Pour de nombreuses organisations, savoir si elles doivent se lancer dans l'ISO 27001 peut poser une sorte de dilemme. Les motivations varient. Certaines décident qu'elles doivent obtenir la certification pour satisfaire à des obligations contractuelles, ce qui en fait un moyen de parvenir à leurs fins. D'autres y voient un moyen de faire leurs preuves sur un marché encombré et de se différencier, tandis que d'autres encore considèrent que la certification est en soi un moyen d'améliorer leurs pratiques en matière de sécurité.
Le moment venu, tous pèsent le pour et le contre de la norme ISO 27001, alors quels sont-ils et la norme ISO 27001 en vaut-elle la peine ?
Le ISO 27001 est bien connue dans le monde entier et a la réputation de démontrer l'engagement d'une organisation à gérer la sécurité de l'information. C'est la seule norme internationale auditable qui définit les éléments constitutifs d'un SGSI (système de gestion de la sécurité de l'information), une approche qui définit les politiques et les procédures pour gérer, contrôler et améliorer systématiquement la sécurité de l'information de l'organisation.
Elle peut être appliquée à toutes les organisations, quelle que soit leur taille ou leur objectif.
La norme ISO 27001 présente de nombreux avantages. Elle peut garantir aux clients et aux partenaires que l'entreprise a fait preuve de la diligence requise en matière de sécurité, aider l'entreprise à se conformer à d'autres normes industrielles – y compris la protection des données personnelles, et peut conduire à une amélioration de la posture de sécurité en fournissant un point de mire. Cependant, malgré ces avantages évidents, l'adoption reste relativement faible.
Faibles niveaux d'adoption
Les dernières Enquête longitudinale sur la cybersécurité (Wave 2) menée par le gouvernement britannique au milieu de l'année 2022 auprès de moyennes et grandes entreprises a révélé que seulement 17 % d'entre elles adhèrent à la norme ISO 27001. Un autre rapport, le Enquête sur les atteintes à la cybersécurité. a révélé que seulement 8 % des entreprises avaient adopté la norme, bien que ce chiffre atteigne 23 % parmi les grandes entreprises.
Les recherches quantitatives menées par l'enquête longitudinale ont révélé que la norme était souvent considérée comme onéreuse et coûteuse. Cela est probablement dû au fait que la norme exige également des organisations qu'elles effectuent des audits internes (clause 9.2), en plus d'un audit externe annuel, ce qui peut entraîner des coûts supplémentaires.
De nombreuses organisations souhaitent également que la norme ajoute des garanties contre les cyber-attaques. Mais, comme pour tout cadre de sécurité, il n'y a aucune garantie de protection. Toute organisation peut être victime d'une violation et il y a presque certainement des organisations certifiées ISO 27001 qui l'ont fait. La norme évalue plutôt le cadre du SMSI et permet de l'améliorer, ce qui réduit la probabilité d'une violation, diminue l'impact potentiel et protège la réputation de l'entreprise du fait qu'elle ne peut pas être accusée de négligence (en particulier si l'exploitation et la maintenance du SMSI n'ont pas été négligées) en ce qui concerne ses pratiques en matière de sécurité.
En fait, la norme ISO 27001 peut rendre la réputation de l'entreprise plus résistante en cas de violation. Le rapport de l'Institut Ponemon sur la sécurité informatique en est une preuve directe. L'impact des violations de données sur la réputation et la valeur des actions.. Il a constaté que les entreprises considérées comme ayant une faible posture de sécurité ont vu le cours de leurs actions chuter de 4 % de plus en moyenne que celles ayant une posture de sécurité élevée, un écart qui s'est ensuite creusé au cours des 90 jours suivants pour atteindre 5 %.
De plus, le groupe ayant un faible niveau de sécurité n'a pas retrouvé son niveau d'avant la crise. cours de l'action avant la brèche au cours de l'étude, tandis que ceux qui ont une posture de sécurité élevée ont dépassé le prix de leur action avant l'intrusion.
Ainsi, non seulement elles se sont rétablies, mais elles ont continué à faire des gains, probablement parce qu'elles avaient mis en place les processus nécessaires pour accélérer un rétablissement rapide et communiquer efficacement lors de la divulgation, ce qui a rassuré le marché.
Renverser le cours des choses
C'est sur cette résilience de l'entreprise que la norme ISO 27001 est vraiment efficace, mais elle est très intangible. Cependant, d'autres facteurs sont en train d'inverser lentement la tendance.
Tout d'abord, les compagnies d'assurance proposent des listes de contrôle qui s'alignent sur la norme, ce qui permet aux petites entreprises de mettre en place le cadre. L'enquête sur les cyberattaques a révélé que la seule chose qui empêchait ces entreprises d'obtenir une certification complète était les coûts d'audit, mais à toutes fins utiles, elles ont fait le travail de base requis, ce qui rend la poursuite de la certification triviale. Les grandes entreprises, par exemple, ont déclaré qu'il leur était facile de se conformer à la loi une fois qu'elles avaient suivi le processus de certification initial.
Nous avons également vu la norme ISO 27001 mise à jour pour la première fois en neuf ans en 2022. Les évaluations par rapport à la norme ISO/IEC 27001:2022 sont en cours, mais les organisations ont les trois prochaines années pour se mettre en conformité. La nouvelle version couvre désormais la sécurité de l'information, la cybersécurité et la protection de la vie privée, et trois changements majeurs ont été apportés à la norme elle-même. La structure de la norme a été consolidée, passant de 14 à quatre : Organisationnelle, Humaine, Physique et Technologique. La liste des contrôles est passée de 114 à 93, avec 11 nouveaux contrôles ajoutés, 57 fusionnés et certains supprimés. Enfin, cinq nouveaux attributs ont été introduits pour s'aligner sur la sécurité numérique.
La bonne nouvelle, c'est que cette rationalisation de la norme est susceptible de la rendre plus attrayante pour les PME et qu'elle est désormais plus pertinente dans son orientation, aidant à faire face au risque associé au travail à distance par exemple.
Ces changements, ainsi que la preuve évidente que la certification peut améliorer la posture de sécurité et la résilience, constituent autant d'arguments convaincants en faveur de l'adoption de la norme.
Mais peut-être que d'autres incitations sont nécessaires dans les secteurs où la certification n'est pas obligatoire. Reste à savoir si cela doit prendre la forme d'une réglementation supplémentaire, d'incitations financières (c'est-à-dire d'allègements fiscaux) ou de conseils, d'orientations et de soutien, comme le suggère une récente étude sur les incitations et les réglementations en matière de cybersécurité.
Phil Robinson est consultant principal à Prism Infosec
Tu pourrais aussi lire :
Les sous-traitants de la défense américaine ne respectent pas les normes de base en matière de cybersécurité:
____________________________________________________________________________________
Si tu aimes ce site Web et que tu utilises l'annuaire complet des fournisseurs de services (plus de 6 500), tu peux obtenir un accès illimité, y compris la série exclusive de rapports approfondis sur les directeurs, en souscrivant à un abonnement Premium.
- Individuel 5€ par mois ou 50€ par an. S'inscrire
- Multi-utilisateurs, entreprises & ; comptes de bibliothèque disponibles sur demande
Renseignements sur la cybersécurité : Capturé Organisé & ; Accessible
