Article

Norme ISO 27001 : Tout ce que vous devez savoir pour votre PME

4 min
July 11, 2024

La norme ISO/IEC 27001 est une norme mondialement reconnue pour la gestion de la sécurité de l’information. Elle définit les bonnes pratiques en matière de sécurité des systèmes d’informations.

Développée dès 2004 puis révisée en 2013 et 2022 par l’Organisation Internationale de Normalisation (ISO) et la Commission Electrotechnique Internationale (IEC), cette norme vise à structurer la gestion des informations sensibles au sein d’une entreprise.

Dans cet article, vous découvrirez en détail la norme ISO 27001, ses objectifs, ses principes et comment se faire certifier ISO 27001. Ensuite, nous vous détaillerons son impact pour les PME et comment votre entreprise peut s’y préparer au mieux.

Bonne lecture :)

La norme ISO 27001, c’est quoi ?

Objectifs de la norme ISO 27001

La norme ISO 27001 fournit un cadre normatif complet aux organisations pour que celles-ci puissent détecter, gérer et protéger leurs informations sensibles. Ce faisant, elles réduisent aussi le risque que d’être affectées par un cyberincident comme un vol de données ou une cyberattaque.

En mettant en œuvre ces procédures de contrôles, les entreprises peuvent améliorer la sécurité de leurs informations sensibles et attester de leur engagement pour les protéger.

Les données de vos clients, les données de vos collaborateurs, vos données commerciales ou financières sont autant d’exemples de ce que peuvent être des informations sensibles.

La norme ISO 27001 exige des entreprises qu’elles se dotent d’un Système de Management de la Sécurité de l’Information. C’est un ensemble de procédures, d’exigences et de bonnes pratiques qui régissent la manière dont une organisation protège ses informations et gère les risques liés à la sécurité de l’information.

Les trois principes de la norme ISO 27001

La norme ISO 27001 repose sur trois principes :

  • La confidentialité. Les informations sont protégées.
  • L’intégrité. Les informations sont exactes et complètes.
  • La disponibilité. Les informations sont accessibles n’importe quand.

Le respect de ces principes assure à l’organisation, la bonne mise en œuvre de procédures de contrôles pour atténuer les risques liés à la sécurité de l’information.

Les 5 piliers de la norme ISO 27001

Les trois principes de confidentialité, d’intégrité et de disponibilité sont complétés par deux piliers dans le cadre de la norme ISO 27001 :

  • L’authenticité. L’identité d’un utilisateur qui interagit avec des données peut et voit être vérifiée.
  • La non-répudiation. Toute action sur des données peut être vérifiée et tracée.

Certification ISO 27001 - Questions pratiques

Qui est concerné par la directive ?

Toute entreprise ou organisation qui traite ou interagit avec des informations sensibles sont concernés par la norme ISO 27001.

Conçue pour être flexible pour tous types d’organisation, la norme ISO 27001 peut aussi bien être adaptée à une startup qu’à une multinationale.

Ainsi, la nécessité de vous faire certifier ISO 27001 dépend essentiellement de la nature de votre organisation, de votre secteur d’activité et des informations avec lesquelles vous interagissez au quotidien.

Pourquoi se faire certifier ISO 27001 ?

Bien qu’il ne soit pas obligatoire de se faire certifier ISO 27001, cela est préconisé puisque cette certification vous permet d’attester d’une capacité accrue de protéger n’importe quels types d’informations sensibles. Cela est gage de confiance et de légitimité auprès des parties prenantes avec lesquelles vous interagissez (clients, fournisseurs, sous-traitants, partenaires etc.).

Si vous réalisez la norme ISO 27001 pour autrui, n’oubliez pas qu’elle peut aussi vous bénéficier. En effet, être conforme vis-à-vis de la norme ISO 27001 améliorera la sécurité de vos informations et atténuera le risque de cyberincident très dommageable pour une entreprise. En fonction de votre localisation, la certification ISO 27001 vous permettra aussi de justifier que vous respectez des exigences légales réglementaires.

