Qu’est-ce que la norme ISO/IEC 27001:2022 ?
L’ISO (Organisation internationale de normalisation) est une organisation internationale indépendante et non gouvernementale qui regroupe 170 organismes nationaux de normalisation. La norme ISO/IEC 27001, publiée conjointement par l’ISO et la Commission électrotechnique internationale (CEI), est la norme la plus connue au monde pour les systèmes de gestion de la sécurité de l’information (SGSI). La norme ISO/IEC 27001 fournit à toutes les entreprises des lignes directrices pour l’établissement, la mise en œuvre, le maintien et l’amélioration continue des systèmes de gestion de la sécurité de l’information.
Les normes ISO sont approuvées au niveau international par les experts en cyber-sécurité et sont largement reconnues dans le monde entier. La certification ISO est disponible pour les entreprises de tous les secteurs économiques (tous les types de services et de fabrication ainsi que le secteur primaire ; les entreprises privées, publiques et à but non lucratif).
La conformité à la norme ISO/IEC 27001 signifie qu’un organisme ou une entreprise a mis en place un système pour gérer les risques liés à la sécurité des données qu’elle possède ou qu’elle manipule, et que ce système utilise toutes les meilleures pratiques et tous les principes énoncés dans la présente norme internationale.
Réglementation | En vigueur
Le règlement DORA s’articule autour de cinq piliers clés, chacun d’entre eux étant conçu pour traiter des aspects distincts de la résilience opérationnelle numérique des services financiers.
- Gestion et gouvernance des risques liés aux TIC : le règlement DORA rend la direction et les membres du conseil d’administration responsables de la définition, de la mise en œuvre et du maintien d’un cadre de gestion des risques liés aux TIC afin d’améliorer la résilience opérationnelle numérique. Il impose aux entités financières de mettre en place un cadre de gouvernance et de contrôle interne qui garantisse une gestion efficace et prudente des risques liés aux TIC.
- Signalement des incidents : les entreprises de services financiers doivent mettre en place des systèmes de surveillance, de gestion, d’enregistrement, de classification et de signalement des incidents liés aux TIC afin d’évaluer les attaques, d’atténuer leur impact sur les clients et les opérations et de les signaler aux autorités.
- Tests de résilience opérationnelle numérique : les entités financières doivent mettre en œuvre et réaliser chaque année un programme complet de tests de résilience opérationnelle numérique. Le règlement DORA précise également que les entités financières doivent s’assurer de la participation des fournisseurs tiers de services TIC à leurs tests de résilience opérationnelle numérique, le cas échéant.
- Risques liés aux fournisseurs tiers de services TIC : l’une des priorités du règlement DORA concerne les risques liés aux fournisseurs tiers de services TIC et son rôle dans l’atténuation des risques. Les institutions financières font largement appel à des fournisseurs externes de TIC pouvant se trouver en dehors de l’UE, tels que plusieurs fournisseurs de cloud. Par conséquent, les entités financières doivent inclure les risques liés aux fournisseurs tiers de services TIC comme partie intégrante de leur cadre de gestion des risques liés aux TIC.
- Partage d’informations : le règlement DORA encourage également le partage volontaire d’informations et de renseignements sur les cybermenaces afin d’améliorer la résilience opérationnelle numérique du secteur.
Les normes ISO sont approuvées au niveau international par les experts en cyber-sécurité et sont largement reconnues dans le monde entier. La certification ISO est disponible pour les entreprises de tous les secteurs économiques (tous les types de services et de fabrication ainsi que le secteur primaire ; les entreprises privées, publiques et à but non lucratif).
La norme ISO/IEC 27001 est une norme internationale qui ne prévoit aucune sanction en cas de non-conformité. Cependant, la certification ISO/IEC 27001:2022 peut constituer une couche de défense contre les amendes imposées par des réglementations telles que le RGPD en cas de violation de données, en démontrant les efforts de bonne foi d’une entreprise dans la mise en œuvre des meilleures pratiques en matière de sécurité de l’information.
