Les cyberattaques mondiales ont atteint un niveau record au quatrième trimestre de 2022, atteignant 1 168 par semaine par organisation. Cela représente une augmentation de 38 % par rapport à 2021.

Si votre entreprise gère des données sensibles, vous devez instaurer la confiance avec les clients en les protégeant des cybercriminels. C'est là qu'interviennent les normes de sécurité ISO 27000.

Un certificat ISO 27000 est l'un des meilleurs moyens de montrer aux prospects et aux clients que vous pouvez être digne de confiance pour protéger leurs données personnelles. Si vous vous demandez comment fonctionne un audit ou quels détails vous devrez documenter, ce guide contient toutes les réponses dont vous avez besoin.

Qu'est-ce que la série ISO/IEC 27000 ?

Publiée par l'Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale, la série ISO/IEC 27000 est composée de plus d'une douzaine de normes conçues pour aider les organisations à améliorer la sécurité de leurs technologies de l'information en créant un système de gestion de la sécurité de l'information (SGSI) robuste. Un SGSI mis en œuvre selon ces normes est conçu pour atténuer les risques dans trois domaines de la sécurité de l'information : les personnes, les processus et la technologie.

Au cœur de la famille ISO 27000 se trouve l'ISO 27001, qui détaille les exigences pour la mise en œuvre d'un SGSI.

Le concept de SGSI est fondamental pour l'ISO 27000, expliquons-le donc plus en détail ci-dessous.

Système de gestion de la sécurité de l'information ISO

Un système de gestion de la sécurité de l'information est l'ensemble des actifs d'information, des systèmes, des technologies, des personnes, des partenaires, des processus et des politiques qu'une organisation utilise pour protéger les données sensibles. Un SGSI doit protéger les actifs d'information contre l'accès non autorisé, identifier et atténuer de manière proactive les risques et garantir la disponibilité des données.

La plupart des gens pensent à un SGSI dans le contexte du matériel et des logiciels. Selon l'ISO 27000, la définition est plus large et inclut les flux de travail, les politiques, les plans et la culture.

Quelles sont les normes ISO 27000 ?

La famille de normes ISO 27000 est conçue pour certifier les politiques de sécurité de l'information d'une entreprise.

L'ISO 27001 est la norme centrale et la seule de la série selon laquelle les entreprises peuvent être auditées et certifiées. Les autres fournissent des lignes directrices en matière de sécurité de l'information que les auditeurs indépendants et les organismes de certification peuvent utiliser pour certifier vos contrôles internes de sécurité de l'information.

Bien que toutes les normes ISO ne s'appliquent pas à votre organisation, il est utile de comprendre globalement l'ISO 27000 et ses principes fondamentaux, y compris les exigences pour la création d'un SGSI.

ISO/IEC 27000

ISO 27000 fournit une vue d'ensemble des systèmes de management de la sécurité de l'information ainsi que des termes et définitions couramment utilisés dans les autres normes de la famille ISO/CEI 27000. Elle explique également la portée, les rôles, les fonctions et les relations de chaque norme entre elles.

ISO/CEI 27001

ISO 27000 décrit les techniques de sécurité nécessaires pour protéger correctement les données des clients. ISO 27001 est la norme dans laquelle ces principes rencontrent le monde réel. Les entreprises mettent en œuvre les exigences décrites dans les normes ISO 27000 et vérifient l'efficacité de leur SMSI par un audit ISO 27001.

ISO 27001 énumère les exigences pour construire un SMSI conforme. Le SMSI doit être :

• Clairment documenté
• Soutenu par la direction générale
• Capable d'anticiper et de réduire les risques
• Doté de toutes les ressources dont il a besoin pour fonctionner
• Régulièrement examiné et mis à jour

L'annexe A de la version la plus récente — ISO/CEI 27001:2022 — répertorie 93 contrôles qu'une organisation peut utiliser pour répondre à ces exigences.

