La cybercriminalité constitue une menace sérieuse pour les entreprises de tous les secteurs et de toutes les tailles - c'est bien connu. Le répertoire va de l'espionnage au sabotage en passant par le chantage. Cependant, le danger ne vient pas seulement d'Internet. Vos propres employés peuvent également constituer un sérieux facteur de risque. Surtout si votre entreprise n'a pas pris les mesures appropriées - consultez l'annexe A.7 de la norme ISO 27001.

Loading...

Un système de gestion de la sécurité de l'information (SGSI) bien structuré, conforme à la norme ISO 27001, constitue la base d'une mise en œuvre efficace d'une stratégie globale de sécurité de l'information. L'approche systématique permet de protéger les données confidentielles de l'entreprise contre la perte et l'utilisation abusive et d'identifier de manière fiable les risques potentiels pour l'entreprise, de les analyser et de les rendre contrôlables par des mesures appropriées. Cela implique bien plus que les seuls aspects de la sécurité informatique. La mise en œuvre des mesures de l'annexe A de la norme est particulièrement précieuse pour la pratique.

ISO/IEC 27001:2013: - Technologies de l'information - Procédures de sécurité - Systèmes de gestion de la sécurité de l'information - Exigences.

Annexe A de l'ISO 27001 : pertinente pour la pratique

En plus de la section des exigences orientées système de management (chapitres 4 à 10), la version 2017 de l'Annexe A de la norme ISO contient une liste exhaustive de 35 mesures cibles (contrôles) avec 114 mesures concrètes sur un large éventail d'aspects de la sécurité à travers 14 chapitres.

Loading...

Des connaissances indispensables : Le Guide d'Audit DQS

Notre Guide d'Audit ISO 27001 - Annexe A a été créé par des experts de premier plan comme une aide pratique à la mise en œuvre et est parfaitement adapté pour mieux comprendre les exigences des normes sélectionnées. La ligne directrice ne fait pas encore référence à la norme ISO 27001 révisée attendue fin 2022.

Remarque : les déclarations désignées comme "mesures" dans l'annexe A sont en fait des objectifs individuels (contrôles). Elles décrivent ce à quoi devrait ressembler un résultat conforme à la norme de mesures (individuelles) appropriées.

Les entreprises doivent se baser sur ces contrôles pour structurer individuellement et de manière plus approfondie leur politique de sécurité de l'information. En ce qui concerne le thème du personnel, l'objectif de mesure "Sécurité du personnel" de l'annexe A.7 est particulièrement intéressant.

"Les mesures ne reposent pas sur la méfiance des employés, mais sur des processus de personnel clairement structurés."

Les processus relatifs au personnel garantissent, à travers toutes les phases de l'emploi, que les responsabilités et les tâches sont attribuées en matière de sécurité de l'information et que leur respect est contrôlé. Les violations de la politique de sécurité de l'information - intentionnelles ou non - ne sont donc pas impossibles, mais elles sont rendues beaucoup plus difficiles. Et si le pire devait arriver, un SGSI efficace fournit à l'organisation des mécanismes appropriés pour faire face à la violation.

La sécurité de l'information n'est pas une question de méfiance

Ce n'est en aucun cas une question de méfiance si une entreprise publie des directives appropriées pour rendre plus difficile l'accès non autorisé de l'intérieur ou, mieux encore, pour l'empêcher complètement. En effet, une chose est claire : si le licenciement d'un employé est imminent ou a déjà été annoncé, son mécontentement peut conduire à un vol de données ciblé. Cela se produit surtout lorsque l'employé licencié pense qu'il a des droits de propriété sur les données du projet. À l'inverse, une candidature à un emploi particulier peut déjà être faite dans l'intention de commettre un acte criminel.

D'autres scénarios révèlent un comportement de négligence grave ou simplement d'imprudence, qui peut avoir des conséquences tout aussi graves. Il arrive, par exemple, que des départements informatiques entiers ne respectent pas leurs propres règles - trop lourdes, trop longues. Au bureau, c'est la manipulation négligente de mots de passe ou de smartphones non protégés. Mais aussi la connexion négligente de clés USB, des documents ouverts sur l'écran, des documents secrets dans des bureaux vides - la liste des omissions possibles est longue.

Annexe A.7 de l'ISO 27001 - Sécurité du personnel

Les entreprises qui ont mis en œuvre un système de gestion de la sécurité de l'information (SGSI) conformément à la norme ISO 27001 sont ici en meilleure position. Elles connaissent les exigences et l'annexe A.7 de la norme internationalement reconnue, qui est pertinente pour la pratique. Car la norme ISO 27001 a beaucoup à offrir ici : Bien que les mesures de référence se réfèrent directement aux exigences de la norme, elles visent toujours la pratique directe de l'entreprise.

