Aujourd'hui, la question de la sécurité de l'information (ci-après dénommée sécurité de l'information) des entreprises est l'une des plus urgentes au monde. Et cela n'est pas surprenant, car dans de nombreux pays, les exigences sont renforcées pour les organisations qui stockent et traitent des données personnelles. Actuellement, la législation russe impose de maintenir une part importante du flux de documents sous forme papier. Dans le même temps, la tendance à la numérisation est perceptible : de nombreuses entreprises stockent déjà une grande quantité d’informations confidentielles aussi bien au format numérique que sous forme de documents papier.
À la suite de Anti-Malware Analytical Center, 86 % des personnes interrogées ont indiqué qu'au cours de l'année, ils ont dû résoudre au moins une fois des incidents suite à des cyberattaques ou à la suite de violations par les utilisateurs des réglementations en vigueur. À cet égard, donner la priorité à la sécurité des informations en entreprise est devenu une nécessité.
Actuellement, la sécurité des informations d'entreprise n'est pas seulement un ensemble de moyens techniques, tels que des antivirus ou des pare-feu, c'est déjà une approche intégrée de la gestion des actifs de l'entreprise en général et des informations en particulier. Les entreprises abordent ces problèmes différemment. Aujourd'hui, nous aimerions parler de la mise en œuvre de la norme internationale ISO 27001 comme solution à un tel problème. Pour les entreprises présentes sur le marché russe, la présence d'un tel certificat simplifie l'interaction avec les clients et partenaires étrangers qui ont des exigences élevées en la matière. La norme ISO 27001 est largement utilisée en Occident et couvre les exigences dans le domaine de la sécurité de l'information, qui doivent être couvertes par les solutions techniques utilisées, et contribuer également au développement des processus métiers. Ainsi, cette norme peut devenir votre avantage concurrentiel et un point de contact avec les entreprises étrangères.
Cette certification du Système de Gestion de la Sécurité de l'Information (ci-après dénommé ISMS) a rassemblé les meilleures pratiques pour concevoir un ISMS et, surtout, prévoyait la possibilité de choisir des outils de contrôle pour assurer le fonctionnement du système, des exigences en matière de support technologique de sécurité et même pour le processus de gestion du personnel dans l'entreprise. Après tout, il faut comprendre que les pannes techniques ne sont qu’une partie du problème. En matière de sécurité de l'information, le facteur humain joue un rôle énorme et il est beaucoup plus difficile de l'éliminer ou de le minimiser.
Si votre entreprise souhaite obtenir la certification ISO 27001, vous avez peut-être déjà essayé de trouver un moyen simple d'y parvenir. Nous devons vous décevoir : il n’y a pas de solution simple ici. Cependant, certaines étapes aideront à préparer une organisation aux exigences internationales en matière de sécurité de l’information :
1. Obtenez le soutien de la direction
Vous pensez peut-être que cela est évident, mais dans la pratique, ce point est souvent négligé. C’est d’ailleurs l’une des principales raisons pour lesquelles les projets de mise en œuvre de la norme ISO 27001 échouent souvent. Sans comprendre l'importance du projet de mise en œuvre de la norme, la direction ne fournira ni des ressources humaines ni un budget suffisants pour la certification.
2. Élaborer un plan de préparation à la certification
La préparation à la certification ISO 27001 est une tâche complexe qui implique de nombreux types de travaux différents, nécessite l'implication d'un grand nombre de personnes et peut prendre plusieurs mois (voire plusieurs années). Par conséquent, il est très important de créer un plan de projet détaillé : allouer des ressources, du temps et l'implication des personnes à des tâches strictement définies et contrôler le respect des délais - sinon vous risquez de ne jamais terminer le travail.
3. Définir le périmètre de certification
Si vous disposez d'une grande organisation aux activités diversifiées, il peut être judicieux de certifier seulement une partie des activités de l'entreprise selon la norme ISO 27001, ce qui réduira considérablement le risque de votre projet, ainsi que son délai et son coût.
4. Élaborer une politique de sécurité de l’information
L'un des documents les plus importants est la politique de sécurité des informations de l'entreprise. Il doit refléter les objectifs de sécurité de l'information de votre entreprise et les principes de base de la gestion de la sécurité de l'information, qui doivent être suivis par tous les employés. L'objectif de ce document est de déterminer ce que la direction de l'entreprise souhaite réaliser dans le domaine de la sécurité de l'information, ainsi que la manière dont cela sera mis en œuvre et contrôlé.
5. Définir une méthodologie d’évaluation des risques
L'une des tâches les plus difficiles consiste à définir des règles d'évaluation et de gestion des risques. Il est important de comprendre quels risques une entreprise peut considérer comme acceptables et lesquels nécessitent une action immédiate pour les réduire. Sans ces règles, le SMSI ne fonctionnera pas.
Dans le même temps, il convient de rappeler l’adéquation des mesures prises pour réduire les risques. Mais il ne faut pas trop se laisser emporter par le processus d’optimisation, car il implique également beaucoup de temps et de coûts financiers, voire peut s’avérer tout simplement impossible. Nous vous recommandons d’utiliser le principe de « suffisance minimale » lors de l’élaboration de mesures de réduction des risques.