ISO/CEI 27002

ISO 27002 s'appuie sur les contrôles évoqués dans l'annexe A d'ISO 27001. Alors que l'annexe A fournit un résumé rapide de chaque contrôle, ISO 27002 les décrit tous en détail.

ISO 27002 est utile car l'entreprise soumise à un audit ISO 27001 n'a besoin de s'occuper que des contrôles qui la concernent. Par exemple, si vous n'avez pas d'employés travaillant à distance, il est probable que vous n'ayez pas besoin de mettre en œuvre des contrôles sur le fait de laisser des ordinateurs de l'entreprise dans des espaces publics.

ISO/CEI 27003

ISO 27003 fournit des conseils généraux sur la construction d'un SMSI. C'est une excellente ressource pour la phase pré-audit lorsque vous pouvez utiliser ses lignes directrices pour effectuer une analyse des écarts et déterminer ce que votre entreprise doit encore faire pour atteindre la conformité ISO 27001.

ISO/CEI 27004

ISO 27004 s'appuie sur ISO 27003 en suggérant des moyens d'évaluer et de surveiller la sécurité de votre SMSI. Il aide également les organisations à déterminer quels contrôles d'ISO 27002 peuvent être utiles pour la préparation de l'audit.

ISO/CEI 27005

ISO 27005 est un code de pratiques dédié à la gestion des risques liés à la sécurité de l'information. Étant donné que la prévision, l'analyse et l'atténuation des risques sont une partie cruciale de la certification ISO 27001, il est payant d'étudier cette norme aussi en détail que possible.

Les sections couvrent :

• évaluation des risques
• choix de les atténuer, accepter ou éviter
• suivi des réponses aux risques dans le temps

ISO/CEI 27006

ISO 27006 est un ensemble de normes de sécurité de l'information qui détermine si une entreprise est qualifiée pour effectuer des audits ISO 27001. À moins que votre entreprise ne soit directement liée à la réalisation d'audits de conformité, cette série n'est probablement pas significative pour vous.

ISO/CEI 27007 et ISO/CEI 27008

Cette nouvelle paire de normes de sécurité de l'information a été introduite en 2011 et révisée en 2020. Elles s'appuient sur ISO 27006 en fournissant des lignes directrices pour que les organisations accréditées puissent effectuer des audits SMSI.

Si vous recherchez un certificat ISO 27001 pour votre entreprise, il est conseillé de lire ces normes. Elles vous donneront une idée de ce que votre auditeur considérera lors de l'évaluation de votre SMSI.

ISO/CEI 27017 et ISO/CEI 27018

Cette paire de normes de sécurité de l'information est apparue en 2014, au début de l'essor des services cloud. Elles fournissent des contrôles pour sécuriser toutes les données que votre organisation stocke dans le cloud.

ISO 27017 et ISO 27018 sont pour les données cloud ce qu'ISO 27002 est pour les données gérées sur site.

Vous êtes libre d'utiliser les deux ensembles de contrôles en parallèle : ISO 27002 pour vos données sur site ainsi qu'ISO 27017 et ISO 27018 pour les données stockées dans le cloud.

ISO/CEI 27033

Le code de pratique de l'ISO 27033 régit la sécurité des réseaux. ISO 27002 comprend plusieurs contrôles pour sécuriser le réseau interne d'une entreprise. ISO 27033 s'appuie sur ces contrôles et offre des conseils de spécification et de mise en œuvre.

ISO/CEI 27034

Cette série se concentre sur la structure des données des contrôles de sécurité des applications et sur votre cadre de prédiction d'assurance.

ISO/CEI 27035

Cette série couvre la gestion des incidents de sécurité de l'information, y compris le plan de réponse aux incidents de votre organisation.

Comment garantirez-vous la continuité des activités en cas de violation ? Chaque entreprise doit clairement définir les responsabilités et les plans de communication en cas d'incident de sécurité.

