Agustín Lerma nous explique comment la norme ISO 27001 peut aider les entreprises à faire face aux nouvelles menaces et risques de sûreté de l'information.
Un système de management ISO est un outil capable de gérer les changements qui interviennent au sein d’une entreprise ou d’une organisation et d’adapter la réponse qu’elle apporte à ces changements. Cet objectif peut être atteint en mettant en œuvre trois processus : la gestion du contexte (changement), la gestion des risques et opportunités et la gestion de l’amélioration continue.
Pour ce qui est de la sécurité de l’information, un système de management s’avère particulièrement utile, vu la vitesse à laquelle les changements s’opèrent, ce qui permet d’identifier de nouveaux atouts, vulnérabilités et menaces.
Ces derniers temps, nous avons connu des évolutions législatives (RGPD, dispositifs de sécurité nationale), de nouvelles vulnérabilités (SolarWinds) et de nouvelles menaces (ransomware) qui ont nécessité la modification et l’adaptation de correctifs et de nouveaux contrôles ou encore la modification des dispositifs existants, afin d’assurer une protection efficace des actifs informationnels des organisations.
Toutefois, l’impact et les transformations liés à ces changements n’ont pas été aussi considérables que les conséquences de l'épidémie de COVID-19. A l’origine, une pandémie mondiale était considérée comme une menace pesant notamment sur la continuité des activités. Mais dans la plupart des cas, ce scénario était considéré comme improbable. Cela dit, il y avait bien eu des précédents, comme la grippe espagnole de 1918, la crise liée au SIDA ou encore la grippe aviaire.
La sécurité de l’information se focalise davantage sur la partie cybernétique, les menaces qui affectent les machines, les logiciels ou encore les données, plutôt que les personnes et les risques auxquels elles sont exposées. Pourtant, les personnes sont des actifs informationnels et gèrent également de nombreuses données. Avant la pandémie, nous considérions que seuls les virus informatiques (malwares) étaient les seuls risques pertinents vis-à-vis des actifs de données, pas les virus qui contaminent les humains.
Il est plutôt compliqué d’appréhender la façon dont une pandémie mondiale peut affecter la sécurité de l’information. En réalité, il ne s’agit pas d’une conséquence directe. Ce phénomène est indirect, car les mesures prises pour protéger les personnes du virus ont entraîné une modification de la structure, de la configuration physique des bureaux et datacenters, et de la manière d’accéder et gérer les actifs informationnels de la plupart des organisations à travers le monde.
Première conséquence de l'épidémie de COVID-19 et du besoin des organisations de continuer à fonctionner dans une situation inédite (indisponibilité de personnel en raison de la maladie elle-même et des restrictions légales de déplacement imposées par les gouvernements pour limiter la propagation du virus) : les organisations ont activé leurs plans de continuité d’activités, ce qui s’est notamment traduit par davantage de télétravail, plutôt qu’au bureau, dans les usines et dans les locaux professionnels.
Deuxième conséquence : une migration massive des actifs informationnels des serveurs des organisations et des data-centers vers les services en « cloud » permettant d’y accéder à distance partout dans le monde (disponibilité), mais en confiant la sécurité des actifs informationnels aux prestataires de ces services.
En d’autres termes, les organisations (prestataires de services) disposent désormais de Technologies de l’Information et de Communication (TIC) réparties sur des dizaines, des centaines ou des milliers d’emplacements (un par employé). Elles ne disposent plus d’un site physique unique, et elles dépendent de tiers pour assurer la gestion et la sécurité de leurs actifs informationnels (cloud). Dans le cas d’organisations de production, le modèle est hybride (distanciel et présentiel), mais la structure administrative et des TIC présentent les mêmes caractéristiques de dispersion. Par ailleurs, elles ne disposent plus d’un plan de continuité d’activités, car il est mis en œuvre. Leur écosystème opérationnel a changé, et la plupart des mesures fixées avant l’apparition de la nouvelle situation ne fonctionnent plus. Dans cette situation, nous devons pouvoir :
- Identifier les vulnérabilités, menaces et opportunités découlant de cette nouvelle situation.
- Envisager les nouvelles menaces que représente le télétravail des employés (politique de table rase, contrôle des routeurs, des proches et des personnes vivant sous le même toit, lassitude due au fait que les employés sont déconnectés de l’organisation).
- Améliorer les contrôles applicables aux communications (sans communication, le modèle décentralisé ne fonctionne pas).
- Passer en revue, mettre à jour et mettre en application les contrôles applicables aux fournisseurs essentiels (cloud et communications) affectant la sécurité de l’information.
- Mettre en place des conditions de sécurité pour les services de gestion des données sur le cloud.
Mais, comment y parvenir ?
- Exploiter notre système de management de la sécurité de l’information ISO 27001 pour gérer le changement et identifier les risques et opportunités afin de s’adapter à la nouvelle situation et modifier ou mettre en place des contrôles (politique de table rase, verrouillage d’écran, gestion des documents papier, accès impossible aux autres personnes vivant sous le même toit, contrôle de routeurs, antivirus, etc.)
- Nous pouvons ajouter un module de contrôle étendu ISO 27701 à notre système de management pour protéger les données personnelles et un module de contrôle étendu ISO 27018 si ces données sont hébergées sur le cloud.
- Pour les activités générales sur le cloud, le module de contrôle étendu ISO 27017 nous apportera également une protection.
Sur la base de notre expérience en tant qu’auditeurs en sécurité de l’information, nous pouvons affirmer que les organisations disposant d’un système de management ISO 27001 ont géré les changements, les risques et mises e, place les protections pour faire face à la nouvelle situation découlant de la gestion des effets de l'épidémie de COVID-19, de manière plus efficace et efficiente que les organisations ne disposant pas de ce genre d’outils structurant.
Même si l’on considère que le besoin de travailler à distance sera réévalué à l’avenir, grâce aux vaccins ou médicaments et à la levée des restrictions de circulation, il est difficile d’imaginer un retour à une totale « normalité », comme avant la pandémie, en termes de sécurité de l’information.
De nombreuses organisations ont intégré le télétravail comme partie intégrante de leur activité. Une certitude, le travail à distance s’inscrit dans la durée et que nous devons adapter notre sécurité de l’information à cette situation vouée à devenir permanente.