BPG BPG Beratungs- und Prüfungsgesellschaft mbH
Retour aux actualités
Server

Sécurité de l'information selon la norme ISO/IEC 27001:2022 : pertinence, risques, mise en œuvre

IT

Pourquoi la sécurité de l'information est aujourd'hui critique pour l'entreprise

L'importance de la sécurité de l'information a fortement augmenté au cours des dernières années. Outre la menace croissante des cyber-attaques, les exigences légales et contractuelles gagnent également en importance. Les entreprises de toutes tailles sont de plus en plus appelées à protéger systématiquement les données personnelles et critiques pour l'entreprise.

Avec la mise en œuvre de la directive NIS2, l'introduction du cadre DORA dans le secteur financier et les exigences croissantes des lois sur la protection des données et la sécurité informatique, la pression réglementaire continue de s'accroître.

Les grandes entreprises et les organismes publics, en particulier, misent de plus en plus sur des systèmes de gestion de la sécurité de l'information (ISMS) à grande échelle, souvent sur la base de la norme internationale ISO/IEC 27001. Il en résulte des exigences accrues tout au long de la chaîne d'approvisionnement - une tendance qui touche également de plus en plus les petites et moyennes entreprises (PME) afin de respecter les exigences réglementaires, de gérer les risques de manière appropriée, mais aussi de maintenir leur compétitivité à long terme.

Le rôle du système de gestion de la sécurité de l'information (SMSI)

Un système de gestion de la sécurité de l'information (ISMS) bien établi augmente la résilience de l'ensemble de l'organisation - et garantit ainsi à long terme les valeurs, les processus et les positions sur le marché. Le « Return on Security Investment » (RoSI) devient ainsi un facteur mesurable.

Un ISMS basé par exemple sur la norme la plus récente ISO/IEC 27001:2022 offre une base éprouvée et reconnue au niveau international pour identifier et évaluer les risques de manière structurée et les minimiser par des mesures ciblées, afin de satisfaire aux exigences légales et contractuelles conformément à la loi et de contrer en même temps la menace accrue des cyberattaques.

La stratégie de sécurité est ainsi documentée vis-à-vis des clients, des partenaires et des autorités et est considérée comme une preuve internationalement reconnue, qui constitue déjà pour de nombreuses organisations une condition d'accès à certains appels d'offres ou secteurs.

Qu'est-ce que la norme ISO/IEC 27001:2022 ?

La norme ISO 27001:2022 est une norme internationale visant à établir, mettre en œuvre, maintenir et améliorer continuellement un système de gestion de la sécurité de l'information (SMSI). Le SMSI sert à garantir la confidentialité, l'intégrité et la disponibilité des informations. La norme aborde également la résistance aux attaques, la minimisation des risques et le rétablissement rapide après un incident de sécurité. L'objectif est d'établir une approche systématique et documentée de la sécurité de l'information.

ISMS selon ISO/IEC 27001:2022 ou IT-Grundschutz ?

Le choix de la norme appropriée pour le SMSI joue un rôle décisif. 
Par rapport à la protection de base IT du BSI, plus formalisée, qui se base sur des menaces prédéfinies et nécessite un engagement de ressources important, la norme ISO/CEI 27001:2022 offre aux entreprises beaucoup plus de flexibilité : les mesures sont choisies en fonction des risques et des besoins, en tenant compte des conditions organisationnelles, ce qui est particulièrement judicieux d'un point de vue économique pour les PME : les ressources peuvent ainsi être utilisées de manière ciblée et efficace pour réduire les risques de l'entreprise.
La protection IT de base du BSI est moins adaptée aux PME en raison des ressources importantes qu'elle nécessite. En outre, ISO/IEC 27001:2022 est une norme internationalement reconnue, qui est reconnue par les partenaires commerciaux à l'étranger.

ISO/IEC 27001:2022 - Principes fondamentaux et nouveautés

La norme ISO/CEI 27001:2022 définit les exigences relatives à l'établissement, à la mise en œuvre et à l'amélioration continue d'un SMSI. L'objectif est de garantir systématiquement la confidentialité, l'intégrité et la disponibilité des informations, quel que soit le secteur ou la taille de l'entreprise.

Champ d'application et avantages

En raison de sa nature générique, la norme ISO/CEI 27001:2022 est applicable indépendamment du secteur et de la taille et peut donc être mise en œuvre par des entreprises de tous types et de toutes tailles. Elle répond aussi bien aux exigences internes, comme la protection des données sensibles de l'entreprise, qu'aux exigences des partenaires externes. Un ISMS conforme à la norme ISO/IEC 27001:2022 présente de nombreux avantages stratégiques et opérationnels :

  • Renforcement de la confiance des clients, des partenaires et des parties prenantes grâce à une sécurité certifiée.