ISO/CEI 27701

L'une des nouvelles normes ISO, ISO 27701 se concentre sur la confidentialité. Elle a été créée en réponse au renforcement du RGPD de l'UE et exige que les organisations prennent des "mesures appropriées" pour sécuriser les informations privées des utilisateurs.

ISO 27701 explique quelles peuvent être ces mesures appropriées. En essence, il s'agit de construire un système de gestion des informations privées (PIMS) en conjonction avec votre SGSI.

Histoire de la famille des normes ISO 27000

L'histoire de l'ISO 27000 remonte à la norme britannique (BS) 7799.

En 1993, le ministère britannique du Commerce et de l'Industrie a chargé un comité de créer des critères d'évaluation pour les produits de sécurité informatique ainsi qu'une liste de bonnes pratiques en matière de technologie de l'information. Cela a finalement conduit à la création de la norme BS 7799, publiée en trois parties en 1995.

Une partie couvrait les systèmes de gestion de la sécurité de l'information et leur mise en œuvre et est finalement devenue l'ISO 27001. L'ISO 27001 a été publiée comme la première norme de la série ISO 27000 en 2005.

Une autre partie de la norme BS 7799 couvrait les meilleures pratiques en matière de sécurité de l'information et a ensuite été intégrée dans l'ISO 17799. Celle-ci a été renommée ISO 27002 en 2007 pour s'aligner avec le système de numérotation de la série ISO 27000.

Les normes ISO 27001 et 27002 ont toutes deux été révisées en 2013 et de nouveau en 2022 pour répondre à l'évolution des menaces.

Comment obtenir la certification ISO 27000 ?

Techniquement, vous ne pouvez pas. Il n'existe pas de certification ISO 27000.

L'ISO 27001 est la norme qui donne des instructions pour certifier une organisation comme conforme à une partie de l'ISO 27000.

Examinons ci-dessous le processus de certification ISO 27001.

Étape 1 : Comprendre les normes ISO 27000.

Commencez le processus de certification ISO 27001 en comprenant en détail les normes ISO 27000, pas seulement l'ISO 27001. Elles sont toutes là pour une raison, que ce soit pour fournir des conseils, vous aider à comprendre la perspective de votre auditeur ou offrir des contrôles qui conviendront à la situation unique de votre entreprise.

Par exemple, si vous stockez une partie de votre infrastructure dans le cloud, étudiez ISO 27017 et ISO 27018. Si vos clients sont dans l'UE, étudiez ISO 27701, etc.

Étape 2 : Construire un SGSI conforme.

Votre prochaine étape consiste à vous assurer que votre SGSI est à la hauteur. ISO 27003 sera utile ici. Si votre SGSI documenté répond à tous les contrôles pertinents de chaque section de l'ISO 27000 (au moins sur le papier), il est temps de procéder à l'évaluation des risques.

Étape 3 : Effectuer une évaluation des risques.

Développez votre processus d'évaluation des risques en utilisant les lignes directrices de l'ISO 27005 pour vous aider. Cela révèlera les domaines dans lesquels votre SGSI n'est pas conforme et mettra en lumière les risques non atténués qui présentent les conséquences potentielles les plus importantes. 

Étape 4 : Créer un plan de traitement des risques et mettre en œuvre des contrôles.

La conformité à ISO 27001 nécessite la documentation à la fois du processus de gestion des risques et de la décision prise concernant chaque risque - l'éviter, l'atténuer, l'absorber ou le transférer.

Étape 5 : Définir un processus d'amélioration continue.

La dernière étape consiste à documenter un processus d'amélioration continue de votre SGSI. Utilisez ISO 27004 comme ligne directrice pour adapter votre SGSI aux menaces de sécurité des données en constante évolution.

Étape 6 : Réaliser les audits de stade 1 et 2.

