Comment et pourquoi implémenter la norme ISO27001 ?
Engagé dans une démarche qualité impliquant le management de la sécurité de l’information, Ventio a décidé de suivre le référentiel ISO 27001 considéré comme la référence en la matière. Noémie Vang est certifiée ‘Lead Implementer’ permettant de mettre en place formellement cette norme sur le périmètre des activités de l’entreprise, et elle travaille avec Anis Benyahia, chargé de la sécurité du système d’information dans cet objectif.
Qu’est-ce que cette norme ISO 27001 ? Que vise-t-elle ?
[Noémie Vang]
La norme ISO 27001 est une norme internationale édictée par l’Organisation internationale de normalisation (ISO) qui définit les exigences pour établir, mettre en œuvre, tenir, mettre à jour et améliorer continuellement un Système de Management de la Sécurité de l’Information (SMSI). Son objectif principal est de fournir un cadre robuste et cohérent pour aider les organisations à protéger les informations sensibles et à gérer les risques liés à la sécurité de l’information.
En mettant en place un SMSI conforme à l’ISO 27001, nous visons à assurer la confidentialité, l’intégrité et la disponibilité de l’information que nous traitons et conservons.
Concrètement cela inclut la protection des données sensibles contre les accès non autorisés et la garantie que les informations sont accessibles uniquement lorsque nécessaire. La norme vise également à établir un processus d’amélioration continue, nous encourageant à évaluer régulièrement les risques, à mettre en place des mesures de sécurité appropriées et à nous adapter tant aux évolutions technologiques qu’aux nouvelles menaces.
En résumé, la norme ISO 27001 vise à aider à mettre en place des pratiques de sécurité de l’information efficaces, à minimiser les risques potentiels et à renforcer la confiance des parties prenantes, c’est-à-dire nos clients, nos partenaires commerciaux et les autorités réglementaires.
Sur quoi repose-t-elle ?
[Noémie Vang]
La norme ISO 27001 repose sur plusieurs piliers fondamentaux qui guident la mise en place et le maintien d’un Système de Management de la Sécurité de l’Information (SMSI) efficace.
Ces piliers sont les suivants :
- Une politique de sécurité de l’information : celle-ci définit les engagements et intentions de l’organisation en matière de sécurité.
- Une analyse des risques : nous sommes tenus de procéder à une évaluation des risques afin de détecter et évaluer les menaces susceptibles de compromettre la sécurité de l’information. Cette démarche englobe la compréhension des vulnérabilités, des impacts potentiels, ainsi que de la probabilité d’occurrence associée à ces risques.
- La planification : sur la base des résultats de l’analyse des risques, nous devons élaborer un plan de traitement des risques détaillant les mesures de sécurité à mettre en place pour atténuer les risques identifiés.
- Mise en œuvre : cette phase concerne la mise en œuvre des mesures de sécurité définies dans le plan, notamment la formation du personnel, la gestion des accès, la surveillance des activités, etc.
- L’évaluation de la performance : nous devons évaluer régulièrement la performance de notre SMSI pour s’assurer de son efficacité et de sa conformité continue à la norme ISO 27001.
- L’amélioration continue : un principe clé de la norme est l’engagement dans une démarche d’amélioration continue. Aussi nous devons identifier les opportunités d’amélioration et mettre en œuvre des actions correctives et préventives.
- La documentation et les enregistrements : l’ISO 27001 exige la documentation appropriée du SMSI, y compris les politiques, les procédures et les enregistrements pertinents pour démontrer la conformité.
- Les audits internes : nous devons mener des audits internes réguliers pour évaluer la conformité de notre SMSI à la norme et identifier les domaines nécessitant des améliorations.
En combinant ces piliers, l‘ISO 27001 fournit un cadre complet et essentiel afin d’établir et maintenir un SMSI robuste, assurant ainsi la sécurité de l’information au sein de notre organisation.
Pourquoi Ventio s’est-elle engagée dans une telle démarche ?
[Noémie Vang]
Ventio est une entreprise innovante du numérique en santé proposant des services cloud de traitement d’image pour l’imagerie biomédicale. Face à l’essor de la cybercriminalité et à l’émergence constante de nouvelles menaces, la gestion des risques cyber est complexe. La norme ISO 27001 va nous permettre de traiter de manière proactive l’évolution constante de ces risques et l’apparition de nouvelles failles, tout en nous aidant à améliorer la sécurité de nos services numériques.