  • Avantage concurrentiel dans les appels d'offres et les négociations de contrats, car la certification est souvent encore inexistante dans le secteur des PME.

  • Structures, processus et responsabilités clairs en matière de traitement des informations, qui favorisent une gestion sûre des informations au sein de l'entreprise.

  • Détection précoce des points faibles grâce à des analyses de risques systématiques et des audits internes.

  • Résilience accrue face aux cyberincidents grâce à des analyses de risques structurées et à une surveillance continue.

  • Respect des exigences légales et contractuelles, par exemple aide à la mise en œuvre du RGPD, des réglementations spécifiques au secteur ou des exigences contractuelles.

  • Amélioration des conditions d'assurance (par exemple pour les cyberassurances).

  • Continuité des activités en cas de crise

Par rapport à la version précédente, l'édition actuelle a été fondamentalement remaniée. La norme est désormais plus proche d'autres systèmes de gestion ISO (par exemple ISO 9001 pour la gestion de la qualité). Le nombre de mesures de sécurité (Controls) a été réduit de 114 à 93 et divisé en quatre thèmes :

  • Mesures organisationnelles : Par exemple, des règles, des directives, des responsabilités qui contrôlent des processus importants pour la préservation de la sécurité de l'information dans l'organisation.

  • Mesures relatives aux personnes : Par exemple, la formation et la sensibilisation des collaborateurs, le comportement sûr des collaborateurs lors du traitement des informations et le contrôle des nouveaux collaborateurs avant leur embauche.

  • Mesures physiques : La protection des accès physiques aux informations et aux systèmes informatiques, par exemple par des contrôles d'accès et la surveillance et la sécurisation des bâtiments.

  • Mesures technologiques : Par exemple, les contrôles d'accès côté système, les mesures de cryptage, la sécurité du réseau et les stratégies de sauvegarde.

Cette structure facilite la mise en place systématique d'un ISMS et favorise une mise en œuvre axée sur la pratique, en fonction des besoins et des objectifs individuels de l'organisation et de ses exigences de sécurité, des processus organisationnels, ainsi que de la taille et de la structure. Ainsi, dans le cadre de l'adaptation aux besoins individuels, il est possible d'exclure certaines mesures de sécurité (controls) de l'analyse : Par exemple, les mesures technologiques comprennent 7 contrôles qui traitent du développement de logiciels. Cependant, étant donné que de nombreuses organisations ne développent pas leurs propres logiciels, ces mesures de sécurité (contrôles) peuvent être exclues de l'analyse sans restriction en ce qui concerne la certification visée.

Défis typiques sur la voie de la certification

Dans le cadre de la mise en œuvre, on constate dans la pratique que de nombreuses organisations ont besoin d'aide sur des points comparables :

  • Il n'existe pas d'analyse structurée des risques ou l'analyse existante a été réalisée de manière incomplète.

  • Une structure ISMS documentée fait défaut ou n'est pas structurée de manière compréhensible.

  • Les rôles et les responsabilités dans le domaine de la sécurité de l'information ne sont pas clairement définis et documentés.

  • Il n'existe pas de mesures continues pour sensibiliser les collaborateurs aux thèmes liés à la sécurité.

  • Les partenaires ou prestataires de services externes ne sont pas systématiquement impliqués dans le SMSI.

Conclusion

Un système de gestion de la sécurité de l'information (SMSI) conforme à la norme ISO/CEI 27001:2022 est bien plus qu'une mesure purement technique ou une affaire exclusive de l'informatique - il s'agit d'un instrument stratégique permettant de minimiser les risques, d'instaurer la confiance et d'assurer en outre la capacité d'action de l'entreprise et sa pérennité. Celui qui aborde la sécurité de l'information de manière systématique ne renforce pas seulement son informatique, mais aussi l'ensemble de l'organisation.
Pour les entreprises de taille moyenne, la norme ISO/CEI 27001:2022 offre un cadre évolutif permettant d'atteindre un niveau élevé de sécurité et de conformité à un coût raisonnable. L'essentiel est d'y voir clair suffisamment tôt, de définir des objectifs réalistes - et d'accompagner la mise en place de manière cohérente et appropriée.

Gestion des ressources pour la mise en place d'un SMSI - en interne ou en externe ?

