Dernières nouvelles

Restez au courant de tout ce qui se passe à Approach

Publication

Quels sont les pièges les plus courants lors de la mise en œuvre de la norme ISO 27001 ?

Date de publication

28.02.2019

image
Quatrième chapitre de notre histoire ISO 27001 écrite par nos experts. Quels sont les pièges les plus courants lors de la mise en œuvre d’ISO 27001 ?

Quatrième chapitre de notre histoire ISO 27001 écrite par nos experts. Découvrez les pièges les plus courants que vous pourriez rencontrer lors d’une mise en œuvre de la norme ISO 27001.

Le bon champ d’application : trop ambitieux ou pas assez

Définir le champ d’application adéquat pour la mise en œuvre d’un SGSI (système de gestion de la sécurité de l’information) peut s’avérer délicat. D’une part, certaines organisations importantes et complexes pourraient surestimer la planification et adopter une approche « trop ambitieuse » comprenant un grand nombre de tâches, d’activités et de ressources non nécessaires. En conséquence, le risque de gaspiller des ressources, de ne pas atteindre l’objectif et de démotiver l’équipe augmentera probablement.

D’autre part, les organisations qui réduisent trop leur champ d’application (par exemple en excluant certains contrôles de la déclaration d’applicabilité ou en négligeant certaines de leurs interfaces lors de la définition des limites de leur champ d’application) seront probablement confrontées à des non-conformités lors de l’audit de certification, car elles n’ont pas été en mesure de démontrer qu’elles maîtrisent parfaitement leur système de gestion de la sécurité de l’information. L’approche recommandée pour un plan de mise en œuvre réaliste du SMSI dans l’ensemble de l’organisation consiste à procéder à une évaluation pragmatique des risques combinée à la mise en œuvre des meilleures pratiques manquantes. Le résultat est une déclaration d’applicabilité (SoA) et une planification bien adoptées par l’entreprise. Les auditeurs seront alors confiants dans la mise en œuvre du SMSI. La norme ISO 27001 est basée sur l’amélioration continue, c’est pourquoi sa mise en œuvre n’a pas besoin d’être un « big bang » et n’exige pas que tous les éléments soient en place pour apporter des avantages.

 

Absence ou mauvaise définition des rôles et des responsabilités

Un piège typique consiste à considérer un projet de mise en œuvre de la norme ISO 27001 comme un projet informatique et à n’impliquer que les ressources de ce département. Dans de nombreux cas, le CISO (Chief Information Security Officer) est toujours rattaché au responsable informatique et, par conséquent, seules les mesures techniques sont prises en compte. Un SMSI (système de gestion de la sécurité de l’information) est en fait un projet transversal qui a un impact global sur l’ensemble de l’organisation, ses départements, ses cadres, son personnel et ses partenaires. Les sponsors ainsi que le chef de projet doivent être mandatés par le niveau exécutif. Cela implique que tous les acteurs du projet soient clairement identifiés et que leurs rôles et responsabilités soient définis et communiqués dans l’ensemble de l’organisation.

Manque d’adhésion ou adhésion insuffisante de la part de l’exécutif

Dans certaines organisations, la direction ne voit pas quelle est la valeur ajoutée d’un SMSI pour leurs activités.

Certaines organisations pensent que leur empreinte cybernétique est trop faible pour attirer les cybercriminels. Elles ne peuvent imaginer être la cible d’attaques telles que la divulgation de données, les logiciels malveillants ou le cyberchantage. Dans ces cas-là, les dirigeants ne reconnaissent souvent pas la valeur de la mise en œuvre d’un SMSI pour leur organisation, leurs clients et leurs employés. Lors de la première vague de ransomwares, de nombreuses organisations ont interrompu leurs activités après avoir été bloquées par des cryptomonnaies. Elles manquaient de politiques de sécurité, de sauvegardes, de campagnes de sensibilisation et de plans de reprise, ce qui les laissait sans préparation pour de telles attaques.

