Cybersécurité : ISO 27001, une norme devenue incontournable

Le dernier recensement ISO Survey montre une montée en puissance d’ISO/IEC 27001, norme volontaire consacrée à la sécurité des systèmes d’information. Entre multiplication des menaces et attentes des parties prenantes, le référentiel s’impose dans le paysage.

Après l’ISO 45001 sur la santé sécurité au travail, nous vous proposons un deuxième focus sur les résultats millésimés 2021 de l’ISO Survey, cette étude coordonnée par l’Organisation internationale de normalisation recensant, dans le monde, le nombre d’organisations détenant une ou plusieurs certifications de systèmes de management. Ce focus porte sur l’ISO 27001, le référentiel phare donnant des lignes directrices pour déployer un système de management de l’information solide et efficace. Référentiel qu’il faut libeller ISO/IEC 27001, car mis au point dans l’enceinte de la Commission internationale des électro-technologies (IEC).

Avec presque deux fois plus de certifiés en deux ans (351 en 2019, 606 en 2021), la montée en puissance d’ISO/IEC 27001 en France se confirme. Une trajectoire en ligne avec l’évolution mondiale, puisqu’à l’échelle de la planète, le nombre de certificats bondit de 36 000 à 58 000 entre 2019 et 2021. On peut désormais en voir affichés sur près de 100 000 sites dans le monde, dont près de 1 600 en France. En termes de pays, le trio de tête est Chine, Japon, Royaume-Uni, tous trois à plus de 5 000. Un bel essor qui s’explique d’abord par la place centrale des enjeux autour de la protection des données. « ISO 27001 porte sur la sécurité des systèmes d’information et concerne les données numériques comme les données papier, rappelle Brice Gilbert, responsable ISO 27001 pour AFNOR Certification. Il y a quelques années, 62 % des entreprises qui se lançaient sur ce référentiel le faisaient de façon volontaire. Mais avec le durcissement du contexte réglementaire, la plupart s’engagent à présent pour se mettre en conformité et pouvoir continuer à répondre aux appels d’offres. » Sans surprise, dans l’ISO Survey, le secteur d’activité qui a le plus recours à la certification ISO/IEC 27001 est celui des technologies de l’information.

Rassurer les clients, attirer les prospects

Christine Samandel représente Tehtris, société certifiée ISO 27001 (photo DR).

Parmi les certifiés tricolores, l’éditeur de logiciels Tehtris. Spécialiste de ces questions, l’entreprise de 260 salariés a développé une solution de neutralisation automatique des cyberattaques, en temps réel et sans action humaine. « ISO 27001 sonnait pour nous comme une évidence, résume Christine Samandel, cheffe de cabinet des dirigeants de Tehtris. C’est un puissant levier au service du développement : ISO 27001 est le référentiel le plus connu et il est utilisé partout dans le monde. Se faire certifier permet d’aller au-delà des certifications nationales ou régionales. » Pour décrocher le sésame en septembre 2022, suite à l’audit d’AFNOR Certification, les équipes de Tehtris ont mené un important travail de documentation de tous les processus existants. De quoi questionner les pratiques et obtenir, in fine, une vision globale de ce tout ce qui est mis en place. « Nous le savions déjà, mais pas de manière aussi formalisée. C’est important pour rassurer les clients, attirer les prospects et donner des gages de confiance aux utilisateurs », apprécie Christine Samandel. Dans une démarche d’amélioration continue, l’entreprise a mis en place de nombreux indicateurs pour rester conforme et progresser, audit annuel après audit annuel.

Si ISO/IEC 27001 reste d’application volontaire, cette norme est de plus en plus souvent requise pour prouver son alignement avec la loi. En Europe, le RGPD (règlement général sur la protection des données) n’est pas le seul texte obligatoire en application : le décret HDS oblige toutes les structures qui manipulent des données personnelles de santé à se faire certifier selon un référentiel basé sur ISO 27001. Les constructeurs automobiles doivent quant à eux se conformer au règlement de l’ONU RI55. « Les industriels, notamment dans l’aéronautique, ont bien pris conscience des enjeux. Un piratage, une fuite de données ou une demande de rançon, et c’est la survie de l’entreprise qui est en jeu. AFNOR propose une stratégie en plusieurs étapes, avec d’abord une autoévaluation gratuite pour initier la réflexion, quel que soit son secteur d’activité », indique Brice Gilbert. Cinq ans après la première version de mai 2017, la publication de la norme actualisée, avec des aspects nouveaux comme le cloud, est l’occasion de se lancer dans la démarche.

Du nouveau pour ISO/IEC 27005

ISO/IEC 27005 fait peau neuve avec une nouvelle version publiée en 2022, bientôt transcrite dans la collection NF. Cette petite sœur de ISO/IEC 27001 qui datait jusqu’alors de novembre 2018 vient aider les entreprises à réaliser des activités de gestion des risques liés à la sécurité de l’information. Avec un accent particulier sur l’appréciation et le traitement de ces risques… « Beaucoup plus exhaustive, cette version apporte de nombreux correctifs techniques et ancre la méthode de référence française ‘EBIOS Risk manager’ dans la norme. Cette technique vise à accompagner les organisations à mieux identifier et comprendre les risques numériques qui les concernent directement », souligne Frédéric Solbès, chef de projet normalisation chez AFNOR.