Bien que le secteur du numérique est indubitablement un marché florissant, l’actualité est tout aussi fleurie de cyberattaques ayant provoqué une fuite de données détenues par les entreprises. La sécurité de ces systèmes informatiques est devenue un enjeu capital de cette nouvelle économie.
En matière de sécurité informatique, beaucoup d’opérateurs privés comme publics éprouvent des difficultés à établir un cadre de référence. Ce que l’on appelle “la famille de normes ISO/IEC 27 000” présentent des mesures et bonnes pratiques assurant la sécurité des systèmes d’information. Elles ont été élaborées afin d’être applicables à toutes les tailles d’organismes : de la PME à la multinationale. Il convient de détailler ce qui se cache derrière cette dénomination « norme ISO » et la nature de ses mesures.
Le statut de la normalisation
Le type de norme qui nous intéresse se distingue de celle classique et juridique issue d’un pouvoir public. Il faut aussi ajouter que la normalisation ne présente pas une organisation institutionnelle et internationale aussi structurée que celle affectant le commerce ou la propriété intellectuelle. L’article 1er du décret n°2009-697 du 16 juin 2009 défini la normalisation en ces termes:
« La normalisation est une activité d’intérêt général qui a pour objet de fournir des documents de référence élaborés de manière consensuelle par toutes les parties intéressées, portant sur des règles, des caractéristiques, des recommandations ou des exemples de bonnes pratiques, relatives à des produits, à des services, à des méthodes, à des processus ou à des organisations.
Elle vise à encourager le développement économique et l’innovation tout en prenant en compte des objectifs de développement durable. »
Contrairement à une norme juridique dite “classique”, la normalisation ne présente pas de caractère obligatoire donc elle n’entraîne pas de sanction en cas de non-respect de son contenu. On trouve toutefois des cas où la norme peut se voir octroyée indirectement un caractère obligatoire. Par exemple, si les pouvoirs publics reconnaissent la qualité d’une norme édictée et s’en emparent, cette dernière peut être intégrée dans leur ordre juridique. Aussi, il est possible pour une partie au contrat de se référer à une telle norme afin d’engager la responsabilité de l’autre partie en cas d’irrespect des mesures et bonnes pratiques prescrites.
En somme, on retient que la normalisation est une activité d’intérêt général dont les documents sont diffusés et élaborés de manière consensuelle.
Ce qu’est une Norme “ISO”
L’organisation internationale de la normalisation (ISO) est une organisation internationale non gouvernementale créée en 1946. Elle a pour but la réunion d’experts mettant en commun leur connaissance afin de créer des normes fondées sur le consensus. L’ISO a publié pas moins de 22481 normes applicables à de multiples domaines. Les normes “ISO” sont réévaluées tous les 5 ans, elles visent à faciliter le commerce international en garantissant la sûreté des produits et services.
Nous nous intéresserons ici à la famille de normes 27 000 publiées conjointement par l’ISO et l’IEC (Commission Électrotechnique Internationale) qui établit un Système de management de la sécurité informatique.
La famille de normes ISO/IEC 27 000 : un cadre de référence en matière de cybersécurité
L’utilisation de la « famille » de normes ISO/IEC 27000 intitulé « Systèmes de management de la sécurité de l’information » (SMSI) vise à gérer la sécurité des actifs informationnels des opérateurs. On y trouve un très grand nombre de normes allant des requis généraux applicable aux systèmes d’informations (ISO/IEC 27 001) jusqu’au code de bonne conduite applicable à la sécurité des informations au sein des services cloud (ISO/IEC 27 017). Ces normes représentent ce qui se fait à “l’état de l’art” de la sécurité informatique justifiant leur succès.
Enfin, il est à noter que la dernière révision en date du mois de février 2018 de ces normes est entrée en résonance avec le Règlement Général sur la Protection des Données (entré en application la même année). Notamment avec son article 32 prévoyant l’obligation de sécurisation des systèmes d’information.