T\u00dcV AUSTRIA a r\u00e9cemment confirm\u00e9 que le syst\u00e8me de management de la s\u00e9curit\u00e9 de l\u2019information de notre infrastructure Kaspersky Security Network (KSN) est conforme \u00e0 l\u2019ISO\/CEI 27001:2013 quant au partage de fichiers malveillants et suspects. T\u00dcV a aussi affirm\u00e9 que ces fichiers sont conserv\u00e9s en toute s\u00e9curit\u00e9 sur notre Kaspersky Lab Distributed File System (KLDFS) et que l\u2019acc\u00e8s est s\u00fbr. Nous vous expliquons la norme ISO\/CEI 27001:2013.<\/p>\n
L\u2019ISO 27001 est une norme internationale qui sp\u00e9cifie les exigences relatives \u00e0 la mise en \u0153uvre, \u00e0 la mise \u00e0 jour et au d\u00e9veloppement de syst\u00e8mes de management de la s\u00e9curit\u00e9 de l\u2019information. Il s\u2019agit principalement de recueillir les meilleures pratiques quant aux mesures de gestion de la s\u00e9curit\u00e9 pour prot\u00e9ger les informations et garantir la protection des donn\u00e9es des clients.<\/p>\n
Pour obtenir cette reconnaissance, une entit\u00e9 ind\u00e9pendante, dans ce cas T\u00dcV AUSTRIA, envoie des inspecteurs pour v\u00e9rifier que les processus charg\u00e9s de la cybers\u00e9curit\u00e9 respectent les meilleures pratiques. Au cours de cet audit, ils \u00e9valuent les processus de plusieurs d\u00e9partements\u00a0: RH, informatique, R&D et s\u00e9curit\u00e9. Ils r\u00e9digent un rapport complet que d\u2019autres experts ind\u00e9pendants analysent pour confirmer l\u2019impartialit\u00e9 des inspecteurs. Enfin, l\u2019organisation ind\u00e9pendante \u00e9met un certificat qui, dans notre cas, confirme que notre syst\u00e8me de management de la s\u00e9curit\u00e9 de l\u2019information est conforme aux meilleures pratiques.<\/p>\n
Nos clients veulent avant tout savoir si nous fournissons le meilleur niveau de s\u00e9curit\u00e9 possible aux processus de partage d\u2019objets (fichiers) malveillants et suspects, pour qu\u2019ils soient ensuite analys\u00e9s automatiquement et manuellement par nos experts, et si nous conservons ensuite ces fichiers dans un endroit s\u00fbr. Cet aspect est essentiel pour n\u2019importe quelle entreprise qui fournit des antivirus. Par cons\u00e9quent, nous avons cherch\u00e9 \u00e0 obtenir cette norme pour les m\u00e9canismes de partage des fichiers malveillants et suspects gr\u00e2ce \u00e0 l\u2019infrastructure Kaspersky Security Network et \u00e0 leur bon stockage sur Kaspersky Lab Distributed File System. L\u2019inspection ne se limitait pas \u00e0 ce secteur. De nombreux services de l\u2019entreprise sont organis\u00e9s de fa\u00e7on similaire.<\/p>\n
Plusieurs facteurs affectent la s\u00e9curit\u00e9 d\u2019un processus, et les syst\u00e8mes de management de la s\u00e9curit\u00e9 de l\u2019information peuvent aider \u00e0 d\u00e9finir ces facteurs et fournir une protection opportune. De nombreux aspects peuvent \u00eatre consid\u00e9r\u00e9s comme fondamentaux lorsque nous parlons de la gestion de la cybers\u00e9curit\u00e9. Qui a acc\u00e8s aux syst\u00e8mes d\u2019information et aux donn\u00e9es sensibles\u00a0? Comment s\u2019est d\u00e9roul\u00e9 le processus de candidature\u00a0? Comment les employ\u00e9s travaillent-ils avec les documents et les syst\u00e8mes d\u2019information\u00a0? Quel est le processus suivi par l\u2019\u00e9quipe charg\u00e9e de la s\u00e9curit\u00e9 lorsqu\u2019elle doit r\u00e9voquer les droits d\u2019acc\u00e8s d\u2019un employ\u00e9 qui a quitt\u00e9 l\u2019entreprise\u00a0? Quelles sont les connaissances des employ\u00e9s au sujet des \u00e9ventuelles cybermenaces et les moyens de protection existants\u00a0? Comment les administrateurs travaillent-ils avec des ordinateurs qui ex\u00e9cutent des op\u00e9rations sensibles\u00a0?<\/p>\n
Le syst\u00e8me de protection consid\u00e8re \u00e9galement de nouveaux types de menaces et leur neutralisation\u00a0; par exemple, se prot\u00e9ger contre les attaques APT ou encore contrer les risques que pourraient amener l\u2019utilisation de nouvelles technologies, y compris l\u2019utilisation d\u2019algorithmes d\u2019apprentissage automatique.<\/p>\n
Si l\u2019on tient compte des points mentionn\u00e9s ci-dessus, les inspecteurs ont analys\u00e9 les documents, ont parl\u00e9 avec le personnel des diff\u00e9rents d\u00e9partements, et ont \u00e9tudi\u00e9 les aspects techniques et organisationnels de la protection des donn\u00e9es, comme les processus de recrutement, les licenciements et les formations. Ils ont observ\u00e9 comment le service informatique s\u2019occupe de l\u2019entretien du r\u00e9seau professionnel et ont visit\u00e9 nos centres de donn\u00e9es. Ils ont aussi regard\u00e9 nos employ\u00e9s travailler et ont v\u00e9rifi\u00e9 qu\u2019ils ne laissaient pas tra\u00eener dans les bureaux des documents imprim\u00e9s ou des m\u00e9dias amovibles,\u00a0 qu\u2019ils verrouillaient bien leur ordinateur (mais aussi leur \u00e9cran et leur tableau de bord) lorsqu\u2019ils abandonnaient leur poste de travail, et quels programmes ils utilisaient pour travailler. En d\u2019autres termes, ils ont analys\u00e9 les pratiques de toute l\u2019entreprise et ont fait sp\u00e9cialement attention \u00e0 la v\u00e9rification des processus du syst\u00e8me de management de la s\u00e9curit\u00e9 de l\u2019information\u00a0: analyse de la s\u00e9curit\u00e9 par la direction, gestion des risques, gestion des incidents, mesures de correction, audits, garantir que les employ\u00e9s soient form\u00e9s en cybers\u00e9curit\u00e9 et assurer la continuit\u00e9 de l\u2019entreprise.<\/p>\n
D\u00e9sormais, les clients inquiets peuvent se familiariser avec cette norme, qui refl\u00e8te l\u2019opinion des experts ind\u00e9pendants. Les utilisateurs ont souvent des questions au sujet de l\u2019ISO 27001, surtout lorsqu\u2019il s\u2019agit d\u2019une entreprise qui choisit un fournisseur de s\u00e9curit\u00e9, puisque la plupart de nos solutions impliquent des services certifi\u00e9s.<\/p>\n
Ce travail ne s\u2019arr\u00eate pas l\u00e0. Nous renouvelons cet examen tous les trois ans. Cela signifie qu\u2019il faut faire plus d\u2019audits pour prouver la titularit\u00e9 de cette norme. De plus, les inspecteurs r\u00e9alisent des contr\u00f4les surprises chaque ann\u00e9e.<\/p>\n