Dans ce contexte particulier de confinement, le télétravail se généralise et de nombreux échanges en B2B, jusque dans les comités de direction, migrent sur des plateformes numériques. Cela pose la question de la sécurité de l’information et de la protection des données personnelles. Comment s’assurer que ces sujets sont maîtrisés dans l’entreprise ? Eléments de réponse avec Brice Gilbert, ingénieur Confiance numérique chez AFNOR Certification.
Printemps 2020 : appliquant les mesures de confinement consécutives à la crise du covid-19, de nombreuses entreprises ont organisé le télétravail et offrent leurs services à distance. Sollicitant, de fait, de nombreux outils numériques, notamment des outils de visioconférence. L’application Zoom est ainsi passée de 10 millions d’utilisateurs fin 2019 à 200 millions en mars 2020. Est-ce sans risques sur le plan de la protection des données ?
Brice Gilbert : En effet, Zoom a été souvent cité dans les médias dernièrement, car plusieurs failles de sécurité ont été détectées. Ce n’est évidemment pas la seule application concernée, mais elle était au cœur de toutes les attentions, dont celles des hackers ! Or, elle présente des failles de sécurité importantes qui peuvent donner lieu à des vols de données, en particulier des données personnelles. Dans le cas précis de Zoom, on a assisté à des fuites de logins, de mots de passe, et même d’images et de vidéos. Bien entendu, cela ne se limite pas à Zoom et concerne bien d’autres applications. Mais le contexte du confinement est propice à ce genre de piratage et pose la question de la sécurité de l’information.
Comment protéger efficacement ses données, et montrer qu’on le fait ?
Brice Gilbert : Il existe de nombreuses réponses pour se protéger. D’abord, passer au crible les différentes solutions de visioconférence, car elles ne présentent pas toutes les mêmes garanties en termes de sécurité. La certification CSPN de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), qui donne lieu à un visa de sécurité, est un exemple de certification exigeante portant sur la sécurisation des communications. Mais cela demande aux entreprises des moyens conséquents pour atteindre le niveau de sécurité associé. A côté de cela, les entreprises ressentant le besoin de valoriser leur gouvernance et de montrer qu’elles sont en amélioration continue sur la sécurité de l’information peuvent s’orienter vers la certification ISO 27001, basée sur une norme volontaire internationale, plus généraliste, et très performante.
Pouvez-vous nous en dire plus sur cette certification ?
Brice Gilbert : Comme son nom l’indique, la certification ISO 27001 est délivrée par des organismes de certification, après audit sur site et désormais (partiellement) à distance. L’exercice porte sur le système de management de sécurité de l’information. Nous analysons différents paramètres : est-ce que l’entreprise a anticipé et s’est préparée aux risques informatiques liés à la sécurité des données et des infrastructures ? A-t-elle développé des procédures à mettre en œuvre en cas de problème ? Je ne vais pas toutes les détailler, mais la norme ISO/IEC 27001 énumère 114 mesures de sécurité à appliquer, qui vont de la sécurisation des infrastructures physiques à la sensibilisation du personnel. C’est une norme très complète. Nos auditeurs la maîtrisent parfaitement et évaluent la cohérence et l’efficacité de chaque point.
Quelles sont les autres signes distinctifs montrant qu’une entreprise assure l’intégrité de ses informations ?
Brice Gilbert : Sur la thématique de la confiance numérique, nous proposons des prestations qui concernent aussi bien la sécurité de l’information, au sens du système de management, que celle des données. Autour de la certification ISO 27001, nous proposons des déclinaisons en réponse au Règlement Général sur la Protection des Données (RGPD), dont AFAQ Protection des données personnelles, et la récente certification ISO 27701 où nous auditons l’aspect sécurité, éthique, et protection des données au sens plus large.
Quel est l’intérêt pour une entreprise d’afficher une certification dans ce domaine ?
Brice Gilbert : En affichant un certificat, l’entreprise apporte la preuve qu’elle a été évaluée par un organisme indépendant et impartial. C’est un gage de confiance pour tous les clients et collaborateurs.
En savoir plus sur les solutions d’AFNOR Certification en sécurité de l’information