Décortiquer les normes ISO pour mieux sécuriser votre supply chain

par | Jan 22, 2024 | E-invoicing

Nous allons nous intéresser à l’aspect sécurité des produits et services, mais il est utile de savoir que les normes ISO partagent également des idées et solutions, des bonnes pratiques et du savoir-faire pour d’autres domaines, allant du papier aux denrées alimentaires ou encore les normes pour les dimensions cartes de crédits.

ISO, l’organisation internationale de normalisation

Organisation à but non lucratif, elle compte 167 membres, ce qui représente la quasi-totalité des pays. Elle a pour but d’élaborer des normes internationales, et espère apporter des réponses à des enjeux mondiaux.

Pour mieux appréhender cet article, il faut déterminer ce qu’est « une Norme internationale ? » :

« Une Norme internationale est un document qui fournit des informations concrètes et des meilleures pratiques. Elle décrit souvent une manière de procéder convenue ou une solution à un problème mondial. ».

ISO 27000 , management de la sécurité de l’information

Parmi toutes les normes ISO, la famille qui nous intéresse aujourd’hui est celle des 27000 : elle assure la sécurité des informations sensibles des organisations. Le respect et la mise en place des normes de la famille ISO 27000 facilite la sécurisation de données financières notamment, mais aussi des documents de propriété intellectuelle, les informations confiées par un tiers…

ISO 27001, la plus connue des normes 

ISO 27001 est probablement la plus connue des normes ISO. Elle régit le management de la sécurité de l’informations. En d’autres termes, elle fournit un guide aux entreprises pour protéger les données qu’elles possèdent ou manipulent.

Pour pouvoir répondre à cette norme, l’entreprise suit un modèle sous forme de « Plan-Do-Check-Act » et doit mettre en place une stratégie complète pour assurer la sécurité des données qu’elle manipule. Elle doit également suivre une politique avec des procédures et des contrôles adaptés à son organisation, appelés « Information Security Management System » ou « Systèmes de Management de la Sécurité de l’Information ». Il s’agit d’une approche globale qui ne se limite pas uniquement à la cybersécurité.

Dans l’ensemble, l’entreprise doit démontrer sa bonne volonté et les actions qu’elle met en place pour protéger les données sensibles selon les 3 principes de l’ISO 27001 :

  • Confidentialité,
  • Intégrité (de l’information),
  • Disponibilité (des données).

Pour être plus précis, ISO 27001 est bien une norme : elle définit les cadres et guides pratiques spécifiques que l’entreprise doit implémenter pour obtenir la certification. La certification, quant à elle, est délivrée après un audit réalisé par un organisme indépendant. Une entreprise peut décider de ne pas passer par le processus de certification.

Ces normes sont régulièrement mises à jour pour faire face aux cyber-attaques toujours plus sophistiquées.

ISO 27017 et ISO 27018, la sécurité dans le cloud

La dernière décennie a apporté de nombreux changements dans le stockage et le transit des données, et l’avènement du cloud n’est plus à démontrer. Cependant, ces évolutions qui ont vu l’émergence du cloud computing implique de nouvelles règles de sécurité.

Dans les cas des normes ISO 27017 et 27018, la sécurité se fait essentiellement sur les Informations Personnelles Identifiables (PII) dans l’informatique en cloud.

ISO 27017 : Protéger les informations dans le Cloud

À mesure que le cloud se généralise, les utilisateurs exigent des garanties quant à la sécurité du stockage et du traitement des données dans le Cloud. Le marché des services de cloud est caractérisé par la dispersion des fournisseurs à travers le monde et par le transfert régulier des données d’un pays à l’autre. Il est donc essentiel de pouvoir s’appuyer sur des directives internationales.

Selon Satoru Yamasaki, l’un des rédacteurs qui a travaillé sur la norme, « ISO/IEC 27017 aidera les fournisseurs de services à trouver un terrain d’entente avec leurs clients quant à l’adéquation des contrôles de sécurité et leurs recommandations de mise en œuvre. Cette Norme internationale relative aux contrôles de sécurité pour le Cloud facilitera le développement et l’expansion de systèmes informatiques en nuage plus sûrs ».

ISO 27018 : La protection des données personnelles dans le cloud

La norme ISO 27018 s’applique à tout type d’entité, qu’elle soit publique ou privée, dès l’instant où elle offre des services de traitement de l’information via l’informatique en cloud sous contrat auprès d’autres organismes.

Publiée en 2014, ISO/IEC 27018 est la première Norme internationale qui met l’accent sur la protection des données personnelles dans le cloud.

ISO/IEC 27018, norme pionnière dans le domaine de la protection des données à caractère personnel sur le cloud, vise différents objectifs :

  • Aider les fournisseurs de services cloud qui traitent des données à caractère personnel à répondre aux obligations légales applicables, mais aussi aux attentes de la clientèle
  • Assurer la transparence, pour que les clients puissent choisir des services cloud bien gérés
  • Faciliter l’élaboration de contrats pour les services cloud
  • Fournir aux clients du cloud un mécanisme garantissant que les fournisseurs de cloud respectent les obligations légales et d’autres exigences

Pour résumer, ISO/IEC 27018 fournit une référence concrète pour établir la confiance sur ce marché. Elle donne en même temps, à l’industrie du cloud public, une orientation claire pour répondre à certaines préoccupations légales et réglementaires de ses clients.

Faustine Tournay