La sécurité de l'information nécessite une responsabilité - mais toutes les entreprises ne sont pas en mesure de mettre à disposition des ressources internes permanentes pour développer un ISMS de manière autonome et le maintenir efficacement à long terme. Les PME, en particulier, manquent souvent de capacités personnelles ou de connaissances spécialisées. Un responsable externe de la sécurité de l'information (RSSI) peut alors constituer une solution économiquement viable. Il apporte non seulement une expertise technique et une expérience de projet, mais aussi un regard neutre sur les processus internes. Ayant accompagné plusieurs entreprises dans différents secteurs, un responsable externe de la sécurité de l'information (RSSI) connaît les pièges typiques et peut apporter des procédures éprouvées - adaptées individuellement aux exigences de chaque organisation.

La première étape vers un SMSI : l'analyse GAP selon ISO/CEI 27001:2022

Une analyse GAP structurée constitue une entrée en matière éprouvée pour la mise en place d'un SMSI. Elle montre dans quels domaines l'organisation est déjà conforme à la norme et dans quels domaines il est nécessaire d'agir. Il en résulte un plan d'action structuré qui sert de feuille de route pour la mise en place d'un SMSI efficace en vue d'une éventuelle certification.

  • Identification des lacunes par rapport à la norme

  • Réduction des coûts de mise en œuvre grâce à une planification & une priorisation ciblées

  • Réduction des risques de certification grâce à des mesures correctives précoces

  • Identification des points faibles avant un audit de certification officiel.

Sur cette base, un plan de mesures personnalisé est élaboré, qui sert de fil conducteur pour la poursuite de la mise en place d'un ISMS efficace. Dans de nombreux cas, une telle analyse est le moyen le plus efficace d'identifier de manière ciblée les domaines d'action, de renforcer la sécurité de l'information et de préparer l'organisation à une éventuelle certification.

Notre offre

En tant que partenaire expérimenté dans le domaine de la sécurité de l'information, du conseil et de l'audit informatiques, nous vous accompagnons dans la mise en œuvre en fonction de vos besoins :

  • Inventaire, évaluation et optimisation des processus déjà existants

  • Réalisation d'une analyse GAP selon ISO/IEC 27001:2022

  • Conseil, conception et suivi de projet lors de la mise en place d'un ISMS

  • Prise en charge du rôle de responsable externe de la sécurité de l'information (RSSI).

Nous vous soumettons volontiers une offre individuelle adaptée à vos exigences. 
N'hésitez pas à nous contacter !

Auteurs

Christian Maruhn

Autres sujets intéressants

Conseil

Identifier les risques financiers : Portée de la Financial Due Diligence

Dans le cadre d'une Financial Due Diligence (FDD), la définition précise de l'étendue de l'examen (en anglais Scope) ainsi que l'identification des domaines d'analyse centraux sont d'une importance capitale.
Conseil

Crowe conseille 1Q Health pour l'acquisition d'une participation majoritaire dans VivaCell

Crowe a conseillé le groupe 1Q Health, une société de portefeuille de NORD Holding dans le domaine des CDMO pour les compléments alimentaires et les médicaments, dans le cadre de l'acquisition de VivaCell Biotechnology GmbH, un institut de recherche sous contrat allemand.
Conseil

Crowe conseille Wellma dans sa fusion avec PlantaCorp

Wellma, une société du portefeuille du constructeur d'entreprises suédois Systematic Growth, s'associe à PlantaCorp, un fabricant de compléments alimentaires liposomaux sous marque de distributeur et sous contrat basé en Allemagne.
Conseil

Crowe BPG conseille PINOVA sur sa participation dans Asutec GmbH

Des fonds conseillés par PINOVA Capital GmbH (« PINOVA ») ont acquis la majorité des parts de la société Asutec GmbH (« Asutec »), dont le siège est à Nürtingen, en Allemagne.
Conseil

Crowe BPG conseille NORD Holding Small Cap dans le cadre de sa participation majoritaire dans MedXpert GmbH

Crowe BPG a conseillé le fonds NORD Holding Small Cap lors de l'acquisition d'une participation majoritaire dans la société MedXpert GmbH, dont le siège est à Eschbach, dans le cadre de la succession de...
Conseil

Crowe soutient la Hannover Finanz dans sa participation au spécialiste de la cybersécurité 8com

Crowe a aidé la Hannover Finanz (HF Equity), un partenaire de capital propre pour les entreprises familiales de taille moyenne dans la région DACH, à prendre une participation dans 8com GmbH & Co. KG, un...
Paramètres des Cookies