La cybercriminalité constitue une menace sérieuse pour les entreprises de tous les secteurs et de toutes les tailles - c'est bien connu. Le répertoire va de l'espionnage au sabotage en passant par le chantage. Cependant, le danger ne vient pas seulement d'Internet. Vos propres employés peuvent également constituer un sérieux facteur de risque. Surtout si votre entreprise n'a pas pris les mesures appropriées - consultez l'annexe A.7 de la norme ISO 27001.
Un système de gestion de la sécurité de l'information (SGSI) bien structuré, conforme à la norme ISO 27001, constitue la base d'une mise en œuvre efficace d'une stratégie globale de sécurité de l'information. L'approche systématique permet de protéger les données confidentielles de l'entreprise contre la perte et l'utilisation abusive et d'identifier de manière fiable les risques potentiels pour l'entreprise, de les analyser et de les rendre contrôlables par des mesures appropriées. Cela implique bien plus que les seuls aspects de la sécurité informatique. La mise en œuvre des mesures de l'annexe A de la norme est particulièrement précieuse pour la pratique.
ISO/IEC 27001:2013 - Technologies de l'information - Procédures de sécurité - Systèmes de gestion de la sécurité de l'information - Exigences.
En plus de la section des exigences orientées système de management (chapitres 4 à 10), l'annexe A de la norme ISO contient une liste exhaustive de 35 cibles de mesures (contrôles) avec 114 mesures concrètes sur un large éventail d'aspects de la sécurité à travers 14 chapitres.
Remarque : les déclarations désignées comme "mesures" dans l'annexe A sont en fait des objectifs individuels (contrôles). Elles décrivent ce à quoi devrait ressembler un résultat conforme à la norme de mesures (individuelles) appropriées.
Les entreprises doivent se baser sur ces contrôles pour structurer individuellement et de manière plus approfondie leur politique de sécurité de l'information. En ce qui concerne le thème du personnel, l'objectif de mesure "Sécurité du personnel" de l'annexe A.7 est particulièrement intéressant.
"Les mesures ne reposent pas sur la méfiance des employés, mais sur des processus de personnel clairement structurés."
Les processus relatifs au personnel garantissent, à travers toutes les phases de l'emploi, que les responsabilités et les tâches sont attribuées en matière de sécurité de l'information et que leur respect est contrôlé. Les violations de la politique de sécurité de l'information - intentionnelles ou non - ne sont donc pas impossibles, mais elles sont rendues beaucoup plus difficiles. Et si le pire devait arriver, un SGSI efficace fournit à l'organisation des mécanismes appropriés pour faire face à la violation.
Notre guide d'audit ISO 27001 - Annexe A a été créé par des experts de premier plan en tant qu'aide à la mise en œuvre pratique et convient parfaitement pour mieux comprendre certaines exigences de la norme. Le guide fait référence à la norme ISO 27001:2013 et sera bientôt mis à jour pour la norme ISO 27001 révisée qui a été publiée le 25 octobre 2022.
Ce n'est en aucun cas une question de méfiance si une entreprise publie des directives appropriées pour rendre plus difficile l'accès non autorisé de l'intérieur ou, mieux encore, pour l'empêcher complètement. En effet, une chose est claire : si le licenciement d'un employé est imminent ou a déjà été annoncé, son mécontentement peut conduire à un vol de données ciblé. Cela se produit surtout lorsque l'employé licencié pense qu'il a des droits de propriété sur les données du projet. À l'inverse, une candidature à un emploi particulier peut déjà être faite dans l'intention de commettre un acte criminel.
D'autres scénarios révèlent un comportement de négligence grave ou simplement d'imprudence, qui peut avoir des conséquences tout aussi graves. Il arrive, par exemple, que des départements informatiques entiers ne respectent pas leurs propres règles - trop lourdes, trop longues. Au bureau, c'est la manipulation négligente de mots de passe ou de smartphones non protégés. Mais aussi la connexion négligente de clés USB, des documents ouverts sur l'écran, des documents secrets dans des bureaux vides - la liste des omissions possibles est longue.
Les entreprises qui ont mis en œuvre un système de gestion de la sécurité de l'information (SGSI) conformément à la norme ISO 27001 sont ici en meilleure position. Elles connaissent les exigences et l'annexe A.7 de la norme internationalement reconnue, qui est pertinente pour la pratique. Car la norme ISO 27001 a beaucoup à offrir ici : Bien que les mesures de référence se réfèrent directement aux exigences de la norme, elles visent toujours la pratique directe de l'entreprise.
Les entreprises disposant d'un SMSI efficace connaissent les objectifs spécifiés dans l'annexe A.7, qui doivent être mis en œuvre en vue de la sécurité du personnel pour une conformité totale à la norme - dans toutes les phases de l'emploi.
L'organisation doit s'assurer qu'un nouvel employé comprend ses futures responsabilités et convient à son rôle avant de l'employer - conformément à l'Annexe A.7.1. Dans la section des exigences (chapitre 7.2), la norme parle de "compétence".
En tant que mesure de référence orientée vers un objectif, les candidats à un poste reçoivent d'abord une habilitation de sécurité conforme aux principes éthiques et aux lois applicables. Cette vérification doit être appropriée par rapport aux exigences de l'entreprise, à la classification des informations à obtenir et aux risques éventuels (A.7.1.1). Pour pouvoir y parvenir, les éléments suivants doivent, entre autres, être en place, assurés ou vérifiés :
L'étape suivante concerne l'emploi et les conditions contractuelles. Ainsi, cette mesure de référence de l'annexe A de l'ISO/CEI 27001 consiste en l'accord contractuel sur les responsabilités des employés envers l'entreprise et vice versa (A.7.1.2). Une mise en œuvre réussie de cette exigence comprend, entre autres, le respect de ces points :
Les employés doivent être conscients de leurs responsabilités en matière de sécurité de l'information. C'est l'objectif de A.7.2, et plus important encore, les employés doivent assumer ces responsabilités.
