Le bon fonctionnement des technologies de l’information et de la communication (TIC) est essentiel au maintien des processus commerciaux dans le contexte de la numérisation. Même les pannes et perturbations les plus courtes s’accompagnent souvent de lourdes pertes financières. Les pirates exploitent ce potentiel de dommages lorsqu'ils chiffrent des données et des systèmes dans le cadre d'attaques sophistiquées de ransomware et ne les diffusent qu'après le paiement de rançons élevées.

Les mises à jour des normes internationales de sécurité de l'information, ISO 27001 et ISO 27002, visent désormais à mettre un terme à cette évolution : la mesure de sécurité (contrôle) 5.30 « Préparation aux TIC pour la continuité des activités » dans l'annexe A oblige les entreprises à garantir la disponibilité des TIC même en cas de panne. Le nouvelle ISO 27001:2022 ici, il envoie un signal fort avec les contrôles et aide les entreprises à armer en temps opportun leurs structures organisationnelles et leurs architectures de sécurité contre les scénarios de menaces. Lisez l'article de blog suivant pour découvrir ce que le contrôle 5.30 signifie pour votre système de management de la sécurité de l'information et comment il affectera les futurs audits.

La sécurité des TIC dans l'organisation et sa pertinence pour les processus commerciaux d'aujourd'hui

Les outils de collaboration tels que Microsoft Teams, les applications cloud sur les plateformes des grands hyperscalers, l'utilisation de services cloud et la production en réseau (Industrie 4.0) font désormais partie du quotidien des entreprises modernes, et pas seulement depuis la pandémie de coronavirus. Les technologies modernes de l’information et de la communication permettent des flux de travail rapides et efficaces et sont devenues des outils irremplaçables pour maintenir les processus métier dans tous les secteurs.

À l'inverse, cela signifie que la sécurité et la disponibilité des TIC sont très importantes et doivent être systématiquement surveillées et protégées contre les perturbations par des mesures et des processus appropriés afin de garantir le bon déroulement des processus et de minimiser les dommages potentiels. Cela devient de plus en plus important, en particulier à une époque de cybermenaces accrues alimentées par les conflits géopolitiques. Les entreprises disposent à cet effet d'une gamme d'outils, qui sont expliqués en termes généraux ci-dessous puis considérés dans le cadre du contrôle 5.30 de la norme ISO 27001.

whitepaper-ISO 27001-faq-dqs-cover picture
Loading...

Questions et réponses du nouvel ISO 27001:2022

Ce que vous devez savoir sur le « nouveau venu » en matière de sécurité des informations : 38 réponses de nos experts à 38 questions des utilisateurs.

  • À quoi servent les nouveaux contrôles ?
  • Quand devrions-nous passer à la nouvelle norme ?
  • Où puis-je trouver une liste des correspondances anciennes/nouvelles ?
  • ... ainsi que 35 autres !

Management de la continuité des activités

Management de la continuité des activités (BCM), par exemple conformément à OIN 22301 , est un processus de gestion qui garantit que les fonctions commerciales critiques ne sont pas interrompues longtemps pendant et après une perturbation ou peuvent être redémarrées le plus rapidement possible en créant, en mettant en œuvre et en révisant des plans et des stratégies (d'urgence).

La norme décrit les précautions préventives en termes d'organisation de préparation (d'urgence) et de planification d'urgence afin d'augmenter la fiabilité des processus commerciaux. En outre, des mesures réactives (reprise après sinistre) sont planifiées et prises dans le cadre de l'organisation d'intervention (d'urgence) afin de permettre une réponse rapide et ciblée en cas de perturbation des processus informatiques et de réduire les temps d'arrêt, par exemple grâce à des TIC élevées. sécurité dans l'entreprise.

La BCM, dans le cadre de la planification stratégique, comprend l'identification des risques et des vulnérabilités potentiels, l'évaluation de la criticité des processus métier, l'élaboration de plans pour répondre aux perturbations et le test de ces plans au moyen d'exercices et de simulations réguliers. L'objectif de la gestion de la continuité des activités est de garantir qu'une entreprise peut réagir rapidement et efficacement à une perturbation et que la confiance de ses parties prenantes dans sa capacité à livrer et à fonctionner est améliorée.

Analyse de l'impact des affaires

Analyse d'impact sur les entreprises (BIA) est la méthode utilisée dans la gestion de la continuité des activités pour enregistrer les processus et fonctions commerciales critiques au sein d'une organisation et pour identifier les interdépendances entre eux et leurs ressources sous-jacentes. Il s’agit donc d’un processus stratégique qui permet d’identifier et d’évaluer l’impact des perturbations sur les activités des entreprises. Le BIA constitue la base pour déterminer les temps de redémarrage requis.

La BIA implique généralement d'évaluer la criticité des processus métier, d'identifier les ressources nécessaires pour prendre en charge ces processus et de déterminer l'impact des perturbations sur ces processus et ressources. L’analyse aide les entreprises à comprendre les conséquences potentielles des perturbations et à prioriser leurs efforts de réponse et de rétablissement en conséquence.

Les résultats d'un BIA peuvent éclairer l'élaboration d'un plan de continuité des activités (PCA) et d'autres stratégies de gestion des risques pour garantir que l'entreprise est mieux préparée à gérer les événements inattendus et minimiser leur impact grâce à la haute disponibilité des systèmes et des structures.

D’autres recommandations pour mener une analyse d’impact sur les entreprises (BIA) peuvent également être trouvées dans le lignes directrices de ISO/TS22317 .

