Protection des données personnelles, des échanges commerciaux, des coordonnées bancaires… l’actualité rappelle chaque jour la criticité de la sécurité des systèmes d’information (SSI) pour préserver l’activité et la confiance des clients. La norme ISO 27001 permet précisément de parer aux nouvelles menaces de l’ère virtuelle. Bien plus qu’une précaution technique, le management de la SSI s’impose aujourd’hui comme un outil de pilotage stratégique.
DÉLIMITER LES CHAMPS DE LA SÉCURITÉ
L’ISO 27001 propose un système de management pour gérer la sécurité des systèmes d’information (SSI). « Elle consiste à charger des personnes de la sécurité de l’information, à traduire une politique de sécurité en actions, puis à mesurer sa réalisation, explique Philippe Bourdalé, chef de produit AFNOR Certification. Elle vise aussi à agir sur la sécurité physique (accès aux locaux, protection des postes de travail et des serveurs…) et sur la sécurité logique (conception des logiciels, utilisation d’internet…). Pensez à la quantité de données obtenue en regardant au-dessus d’une épaule dans un train ! L’ISO 27001 couvre tous les supports d’information, de l’ordinateur portable à la sécurité incendie en passant par les comportements individuels », termine Philippe Bourdalé.
CONSOLIDER LA CONFIANCE ENTRE UNE ENTREPRISE ET SES CLIENTS
Atos Origin, groupe international d’infogérance certifié ISO 27001 depuis septembre 2010 le confirme : « nos clients nous confient la gestion de leurs infrastructures informatiques : nous nous devons de leur offrir un niveau de sécurité maximum », insiste Paul Bayle, directeur de la sécurité. À ses yeux, le référentiel a permis « d’enrichir les processus d’analyse de risques par le biais d’une méthodologie rigoureuse, d’améliorer la sensibilisation à la sécurité et de tenir le système à jour plus régulièrement ». Même témoignage chez Michel Quinton – responsable de la triple certification ISO 9001/20000-1/27001 d’Orange Business Services : « la certification ISO 27001 nous permet de prouver la solidité de la SSI de nos centres situés à l’étranger, qui traitent les données stratégiques de nos clients ».
ÉVITER LES RUPTURES D’ACTIVITÉ
Dans une optique d’intelligence économique, la construction d’un système de management de la SSI garantit la préservation des informations stratégiques comme des dernières innovations. « L’ISO 27001 permet en outre de mieux gérer le risque de rupture d’activité en cas de sinistre – catastrophe naturelle, virus informatique –, en poussant les entreprises à prévoir un site de secours, relais du système défaillant », note Philippe Bourdalé.
LA CERTIFICATION N’EST CEPENDANT PAS GAGE DE RISQUE ZÉRO
« Les mesures liées à une démarche ISO 27001 rendent le niveau de risque acceptable et gérable, mais ne le suppriment pas. » met en garde Marcel Schipman, auditeur AFNOR. Instaurer une revue régulière des points clés de vigilance multiplie néanmoins les chances de succès : « la revue des actifs et l’analyse des risques sont fondamentales. Pour être efficaces, elles doivent être exhaustives, hiérarchisées et renouvelées régulièrement. » La mutation continuelle des techniques, de technologies et des réglementations impose en effet une veille permanente.
[button content= »En savoir plus sur la certification ISO 27001″ color= »yellow » text= »black » url= »http://www.boutique-certification.afnor.org/certification/certification-iso-iec-27001″ openin= »_blank »]
