Bien qu'elle soit parfois appelée ISO 27001, l'abréviation officielle de la norme internationale sur les exigences en matière de gestion de la sécurité de l'information est ISO/IEC 27001. Cela s'explique par le fait qu'elle a été publiée conjointement par l'ISO et IEC (Commission électrotechnique internationale, CEI). Le numéro indique qu'elle a été publiée sous la responsabilité du sous-comité 27 (chargé de la sécurité de l'information, de la cybersécurité et de la protection de la vie privée) du comité technique mixte de l'ISO et de l'IEC dans le domaine des technologies de l'information (ISO/IEC JTC 1).
L'ISO/IEC 27001 est une norme de sécurité de l'information reconnue au niveau international, conçue par l'organisme de certification ISO (Organisation internationale de normalisation) et par l'IEC (Commission électrotechnique internationale, CEI). La norme ISO 27001 a connu plusieurs versions, dont ISO 27001:2013. La dernière version en date est la norme ISO/IEC 27001:2022.
L'ISO 27001 fournit des lignes directrices et un cadre, avec des exigences pour « créer, mettre en œuvre, maintenir et améliorer en permanence » un système de gestion de la sécurité de l'information (ISMS). La norme ISO 27001 comprend 93 contrôles de gestion des risques, mais tous ne sont pas nécessaires pour se conformer à la norme ISO 27001. Il s'agit plutôt de comprendre le niveau de risque de votre organisation et de décider lesquels des 93 contrôles sont les plus appropriés pour atténuer ce risque pour les ressources d'information.
ISO 27001 et sécurité des données
La norme ISO 27001 exige la mise en place d'un cadre ISO 27001 pour ISMS afin d'intégrer les politiques et procédures qui protègent les données sensibles d'une entreprise, y compris la propriété intellectuelle. Ce cadre repose sur les processus, les personnes, la technologie et les procédures nécessaires aux contrôles de sécurité de l'information, pour sécuriser les systèmes et les terminaux, et pour protéger les données contre les accès non autorisés, ces derniers pouvant entraîner une utilisation abusive, une exposition, une interruption, une modification ou une destruction des données. En outre, les politiques et procédures ISMS contribuent à réduire les risques liés aux données provenant de cyberattaques et de menaces internes grâce à l'évaluation des risques. Un ISMS permet également de respecter les réglementations en matière de protection et de confidentialité des données, telles que le règlement général sur la protection des données (RGPD), en contribuant à renforcer l'intégrité, la confidentialité et la disponibilité des données.
Conformité à la norme ISO 27001 avec Akamai
Les solutions de sécurité d'Akamai protègent contre les vulnérabilités, les menaces de programmes malveillants (y compris les ransomwares), les violations de données et les attaques DDoS. Akamai protège votre expérience client, votre personnel, vos systèmes, vos données personnelles et vos données sensibles en intégrant la sécurité partout, tout le temps. La plateforme mondiale d'Akamai permet à une entreprise de détecter et de prévenir les menaces existantes et émergentes, et de s'adapter à l'évolution du paysage de la sécurité. Ceci est essentiel pour maintenir la conformité à la norme ISO 27001 et démontrer une amélioration continue de la sécurité. L'élément Zero Trust de la plateforme Akamai permet de créer un environnement conforme à la norme ISO 27001, offrant une visibilité approfondie des ressources, des contrôles d'accès et des flux réseau, avec une application granulaire de la politique de sécurité.
Comment la norme ISO 27001 affecte-t-elle votre entreprise ?
La norme ISO 27001 comprend des contrôles couvrant les domaines organisationnel, personnel, physique et technologique. Tous les secteurs sont exposés à des cybermenaces axées sur le facteur humain qui exploitent l'accès aux systèmes et services critiques.
Une approche fondamentale dans le cadre des objectifs de contrôle de la norme ISO 27001 est celle de la sécurité Zero Trust. Les contrôles comprennent :
- le contrôle d'accès, pour établir des contrôles d'accès physiques et logiques à l'information et aux autres ressources associées ;
- les droits d'accès privilégiés, afin de garantir un accès « de moindre privilège » ;
- la séparation des réseaux, dans le cadre d'une approche de sécurité Zero Trust.
Ces contrôles permettent à une entreprise d'établir un environnement Zero Trust.
Voici trois exemples de secteurs qui bénéficient de la mise en œuvre du Zero Trust dans le cadre de la norme ISO 27001 :
ISO 27001 pour les infrastructures stratégiques
Les attaques contre les infrastructures stratégiques ont des effets dévastateurs. Un exemple récent est l'incident de sécurité survenu chez le fournisseur de pétrole américain Colonial Pipeline . Tout le sud-ouest des États-Unis a été touché. Il a suffi d'un seul mot de passe compromis pour contourner la sécurité des opérations et infecter l'entreprise avec un ransomware. Les infrastructures stratégiques couvrent de nombreux services essentiels, notamment les services publics, les fabricants de produits chimiques et les transports. La nature stratégique de ces services en fait une cible attrayante pour les pirates. L'accès non autorisé et l'exposition des informations d'identification dans l'ensemble de la chaîne d'approvisionnement sont au cœur des préoccupations. La connectivité accrue à l'Internet au sens large et la surface d'attaque élargie des unités industrielles contemporaines connectées ont permis à des acteurs malveillants d'ouvrir des portes autrefois solidement fermées sur des systèmes critiques. La mise en œuvre de la norme ISO 27001 et des politiques et procédures de sécurité de l'information associées permet d'atténuer le risque de cyberattaques sur les infrastructures stratégiques.