 

ISMS ? Pas pour nous, nous consacrons beaucoup d’argent aux mesures de sécurité technique.

La sécurité de l’information repose sur une solide chaîne à quatre maillons, dans laquelle la position globale de l’organisation en matière de sécurité est aussi forte que son maillon le plus faible. Les mesures administratives (le premier maillon) formalisent la manière dont nous travaillons et agissons au sein d’une organisation par le biais de politiques, de sensibilisation, de contrôles, de sanctions et de processus.

Les mesures techniques (deuxième lien) impliquent des actions de sécurité liées aux technologies de l’information. Il s’agit par exemple de crypter les ordinateurs portables, de déployer un logiciel anti-malware sur les postes de travail et les serveurs, et d’installer des pare-feu.

Les mesures physiques (troisième lien) sécurisent les bâtiments, les entrées, les bureaux, les locaux, les systèmes énergétiques et les télécommunications grâce à des mécanismes de sécurité déployés.

Les mesures environnementales (quatrième lien) se concentrent sur la prévention des dommages naturels tels que les inondations, les tremblements de terre et les ouragans, en particulier lorsque les organisations mettent en place de nouvelles infrastructures telles que des centres de données ou des bâtiments.

Pour parvenir à une sécurité solide et à un SMSI bien défini, les organisations doivent traiter ces quatre domaines de sécurité comme une entité indivisible.

 

Des pièges de l’ISO 27001 à la réussite

  1. Prenez le temps de bien définir votre champ d’application et posez-vous toujours la question suivante : vais-je convaincre l’auditeur ?
  2. Préparez un plan de gestion du changement : identifiez les obstacles, constituez votre équipe, tenez compte de l’ensemble de l’organisation et préparez votre plan de communication.
  3. Dans ce plan, assurez-vous de pouvoir traduire la norme ISO 27001 dans des termes qui parlent à votre équipe (« qu’est-ce que j’y gagne »).
  4. Se concentrer sur les gains rapides et les fruits à portée de main
  5. Ne sous-estimez pas la chaîne à 4 maillons

 

André Staquet, partenaire communautaire d’Approach, a rédigé cet article.

En savoir plus sur les solutions ISO 27001 Fast Track

AUTRES HISTOIRES

La loi sur la cyber-résilience : Ce que les entreprises belges doivent savoir

Alors que les organisations belges naviguent dans les méandres de la conformité NIS2, une nouvelle vague réglementaire se profile déjà à l’horizon. La loi de l’Union européenne sur la cyber-résilience (CRA) est entrée en vigueur le 10 décembre 2024 et remodèlera fondamentalement la façon dont les entreprises abordent la cyber-sécurité pour les produits comportant des éléments numériques. Contrairement à la NIS2, qui se concentre sur les mesures de sécurité organisationnelles, l’ARC cible les produits eux-mêmes – des appareils domestiques intelligents aux systèmes IoT industriels.

De la conformité à la confiance : Dorian Pacquet parle de cybersécurité pour les FinTechs

Dorian Pacquet nous explique comment les FinTechs peuvent aller au-delà de la conformité pour bâtir une véritable cyberconfiance grâce à une gestion proactive des risques et à la résilience.

La cybersécurité en Wallonie : aperçu de la situation

Dans une interview accordée à Dynam!sme, le magazine numérique de l’Union Wallonne des Entreprises (UWE), David Vanderoost, CEO de Approach Cyber, évoque le paysage wallon de la cybersécurité.

Contactez-nous pour en savoir plus sur nos services et solutions

Notre équipe vous aidera à entamer votre voyage vers la cyber-sérénité

Préférez-vous nous envoyer un courriel ?

info@approach-cyber.com

Facebook-f Linkedin-in Youtube

Nos certifications et labels

Facebook-f Linkedin-in Youtube
Facebook-f Linkedin-in Youtube