6. Gérer les risques selon une méthodologie approuvée
L'étape suivante est l'application cohérente de la méthodologie de gestion des risques, c'est-à-dire leur évaluation et leur traitement. Ce processus doit être effectué régulièrement avec le plus grand soin. En tenant à jour le registre des risques liés à la sécurité de l'information, vous serez en mesure d'allouer efficacement les ressources de l'entreprise et de prévenir les incidents graves.
7. Planifier le traitement des risques
Les risques qui dépassent un niveau acceptable pour votre entreprise doivent être inclus dans le plan de traitement des risques. Il doit enregistrer les actions visant à réduire les risques, ainsi que les personnes qui en sont responsables et les délais.
8. Remplissez la déclaration d'applicabilité
Il s'agit d'un document clé qui sera étudié par les spécialistes de l'organisme de certification lors de l'audit. Il doit décrire les contrôles de sécurité de l'information qui s'appliquent aux activités de votre entreprise.
9. Déterminer comment l'efficacité des contrôles de sécurité de l'information sera mesurée.
Toute action doit avoir un résultat conduisant à la réalisation des objectifs fixés. Par conséquent, il est important de définir clairement par quels paramètres la réalisation des objectifs sera mesurée à la fois pour l'ensemble du système de gestion de la sécurité de l'information et pour chaque mécanisme de contrôle sélectionné dans l'annexe d'applicabilité.
10. Mettre en œuvre des contrôles de sécurité des informations
Et ce n'est qu'après avoir terminé toutes les étapes précédentes que vous pourrez commencer à mettre en œuvre les contrôles de sécurité des informations applicables de l'Annexe d'applicabilité. Le plus grand défi ici, bien sûr, sera d'introduire une toute nouvelle façon de faire les choses dans de nombreux processus de votre organisation. Les gens ont tendance à résister aux nouvelles politiques et procédures, alors faites attention au point suivant.
11. Mettre en œuvre des programmes de formation pour les employés
Tous les points décrits ci-dessus n'auront aucun sens si vos employés ne comprennent pas l'importance du projet et n'agissent pas conformément aux politiques de sécurité de l'information. Si vous souhaitez que votre personnel se conforme à toutes les nouvelles règles, vous devez d'abord expliquer aux gens pourquoi elles sont nécessaires, puis dispenser une formation sur le SMSI, en mettant en évidence toutes les politiques importantes que les employés doivent prendre en compte dans leur travail quotidien. Le manque de formation du personnel est une raison courante de l’échec des projets ISO 27001.
12. Maintenir les processus SMSI
À ce stade, la norme ISO 27001 devient une routine quotidienne dans votre organisation. Pour confirmer la mise en œuvre des contrôles de sécurité de l'information conformément à la norme, les auditeurs devront fournir des enregistrements - preuves du fonctionnement réel des contrôles. Mais surtout, les enregistrements doivent vous aider à savoir si vos employés (et fournisseurs) exécutent leurs tâches conformément aux règles approuvées.
13. Surveillez votre SMSI
Que se passe-t-il avec votre SMSI ? Combien d’incidents avez-vous, de quel type s’agit-il ? Toutes les procédures sont-elles correctement suivies ? Avec ces questions, vous devez vérifier si l'entreprise atteint ses objectifs en matière de sécurité des informations. Sinon, vous devez élaborer un plan pour corriger la situation.
14. Mener un audit interne du SMSI
Le but de l'audit interne est d'identifier les incohérences entre les processus réels de l'entreprise et les politiques de sécurité de l'information approuvées. Pour l’essentiel, il s’agit de vérifier dans quelle mesure vos employés respectent les règles. C'est un point très important, car si vous ne contrôlez pas le travail de votre personnel, l'organisation peut subir des dommages (intentionnels ou non). Mais l’objectif ici n’est pas de trouver les coupables et de les sanctionner pour non-respect des politiques, mais de corriger la situation et de prévenir de futurs problèmes.
15. Organiser une revue de direction
La direction ne doit pas configurer votre pare-feu, mais elle doit savoir ce qui se passe dans le SMSI : par exemple, si chacun assume ses responsabilités et si le SMSI atteint ses objectifs. Sur cette base, la direction doit prendre des décisions clés pour améliorer le SMSI et les processus commerciaux internes.
16. Introduire un système d’actions correctives et préventives
Comme toute norme, la norme ISO 27001 exige une « amélioration continue » : la correction et la prévention systématiques des incohérences dans le système de gestion de la sécurité de l'information. Grâce à des actions correctives et préventives, la non-conformité peut être corrigée et éviter qu'elle ne se reproduise à l'avenir.
En conclusion, je voudrais dire qu'en fait, obtenir une certification est beaucoup plus difficile que ce qui est décrit dans diverses sources. Ceci est confirmé par le fait qu'aujourd'hui en Russie, il n'y a que ont été certifiés conformes. Dans le même temps, il s’agit de l’une des normes les plus populaires à l’étranger, répondant aux exigences croissantes des entreprises dans le domaine de la sécurité de l’information. Cette demande de mise en œuvre est due non seulement à la croissance et à la complexité des types de menaces, mais également aux exigences de la législation, ainsi qu'aux clients qui doivent maintenir une confidentialité totale de leurs données.
Bien que la certification ISMS ne soit pas une tâche facile, le simple fait de répondre aux exigences de la norme internationale ISO/IEC 27001 peut constituer un sérieux avantage concurrentiel sur le marché mondial. Nous espérons que notre article vous aura permis d’avoir une première compréhension des étapes clés de la préparation d’une entreprise à la certification.
Source: habr.com