux entreprises, en particulier aux PME, une chance d'améliorer leur sécurité et leurs performances métier.
L'adoption de la norme ISO/IEC 27001:2022 représente une voie vers le succès, la confiance et la croissance dans le monde actuel, axé sur les données. »

 

Débat VMware : les entreprises doivent-elles revoir leur approche ?

Débat VMware : les entreprises doivent-elles revoir leur approche ?

Entretien avec Reto Fallegger, architecte de solutions en gestion des données, BNC AG Pourquoi une gestion unifiée des données est-elle plus...

Read More
SASE – PARTIE 1 : POTENTIEL ET LIMITES

SASE – PARTIE 1 : POTENTIEL ET LIMITES

ZOOM SUR LE SASE – PARTIE 1 DÉCOUVREZ LES AVANTAGES ET LES INCONVÉNIENTS DU SASE (SECURE ACCESS SERVICE EDGE) ET COMMENT LES ENTREPRISES PEUVENT...

Read More
SASE – PARTIE 2 : Secure access service sans « Edge » ?

SASE – PARTIE 2 : Secure access service sans « Edge » ?

ZOOM SUR LE SASE – PARTIE 2 LE POINT DE CONNEXION, LA CLÉ DE LA RÉVOLUTION DE L'ACCÈS SUR SITE ET DE L'élimination DE LA DÉPENDANCE AU CLOUD Dans la...

Read More