Cette démarche nous renforce à plusieurs titres :
La pierre angulaire est la protection des informations sensibles. L’ISO 27001 joue un rôle essentiel en définissant des mesures de sécurité adaptées, assurant ainsi l’intégrité, la confidentialité et la disponibilité des données cruciales de l’entreprise, notamment les données clients et commerciales, la recherche et le développement, la propriété intellectuelle de l’entreprise et autres informations confidentielles que nous devons contractuellement protéger.
Le deuxième avantage découle de la réduction des risques. L’ISO 27001 préconise une analyse approfondie des risques, permettant à l’entreprise d’identifier, d’évaluer et de gérer les risques potentiels liés à la sécurité de l’information. Cette approche proactive contribue non seulement à minimiser les incidents de sécurité, mais elle prépare également l’entreprise à faire face aux nouvelles menaces émergentes.
L’amélioration de la gestion des incidents constitue une autre valeur ajoutée. La norme ISO 27001 encourage la mise en place de procédures robustes pour la gestion des incidents de sécurité, renforçant ainsi notre résilience face aux cyberattaques potentielles et permettant des réponses rapides et efficaces en cas de violation de la sécurité de l’information.
La norme ISO 27001 repose sur une approche systématique de la gestion de la sécurité de l’information ce qui stimule l’efficacité opérationnelle et conduit à l’optimisation des processus, entraînant potentiellement une réduction des coûts.
En adoptant un SMSI en accord avec l’ISO 27001, nous pouvons démontrer notre conformité aux exigences réglementaires en matière de sécurité de l’information, une démarche particulièrement cruciale dans des secteurs industriels spécifiques, tel que le numérique en santé.
Notre volonté d’implémenter la norme ISO 27001 tôt dans le développement de la société peut surprendre. En effet, les démarches de management de la qualité peuvent être perçues comme une contrainte et une source de coût. Chez Ventio, l’impulsion de la direction est claire : cette norme invite à structurer by design nos produits & services sécurisés en se posant les bonnes questions organisationnelles pour un développement de qualité et durable.
L’objectif est d’aller vers une certification qui nous apportera un avantage concurrentiel et la confiance de nos clients.
Quelles sont les étapes à suivre pour déployer la norme ISO 27001 ?
[Anis Benyahia]
Le système de management fonctionne selon un modèle en quatre temps appelé PDCA pour Plan, Do, Check, Act. Ce modèle est cyclique, et permet d’atteindre les objectifs (ici de sécurité), et de maintenir cette sécurité au plus haut niveau malgré l’évolution constante des risques. Le système de management est donc un processus qui tourne indéfiniment.
La phase Plan :
Elle spécifie toutes les fondations du SMSI qu’il faut mettre en place avant de l’exécuter :
- Le contexte de l’organisme
- Périmètre du SMSI
- Politique de sécurité
- Appréciation des risques
- Répartition des responsabilités
- Gestion de la documentation
- Gestion des ressources
- Sensibilisation, communication et documentation.
La phase Do :
Il s’agit de mettre en œuvre les dispositions qui ont été décidées dans la phase précédentes.
La phase Check :
Consiste à mettre en place des mécanismes pour contrôler l’efficacité et la conformité du SMSI en utilisant des indicateurs de performances, la conduite régulière d’audits internes ainsi que la tenue de revue de direction.
La phase Act :
Cette phase sert à entreprendre des actions correctives pour régler tout écart entre ce qui était planifié et les résultats de la phase check.
Pouvez-vous nous 2 exemples d’actions concrètes initiées chez Ventio ?
[Noémie Vang & Anis Benyahia]
L’Annexe A de la norme ISO 27001 nous donne un certain nombre de mesures à respecter si l’on veut se conformer aux exigences. Sans révéler d’informations confidentielles, voici deux exemples d’application de la norme :
Annexe A.5.9 : Un inventaire des actifs informationnels et des autres actifs associés, y compris leurs propriétaires, doit être élaboré et tenu à jour
Cette mesure permet d’identifier les actifs de l’organisation et définir les responsabilités pour une protection appropriée.
Annexe A. 6.3 : Sensibilisation, enseignement et formation en sécurité de l’information : le personnel de l’organisation et les parties intéressées pertinentes doivent recevoir une sensibilisation, un enseignement et des formations en sécurité de l’information appropriés, ainsi que des mises à jour régulières de la politique de sécurité de l’information, des politiques spécifiques à une thématique et des procédures de l’organisation pertinentes à leur fonction.
L’objectif de cette mesure est d’assurer que les salariés et les sous-traitants sont conscients de leurs responsabilités en matière de sécurité de l’information et qu’ils assument ces responsabilités.