Alors que la norme ISO/IEC 27001 spécifie les exigences relatives à l’établissement d’un SGSI, la norme ISO/IEC 27002 fournit les meilleures pratiques et les contrôles détaillés pouvant être appliqués dans le cadre du SGSI. La principale différence est que la norme ISO/IEC 27001 est une norme pour laquelle les entreprises peuvent être certifiées, alors que la norme ISO/IEC 27002 ne l’est pas. Les exigences figurant dans le tableau ci-dessous sont énumérées dans les normes ISO 27001 et ISO 27002.
Comment Thales contribue à la conformité à la norme ISO/IEC 27001:2022
Thales aide les entreprises à se conformer à la norme ISO/IEC 27001:2022 en répondant aux exigences essentielles énumérées dans l’annexe A pour les contrôles de sécurité de l’information. Nous fournissons des solutions complètes de cyber-sécurité dans trois domaines clés : la sécurité des applications, la sécurité des données et la gestion des identités et des accès.
Solutions de mise en conformité à la norme ISO/IEC 27001:2022
Exigences ISO prises en charge : 8. Contrôles technologiques
Protégez vos applications et API à grande échelle, que ce soit dans le cloud, sur site ou dans un modèle hybride. Notre suite de produits leader sur le marché comprend un pare-feu d’applications Web (WAF), une protection contre les attaques par déni de service distribué (DDoS) et les attaques de bots malveillants, la sécurité des API, un réseau de diffusion de contenu (CDN) sécurisé et l’autoprotection des applications en cours d’exécution (RASP).
Exigences ISO prises en charge : 5. Contrôles organisationnels et 8. Contrôles technologiques
Découvrez et classez les données sensibles au sein d’environnements informatiques hybrides et protégez-les automatiquement où qu’elles soient, qu’elles soient au repos, en transit ou en cours d’utilisation, grâce au chiffrement, à la tokénisation et à la gestion de clé. Les solutions Thales permettent également d’identifier, d’évaluer et de hiérarchiser les risques potentiels pour une évaluation précise des risques. Elles permettent également d’identifier les comportements anormaux et de surveiller l’activité afin d’identifier les menaces potentielles et de vérifier la conformité, permettant ainsi aux entreprises d’établir des priorités dans l’affectation de leurs efforts.
Exigences ISO prises en charge : 5. Contrôles organisationnels, 6. Contrôles des personnes, 7. Contrôles physiques et 8. Contrôles technologiques
Fournir un accès fluide, sécurisé et fiable aux applications et services numériques pour les clients, les employés et les partenaires. Nos solutions limitent l’accès des utilisateurs internes et externes en fonction de leurs rôles et du contexte grâce à des politiques d’accès granulaires et à une authentification multifacteur qui contribuent à garantir que le bon utilisateur ait accès à la bonne ressource au bon moment.
Livre électronique
Conformité à la norme ISO 27001 relative à la sécurité de l’information, à la cyber-sécurité et à la protection de la vie privée
Lisez notre livre électronique détaillé pour comprendre comment Thales peut vous aider à vous conformer aux exigences de la norme ISO 27001.
Ressources associées
Autres réglementations clés en matière de protection et de sécurité des données
PCI HSM
MANDAT | EN VIGUEUR
La spécification PCI HSM définit un ensemble de normes de conformité de sécurité logiques et physiques pour les HSM, spécifiquement destinées au secteur des paiements. La certification de conformité à la spécification PCI HSM dépend du respect de ces normes.
DORA
RÉGLEMENTATION | EN VIGUEUR
Le règlement DORA vise à renforcer la sécurité informatique des entités financières afin de garantir la résilience du secteur financier en Europe face à l’augmentation du volume et de la gravité des cyberattaques.
Lois sur la notification des violations de données
RÉGLEMENTATION | EN VIGUEUR
Des exigences de notification en cas de violation de données ont été promulguées par des pays du monde entier suite à la perte d’informations personnelles. Elles varient en fonction des juridictions, mais comprennent presque toutes une clause de « clause d’exonération » (safe harbor).
GLBA
RÉGLEMENTATION | EN VIGUEUR
Le Gramm-Leach-Bliley Act (GLBA), également connu sous le nom de Financial Services Modernization Act (Loi sur la modernisation des services financiers) de 1999, exige des institutions financières qu’elles expliquent à leurs clients leurs pratiques en matière d’échange d’informations et protègent les données sensibles.