Partager

Pensée Cyber

Une certification ISO 27001 est souvent utilisée comme gage de confiance en matière de cybersécurité. Cela peut avoir du sens, mais peut aussi être un piège.

Certes la certification garantit un niveau de sérieux dans la gestion de la cybersécurité, mais, est-ce un indicateur suffisant du niveau de sécurité de l’organisme certifié ?

La réponse est NON !

Je m’explique :

Il est à savoir que la norme ISO 27001 n’exige pas la mise œuvre de mesures de sécurité particulières. Elle définit plutôt un système de management de sécurité de l’information ou SMSI qui permet de :

  • définir les mesures à mettre en place, 
  • de suivre leur mise en oeuvre
  • de les contrôler en continue
  • et de les améliorer dans le temps.

Ces mesures sont définies par l’organisme certifié lui même en fonction des objectifs qu’il s’est fixés… qu’il s’est fixé en fonction de ses enjeux, en fonction des risques qu’il considèrent et en fonction des obligations de conformité qui lui sont applicables.

Au risque de trop simplifier, il faut voir un Système de management de sécurité de l’information comme une machine A SÉCURISER… Une machine qui prend en input 

  • des enjeux
  • des besoins 
  • et des exigences 

et qui donne en sortie un dispositif de sécurité.

La certification ISO 27001 atteste que la machine fonctionne bien, qu’elle prend bien en input des enjeux, des besoin et des exigences, et qu’elle mouline bien pour donner sortie un dispositif de sécurité cohérent avec ces enjeux, ces besoins et ces exigences.

Elle n’atteste pas par contre du niveau de robustesse de ce dispositif de sécurité.

Imaginons par exemple que vous êtes à la recherche d’un fournisseur SaaS pour externaliser un service et que vous en trouvez un, certifié ISO27001, sur le périmètre qui vous concerne.

Est-ce que vous pouvez alors vous fier à son niveau de sécurité les yeux fermés ?

La réponse est évidemment NON

Comme je disais, les mesures de sécurité que ce fournisseur met en place sont défini en fonctions de ses enjeux à lui, des risques qu’il considère et des obligations de conformité qui lui sont applicables

Mais, ces enjeux ne sont pas forcément aligné avec les votre… les risques qu’il considère ne sont pas les même que les vôtres … et ses obligations de conformité ne sont pas forcément les mêmes que les vôtres.

Cette certification ne vous garantit alors pas  que le niveau de sécurité du fournisseur est satisfaisant par rapport à vos attentes.

Imaginons, Par exemple, que ce service SaaS va manipuler vos données de R&D qui sont confidentielles et qui peuvent être la cible privilégiée d’espionnage industriel par des organismes puissants

Est-ce que ce fournisseur de service a considéré ce type de menace dans son analyse des risques ? La certification en elle-même n’apporte pas de réponse à ce sujet.

Le norme ISO 27001 exige de faire une analyse des risques, mais n’exige pas un niveau de menace particulier à considérer.

Il se peut que ce fournisseurs considère dans son analyse des risques uniquement des attaques opportunistes et considère qu’il ne constitue pas spécialement une cible d’attaque.

Il ne met pas alors le curseur du niveau de sécurité nécessaire au même niveau que ce que vous souhaiteriez.

Supposons aussi que vous avez des obligations de conformité, par  exemple à une politique interne, à une réglementation ou à une norme. La certification du fournisseur ne vous garantit pas qu’il soit conforme à moins qu’il ait considéré ces mêmes obligations de conformité dans son SMSI.

Donc pour avoir un niveau de sécurité qui peut vous satisfaire, le SMSI du fournisseur doit prendre en entrée vos enjeux à vous, vos besoins et vos exigences.

Pour ce faire, commencez premièrement par définir vos objectifs de cybersécurité relatif au service que vous externalisez.

Vous faites cela au travers d’une analyse des risques et/ou d’une approche par conformité au norme, aux lois ou aux obligations contractuelles qui s’applique à votre périmètre.

Deuxièmement, vous déclinez les objectifs que vous avez définis en exigences opérationnelles et contextualisées pour votre fournisseur, … comme expliqué dans la pensée cyber précédente

Troisièmement, vous challengez le fournisseur par rapport à ces exigences

Et enfin, si vous le sélectionnez, vous devez veiller à ce qu’il s’engage à les respecter, par exemple au travers d’un plan d’assurance sécurité ou dans les conditions générales de vente et d’utilisation.

C’est de cette manière que la certification peut avoir du sens pour vous en tant que client, parce que quand le fournisseur s’engage contractuellement à respecter vos exigences, cela veut dire qu’elles font partie de ses objectifs de conformité

La certification ISO27001 vous garantit alors que le fournisseur mettra ce qu’il faut pour satisfaire vos exigences, que ces exigences seront contrôlées dans le temps, et ce, dans une optique d’amélioration continue.

Plus concrètement, la certification vous garantit cela au titre de l’exigence 4.2.b, car vos exigence font maintenant partie des exigences des parties intéressé du SMSI du fournisseur, sous réserve que les clients sont considéré parmi les parties intéressé, mais ce qui est généralement le cas

La certification vous le garantit aussi au titre la règle 18.1.1 de l’annexe A et qui lui impose des procédures pour satisfaire des exigences contractuelles,

Avez-vous trouvé cet article utile?