La sécurité de l'information a fait son entrée dans l'agenda du conseil d'administration et constitue une question essentielle pour les entreprises. La protection efficace des systèmes et la prévention des violations sont les seuls moyens de garantir la résilience et la continuité des activités. Découvrez dans notre article pourquoi toutes les entreprises devraient considérer la sécurité de l'information comme une stratégie commerciale et pourquoi un système de management de la sécurité de l'information (SMSI) certifié est judicieux.
Une question urgente
La sécurité de l'information et la cybersécurité font la une des journaux depuis plusieurs années, mais elles étaient autrefois considérées comme un problème à régler par le service informatique, au même titre que les habituels bugs logiciels. Le nombre croissant d'attaques très médiatisées et leurs conséquences financières et réputationnelles ont donné à cette question une nouvelle importance.
Il existe une échelle de menaces aux motivations différentes. Au niveau le plus bas, une attaque peut être décrite comme un acte de vandalisme numérique dont le but n'est rien de plus que de perturber le fonctionnement du site pour le "fun". Au-delà, il peut s'agir de tentatives d'extorsion directe d'argent à l'entreprise, de vol d'informations sur les clients - en particulier de données financières pouvant être utilisées à des fins criminelles -, d'espionnage commercial ou industriel, de vol de brevets et d'informations sensibles ou simplement d'une attaque malveillante d'un rival ou d'un.e employé.e mécontent.e visant à causer un maximum de perturbations. Dans le pire des cas, lorsque l'organisation fournit un service vital tel que la production et la distribution d'électricité, la santé, les services financiers, logistiques ou de voyage, la menace vise généralement moins l'organisation elle-même que le public ou l'État.
Comprendre comment les menaces apparaissent et développer des systèmes pour y faire face est une tâche essentielle pour toute organisation.
La menace pour la sécurité de l'information
Une cyberattaque tombe rarement du ciel - même si c'est exactement ce qu'elle semble faire - et les spécialistes estiment qu'il y a sept étapes avant que l'objectif ultime de l'attaquant ne soit atteint. Il y a d'abord la reconnaissance de l'organisation, qui peut impliquer de cibler un individu avec des mails de "phishing". Plus les pirates passent de temps à obtenir des informations sur les personnes et les systèmes de l'entreprise, plus leur tentative de piratage sera réussie.
Ensuite, les pirates tenteront d'infiltrer le réseau de la cible en utilisant divers moyens. Dans la phase d'exploitation, les pirates commencent à récolter les fruits de la préparation et de la réalisation de l'attaque. Pour ce faire, ils s'assurent un accès continu au réseau aussi longtemps que nécessaire pour atteindre leurs objectifs.
Une fois qu'ils ont un accès illimité à l'ensemble du réseau et aux comptes administrateurs, tous les outils nécessaires sont en place pour la phase de commande et de contrôle. C'est à ce moment-là que les pirates peuvent bloquer l'accès des utilisateurs informatiques de l'entreprise à l'ensemble du réseau de l'organisation s'ils le souhaitent, en exigeant éventuellement une rançon pour rétablir l'accès. La phase d'action finale ou d'objectifs permet aux pirates d'atteindre leur objectif, quel qu'il soit.
Où en sont les entreprises aujourd'hui ?
En 2021, DNV a mené une enquête visant à découvrir où les organisations pensent se trouver sur la voie d'un système d'information sécurisé. Une enquête similaire a été menée en 2015 et la différence dans les réponses est intrigante.
Entre 2015 et 2021, la sécurité de l'information est devenue de plus en plus importante et beaucoup plus de connaissances ont trouvé leur chemin dans les réunions de conseil des entreprises. Toutefois, le nombre d'organisations déclarant disposer d'un système de sécurité de l'information mature ou de pointe n'a augmenté que d'environ 4 points de pourcentage. Plus de la moitié d'entre elles (55%) se considèrent toujours comme étant dans les premiers stades de maturité du système.
Deux organisations sur trois considèrent que le fait de disposer du personnel approprié pour gérer la sécurité de l'information est le facteur le plus important. Les investissements passent de la technique au personnel. La formation du personnel à la sécurité de l'information est mieux notée par les entreprises en 2021. Dans les trois prochaines années, deux entreprises sur trois indiquent que les niveaux d'investissement dans la sécurité de l'information seront identiques ou supérieurs à ceux d'aujourd'hui.