La première mesure (A.7.2.1) vise l'obligation de la direction d'encourager ses employés à mettre en œuvre la sécurité de l'information conformément aux politiques et procédures établies. A cette fin, les points suivants doivent être réglementés au minimum :
Au chapitre 7.3 "Sensibilisation", la norme ISO 27001 exige que les personnes exerçant des activités pertinentes soient conscientes des éléments suivants
Les nouveaux employés, en particulier, ont besoin d'informations régulières sur le sujet, par exemple par e-mail ou via l'intranet, en plus du briefing obligatoire sur les questions de sécurité de l'information. Des formations concrètes (notamment sur les plans et exercices d'urgence), des ateliers thématiques et des campagnes de sensibilisation (par exemple par le biais d'affiches) renforcent la prise de conscience du système de gestion de la sécurité de l'information.
Par exemple, la mesure de référence A.7.2.1 de l'annexe A de la norme ISO 27001 sert également à créer une sensibilisation appropriée à la sécurité de l'information. Les organisations doivent former et éduquer leurs employés et, le cas échéant, leurs sous-traitants sur des sujets pertinents sur le plan professionnel. Les politiques et procédures correspondantes doivent être régulièrement mises à jour. Les aspects suivants, entre autres, doivent être pris en compte :
CONSEIL : Veillez à ce que la communication fonctionne bien, avec de multiples canaux de transfert des connaissances. En effet, la sensibilisation au SMSI et aux aspects connexes requis par la norme est étroitement liée au transfert de connaissances.
Annexe 7.2.3 : Cette mesure spécifie la manière dont l'organisation traitera les réprimandes en cas de violation de la sécurité de l'information. La base de cette mesure est un processus d'action corrective. Il doit être formellement défini, établi et annoncé. Les éléments suivants doivent être garantis :
L'annexe A.7.3 de la norme ISO 27001 spécifie comme objectif un processus de cessation d'emploi ou de changement efficace pour protéger les intérêts de l'organisme. Cet objectif se concentre sur les responsabilités en matière de cessation ou de changement d'emploi. Par conséquent, les responsabilités et obligations liées à la sécurité de l'information qui demeurent après la cessation ou le changement d'emploi doivent être définies, communiquées et appliquées. Il est judicieux de prendre en compte ces aspects :
La menace de l'intérieur est réelle - et la plupart des entreprises en sont conscientes. Selon une étude de sécurité (Balabit 2018), les employés qui disposent de droits d'accès étendus sont particulièrement vulnérables aux attaques. Et comme les employés sont impliqués dans 50 % de toutes les failles de sécurité, 69 % des professionnels de l'informatique ayant répondu considèrent qu'une violation des données internes constitue le plus grand risque. Pourtant, peu de mesures sont prises à cet égard. Dans la pratique, il est souvent difficile de porter des accusations contre le personnel interne. En particulier dans les petites et moyennes entreprises (PME), où les gens se connaissent, une certaine confiance leur est souvent accordée - avec parfois des conséquences désagréables. Une gestion bien structurée de la sécurité de l'information constitue la base pour garantir la sécurité des informations qui doivent être protégées.
Dans l'annexe A.7, ISO/IEC 27001 fournit des mesures de référence pour la sécurité du personnel qui doivent être mises en œuvre dans le cadre de l'introduction de la norme. Les entreprises devraient utiliser ces mesures comme base pour la conception individuelle et plus approfondie de leur politique de sécurité de l'information. Les mesures ne reposent pas sur la méfiance des employés, mais sur des processus de personnel clairement structurés.
Les entreprises certifiées apprécient les systèmes de gestion en tant qu'outils pour le top management qui créent la transparence, réduisent la complexité et assurent la sécurité. Cependant, les systèmes de gestion font encore plus : Évalués et certifiés par une tierce partie neutre et indépendante telle que DQS , ils créent la confiance des parties intéressées dans les performances de votre entreprise.
De nombreuses organisations considèrent encore la certification comme un contrôle de conformité. Nos clients, en revanche, y voient une opportunité de se concentrer sur les facteurs critiques de réussite et les résultats de leur système de gestion. En effet, nos compétences fondamentales résident dans la réalisation d'audits et d'évaluations de certification. Cela fait de nous l'un des principaux fournisseurs au niveau mondial, avec la prétention d'établir à tout moment de nouvelles normes en matière de fiabilité, de qualité et d'orientation client.
Combien de travail devez-vous accomplir pour faire certifier votre système de gestion de la sécurité de l'information selon la norme ISO 27001? Découvrez-le gratuitement et sans engagement.
Remarque : Nos articles sont rédigés exclusivement par nos experts internes en systèmes de gestion et nos auditeurs de longue date. Si vous avez des questions à poser à nos auteurs sur la sécurité de l'information (ISMS), n'hésitez pas à nous contacter. Nous nous réjouissons de pouvoir échanger avec vous.
Chef de produit chez DQS pour le management de la sécurité de l'information. En tant qu'expert en normes pour le domaine de la sécurité de l'information et du catalogue de sécurité informatique (infrastructures critiques), André Säckel est responsable, entre autres, des normes suivantes et des normes spécifiques au secteur : ISO 27001, ISIS12, ISO 20000-1, KRITIS et TISAX (sécurité de l'information dans l'industrie automobile). Il est également membre du groupe de travail ISO/IEC JTC 1/SC 27/WG 1 en tant que délégué national de l'Institut allemand de normalisation DIN.
