Des statistiques démontrent que les menaces contre les « Systèmes d’Information » de l’entreprise se multiplient surtout avec le développement de nouveaux usages, tels que : l’informatique en Nuage (Cloud Computing), les téléphones qui deviennent des ordinateurs complets ou encore l’utilisation de ses propres matériels de communication (BYOD – Bring Your Own Device) sur son lieu de travail. Ce constat oblige les organisations à renforcer les dispositifs de sécurité en place pour lutter contre les différentes menaces liées aux innovations numériques.
En effet, chaque entreprise a des informations, des connaissances et des savoirs à protéger. La « Sécurité Informatique » est donc un élément important pour gagner la confiance de ses clients et de ses partenaires, mais également de ses employés. Le problème actuellement est qu’il y a une abondance d’informations sur le sujet : nouveaux pare-feu, antivirus, législation et méthodologies. De plus, de nombreuses entreprises offrent des services qui promettent une solution à tous nos problèmes de sécurité, mais elles ne protègent que partiellement. Il est donc évident que l’on a besoin de mesures supplémentaires pour mieux protéger son entreprise. Et c’est là qu’intervient la norme ISO 27001.
Pour l’histoire, en 1947, l’Organisation Internationale de Normalisation ou International Organization for Standardization (ISO) a commencé à établir des normes pour accompagner les entreprises à la mise en place d’un « Système de management de la Sécurité de l’Information » ou SMSI. Il existe actuellement 7 normes relatives à ce système. Dans cet article, on va se focaliser sur la norme ISO 27001 dont la dernière révision a été publiée en 2013, nommée : ISO/IEC 27001 :2013.
L’ISO 27001 repose sur un référentiel écrit et vérifiable au moyen d’un audit. Elle comporte un ensemble de mesures organisationnelles et techniques aidant les entreprises dans sa démarche de sécurisation. Elle peut être implémentée dans n’importe quel type d’organisation, privée ou publique, petite ou grande. Elle est devenue le standard de sécurité le plus populaire. De plus, elle a été écrite par les meilleurs experts du monde dans le domaine de la « Sécurité Informatique ».
Elle permet également aux entreprises de se faire certifier, mais avant cela elle doit identifier, analyser et évaluer les risques puis déterminer les actions qui seront appliquées.  L’entreprise peut donc s’appuyer sur la norme IS0 27001 pour élaborer et mettre en place ce SMSI. Une fois que tout ceci est en place, elle peut faire appel à un organisme de certification qui va vérifier et relever au moyen d’un audit la conformité par rapport aux mesures techniques et organisationnelles établies. Si nécessaire, cet organisme peut définir aussi un plan d’actions correctives si la politique de sécurité en cours présente une insuffisance.
Mais faut-il adhérer aux normes de sécurité de l’information ? La direction peut avoir des avantages concrets pour son investissement dans la sécurité de l’information, elle peut renforcer sa crédibilité en démontrant que son produit ou son service répond aux attentes de ses clients. Dans certains secteurs, l’environnement de l’entreprise fait que la certification est une obligation légale et que les partenaires, avec lesquels l’entreprise noue des relations contractuelles, peuvent l’exiger.

A propos de Romina DJORDJEVIC