Rencontrez nos experts

Articles récents

ICT Experts LuxembourgSecurity & EMM De l’importance de choisir le bon référentiel de sécurité
Importance de choisir le bon référentiel de sécurité

De l’importance de choisir le bon référentiel de sécurité

La fin d’année approche. Pour les responsables de la sécurité, il est temps de défendre un budget auprès de la direction. Mais obtenir les moyens nécessaires pour assurer cette mission est souvent compliqué. Quels arguments avancer ? Et si l’adoption d’un référentiel de sécurité pouvait contribuer à faire changer de regard sur le risque ?

 

Encadrer le risque

Prenons l’exemple de POST Luxembourg. L’entreprise opère dans différents secteurs d’activités comme le courrier, les télécoms, la finance, l’IT. Chaque entité est donc soumise à un ou plusieurs régulateurs : CNPD[1], ILR[2], CSSF[3] et autant de normes et règlements : Bale 2, PSD2, PCI-DSS, GDPR… Ces standards auxquels POST doit se conformer ont pour vocation d’encadrer strictement l’entreprise dans les domaines de la gestion du risque, des données personnelles et de la sécurité de l’information.

Dès lors, une question se pose. Quel référentiel suivre face à la multitude de standards existants ? Cobit, COSO, ISO 27001… Lequel pourrait permettre de répondre au mieux aux exigences des différents régulateurs nationaux et européens ?

Au sein de l’équipe POST qui travaille sur la sécurité de l’information tant pour le groupe que pour ses clients externes – les collaborateurs sont souvent sollicités pour aider à définir, mettre en place et suivre un cadre ou référentiel de sécurité. Il s’agit en effet, de la condition nécessaire pour disposer d’un fil conducteur capable de donner à la direction de l’entreprise une vue cohérente sur les risques encourus. Pour le groupe POST, c’est la norme ISO/IEC 27001:2013 qui a été retenue.

 

Une démarche pragmatique de sécurité

Pourquoi ce standard ? Il est important de préciser que la norme ISO/IEC 27001:2013 ne certifie pas un niveau de sécurité mais son management.

La norme encadre l’implémentation d’un Système de Management de la Sécurité de l’Information (SMSI). Elle vise à mettre en place une gestion de la sécurité dans l’entreprise et à s’assurer de son amélioration continue selon le cycle Plan – Do – Check – Act, sur un périmètre pré-défini.

 

Le choix des mesures et du niveau de sécurité s’opère alors en fonction des risques identifiés. Un pilotage par le risque qui impose un engagement fort de la direction : non seulement pour valider ces risques mais aussi pour fournir les ressources – financières, humaines et techniques- nécessaires à l’exécution des plans d’actions.

Contrairement à un standard classique comme PCI-DSS dont l’objectif est d’implémenter toutes les mesures préconisées pour atteindre le niveau de sécurité demandé, ISO 27001 implique de sélectionner les mesures adéquates pour répondre aux risques identifiés.

Si la norme ISO 27001 tend vers une sécurité plus pragmatique, elle engage à définir une méthodologie d’analyse, de gestion des risques et un suivi régulier des mesures sélectionnées.

Cette approche retenue pour l’ensemble des entités du groupe POST a également été étendue jusqu’à la certification dans le cas de POST Telecom. Un label qui atteste de la mise en place d’un système de management de la sécurité de l’information (SMSI) efficace, régulièrement audité par un organisme externe.

Si beaucoup de sociétés appliquent déjà une norme, en Europe les entreprises semblent encore frileuses à adopter ISO 27001. Et encore moins d’étendre cette démarche à la certification, encore trop souvent perçue comme un processus long et coûteux. S’engager dans cette voie est pourtant le meilleur moyen de mettre l’ensemble de l’entreprise en mouvement pour progresser vers plus de sécurité.

 

[1] Commission Nationale de la Protection des données

[2] Institut Luxembourgeois de Régulation

[3] Commission de Surveillance du Secteur Financier

Pas de commentaires

Laisser une réponse