FAQ

Table des matières

Pourquoi ai-je besoin de la gestion de la sécurité de l'information ?

Les informations représentent aujourd'hui la majeure partie des valeurs de l'entreprise. Elles sont essentielles à la survie, et ce dans tous les secteurs. Leur perte signifie généralement la fin de l'entreprise ! Une étude de l'université de Houston, Texas, a montré que 50% des entreprises qui avaient subi une perte totale de leurs données ne s'en étaient jamais remises. 90% d'entre elles n'existaient plus après deux ans.

Un tel système de gestion n'est-il pas excessif pour une PME ?

La caractéristique la plus marquante de la norme ISO 27001:2013 est que tout ce que vous faites pour sécuriser vos informations est basé sur une analyse des risques de votre entreprise. Vous déterminez le niveau de sécurité, décidez des contre-mesures pour réduire les risques et décidez du risque résiduel que vous pouvez supporter en tant qu'entrepreneur. Cela permet une utilisation très ciblée des moyens pour réduire les risques majeurs, au lieu de mettre en œuvre des mesures ponctuelles selon le principe de l'arrosoir jusqu'à ce que le budget soit épuisé. Cela permet d'économiser de l'argent !

Je prends grand soin de mes données et de celles de mes clients. Voilà qui clôt le sujet !

Non, car la sécurité de l'information selon ISO 27001:2013 tient compte non seulement de la confidentialité, mais aussi de la disponibilité et de l'intégrité des informations. La pondération varie en fonction du secteur et de l'entreprise. Par exemple, dans l'industrie de production, la disponibilité est presque le facteur le plus important. Si vous perdez votre site de production avec les machines à cause d'un incendie ou de l'eau, ce dommage est généralement couvert par l'assurance et vous trouvez un sous-traitant pour traiter vos commandes. Mais si les données sont détruites, vous ne pouvez plus produire. Le feu et l'eau sont presque toujours des menaces très réelles.

J'ai déjà un système ISO 9001. Est-ce que cela va ensemble ?

Un système de gestion conforme à la norme ISO 9001:2015 n'est certes pas une condition préalable, mais il est très utile, car on dispose alors d'une structure de processus dans laquelle on peut intégrer les mesures. Sans un tel système de gestion, cela demande plus de travail.

Que m'apporte une certification ?

Montrez-le à vos clients et à vos partenaires commerciaux ! Montrez-leur que vous êtes un partenaire fiable qui pense à long terme et que vous maîtrisez leurs risques.  L'expérience prouve en outre qu'un système certifié est plus durable que si le certificat et les mécanismes tels que la revue de direction, les audits internes et externes, les mesures de correction et d'amélioration sont le moteur qui maintient le système en marche.Le nombre de certificats augmente de manière exponentielle. Aujourd'hui encore, il s'agit d'une caractéristique unique, demain il s'agira d'un standard et après-demain peut-être d'une obligation.

Que contiennent les normes ISO 27001 et ISO 27002 ?

La norme ISO 27001, issue de la norme BS 7799-2, définit les exigences d'un système de gestion de la sécurité de l'information (ISMS). Elle s'articule autour des domaines suivants

  • Système de gestion de la sécurité de l'information
  • Responsabilité de la direction
  • Audits internes
  • Revue de direction
  • Amélioration du système

 

Tous les managers connaissent ces exigences de la norme ISO 9001 et de la norme ISO 14001. Elles montrent qu'un système de gestion de la sécurité de l'information peut être intégré sans problème dans un système de gestion existant. La norme ISO 27002, autrefois issue de la norme BS 7799-1, ne prescrit pas de procédure, mais mentionne les facteurs de réussite critiques et donne des indications sur : la politique de sécurité, le soutien de la direction, la formation, la surveillance et l'évaluation continue des risques. l'amélioration, l'analyse des risques, le contrôle d'accès, le développement et la maintenance des systèmes et la gestion des crises. Avec de nombreuses 'bonnes pratiques', elle donne aux praticiens de précieux conseils.

Est-ce que cela ne concerne pas uniquement l'informatique ?

Bien entendu, l'informatique joue un rôle de plus en plus important dans le traitement et le stockage des informations. Mais les informations sont également stockées sur papier ou transmises sous forme de mots. Vous êtes-vous déjà étonné de la liberté avec laquelle les voyageurs parlent de leur entreprise, de leurs projets et de leurs clients dans le train, où tout le monde peut les entendre ? La sensibilisation des collaborateurs est également un aspect essentiel de la sécurité de l'information.