La norme ISO 27001 démontre un engagement fort de transparence et une volonté d’amélioration continue, de la part des sociétés qui gèrent des données de paiement.
Avec un volume toujours grandissant d’informations au sein des entreprises, la maîtrise et la sécurisation du système d’information sont aujourd’hui indispensables au bon fonctionnement d’une société. Par “Système d’Information”, entendons l’ensemble des dispositifs et ressources qui permettent de collecter, stocker et analyser les informations dans l’entreprise. Concrètement, ce sont les technologies, les processus, et le personnel de l’entreprise. Alors quel est le lien entre la norme ISO 27001 et le Système d’information d’une entreprise ?
Qu’est-ce que la norme ISO 27001 ?
Une norme qui encadre le pilotage et la gestion de la sécurité
La norme ISO 27001 est une norme internationale de management de sécurité de l’information. Publiée en 2005, c’est aujourd’hui la norme de référence dans ce domaine. Cette norme concerne toutes les entreprises qui gèrent, notamment, des données de paiement. Elle vise à maximiser la sécurité des systèmes d’information. Pour bien appréhender le sens de la norme ISO 27001, il faut comprendre que cette dernière définit le management de la sécurité, et pas la sécurité, en soit, d’un système d’information. Elle vise à concevoir un ensemble de règles et bonnes pratiques pour la protection des entreprises face à la perte de données, du cybercrime, et garantir l’accès à l’information.
Le processus d’obtention de la certification prend en général entre 1 et 2 ans. En acceptant d’être jugée par un tiers externe, l’entreprise se doit, de fait, de respecter un certain nombre d’exigences. Par la suite, l’entreprise est auditée à minima chaque année et risque la suspension ou annulation de son certificat dans le cas où de non-conformités critiques ou importantes seraient repérées et non prises en compte par l’entreprise.
Aller plus loin dans la compréhension des normes ISO
Il existe à ce jour 24264 normes internationales publiées par l’ISO, et près de 1000 nouvelles normes sont créées chaque année, chacune définissant les standards à respecter par domaine. Pour s’y retrouver, il faut savoir que les normes sont catégorisées par “lots thématiques”. Par exemple, les 9000 sont relatives à la qualité, les 14000 à l’environnement, les 17000 à la conformité, les 37000 à la corruption. La norme XX001 est la norme dite englobante. La norme ISO 27001 est donc une norme englobante, et la plus connue dans cette “famille”. En obtenant la certification 27001, il est demandé à l’entreprise d’appréhender toutes les normes comprises entre 27000 et 28000, et de se tenir informée de l’évolution de l’ensemble de ces normes. L’entreprise devra par exemple être en conformité avec 27005 (analyse de risque), devra mettre en place les mesures de la 27002, ou encore de la 27017 (gestion de la sécurité dans le cloud) etc. Cela est vrai pour l’ensemble des normes.
La norme ISO 27001 : un engagement de transparence et d’amélioration continue sur les aspects sécurité
La norme ISO 27001 : un gage de confiance pour le client dans le choix de son prestataire
“Pour les partenaires, avoir un acteur certifié, c’est avoir la preuve qu’il n’a rien à cacher” explique Thomas Gousseau, Directeur Risques et Contrôle Interne chez Linxo.
La certification ISO 27001 n’est pas obligatoire, c’est une démarche volontaire de l’entreprise. La conformité 27001 peut être un critère essentiel pour certains clients. Il s’agit d’une norme de référence universellement reconnue comme étant la plus couvrante sur les thématiques de sécurité. Un partenaire qui porte un intérêt particulier au niveau de sécurité de son prestataire ou de son sous-traitant peut se baser sur la norme pour l’interroger. Il peut ainsi faire une évaluation du niveau de sécurité en amont de la contractualisation. L’avantage pour le partenaire sera de pouvoir valider chaque pré-requis en termes de sécurité, de manière fiable puisque tous les points auront été préalablement soumis à une évaluation par l’organisme certificateur.
Une gestion du risque anticipée
Cela permet d’être beaucoup plus réactif dans le traitement des évènements de sécurité. La récente gestion des vulnérabilités Log4j est une parfaite illustration de la nécessité d’un système de gestion du risque performant. Face à cette vulnérabilité, d’une criticité majeure, Linxo a pu se baser sur son outillage et ses procédures pour réagir rapidement et efficacement à chaque évolution des vulnérabilités. En appliquant en premier lieu une solution de contournement, et par la suite des déploiements successifs de correctifs sur l’ensemble du périmètre, Linxo s’est révélée armée pour réagir sans perdre de temps.
Cette certification, c’est donc la garantie d’être outillé en interne pour répondre efficacement aux attentes des clients et partenaires les plus exigeants, mais également la preuve que l’entreprise se dote de tous les moyens pour sécuriser au mieux son système d’information. Pour en savoir plus sur la manière dont Linxo Connect s’est fait certifier, sur les impacts de cette certification sur le quotidien de Linxo, nous vous invitons à consulter notre article dédié.