Les entreprises disposant d'un SMSI efficace connaissent les objectifs spécifiés dans l'annexe A.7, qui doivent être mis en œuvre en vue de la sécurité du personnel pour une conformité totale à la norme - dans toutes les phases de l'emploi.

Que dit la norme ISO 27001 dans l'annexe A.7 ?

Mesures avant l'embauche

L'organisation doit s'assurer qu'un nouvel employé comprend ses futures responsabilités et convient à son rôle avant de l'employer - conformément à l'Annexe A.7.1. Dans la section des exigences (chapitre 7.2), la norme parle de "compétence".

En tant que mesure de référence orientée vers un objectif, les candidats à un poste reçoivent d'abord une habilitation de sécurité conforme aux principes éthiques et aux lois applicables. Cette vérification doit être appropriée par rapport aux exigences de l'entreprise, à la classification des informations à obtenir et aux risques éventuels (A.7.1.1). Pour pouvoir y parvenir, les éléments suivants doivent, entre autres, être en place, assurés ou vérifiés :

  • Une procédure pour obtenir des informations (comment et dans quelles conditions).
  • Une liste de critères juridiques et éthiques à respecter.
  • Le contrôle de sécurité doit être approprié, lié aux risques et aux besoins de l'entreprise
  • la plausibilité et l'authenticité du C.V., des états financiers et d'autres documents
  • La fiabilité et la compétence du candidat pour le poste envisagé.

Accords contractuels

L'étape suivante concerne l'emploi et les conditions contractuelles. Ainsi, cette mesure de référence de l'annexe A de l'ISO/CEI 27001 consiste en l'accord contractuel sur les responsabilités des employés envers l'entreprise et vice versa (A.7.1.2). Une mise en œuvre réussie de cette exigence comprend, entre autres, le respect de ces points :

  • La signature d'un accord de confidentialité par l'employé (contractant) ayant accès à des informations confidentielles.
  • Une obligation contractuelle de la part de l'employé (contractant) de se conformer, par exemple, aux questions de droits d'auteur ou de protection des données.
  • une disposition contractuelle sur la responsabilité des employés (contractants) lors du traitement d'informations externes.

Pendant l'emploi - Les responsabilités de la direction.

Les employés doivent être conscients de leurs responsabilités en matière de sécurité de l'information. C'est l'objectif de A.7.2, et plus important encore, les employés doivent assumer ces responsabilités.

La première mesure (A.7.2.1) vise l'obligation de la direction d'encourager ses employés à mettre en œuvre la sécurité de l'information conformément aux politiques et procédures établies. A cette fin, les points suivants doivent être réglementés au minimum :

  • De quelle manière la direction encourage-t-elle les employés à mettre en œuvre ? Où se trouvent les risques ?
  • Comment s'assure-t-elle que les employés connaissent les directives mises en œuvre pour traiter la sécurité de l'information ?
  • Comment vérifie-t-elle que les employés respectent les directives relatives à la sécurité de l'information ?
  • Comment motive-t-elle ses employés à mettre en œuvre les politiques et procédures et à les appliquer en toute sécurité ?

Sensibilisation

Au chapitre 7.3 "Sensibilisation", la norme ISO 27001 exige que les personnes exerçant des activités pertinentes soient conscientes des éléments suivants

  • de la politique de sécurité de l'information de l'organisme
  • De la contribution qu'elles apportent à l'efficacité du système de management de la sécurité de l'information (SMSI)
  • Les avantages d'une meilleure performance en matière de sécurité de l'information
  • les conséquences du non-respect des exigences du SGSI.

Les nouveaux employés, en particulier, ont besoin d'informations régulières sur le sujet, par exemple par e-mail ou via l'intranet, en plus du briefing obligatoire sur les questions de sécurité de l'information. Des formations concrètes (notamment sur les plans et exercices d'urgence), des ateliers thématiques et des campagnes de sensibilisation (par exemple par le biais d'affiches) renforcent la prise de conscience du système de gestion de la sécurité de l'information.

Par exemple, la mesure de référence A.7.2.1 de l'annexe A de la norme ISO 27001 sert également à créer une sensibilisation appropriée à la sécurité de l'information. Les organisations doivent former et éduquer leurs employés et, le cas échéant, leurs sous-traitants sur des sujets pertinents sur le plan professionnel. Les politiques et procédures correspondantes doivent être régulièrement mises à jour. Les aspects suivants, entre autres, doivent être pris en compte :

  • La manière dont le top management, pour sa part, s'engage en faveur de la sécurité de l'information.
  • La nature de l'éducation et de la formation professionnelle
  • La fréquence de révision et de mise à jour des politiques et procédures.
  • Les autres outils utilisés
  • Les mesures concrètes pour familiariser les employés avec les politiques et procédures internes de sécurité de l'information.

CONSEIL : Veillez à ce que la communication fonctionne bien, avec de multiples canaux de transfert des connaissances. En effet, la sensibilisation au SMSI et aux aspects connexes requis par la norme est étroitement liée au transfert de connaissances.

