ISO/IEC 27001:2022 ET BNC – INSTAURER LA CONFIANCE À L'ÈRE NUMÉRIQUE
RÉPONDRE À LA MENACE OMNIPRÉSENTE DE COMPROMISSIONS DE DONNÉES AU MOYEN DE NORMES COMMUNES
Dans le paysage numérique en perpétuelle évolution, la confiance et la sécurité sont devenues des préoccupations majeures pour les entreprises. Face à ce défi, la norme ISO/IEC 27001:2022 et l'approche de BNC constituent une solution efficace pour établir des pratiques normalisées en matière de sécurité de l'information et gérer efficacement les risques. Découvrez comment cette certification et sa méthodologie aident les entreprises à renforcer la confiance, à convaincre les clients et les partenaires, ainsi qu'à consolider leur réputation en tant qu'acteurs dignes de confiance dans un monde centré sur les données.
La confiance a toujours été au cœur des interactions humaines et le fondement de la fiabilité, comme dans la diplomatie. Dans le monde des affaires, la confiance joue également un rôle clé, mais avec l'augmentation des cyberattaques, elle ne suffit plus. Aujourd'hui, la confiance en matière de technologie et de sécurité de l'information doit être établie, et des actions contractuelles claires doivent être définies en cas de situation défavorable. Cependant, s'assurer de la capacité d'un partenaire à atteindre ces niveaux de sécurité n'est pas une sinécure.
L'impact des cyberattaques sur les partenariats affecte directement les entreprises. Leur capacité à protéger les données dépend de leurs besoins métier dans le cadre de leurs relations avec leurs clients, partenaires ou fournisseurs. Cela implique deux aspects essentiels : les obligations contractuelles, qui définissent les responsabilités, la diligence raisonnable et les devoirs, et les capacités de sécurité de l'entreprise, qui jettent les bases de la confiance et s'alignent sur les engagements contractuels pertinents.
Un aspect crucial de l'instauration de la confiance dans la sécurité de l'information est la capacité à communiquer en utilisant le même langage et donc à comprendre la stratégie, l'engagement et les contrôles de l'autre partie. Par conséquent, un cadre normalisé et standardisé, idéalement reconnu comme une référence dans divers secteurs, peut offrir une solution efficace. Thomas Viguier, consultant en cybersécurité chez BNC, explique :
« Chez BNC, nous sommes convaincus qu'il convient d'établir la confiance dans le niveau de sécurité en s'appuyant sur la norme ISO/IEC 27001:2022, en tirant parti de l'expertise de nos professionnels et en incorporant d'autres cadres, tels que les lois nDSG/nLPD ou le RGPD. Cette approche nous permet d'établir un langage commun au niveau de la direction et d'aborder des sujets comme la stratégie, la prise de décisions, la priorisation, l'allocation des ressources et la définition des processus. Ce faisant, nous guidons nos clients vers une compréhension mature des exigences complexes liées aux obligations réglementaires et contractuelles. »
Toutefois, l'histoire ne s'arrête pas là :
// COMMENT POUVONS-NOUS NOUS ASSURER QUE LES AUTRES PARTIES, ainsi que NOUS-MÊMES, SOMMES DIGNES DE CONFIANCE ?
// LES PARTENARIATS PEUVENT-ILS ÊTRE CONSIDÉRÉS COMME respectant NOS NORMES DE SÉCURITÉ ?
L'assurance d'avoir un homologue engagé qui respectera les critères minimaux peut être facilement vérifiée avec une certification ISO/IEC 27001. Mais qu'en est-il si l'entreprise applique des normes plus strictes ? Comment s'assurer que ces normes seront appliquées ?
