Êtes-vous prêts? Nouvelle norme ISO/CEI pour lutter contre les risques graves en sécurité de l'information

Qu'il s'agisse de pirates informatiques tentant d'infiltrer des réseaux ou d'employés utilisant leur savoir-faire et leurs droits d'accès internes pour exploiter, à leur propre profit, les données de l'entreprise, l'impact d'une grande variété de menaces qui pèsent sur la sécurité de l'information peut être réduit par le recours à une démarche de gestion des incidents de sécurité de l'information, qui fait l'objet d'une nouvelle Norme internationale ISO/CEI 27035:2011.

Alors que des violations de la sécurité de vos systèmes informatiques peuvent compromettre vos systèmes métier et perturber vos opérations, votre entreprise doit être préparée et apte à répondre rapidement et efficacement pour éviter que des incidents mineurs ne prennent l'ampleur de catastrophes. En déployant un système de gestion des incidents de sécurité informatique, l'entreprise se dote des contrôles et des procédures nécessaires pour gérer un large éventail de vulnérabilités et d'incidents potentiels.

ISO/CEI 27035:2011, Technologies de l'information – Techniques de sécurité – Gestion des incidents de sécurité de l'information, donne des recommandations sur la manière de détecter, de signaler et d'évaluer les éventuels incidents de sécurité et vulnérabilités des systèmes informatiques.

Elle aidera les organisations à répondre à ce type d'incidents, y compris en activant les dispositifs de contrôle appropriés dans un but de prévention, afin de limiter la gravité de l'impact, assurer la reprise des opérations, et tirer les enseignements de cette experience pour améliorer l'approche globale.

L'intégration d'un système de gestion des incidents liés à la sécurité de l'information offre plusieurs avantages :

  • Amélioration de la sécurité de l'information globale
  • Réduction des effets dommageables sur l'activité de l'entreprise
  • Confirmation et preuve de l'importance et de la priorité accordée à la prévention des incidents en sécurité de l'information
  • Atout pour justifier certains budgets et certaines ressources
  • Actualisation des évaluations et des résultats de la gestion des risques en sécurité de l'information
  • Meilleure sensibilisation à la sécurité de l'information et fourniture du matériel de formation
  • Contribution à votre politique en matière de sécurité de l'information et aux revues de la documentation correspondante.

Comme l'explique Edward Humphreys, animateur de l'équipe auteur du rapport technique ISO/CEITR18044:2004, maintenant publié sous la forme de cette Norme internationale : «c'est en fonction de l'efficacité et de la rapidité de réaction face à des incidents majeurs que se joue la survie ou la «mort» d'une organisation. La nouvelle norme ISO/CEI 27035 fournit des conseils sûrs et éprouvés sur les processus et les méthodes à déployer pour assurer une gestion efficace des incidents de sécurité de l'information.

La gravité des incidents est variable, elle peut être faible et n'avoir d'incidence que sur un système de l'entreprise, mais il arrive que l'impact touche tous les systèmes. Certains incidents  peuvent entraîner des perturbations et avoir des répercussions sur l'activité commerciale pendant plusieurs jours; d'autres peuvent causer la perte et/ou la destruction de données et d'autres encore mettre l'organisation en situation d'infraction. ISO/CEI 27035:2011 offre une solution.»

ISO/CEI 27035:2011, qui remplace le rapport technique  ISO/CEI TR 18044:2004, étaye les concepts généraux spécifiés dans la norme/CEI 27001:2005, Technologies de l'information – Techniques de sécurité – Systèmes de management de la sécurité de l'information – Exigences.

La nouvelle Norme internationale est applicable aux organismes de toutes tailles. Elle couvre une vaste gamme d'incidents de sécurité de l'information, délibérés ou accidentels, dus à des causes techniques ou physiques.

ISO/CEI 27035:2011, Technologies de l'information – Techniques de sécurité – Gestion des incidents de sécurité de l'information, a été élaborée par le comité technique mixte ISO/CEI JTC 1, Technologies de l’information, sous-comité SC 27, Techniques de sécurité des technologies de l'information. Elle est disponible auprès des instituts nationaux membres de l'ISO (voir la liste complète avec les coordonnées). Il est aussi possible de l'obtenir directement au Secrétariat central de l'ISO, au prix de 180 francs suisses, par l’intermédiaire de l'ISO Store ou en contactant le Département Marketing, Communication & Information (voir colonne de droite).


Source : www.iso.org/iso/fr