Processus de réprimande

Annexe 7.2.3 : Cette mesure spécifie la manière dont l'organisation traitera les réprimandes en cas de violation de la sécurité de l'information. La base de cette mesure est un processus d'action corrective. Il doit être formellement défini, établi et annoncé. Les éléments suivants doivent être garantis :

  • Il doit exister des critères selon lesquels la gravité d'une violation de la politique de sécurité de l'information est classée.
  • Le processus disciplinaire ne doit pas violer les lois applicables.
  • Le processus disciplinaire doit contenir des mesures qui motivent les employés à modifier leur comportement de manière positive à long terme.

Fin de l'emploi - Responsabilités

L'annexe A.7.3 de la norme ISO 27001 spécifie comme objectif un processus de cessation d'emploi ou de changement efficace pour protéger les intérêts de l'organisme. Cet objectif se concentre sur les responsabilités en matière de cessation ou de changement d'emploi. Par conséquent, les responsabilités et obligations liées à la sécurité de l'information qui demeurent après la cessation ou le changement d'emploi doivent être définies, communiquées et appliquées. Il est judicieux de prendre en compte ces aspects :

  • Des accords dans les contrats de travail sur la manière dont les employés doivent gérer les responsabilités et obligations liées à la sécurité de l'information qui subsistent après la cessation d'emploi.
  • Mécanismes de contrôle pour garantir le respect de ces accords
  • Procédures de mise en œuvre du respect des responsabilités et devoirs permanents.

La cybersécurité par la sécurité systématique du personnel

La menace de l'intérieur est réelle - et la plupart des entreprises en sont conscientes. Selon une étude de sécurité (Balabit 2018), les employés qui disposent de droits d'accès étendus sont particulièrement vulnérables aux attaques. Et comme les employés sont impliqués dans 50 % de toutes les failles de sécurité, 69 % des professionnels de l'informatique ayant répondu considèrent qu'une violation des données internes constitue le plus grand risque. Pourtant, peu de mesures sont prises à cet égard. Dans la pratique, il est souvent difficile de porter des accusations contre le personnel interne. En particulier dans les petites et moyennes entreprises (PME), où les gens se connaissent, une certaine confiance leur est souvent accordée - avec parfois des conséquences désagréables. Une gestion bien structurée de la sécurité de l'information constitue la base pour garantir la sécurité des informations qui doivent être protégées.

Conclusion : ISO 27001 en pratique - Annexe A

Dans l'annexe A.7, ISO/IEC 27001 fournit des mesures de référence pour la sécurité du personnel qui doivent être mises en œuvre dans le cadre de l'introduction de la norme. Les entreprises devraient utiliser ces mesures comme base pour la conception individuelle et plus approfondie de leur politique de sécurité de l'information. Les mesures ne reposent pas sur la méfiance des employés, mais sur des processus de personnel clairement structurés.

Expertise et confiance

Les entreprises certifiées apprécient les systèmes de gestion en tant qu'outils pour le top management qui créent la transparence, réduisent la complexité et assurent la sécurité. Cependant, les systèmes de gestion font encore plus : Évalués et certifiés par une tierce partie neutre et indépendante telle que DQS , ils créent la confiance des parties intéressées dans les performances de votre entreprise.

De nombreuses organisations considèrent encore la certification comme un contrôle de conformité. Nos clients, en revanche, y voient une opportunité de se concentrer sur les facteurs critiques de réussite et les résultats de leur système de gestion. En effet, nos compétences fondamentales résident dans la réalisation d'audits et d'évaluations de certification. Cela fait de nous l'un des principaux fournisseurs au niveau mondial, avec la prétention d'établir à tout moment de nouvelles normes en matière de fiabilité, de qualité et d'orientation client.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch
Loading...

Certification selon ISO 27001

Quel travail devez-vous réaliserpour faire certifier votre système de management de la sécurité de l'information selon la norme ISO 27001 ? Découvrez-le gratuitement et sans engagement.

Remarque : Nos articles sont rédigés exclusivement par nos experts internes en systèmes de management et nos auditeurs de longue date. Si vous avez des questions à poser à nos auteurs sur la sécurité de l'information (ISMS), n'hésitez pas à nous contacter. Nous serons ravis de pouvoir échanger avec vous.

Auteur
André Saeckel

Chef de produit chez DQS pour le management de la sécurité de l'information. En tant qu'expert en normes pour le domaine de la sécurité de l'information et du catalogue de sécurité informatique (infrastructures critiques), André Säckel est responsable, entre autres, des normes suivantes et des normes spécifiques au secteur : ISO 27001, ISIS12, ISO 20000-1, KRITIS et TISAX (sécurité de l'information dans l'industrie automobile). Il est également membre du groupe de travail ISO/IEC JTC 1/SC 27/WG 1 en tant que délégué national de l'Institut allemand de normalisation DIN.

Loading...