ISO 27001 : l’arme fatale face aux pirates ?

Un rapport du Center for Strategic and International Studies (CSIS) alarme sur le manque d’action des entreprises face aux cybermenaces des États-nations. Et si la certification ISO 27001:2013 était capable de répondre à ces inquiétudes ?

Avez-vous déjà été victime d’une cyberattaque ? Voilà la question que toute entreprise doit se poser aujourd’hui. Dans l’affirmative, vous avez au moins la visibilité sur les actions à mener. Vous n’avez pas de réponse ? Il est temps de vous mettre à l’action pour contrer les pirates. Ne vous pensez pas seul et démuni. 86% des entreprises interrogées dans le rapport édité en ce début d’année 2022 par le Center for Strategic and International Studies (CSIS), pensent déjà avoir été ciblées par une cyberattaque. Des attaques pas comme les autres, puisqu’ils sont convaincus que leur entreprise a été visée par des pirates officiant pour le compte d’un État-nation, notamment dans des affaires d’espionnage. Parmi les personnes sondées, seulement 27% d’entre elles ont confiance dans la capacité de leur entreprise à faire la différence entre les cyberattaques dites « étatiques » et celles menées par des hackers plutôt « indépendants ». Une préoccupation légitime lorsque l’on voit que 10% des entreprises ne disposent d’aucune stratégie en matière de cybersécurité.

CERTIFICATION ISO 27001

En 2018, un rapport du Forgerock, société américaine de gestion de l’identité numérique, affichait 2,8 milliards de données volées par des pirates informatiques. Quatre ans plus tard, ce chiffre dépassait les 40 milliards ! 78% de plus qu’une année auparavant. Pour 9 professionnels sur 10, c’est au gouvernement que devrait revenir la responsabilité de soutenir les entreprises et de protéger leurs infrastructures, surtout si elles ont un lien avec l’Etat. Toutefois, il paraît évident que ces dernières ont aussi leur carte à jouer pour penser et fabriquer leur cybersécurité en interne. Parmi les briques indispensables pour construire cette sécurité, il y a notamment la certification ISO 27001.

La société Hyperlex est l’une des seules entreprises en France à avoir obtenu la double certification ISO 27001 et 27701. Elle revient sur le sujet dans l’article « Qu’est-ce que la certification ISO 27001 ». On y apprend que cette certification est reconnue à l’échelle internationale. En France, cette norme atteste d’une protection contre la cyber-attaque au sein d’une société et peut être délivrée par l’AFNOR. « Pour obtenir la certification ISO/IEC 27001:2013, explique Hyperlex, les sociétés doivent suivre une méthodologie bien définie pour identifier les menaces et minimiser les risques en mettant en place les mesures de protection appropriées. »

Parmi les mesures évoquées par Hyperlex, on note : l’implication de la direction dans les processus sécurité, l’analyse des risques, la sécurité physique ou encore la gestion des fournisseurs. En tout, 13 aspects sont à prendre en compte pour atteindre une norme qui est gage de sécurité à la fois au sein de votre entreprise mais aussi pour vos partenaires et vos clients.

ALERTER, C’EST PROTEGER

Aujourd’hui, un tiers des entreprises dans le monde n’alerte pas ses clients et partenaires d’un piratage passé. Un boulevard de confiance s’ouvre, de fait, à celles qui sont certifiées ISO 27001. Pour rappel, en France, tout comme en Europe, une obligation de notification en cas de fuite de données personnelles des résidents européens est une obligation notifiée par le Règlement Général des Données Personnelles (RGPD – Mai 2018). Autant éviter d’en arriver à cette dernière solution !