Comment se déroule la certification ISO 27001

Le processus de certification ISO 27001 est une série de trois audits pour s’assurer de la mise en conformité progressive de votre organisation avec la norme ISO 27001.

Quelle est la durée de validité de la certification ISO 27001 ?

La certification ISO 27001 a une validité de 3 ans mais peut être reconduite à plusieurs reprises pour ne pas avoir à recommencer la procédure depuis le début.

Comment savoir si une entreprise est certifiée ISO 27001 ?

Pour savoir si une entreprise est certifiée ISO 27001, nous vous conseillons de leur demander une copie du certificat ISO 27001.

Attention, une entreprise qui “respecte”, est “en conformité” ou encore “en accord” avec la norme ISO 27001 ne veut pas dire qu’elle est certifiée ISO 27001, simplement que sur certains points, elle respecte la norme.

L’impact de la norme ISO 27001 sur les PME

Comment les PME peuvent tirer profit de cette certification ?

Vous pourriez tirer profit de la certification ISO 27001 peu importe le secteur d’activité de votre PME.

En effet, si vous êtes un fournisseur, pouvoir attester d’une capacité gérer les informations de vos associés est un gage de légitimité. Cela peut également devenir à l’avenir une obligation légale. Par ailleurs, si votre entreprise vend un produit ou un service, être certifié ISO 27001 permet de développer votre confiance auprès de vos clients. C’est aussi un atout commercial supplémentaire.

Bastion accompagne votre PME dans sa mise en conformité vis-à-vis d’ISO 27001

Pour être conforme à l’égard de la norme ISO 27001, votre entreprise devra a minima :

  • Former ses collaborateurs (ISO27001 - 7.2.2 - "Sensibilisation, éducation et formation en matière de sécurité de l'information")
  • Protéger ses données (ISO27001 - A.8.12 - “Prévention des fuites de données”)
  • Sécuriser ses postes informatiques (ISO27001 - A.11.2 - “Sécurité des équipements”)
  • Identifier pro-activement les vulnérabilités (ISO27001 - A.12.6 - "Gestion des vulnérabilités techniques")
  • Avoir un système de détection et de suivi des incidents (ISO27001 - A.16 - "Gestion des incidents liés à la sécurité de l'information")

Bastion intègre des modules dédiés pour chacun de ces points permettant de se mettre en conformité vis-à-vis de ces exigences en quelques minutes seulement. Les données de chacun de ces modules sont connectées dans un système de gestion et de détection des incidents (un SIEM) permettant d’avoir une visibilité à 360° sur les employés, applications SaaS, e-mails, postes de travails et sites/app web.

Je souhaite sécuriser mes employés, SaaS, e-mails, postes de travail et site/app web avec Bastion.

Conclusion

Que vous traitiez des informations sensibles ou que vous souhaitiez pouvoir justifier de votre capacité à protéger vos données, il existe forcément une raison pour vous de vous intéresser à la norme ISO 27001.

Au-delà des avantages que vous pourrez trouver à être certifié ISO 27001, être en conformité vis-à-vis de cette norme vous assure de respecter un cadre réglementaire légal et donc d’assurer la pérennité de votre activité.

Découvrez nos derniers articles

Commencez par un

audit cyber gratuit

Évaluez votre posture cyber via un premier audit externe délivré en moins de 24h.

Réservez un créneau

Score de sécurité

Votre niveau de risque est critique

C

Risque de phishing

Sécurité de vos comptes de messagerie

Modéré

Fuites de données

Données compromises sur Internet

Critique

Vulnérabilités Web

Risques associés aux sites Web et aux applications Web

Critique

En cliquant sur « Accepter », vous acceptez le stockage de cookies sur votre appareil afin d'améliorer la navigation sur le site, d'analyser l'utilisation du site et de contribuer à nos efforts de marketing. Consultez notre Politique de confidentialité pour plus d'informations.