La sécurité de l’information a donné naissance à la famille ISO 2700x, qui est déclinée en normes détaillées ou en guides pratiques. ISO 27001 peut s’implémenter dans toute sorte d’organisation, grande ou petite, lucrative ou non, privée ou publique.
Dans un monde où l’ordinateur (ou le « device ») est devenu roi, mais aussi la cible d’attaques cybernétiques en croissance exponentielle, les bonnes pratiques de sécurité de l’information passent bien sûr par la sécurité du système d’information (SSI) ; L’ISO 27001 est LA norme de référence pour progresser et construire !
ISO 27001 fait partie des normes ISO certifiantes par un organisme indépendant accrédité, mais ce n’est pas une obligation, sauf si la réglementation venait à l’imposer selon le contexte métier de l’organisme. La certification procure un avantage compétitif en termes d’image de marque pour l’organisme ; mais aussi en compétitivité coûts sur le plan des processus de sécurité, de contrôle interne et d’audit externe le cas échéant. Tous ces points de bonnes pratiques contribuent à l’efficience globale de l’organisation.
Comment la mettre en place ?
Il s’agit avant tout d’un engagement managérial de haut niveau en faveur du respect des meilleures pratiques professionnelles en matière de protection de l’information – prise au sens large – de l’organisme. Bien sûr, dans la société « digitale », l’information est quasiment totalement portée par le SI.
Ce projet d’entreprise abouti à la mise en place et surtout à la pratique opérationnelle d’un système de management de la sécurité de l’information, un SMSI donc; exercice fortement structurant et impliquant si l’organisme est ambitieux pour lui-même. Mais pas insurmontable, bien au contraire, pour qui veut monter les marches de la SSI et ne pas se contenter de mesures techniques qui ne résolvent que partiellement l’équation de la sécurité.
Si le but est d’obtenir une certification ISO 27001, le travail de mise en conformité (Plan – Do) et de gestion du SMSI (Check – Act) sera dense et contraignant pour les acteurs concernés. Si le but est de progresser en SSI sans certification, et sans le formalisme du protocole de surveillance de la certification, la trajectoire projet pourra être plus souple et plus progressive.
Le nombre de certificats ISO 27001 délivrés en France en 2014 : 161. Nous sommes loin derrière l’Italie (970), l’Allemagne (640), l’Espagne (701), sans parler du Royaume Uni (2 261) ou du Japon (7 181). (Source AFNOR)