Véritable fléau, la cyber criminalité vient donc fortement impacter les performances des entreprises et représente un enjeu économique majeur. Les pirates l’ont bien compris et n’hésitent plus à attaquer les entreprises de toutes tailles pour leur voler leurs données, les faire chanter, etc. En ce sens, la cybercriminalité peut influer sur la compétitivité des professionnels qui peuvent voir leurs performances et leur réputation se dégrader faute de protéger leurs actifs numériques.
A ce jour, toutes les entreprises françaises sont concernées et doivent prendre des mesures efficaces pour se protéger contre des attaques ultra sophistiquées. Prenons quelques chiffres pour illustrer notre propos, le vol de données a augmenté de 62 % en 2013, 552 millions d’identités ont été exposées selon l’Internet Security Threat Report (ISTR) 2014.
Face à l’enjeu de sécurité de l’information, la réponse de la norme ISO 27001
Pour valoriser les mesures de protection et le système de management de l’information mis en place, les entreprises doivent disposer d’outils efficaces, de méthodologies reconnues par des experts de la sécurité de l’information et répondant aux standards internationaux.
L’ISO/IEC 27001 est une norme internationale du système de gestion de la sécurité de l’information qui a ces enjeux. Elle décrit les exigences pour la mise en place d’un Système de Management de la Sécurité de l’Information (SMSI), ce dernier étant destiné à choisir les mesures de sécurité afin d’assurer la protection des biens sensibles d’une entreprise sur un périmètre défini (Scope). La norme ISO 27001 est orientée processus et propose des pistes d’amélioration continue. Elle s’adresse à tous les types d’organismes tels que des entreprises commerciales, des ONG, des administrations ou encore des établissements financiers.
Au regard de cette définition, l’on comprend aisément que se protéger de menaces toujours plus complexes nécessite de s’appuyer sur un schéma directeur clair, une méthodologie, des outils, mais également de se conformer à une norme permettant de mettre en œuvre une gouvernance adaptée. L’objectif étant de mettre en place une démarche d’amélioration continue de la sécurité en promouvant les principes de la norme ISO.
Positionner la norme comme une donnée centrale
La prise en compte de la norme est donc un facteur-clé de succès pour lutter contre les menaces informatiques. Déployer des outils de protection sans se poser la question du respect de bonnes pratiques et de pistes d’amélioration n’est donc pas une démarche pérenne. Les entreprises ne doivent pas agir dans la précipitation, mais ouvrir un véritable projet d’entreprise dédié à la sécurité informatique pour piloter la gestion du risque informatique (planification, exécution, audit et amélioration). Une telle démarche permettra de créer de véritables espaces de confiance numérique.