Dans un tel cas de figure, la norme est appliquée en parallèle avec une série de mesures spécifiques en plus des suivantes :
- Sensibilisation de l'entreprise, gestion des risques, soutien et engagement (clauses 4, 6, 7 et 8, A.5.19 et A.5.2)
- Gestion de la chaîne logistique, audit et révision (A.5.21, A.5.20 et A.5.22)
- Conformité (A.5.31)
- Définition des exigences contractuelles (A.5.31 et A.5.34)
- Définition des mesures de sécurité de l'information pour les projets (A.5.8)
Comme on peut le voir, il existe deux groupes de mesures différents : les clauses et les contrôles annexes. Les clauses font partie intégrante du cadre ; elles définissent le cœur du système de management de la sécurité de l'information (SMSI) et jettent les bases des principes clés, tels que l'approche basée sur les risques par le biais d'un processus de gestion des risques. Les contrôles sont quant à eux conçus pour guider l'entreprise lors du traitement de sujets spécifiques. Cette approche en deux étapes permet de mettre en œuvre des contrôles minimaux de sécurité de l'information qui sont adaptés au contexte, à la réalité et aux exigences de l'entreprise.
Toutefois, comme la norme est sujette à interprétation et ne fournit pas de solutions spécifiques, des conseils et une assistance à la mise en œuvre sont nécessaires.
« En ce sens, BNC fournit une méthodologie basée sur la gestion des risques, les exigences métier et la pertinence financière. Bien que certaines lignes directrices ou certains principes soient énoncés dans la norme, BNC apporte ses conseils, son analyse et sa perspective pour créer les outils et ainsi implémenter des solutions adaptées et conformes, telles que la stratégie de sécurité de l'information, l'organisation des ressources, la politique et les processus de réponse aux incidents, la politique et les exigences en matière de gestion de la continuité des activités, ainsi que les critères et les exigences en matière de gestion des risques », explique Thomas Viguier.
LE RÔLE DE La norme ISO/IEC 27001:2022 DANS L'IDENTIFICATION DES PARTIES PRENANTES ET LA GARANTIE DES NORMES DE SÉCURITÉ
La clause 4.2 de la norme ISO/IEC 27001:2022 stipule qu'une entreprise est tenue d'identifier ses « parties intéressées » et de s'acquitter des obligations légales, réglementaires et contractuelles qui en découlent. Par exemple, si un fournisseur SaaS cherche à obtenir une certification, il doit considérer ses clients non seulement comme une source de revenus, mais aussi comme des cibles potentielles de cyberattaques, ce qui exige une attention particulière pour éviter les retombées juridiques, financières ou réglementaires. Par conséquent, cela conduit à des actions ciblées en matière de sécurité de l'information dans le cadre du développement de projets, de la gestion des contrats et de la réponse aux incidents. BNC joue un rôle clé dans l'identification des parties prenantes et l'alignement des visions de la direction sur les pratiques de sécurité. En outre, la norme soulève des questions quant aux normes de fiabilité et de sécurité, affirmant son rôle dans l'établissement de la confiance grâce à un processus de gestion des risques approuvé par une tierce partie et vérifié par un audit et une certification indépendants.
En résumé, les deux domaines clés mis en évidence par les avantages sont la sensibilisation et un niveau de maturité établi.
Pour les entreprises, et plus particulièrement les petites et moyennes entreprises (PME), il s'agit d'un gage de confiance et de sécurité. La sensibilisation alimente les discussions sur les risques, tandis que la maturité garantit une mise en œuvre et un suivi efficaces des contrôles.
L'adoption de cette approche renforce l'image de confiance d'une PME, en indiquant aux parties prenantes et aux partenaires potentiels que l'entreprise est prête à opérer en toute sécurité. La certification démontre la maturité de l'entreprise et sa volonté de nouer des partenariats, établissant ainsi sa crédibilité en tant que fournisseur fiable.
Thomas Viguier, consultant en cybersécurité chez BNC, résume la situation :
« En conclusion, la nécessité d'instaurer la confiance en raison de l'augmentation des cyberattaques a rendu la norme ISO/IEC 27001:2022 vitale. Bien que l'obtention de la certification nécessite des efforts, elle permet d'améliorer la réputation et la collaboration avec les parties prenantes, et offre aux entreprises, en particulier aux PME, une chance d'améliorer leur sécurité et leurs performances métier.
L'adoption de la norme ISO/IEC 27001:2022 représente une voie vers le succès, la confiance et la croissance dans le monde actuel, axé sur les données. »
Thomas Viguier
Martin Buck : 9 août 2023 15:48:58
Géraldine Wymann : 25 avr. 2024 07:53:48