Les entreprises disposant d'un système certifié de management de la sécurité de l'information sont plus sensibles et plus réactives au changement. Près de 80 % d'entre elles affirment qu'elles ont complètement ou partiellement achevé le processus d'alignement pour s'adapter au nouvel environnement numérique. Ces organisations semblent également plus réceptives à l'adoption du modèle de « confiance zéro » (« zero trust » en anglais), ce qui signifie qu'elles ne font confiance à personne et que tout le monde doit être vérifié.
Il n'est pas surprenant que les appareils mobiles et les technologies innovantes soient considérés par de nombreuses organisations comme ayant un impact important sur la cybersécurité. En revanche, l'IA (Intelligence artificielle) n'est pas encore considérée comme un facteur de changement, seuls 15 % des répondants estimant qu'elle a un rôle important à jouer.
La certification pour gagner le contrôle
Les organisations qui appliquent une approche structurée du management de la sécurité de l'information seront très probablement déjà certifiées selon une norme internationale reconnue ou bien sur la voie de la certification.
La certification démontre un engagement à gérer et à protéger de manière proactive les actifs informationnels et à assurer la conformité aux exigences légales. ISO/IEC 27001 est la norme internationale la plus reconnue pour les systèmes de management de la sécurité de l'information. Elle a été conçue pour être compatible et harmonisée avec d'autres normes de systèmes de management ISO.
Tout comme la cybermenace, la norme ISO évolue. Une version révisée de la norme (ISO/IEC 27001:2022) a été publiée le 25 octobre 2022. Le principal changement concerne les contrôles de sécurité et les conseils pour aider les entreprises à établir la confiance dans la façon dont elles travaillent pour protéger les actifs critiques de l'entreprise.
Les principaux avantages de cette nouvelle version pour les entreprises certifiées sont qu'elle :
- Prend en compte les nouveaux scénarios et risques
- Aide à comprendre d'autres perspectives de sécurité
- Inclut les aspects de cybersécurité et de confidentialité
- Inclut de nouveaux contrôles pour s'assurer que les nouveaux scénarios et risques ne sont pas manqués
Amélioration continue
L'une des principales caractéristiques d'un système de management de la sécurité de l'information - qu'il soit certifié ou non - est la compréhension des risques les plus courants et de la manière dont les pièges peuvent varier selon les secteurs d'activité. Les organisations doivent donc se tenir au courant de l'évolution constante du paysage des menaces et adapter et développer des systèmes pour relever et surmonter les nouveaux défis. D'un point de vue pratique, des audits internes et externes réguliers permettront de mettre en évidence les problèmes. Cependant, la certification par une tierce partie fournit une évaluation indépendante des performances du système de management et renforce la confiance interne et externe dans la capacité de l'entreprise à protéger les actifs informationnels critiques.
En outre, le maintien d'un système de management et de sa certification est un processus continu. Au-delà de l'audit de certification obligatoire une fois par an, les clients de DNV ont accès à des outils numériques permettant l'auto-évaluation des connaissances individuelles et de la performance du système de management, le benchmarking de la performance et la préparation aux audits internes et externes par des tiers. Avec un accès quotidien à des connaissances et des informations complémentaires, les entreprises sont mieux armées pour ajuster en permanence leur vision des risques, améliorer leur système de management et mesurer leur performance.
Résumé et points essentiels à retenir
Dans l'environnement numérique actuel, toutes les entreprises sont de plus en plus exposées aux risques liés à la sécurité de l'information. Sachant que les menaces de sécurité peuvent facilement interrompre les opérations, il n'est pas étonnant que la cybersécurité figure désormais à l'ordre du jour de toutes les entreprises. Les organisations doivent gérer les menaces actuelles et prévenir les risques futurs pour gagner la confiance des parties prenantes et minimiser les risques de pertes financières et de perturbations.
Les responsables de cyberattaques font évoluer en permanence leurs méthodes et leurs objectifs. Les organisations doivent donc reconnaître que le problème est dynamique et que les systèmes de management de la sécurité doivent évoluer en parallèle. La gestion de la sécurité de l'information consiste à atténuer les risques à court terme, mais elle est également nécessaire pour construire une résilience à long terme.
La mise en place d'un cadre structuré solide pour identifier, gérer et atténuer les risques, basé sur les exigences et les conseils d'ISO/IEC 27001, favorisera l'amélioration continue et renforcera la continuité des activités. Pour être certifié, le système de management doit être mis en œuvre conformément aux exigences de la norme.
En tant que tierce partie accréditée pour la certification, DNV peut être votre partenaire tout au long du parcours. De la formation pertinente sur la norme à l'auto-évaluation, au benchmarking et aux outils de préparation à l'audit, en passant par le gap analysis et l'audit de certification proprement dit, nos spécialistes s'engagent à vous accompagner tout au long de votre parcours.