Qu’est-ce que l’ISO 27001 et pourquoi en avons-nous besoin ?

Qu’est-ce que cette norme certifie et comment l’analyse est-elle faite ?

TÜV AUSTRIA a récemment confirmé que le système de management de la sécurité de l’information de notre infrastructure Kaspersky Security Network (KSN) est conforme à l’ISO/CEI 27001:2013 quant au partage de fichiers malveillants et suspects. TÜV a aussi affirmé que ces fichiers sont conservés en toute sécurité sur notre Kaspersky Lab Distributed File System (KLDFS) et que l’accès est sûr. Nous vous expliquons la norme ISO/CEI 27001:2013.

Qu’est-ce que l’ISO 27001 ?

L’ISO 27001 est une norme internationale qui spécifie les exigences relatives à la mise en œuvre, à la mise à jour et au développement de systèmes de management de la sécurité de l’information. Il s’agit principalement de recueillir les meilleures pratiques quant aux mesures de gestion de la sécurité pour protéger les informations et garantir la protection des données des clients.

Pour obtenir cette reconnaissance, une entité indépendante, dans ce cas TÜV AUSTRIA, envoie des inspecteurs pour vérifier que les processus chargés de la cybersécurité respectent les meilleures pratiques. Au cours de cet audit, ils évaluent les processus de plusieurs départements : RH, informatique, R&D et sécurité. Ils rédigent un rapport complet que d’autres experts indépendants analysent pour confirmer l’impartialité des inspecteurs. Enfin, l’organisation indépendante émet un certificat qui, dans notre cas, confirme que notre système de management de la sécurité de l’information est conforme aux meilleures pratiques.

Qu’est-ce qui est « certifié » ?

Nos clients veulent avant tout savoir si nous fournissons le meilleur niveau de sécurité possible aux processus de partage d’objets (fichiers) malveillants et suspects, pour qu’ils soient ensuite analysés automatiquement et manuellement par nos experts, et si nous conservons ensuite ces fichiers dans un endroit sûr. Cet aspect est essentiel pour n’importe quelle entreprise qui fournit des antivirus. Par conséquent, nous avons cherché à obtenir cette norme pour les mécanismes de partage des fichiers malveillants et suspects grâce à l’infrastructure Kaspersky Security Network et à leur bon stockage sur Kaspersky Lab Distributed File System. L’inspection ne se limitait pas à ce secteur. De nombreux services de l’entreprise sont organisés de façon similaire.

Plusieurs facteurs affectent la sécurité d’un processus, et les systèmes de management de la sécurité de l’information peuvent aider à définir ces facteurs et fournir une protection opportune. De nombreux aspects peuvent être considérés comme fondamentaux lorsque nous parlons de la gestion de la cybersécurité. Qui a accès aux systèmes d’information et aux données sensibles ? Comment s’est déroulé le processus de candidature ? Comment les employés travaillent-ils avec les documents et les systèmes d’information ? Quel est le processus suivi par l’équipe chargée de la sécurité lorsqu’elle doit révoquer les droits d’accès d’un employé qui a quitté l’entreprise ? Quelles sont les connaissances des employés au sujet des éventuelles cybermenaces et les moyens de protection existants ? Comment les administrateurs travaillent-ils avec des ordinateurs qui exécutent des opérations sensibles ?

Le système de protection considère également de nouveaux types de menaces et leur neutralisation ; par exemple, se protéger contre les attaques APT ou encore contrer les risques que pourraient amener l’utilisation de nouvelles technologies, y compris l’utilisation d’algorithmes d’apprentissage automatique.

Si l’on tient compte des points mentionnés ci-dessus, les inspecteurs ont analysé les documents, ont parlé avec le personnel des différents départements, et ont étudié les aspects techniques et organisationnels de la protection des données, comme les processus de recrutement, les licenciements et les formations. Ils ont observé comment le service informatique s’occupe de l’entretien du réseau professionnel et ont visité nos centres de données. Ils ont aussi regardé nos employés travailler et ont vérifié qu’ils ne laissaient pas traîner dans les bureaux des documents imprimés ou des médias amovibles,  qu’ils verrouillaient bien leur ordinateur (mais aussi leur écran et leur tableau de bord) lorsqu’ils abandonnaient leur poste de travail, et quels programmes ils utilisaient pour travailler. En d’autres termes, ils ont analysé les pratiques de toute l’entreprise et ont fait spécialement attention à la vérification des processus du système de management de la sécurité de l’information : analyse de la sécurité par la direction, gestion des risques, gestion des incidents, mesures de correction, audits, garantir que les employés soient formés en cybersécurité et assurer la continuité de l’entreprise.

Et ensuite ?

Désormais, les clients inquiets peuvent se familiariser avec cette norme, qui reflète l’opinion des experts indépendants. Les utilisateurs ont souvent des questions au sujet de l’ISO 27001, surtout lorsqu’il s’agit d’une entreprise qui choisit un fournisseur de sécurité, puisque la plupart de nos solutions impliquent des services certifiés.

Ce travail ne s’arrête pas là. Nous renouvelons cet examen tous les trois ans. Cela signifie qu’il faut faire plus d’audits pour prouver la titularité de cette norme. De plus, les inspecteurs réalisent des contrôles surprises chaque année.

Consultez cette page en anglais pour obtenir plus de renseignements sur cette norme : https://www.kaspersky.com/about/iso-27001

 

Conseils