À ce stade, si vous avez toute la documentation requise et les preuves numériques nécessaires, vous êtes prêt pour un audit de stade 1. Le choix d'un auditeur est une partie importante et souvent négligée du processus. Nous suggérons d'évaluer un registraire/auditeur en fonction de son niveau d'expérience avec des entreprises similaires à la vôtre, du type de support offert pour les audits de surveillance pour maintenir la conformité et du coût.

Lors de l'audit de stade 1, l'auditeur procédera à un examen préliminaire de votre documentation et de votre SGSI et signalera les lacunes que vous auriez pu manquer. Vous aurez la possibilité de passer en revue le rapport initial et de rectifier les éventuelles erreurs avant l'audit final de certification.

L'auditeur réalisera ensuite un audit de stade 2, qui implique une évaluation sur site de votre SGSI. Votre auditeur s'assurera également que votre entreprise suit les politiques et procédures qu'il a examinées lors du stade 1. 

Si vous êtes trouvé conforme à toutes les normes ISO 27000 pertinentes, l'auditeur vous délivrera un certificat ISO 27001.

Quel est l'objectif de l'ISO/IEC 27000 ?

Le but de la série de normes ISO/IEC 27000 est d'aider les organisations de tous les secteurs et de toutes les tailles à protéger leurs actifs informationnels.

ISO 27001 est une norme internationale très respectée pour les systèmes de gestion de la sécurité de l'information et leurs exigences. Une organisation qui termine un audit ISO 27001 par un auditeur accrédité recevra un certificat. Ce certificat offre aux clients la réassurance d'une tierce partie que l'organisation a construit un SGSI capable de protéger les données sensibles.

Les autres normes de la famille ISO 27000 fournissent des meilleures pratiques supplémentaires en matière de protection des données et de résilience cybernétique.

Suivre ces normes et obtenir la certification ISO 27001 n'est pas obligatoire, mais cela peut offrir des avantages significatifs pour les entreprises en croissance, notamment :

• Attirer plus de clients. Les clients potentiels sont bien conscients des risques croissants posés par les violations de données. Lorsqu'ils choisissent des partenaires avec lesquels travailler, les clients prennent fortement en compte la sécurité de l'information. La certification ISO 27001 peut nettement affûter votre avantage concurrentiel.
• Prévenir les violations de données coûteuses. Une violation de données de haut niveau peut être dévastatrice pour une entreprise grand public, même sans les amendes. Les piratages entraînent une mauvaise presse, une perte de valeur, des défections de personnel et une perte de productivité alors que toute l'équipe se met à la gestion des dommages.
• Fournir de la clarté à votre équipe. La croissance rapide des entreprises peut entraîner des confusions supplémentaires pour votre équipe autour de la responsabilité des politiques et des actifs de sécurité de l'information. Les normes ISO 27000 peuvent aider les organisations à clarifier les responsabilités.
• Offrir un avis expert et tiers sur votre posture de sécurité globale. Le véritable avantage de la conformité n'est pas seulement l'écusson sur votre site web — c'est l'avantage de savoir que votre SGSI et vos contrôles internes fonctionnent comme prévu et que vous avez mis en œuvre des pratiques de sécurité de premier ordre.

En fin de compte, chaque organisation qui recherche la conformité ISO 27000 via la certification ISO 27001 a ses propres raisons. Vous seul pouvez décider si c'est le bon choix pour votre entreprise.

Comment Secureframe peut aider votre organisation à sécuriser ses actifs informationnels

ISO 27000 est un ensemble de normes rigoureux pour une raison — dans un paysage de cybersécurité en constante évolution, il est nécessaire de sécuriser les données.

Si vous envisagez la certification ISO 27001, une plateforme de conformité peut clarifier et rationaliser l'ensemble du processus. Avec Secureframe, vous pouvez intégrer toute la technologie dans votre SGSI, scanner automatiquement les risques et les violations potentielles — et obtenir une aide experte de notre équipe de conformité interne à chaque étape.

Planifiez une démo dès aujourd'hui pour obtenir une aide experte dans la compréhension des subtilités d'ISO 27000.