Cyber-attaques : la parade de la certification ISO 27001

©Shutterstock

Attention cyber-attaque ! À l’heure où un nouveau virus infecte les machines du monde entier, les organisations doivent se protéger. Dans cet esprit, certaines optent pour la certification ISO/IEC 27001. Décryptage avec un spécialiste.

Le bilan est lourd et sans précédent. Vendredi 12 mai 2017, le logiciel malveillant WannaCrypt s’est propagé à vitesse grand V dans 150 pays en moins de 24 heures. Administrations, hôpitaux, industries, transports… Près de 200 000 victimes ont été touchées à travers le monde. Pour les organisations et entreprises de toutes tailles, l’inquiétude demeure. À juste titre : seulement cinq jours après la première attaque, un nouveau virus informatique a sévi. Comment se prémunir des cyber-attaques ? Comment sécuriser ses pratiques ?

Pour répondre aux interrogations des professionnels et des consommateurs, AFNOR Certification a multiplié les interventions, tout récemment, à des colloques et tables rondes sur le sujet. Elle y a partagé les retours d’expériences de certifiés ISO/IEC 27001, ainsi distingués pour la rigueur de leur système de management de la sécurité des systèmes d’information et de l’information.

Décryptage avec François Lorek, auditeur AFNOR, animateur du groupe de travail international « Security Control and Services » au sein de l’ISO et directeur de TRAX, société spécialiste de la conformité en cyber-sécurité.

Que retenez-vous de la cyber-attaque de ce printemps 2017 ?

Contrairement aux attaques courantes, la faille Windows exploitée a donné naissance à une attaque d’une viralité sans précédent. WannaCrypt a contaminé de nombreux systèmes informatiques, notamment ceux des industries de production à la chaîne. En effet, si les organisations du tertiaire mettent régulièrement à jour leur système bureautique, ce n’est pas toujours le cas dans les systèmes d’information industriels ou hospitaliers. Aujourd’hui, les bons gestes et les bonnes pratiques sont encore trop peu déployés dans les organisations au regard des menaces. Les règles de base ne sont pas encore assez respectées. Cela vous fragilise d’une manière ou d’une autre. Après tout, en deux-roues, on porte un casque et on est prudent. En matière de cybersécurité, c’est pareil : il faut se protéger, sinon on peut se blesser….

En quoi la certification ISO/IEC 27001 permet-elle de se prémunir d’une cyber-attaque ?

Etre certifié ISO/IEC 27001, c’est faire reconnaître qu’on a mis en place un système de management dédié à la sécurité de l’information. La certification ISO/IEC 27001 est basée sur les exigences de la norme volontaire du même nom. Mondialement reconnue, cette norme permet aux organisations de se poser les bonnes questions : quelles sont les caractéristiques de mon organisation ?, quelles sont mes activités ?, quels sont les risques auxquels je suis exposé ? Selon les réponses, l’organisation mettra en place des actions adaptées. Ainsi, elle se défendra au mieux.. Gestion des accès, sécurité physique, gestion des incidents de sécurité… La norme passe en revue une série de points-clés. Sa nouvelle version publiée en 2013 met l’accent sur deux d’entre eux : améliorer la sécurité en amont dans les projets et dans les relations de l’entreprise avec ses fournisseurs (pour éviter notamment la perte de données). C’est d’autant plus important à l’heure où le nouveau règlement européen sur la protection des données exige d’être plus strict sur la protection des données.

Observez-vous que les organisations certifiées sont mieux protégées des cyber-attaques ? Combien ont fait le choix de se lancer dans une démarche de certification ?

La certification n’est pas un barrage hermétique aux cyber-attaques. Touché ? Pas touché ? Il y a toujours une part de chance ou de malchance. L’important, c’est qu’avec une certification ISO/IEC 27001, les organisations ont un temps d’avance. Si les menaces sont détectées en amont, l’attaque peut être isolée rapidement, les bonnes réactions sont immédiates, les décisions prises appropriées et les activités « vitales » de l’organisation seront moins ou guère impactées. En 2015, on comptait 227 entités certifiées ISO/IEC 27001 en France (chiffres de l’ISO Survey 2015). C’est peu par rapport aux autres pays européens. Force est de constater que nous sommes en retard. Il faut développer la culture de l’anticipation. La certification est un levier de confiance, les grands appels d’offres européens en font un minimum requis. Les organisations françaises ont donc tout intérêt à se lancer dans la démarche. À partenaire rassuré, affaire bien engagée !

Se faire certifier ISO/IEC 27001…

Découvrir les retours d’expériences d’organismes certifiés …

En savoir plus sur les prestations du groupe AFNOR en cybersécurité…