10/08/2023
Qu’est-ce que le ISO 27001?
La norme ISO 27001 est un cadre qui définit les exigences pour la mise en place et la gestion d’un système de management de la sécurité de l’information (SMSI). Cela implique des mesures de contrôle et de gestion des risques pour assurer la confidentialité, l’intégrité, et la disponibilité de l’information. La norme ne décrit donc pas quelle sécurité qu’il faut mettre en place; elle décrit les différents aspects à considérer et gérer pour avoir une sécurité en place taillée sur l’organisation et le sujet à sécuriser.
La certification est attribuée après un audit rigoureux effectué par un organisme externe accrédité, comparable à la certification de ton installation électrique à la maison.
Il faut bien lire sécurité de « l’information » et non de « l’informatique ». En effet, l’ISO 27001 s’intéresse à tous les domaines comme notamment la sécurité physique de l’information (clean desk, entrées et sorties des bâtiments, archives physiques, etc.), mais également à la façon dont chaque employé la traite ou manipule.
En résumé : « Je dis que mes informations sont gérées de manière sécurisée et l’auditeur a vérifié que je fais ce que je dis ».
En savoir plus?
Qu’a-t-on fait pour obtenir le certificat?
Pour obtenir la certification ISO 27001 pour IZIMI, toutes les équipes de FEDNOT se sont engagées dans plusieurs actions clés. C’est un travail d’équipe sous orchestration d’InfoSec qui a mené à ce résultat.
Dans une première phase, fin 2021, une analyse de l’état de lieux a été effectué. C’était une évaluation de l’architecture et des processus existants de IZIMI pour identifier les domaines critiques en matière de sécurité de l’information.
En 2022, avec l’aide d’Approach, la gouvernance a été revue et l’implémentation corrigé.
Un processus structuré de gestion des risques a été établi pour évaluer et traiter les risques de sécurité liés à IZIMI.
Des contrôles de sécurité ont été évalués et instaurés.
L’équipe de IZIMI, et tous les autres intervenants ont été sensibilisés sur les exigences de la norme ISO 27001 et les meilleures pratiques de sécurité de l’information.
Un audit externe a été réalisé par un organisme de certification indépendant (KPMG Certification) pour évaluer notre conformité aux exigences de la norme ISO 27001. Cela s’est déroulé en 2 phases, l’une plutôt théorique, de vérification de nos politiques et autres documents. Une seconde sur le terrain avec l’interview de collaborateur clés.
Et la suite pour cette certification iso ?
Afin de maintenir la certification et de maximiser ses effets, une gestion continue est absolument nécessaire.
Il est également nécessaire d’effectuer des contrôles réguliers pour s’assurer que la politique de sécurité de l’information est appliquée dans les opérations quotidiennes, en tenant compte de l’évolution de l’environnement et des menaces.
Le système de sécurité de l’information lui-même doit également être régulièrement réévalué pour s’assurer qu’il continue de répondre aux exigences de Fednot et aux réglementations en constante évolution. Fednot doit continuellement et activement rechercher des opportunités pour améliorer ses processus et contrôles autour de la sécurité d’Izimi.
Des audits internes et externes seront réalisés régulièrement pour vérifier le respect des exigences de la norme ISO 27001. Ces audits sont des audits incrémentaux qui couvrent principalement les points d’action ouverts, sauf en cas de changements fondamentaux qui nécessitent un audit complet. Après 3 ans, un cycle d’audit complet est nécessaire.