ISO 27001 pour les soins de santé
Le secteur des soins de santé au sens large est une cible idéale pour les cybercriminels. Ce secteur est riche en données, constitue une infrastructure essentielle et dépend fortement de la technologie et des relations avec les fournisseurs. Par conséquent, les établissements de santé sont exposés à de nombreuses formes de cyberattaques, notamment les violations de données et les ransomwares. Un récent rapport du Internet Crime Complaint Center (IC3) du FBI a indiqué qu'en 2022, le service a reçu plus de rapports d'attaques de ransomware ciblant les soins de santé que tout autre secteur d'infrastructure stratégique. En tant que service complexe, le secteur de la santé peut bénéficier de la rigueur nécessaire à la mise en œuvre d'un ISMS dans le cadre de la certification ISO 27001. Une approche Zero Trust des risques de sécurité de l'information permettra aux organismes de santé de contrôler l'accès aux données sensibles et de conserver le contrôle des systèmes et des services essentiels.
ISO 27001 pour les services financiers
Une étude du Fonds monétaire international (FMI) réalisée en 2023 dans 51 pays a révélé que les cybermenaces contre les infrastructures financières « prolifèrent », ce qui indique qu'il est urgent que le secteur réagisse de manière appropriée. Le secteur financier est victime de diverses cyberattaques, notamment des ransomwares, des violations de données et des attaques DDoS. Le rapport 2022 de Verizon sur la violation des données répartit les types d'attaques contre le secteur financier en « attaques d'applications Web de base, intrusions dans le système et erreurs diverses », couvrant ainsi 79 % des violations. Ce rapport souligne également que le vol d'informations d'identification fait partie intégrante de la plupart des attaques dans ce secteur. La norme ISO/IEC 27001 prévoit des mécanismes permettant au secteur financier d'appliquer une approche Zero Trust à l'égard des accès non autorisés.
Avantages de la norme ISO 27001 pour les entreprises
La sécurité des données est un avantage concurrentiel reconnu. L'obtention de la certification ISO 27001 aide les entreprises à prouver à leurs clients et aux autres parties prenantes qu'elles prennent la sécurité de l'information au sérieux et qu'elles ont mis en place un système de gestion de la continuité des activités. Être conforme à la norme ISO 27001 signifie que vous avez créé un environnement sécurisé, basé sur un ISMS, qui atténue les risques liés à la sécurité des données et contribue à minimiser les risques pour les entreprises avec lesquelles vous collaborez.
La mise en œuvre d'un ensemble de contrôles visant à gérer les menaces pesant sur la sécurité de l'information et à améliorer la gestion des incidents signifie que votre entreprise a procédé à une analyse des lacunes en matière de sécurité des données et qu'elle est moins exposée aux cyberattaques et à l'exposition accidentelle de données. Cela se traduit par une diminution des violations de données et une réduction de la probabilité d'amendes et d'autres pénalités pour non-conformité aux réglementations.
Les contrôles et le cadre de la norme ISO 27001 correspondent à d'autres réglementations relatives à la protection des données, telles que le RGPD et le cadre de cybersécurité (Cybersecurity Framework, CSF) du NIST. Par conséquent, la certification ISO 27001 aide à se conformer à ces autres réglementations relatives à la protection des données.
Foire aux questions (FAQ)
La norme ISO 27001 est axée sur la conception et la mise en œuvre d'un ISMS à l'échelle de l'entreprise. SOC 2 fournit un cadre de sécurité complet pour y parvenir. La conformité à SOC 2 exige d'une entreprise qu'elle prouve qu'elle a mis en œuvre une série de contrôles de sécurité essentiels pour protéger les informations. En d'autres termes, la norme ISO 27001 permet à une entreprise de développer et de mettre en œuvre un ISMS de manière exhaustive, tandis que SOC 2 se concentre sur un audit plus restreint des contrôles de sécurité.
La norme ISO 27001 est une norme de certification reconnue au niveau international. SOC 2 est un ensemble d'audits réalisés par un expert-comptable certifié (CPA) indépendant.
La norme ISO/IEC 27001 est une norme internationale mondialement reconnue qui définit les exigences d'un ISMS. Elle est utilisée par les entreprises de toute taille et de tout type qui doivent avoir l'assurance que les risques liés à la sécurité de l'information sont gérés. Il s'agit d'entreprises publiques et privées, de petites et moyennes entreprises, de grandes sociétés, d'organisations à but non lucratif et d'agences gouvernementales.
La certification ISO/IEC 27001 est un moyen de démontrer que votre entreprise s'engage et est capable de gérer les informations de manière sûre et sécurisée. Être certifié par un organisme d'accréditation peut apporter un niveau de confiance supplémentaire, car l'organisme d'accréditation a fourni une confirmation indépendante de la compétence de l'organisme de certification. Si vous souhaitez utiliser un logo pour prouver votre certification, contactez l'organisme de certification qui a délivré le certificat. Comme dans d'autres contextes, les normes doivent toujours être mentionnées avec leur référence complète, par exemple « certifié selon la norme ISO/IEC 27001:2022 » (et non pas simplement « certifié selon la norme ISO 27001 »).
Pourquoi les clients choisissent-ils Akamai ?
Akamai soutient et protège la vie en ligne. Les entreprises leaders du monde entier choisissent Akamai pour concevoir, diffuser et sécuriser leurs expériences digitales, et aident des milliards de personnes à vivre, travailler et jouer chaque jour. Akamai Connected Cloud, plateforme cloud massivement distribuée en bordure de l'Internet, rapproche vos applications et expériences des utilisateurs, tout en tenant les menaces à distance.