La norme ISO 27001:2022 est l'épine dorsale de la continuité des activités

Les technologies de l’information et de la communication (TIC) ont un impact significatif sur la continuité des activités au sein d’une entreprise. Les perturbations peuvent avoir un impact important, notamment dans le domaine des infrastructures critiques (KRITIS), par exemple. Pour cette raison, contrôle 5.30" Préparation aux TIC pour la continuité des activités" à l'Annexe A du nouvelle ISO/CEI 27001:2022 est d'une grande importance.

L'objectif de la mesure est d'assurer un niveau élevé de disponibilité du système TIC critique sur la base des objectifs de continuité d'activité et des exigences de continuité TIC qui en découlent, mises en œuvre et vérifiées. Cela inclut la définition des types d’impact et des critères d’impact au sein du processus BIA.

Les activités opérationnelles prioritaires sont identifiées sur cette base et se voient attribuer un objectif de temps de récupération (RTO). Le BIA détermine ensuite quelles ressources sont nécessaires pour ces activités prioritaires et leur attribue également un RTO. Un sous-ensemble de ces ressources comprendra les services TIC. De plus, des points de récupération (RPO = Recovery Point Objective) et leurs distances doivent également être définis pour les ressources TIC prioritaires.

Sur la base des résultats de tous ces processus, les organisations doivent identifier et sélectionner des stratégies de continuité des TIC qui prennent en compte les options avant, pendant et après une interruption. Sur cette base, des plans de continuité (y compris des procédures de réponse et de récupération) sont élaborés, mis en œuvre et testés pour répondre à la préparation requise en matière de TIC.

Dans ce contexte, il convient également de faire référence à la norme ISO ISO/IEC 27031, un guide de préparation aux TIC pour la continuité des activités, qui fournit aux entreprises des recommandations pour garantir la disponibilité des systèmes TIC.

Impact du contrôle 5h30 sur la certification

Pour être certifiées selon la norme ISO 27001:2022 révisée, les organisations doivent...

  • disposer d’une structure organisationnelle appropriée pour préparer, contenir et répondre à un incident. Cela nécessite également du personnel doté de la responsabilité, de l’autorité et des compétences nécessaires.
  • ont élaboré des plans contraignants de continuité des TIC, comprenant des procédures de réponse et de rétablissement, détaillant la manière dont l'organisation entend faire face à une interruption des services TIC. Ces plans doivent être approuvés par la haute direction et régulièrement évalués au moyen d'exercices et de tests.
  • inclure les informations suivantes dans leurs plans de continuité :
    - Spécifications de performances et de capacités pour répondre aux exigences et aux objectifs de continuité d'activité définis dans le BIA
    - RTO de chaque service TIC priorisé et les procédures de restauration de ces composants
    - RPO des ressources TIC prioritaires définies comme informations et procédures de restauration des informations

Certification ISO 27001

À quelle charge de travail faut-il s’attendre pour la certification ? Découvrez maintenant. Sans engagement et gratuitement.

En savoir plus sur l'ISO 27001

Sécurité des TIC pour la continuité des activités - conclusion

L'exemple marquant du piratage administratif à Anhalt-Bitterfeld, à la suite duquel certains services municipaux sont restés indisponibles pendant des semaines ou des mois, démontre la grande importance des technologies de l'information et de la communication dans le monde d'aujourd'hui. Cependant, l’exemple montre également l’importance de la continuité et des plans d’urgence établis.

Le contrôle des mesures de sécurité 5.30 « Préparation aux TIC pour la continuité des activités » constitue donc un aspect important des normes révisées de sécurité de l'information ISO/IEC 27001:2022 et ISO/IEC 27002:2022 afin de renforcer la résilience des entreprises.

Cependant, les organisations ont parfois du mal à évaluer la criticité des technologies de l’information et de la communication utilisées et leur potentiel de risque lors de leur mise en œuvre, ce qui a un impact direct sur la chaîne de priorisation. La BIA et l’analyse des risques constituent l’épine dorsale de gestion de la continuité des activités , pour ainsi dire. Avant la certification, il vaut donc la peine de revoir et d'optimiser vos propres efforts en matière de continuité d'activité et de disponibilité de solutions TIC avec des spécialistes expérimentés.

DQS : exploiter simplement la sécurité.

Grâce aux périodes de transition, les entreprises disposent de suffisamment de temps pour adapter leur gestion de la sécurité de l'information aux nouvelles exigences et la faire certifier. Cependant, la durée et les efforts de l’ensemble du processus de changement ne doivent pas être sous-estimés. Si vous voulez être prudent, il est préférable de gérer les nouvelles exigences et la transition vers la nouvelle norme le plus tôt possible.

Nous sommes heureux de répondre à vos questions

Apprenez-en davantage sur... sans engagement et gratuitement.

Con­tac­tez nous

En tant qu'experts en audit et certification avec près de 40 ans d'expertise, nous sommes heureux de vous aider à évaluer votre statut actuel, par exemple dans le cadre d'un audit delta . Découvrez auprès de nos experts les changements les plus importants et leur pertinence pour votre organisation.

Confiance et expertise

Nos textes sont rédigés exclusivement par nos experts internes en systèmes de management et commissaires aux comptes de longue date. Si vous avez des questions pour l'auteur, n'hésitez pas Contactez-nous.

Articles et événements pertinents

Vous pouvez également être intéressé par ceci
Blog
racing cars on a track
Loading...

Cybersécurité automobile certifiée avec ENX VCS

Blog
autonomous driving by a e-car, e-mobility
Loading...

ENX VCS versus ISO 21434 : Audit de la cybersécurité des véhicules

Blog
experience-with iso-27001-dqs-enterbrain-software-ag server cabinets
Loading...

L'intérêt de l'ISO 27001 - La success story d'ENTERBRAIN Software