Norme ISO/CEI 27001 : définition, certification et enjeux

La sécurité de l’information et des données hautement confidentielles de ses clients est la première priorité de DiliTrust Data Room, et ce, au quotidien. C’est pourquoi la solution est certifiée ISO 27001. Que recouvre cette norme en matière de protection des données ?

La norme ISO/CEI 27001 fut publiée en octobre 2005 avant sa révision en 2013. Il s’agit de la norme internationale de sécurité la plus reconnue. Elle concerne toutes les typologies d’organisations, à l’instar des entreprises commerciales et des administrations. En réalité, elle succède à la norme BS 7799-2 du Groupe British Standards Institution (BSI), fédérant un ensemble d’organismes dédiés à la normalisation, à la certification, à la formation et au contrôle de conformité.

La singularité de la norme ISO/CEI 27001 tient au fait qu’elle considère la sécurité des données par les risques. Dans ce sens, elle définit les exigences pour la mise en place d’un Système de Management de la Sécurité de l’Information (SMSI). L’objectif consiste d’une part à protéger les fonctions et les informations de toute perte, vol ou altération. D’autre part, de préserver les systèmes informatiques de toute intrusion et/ou sinistre. Ainsi est-elle devenue un gage de confiance et un atout de différenciation majeur pour les entreprises qui disposent de sa certification. C’est le cas de DiliTrust Data Room.

Norme ISO/CEI 27001 : fonctionnement

Le SMSI fixe un cadre global, non seulement technique mais aussi organisationnel, regroupant les systèmes d’informations, les processus et les acteurs concernés par les mesures de protection. Dans ce sens, la norme ISO/CEI 27001 permet de valider des points de contrôle pour s’assurer de la pertinence du SMSI. Mais également de l’exploiter et de le faire évoluer.

De fait, chaque risque identifié repose sur un ratio considérant la probabilité qu’il se réalise et son impact lors d’une éventuelle concrétisation. Ceci permet à la direction de l’entreprise d’opter pour les mesures adéquates quant à la réduction, à la prévention, au partage et à l’acceptation du risque. Puis de référencer ces derniers dans un document spécifique obligatoire : la déclaration d’applicabilité. Il finalise la définition du Plan de Traitement du Risque.

Certification ISO 27001 : processus et évolutions constantes

La certification ISO 27001 s’étend sur des cycles de trois ans. Durant cette période, des organismes indépendants mènent un audit initial, puis deux de surveillance ; les cycles suivants commencent par un audit de renouvellement. Ces organismes indépendants sont certifiés ISO 27006. Leur rôle est notamment de veiller au bon traitement des écarts ou non-conformités. Mais aussi à l’état d’avancement des activités planifiées et à la viabilité à long terme du SMSI.

Autrement dit, une entreprise souhaitant faire certifier son SMSI a tout intérêt à mettre en œuvre un suivi précis et permanent, non seulement concernant les risques mais aussi quant aux mesures de sécurité sélectionnées. Cette perspective implique un processus d’amélioration continue de la sécurité pour accroître son niveau et gagner en maîtrise des risques. Par ailleurs, elle sous-entend de réduire l’usage des mesures identifiées comme étant secondaires.

Avantages de la certification ISO 27001

DiliTrust Data Room se voit confier par ses clients des informations stratégiques. Cette réalité impose un niveau de sécurité élevé. C’est pourquoi DiliTrust Data Room est certifiée ISO 27001. Son SMSI répond aux exigences tant techniques que de gestion, de mise à jour et d’amélioration.

La sécurisation passe notamment par le chiffrement des données, autant en transit qu’au repos, l’emploi d’un HSM, des audits réguliers, une politique de sécurité forte et exigeante, mais aussi par des audits internes de sécurité, des revues de code et tests systématiques avant chaque mise en production de nouvelles fonctionnalités, tests automatisés et quotidiens d’intrusions. Les serveurs de DiliTrust Data Room sont également audités une à deux fois par an par un organisme externe spécialisé dans la sécurité informatique. Côté client, on identifie chaque utilisateur par un nom d’utilisateur et un mot de passe fort. Le chiffrement de ses données est systématique. Il s’effectue par protocole TLS avec les plus hauts niveaux de chiffrement (256 bits).