Chez Ventio, la sensibilisation à la sécurité de l’information de l’ensemble du personnel, quelque-soit sa fonction, passe en premier lieu par le suivi et la réussite des MOOC de la CNIL et de l’ANSSI. La traçabilité est assurée par l’enregistrement attestations de suivis et de réussites. Une charte informatique rappelle et uniformise les pratiques et consignes de sécurités. Nous nous assurons que celle-ci est partagée, comprise et signée par chaque salarié. La société valide par exemple des outils de cybersécurité et forme à leur utilisation. De plus, en fonction des postes occupés, les salariés de Ventio suivent des formations adaptées à leurs fonctions et dispensées par des organismes externes habilités.
Dans le cas de la mise en place d’un SMSI quelles sont les étapes/ points de vigilance ?
[Anis Benyahia]
Dans le processus de la mise en place d’un système de management de la sécurité de l’information au sein d’une entreprise, plusieurs points de vigilance doivent être pris en considération. Ces éléments critiques nécessitent une attention particulière pour garantir la robustesse et l’efficacité du SMSI, nous en retiendrons 8.
- En premier lieu, la direction de l’entreprise doit démontrer un soutien fort envers le SMSI. C’est à dire une implication active dans la définition des objectifs, l’allocation des ressources nécessaires et la promotion d’une culture de sécurité.
- Les politiques de sécurité développées doivent être claires, compréhensibles et acceptées par l’ensemble du personnel
- L’identification et l’analyse approfondie des actifs et des risques est aussi une étape majeure car elle sous-tend ensuite toutes les actions préventives et correctives.
- Sensibilisation et formation : Des programmes de sensibilisation et de formation continue sont nécessaires pour former le personnel sur les bonnes pratiques de sécurité et le sensibiliser sur les menaces potentielles. Si le rappel des bonnes pratiques est évidemment peu changeant, il est cependant indispensable de faire évoluer régulièrement ces formations afin qu’elles répondent au mieux aux interrogations actuelles du personnel et incluent les évolutions de leurs usages informatiques.
- Gestion des accès : contrôler les accès aux informations sensibles en suivant le principe du moindre privilège, pratique consistant à limiter les utilisateurs (ainsi que les services, applications et autres processus informatiques) aux seuls ensembles de données, applications et systèmes absolument nécessaires pour mener à bien des activités professionnelles légitimes, est une exigence non négociable car c’est le seul moyen de véritablement minimiser les risques des accès non autorisés
a) Le système de surveillance permet d’identifier rapidement les activités suspectes ou anormales sur un système informatique, cela permet donc de détecter les menaces potentielles avant qu’elles ne causent de dommages significatifs.
b) La rapidité de détection facilite une réaction immédiate face à une violation de sécurité. Cela permet de limiter l’impact de l’incident et de mettre en œuvre des mesures correctives plus rapidement.
c) Un système de surveillance et de détection efficace constitue une couche essentielle de la sécurité de l’information permettant d’anticiper, d’identifier et d’éliminer les menaces potentielles, renforçant ainsi la résilience globale du SMSI. - Systèmes de surveillance et de détection : La mise en place d’outils de surveillance permet de détecter rapidement les activités suspectes, facilitant une réponse dans les meilleurs délais face aux menaces. Ce point est crucial et pour 3 raisons :
- Sauvegarde et reprise d’activité : Elaborer des plans de sauvegarde et de reprise d’activité minimise l’impact des incidents de sécurité, assurant ainsi la continuité des services fournis par la société.
- Evaluation continue : adopter une approche d’amélioration continue en évaluant régulièrement l’efficacité du SMSI. Cela permet d’ajuster les stratégies de sécurité en fonction des évolutions technologiques et des nouvelles menaces.
Le dernier mot revient à Stéphane, Directeur général :
“La sécurité des données est un excellent exemple de l’organisation notre entreprise. Le fonctionnement et la réussite de Ventio est porté par la polyvalence de ses équipes et la volonté forte et ambitieuse de la direction en matière de sécurité de l’information. Cela nous invite à développer un langage commun au croisement des disciplines qu’aborde Ventio.
Noémie, en tant que juriste et responsable qualité est pleinement engagée dans les projets de R&D que porte l’entreprise et sur les questions de propriété industrielle qui représente une part importante des actifs à protéger d’une start-up.
Anis, en plus de ses compétences techniques et sa vue globale du système d’information appréhende autant le formalisme normatif que de soumettre notre organisation à des tests d’intrusion. »