Toutes les entreprises traitant des données sensibles doivent être en mesure de garantir à leurs clients une sécurité irréprochable à tous les égards, tant en matière de confidentialité que de disponibilité, d’intégrité et de traçabilité. A ce titre, la mise en place d’un Système de Management de la Sécurité de l’Information permet de déployer une véritable politique de sécurité, garantissant que les bonnes pratiques soient adoptées dans la durée par tous les salariés de l’entreprise.
La norme ISO 27001 s’inscrit dans cette dynamique. Elle témoigne de la fiabilité d’une société en matière de sécurité.
La sécurité, un enjeu majeur et multidimensionnel
La mise en place de procédures rigoureuses doit être au cœur des priorités. En effet, un manque de sécurité peut non seulement affecter les entreprises elles-mêmes (vol de propriété intellectuelle, fuite de données financières ou commerciales, etc) mais aussi leurs dirigeants, clients ou collaborateurs (divulgation d’informations personnelles).
Il est donc plus que jamais nécessaire de faire de la sécurité une préoccupation centrale. Elle implique différents volets :
- La confidentialité : il s’agit de s’assurer que seules les personnes autorisées puissent consulter et manipuler les données. Les données doivent être protégées de toute intrusion.
- La disponibilité : c’est un gage du bon fonctionnement du système d’information. Elle implique que les personnes autorisées puissent accéder aux données sur les plages horaires prévues, avec un temps de réponse adapté.
- L’intégrité : on veille à ce que les données ne soient pas altérées (que ce soit de manière fortuite ou volontaire).
- La traçabilité : tout accès aux données (ou tentative d’accès) doit pouvoir être identifié et daté.
La certification ISO 27001 atteste de la capacité d’une entreprise à maintenir une vigilance rigoureuse et continue sur ces aspects afin de protéger à la fois ses clients mais aussi sa propre activité.
La norme ISO 27001 pour les entreprises : un engagement constant
Afin d’obtenir une certification ISO 27001, une entreprise doit témoigner de plusieurs aptitudes :
- Une capacité à identifier les problèmes de sécurité potentiels auxquels elle est confrontée. Il peut s’agir de menaces extérieures mais aussi de failles internes.
- Une capacité à évaluer l’impact de ces risques afin d’identifier les plus problématiques d’entre eux. Il faut également pouvoir mesurer les dommages, qu’ils affectent l’activité elle-même (perte d’opportunités, etc) ou l’image de marque de l’entreprise.
- Une capacité à mettre en place un système permettant à la fois de contrôler la sécurité et de pallier aux failles éventuelles.
- Une capacité à maintenir cette stratégie dans le temps afin de garantir en permanence un niveau de sécurité optimal.
En effet, il ne s’agit pas seulement de remplir les conditions de manière ponctuelle afin de décrocher la certification mais bel et bien de les intégrer au fonctionnement quotidien de l’entreprise. En complément des audits réalisés à intervalle régulier, chaque salarié doit veiller dans l’exercice de ses fonctions au respect des procédures mises en place.
La certification ISO 27001 est une véritable référence internationale puisqu’elle est attribuée dans plus d’une centaine de pays. Ce gage de qualité et de fiabilité constitue pour les entreprises un argument de poids sur l’attention qu’elles portent à la sécurité.
