Ageris GROUP - Formations DPO, RGPD et RSSI

Cybersécurité : la montée en puissance d’ISO/IEC 27001

Cybersécurité
15 décembre 2022
image single post header

Cybersécurité : la montée en puissance d’ISO/IEC 27001

Le dernier recensement ISO Survey montre une montée en puissance d’ISO/IEC 27001, norme volontaire consacrée à la sécurité des systèmes d’information. Entre multiplication des menaces et attentes des parties prenantes, le référentiel s’impose dans le paysage.

l’ISO Survey, Organisation internationale de normalisation, recense dans le monde le nombre d’organisations détenant une ou plusieurs certifications de systèmes de management. Ce focus porte sur l’ISO 27001, le référentiel phare donnant des lignes directrices pour déployer un système de management de l’information solide et efficace. Référentiel qu’il faut libeller ISO/IEC 27001, car mis au point dans l’enceinte de la Commission internationale des électro-technologies (IEC).

Avec presque deux fois plus de certifiés en deux ans (351 en 2019, 606 en 2021), la montée en puissance d’ISO/IEC 27001 en France se confirme. Une trajectoire en ligne avec l’évolution mondiale, puisqu’à l’échelle de la planète, le nombre de certificats bondit de 36 000 à 58 000 entre 2019 et 2021. On peut désormais en voir affichés sur près de 100 000 sites dans le monde, dont près de 1 600 en France.

En termes de pays, le trio de tête est Chine, Japon, Royaume-Uni, tous trois à plus de 5 000. Un bel essor qui s’explique d’abord par la place centrale des enjeux autour de la protection des données. « ISO 27001 porte sur la sécurité des systèmes d’information et concerne les données numériques comme les données papier », rappelle Thierry RAMARD, Président d’Ageris GROUP et consultant en charge d’accompagner les entreprises vers la certification ISO 27001. « Il y a quelques années, 62 % des entreprises qui se lançaient sur ce référentiel le faisaient de façon volontaire. Mais avec le durcissement du contexte réglementaire, la plupart s’engagent à présent pour se mettre en conformité et pouvoir continuer à répondre aux appels d’offres. » Sans surprise, dans l’ISO Survey, le secteur d’activité qui a le plus recours à la certification ISO/IEC 27001 est celui des technologies de l’information.

Rassurer les clients, attirer les prospects

« C’est un puissant levier au service du développement :ISO 27001 est le référentiel le plus connu et il est utilisé partout dans le monde », continue Thierry RAMARD. « Se faire certifier permet d’aller au-delà des certifications nationales ou régionales. Pour décrocher la certification, l’implication de la Direction Générale est nécessaire et toutes les équipes doivent mener un important travail de documentation de tous les processus existants. De quoi questionner les pratiques et obtenir, in fine, une vision globale et formalisée  de ce tout ce qui est mis en place. C’est important pour rassurer les clients, attirer les prospects et donner des gages de confiance aux utilisateurs. Dans une démarche d’amélioration continue, l’entreprise met en place de nombreux indicateurs pour rester conforme et progresser, audit annuel après audit annuel. »

Si ISO/IEC 27001 reste d’application volontaire, cette norme est de plus en plus souvent requise pour prouver son alignement avec la loi. En Europe, le RGPD (règlement général sur la protection des données) n’est pas le seul texte obligatoire en application : le décret HDS oblige toutes les structures qui manipulent des données personnelles de santé à se faire certifier selon un référentiel basé sur ISO 27001. Les constructeurs automobiles doivent quant à eux se conformer au règlement de l’ONU RI55.

Du nouveau pour ISO/IEC 27005

ISO/IEC 27005 fait peau neuve avec une nouvelle version publiée en 2022, bientôt transcrite dans la collection NF. Cette petite sœur de ISO/IEC 27001 qui datait jusqu’alors de novembre 2018 vient aider les entreprises à réaliser des activités de gestion des risques liés à la sécurité de l’information. Avec un accent particulier sur l’appréciation et le traitement de ces risques… Beaucoup plus exhaustive, cette version apporte de nombreux correctifs techniques et ancre la méthode de référence française ‘EBIOS Risk manager’ dans la norme. Cette technique vise à accompagner les organisations à mieux identifier et comprendre les risques numériques qui les concernent directement.

S’informer sur l’accompagnement ISO 27001