Dans l’univers de l’hébergement web, il existe ce qu’on appelle des hébergeurs certifiés. Ce sont des hébergeurs web qui ont une certification confirmant la qualité de leurs services, plus particulièrement dans le cas de ces derniers, de confirmer qu’ils sont aptes à stocker et protéger des données numériques considérées comme sensibles. On appelle ces certifications les normes ISO. La norme principalement concernée ici est la norme 27001. Nous allons vous expliquer son principe, et comment une entreprise peut avoir cette certification.

Qu’est-ce que la norme ISO 27001 ?

La norme ISO 27001 est une certification qui permet de confirmer qu’une entreprise (comme Kalanda.net) répond à des exigences en matière de sécurité informatique. Elle sert à créer, mettre en œuvre, établir, maintenir et améliorer de manière continue le système de management de la sécurité de l’information (aussi appelé SMSI). Elle aide donc lesdites entreprises à protéger de manière efficace les données et informations sensibles, que ce soit les leurs ou celles de leurs clients.

Comment fonctionne la norme ISO 27001 ?

La norme ISO 27001 répond à 4 critères de sécurité :

-Le premier critère consiste à protéger les informations sensibles en limitant l’accès aux informations confidentielles aux utilisateurs autorisés. Il implique la mise en place de mesures de sécurité comme des contrôles d’accès ou des solutions de cryptage. Ce critère vise à minimiser les risques de fuite de données et d’atteinte à la vie privée.

-Le deuxième critère consiste à garantir l’exactitude et complétude des informations, protéger les données contre des modifications non autorisées, et mettre en place des contrôles de validation et de sauvegarde des données rigoureux. Ce critère vise à garantir la fiabilité des données pour permettre une prise de décision dite optimale.

-Le troisième critère consiste à assurer un accès permanent aux informations. Il assure la continuité des services en cas d’incident, garantit que les informations sont disponibles si nécessaire, et met en place des plans de reprises d’activité (aussi appelé PRA) et de gestion des incidents.

-Le quatrième critère consiste à pouvoir suivre et identifier les accès aux données dites sensibles ainsi que les modifications apportées, de mettre en place des contrôles d’audit et de journalisation. Il permet de faciliter les recherches en cas d’incident de sécurité et de permettre de remonter la source en cas de fuite de données.

Comment une entreprise peut obtenir la certification ISO 27001 ?

Pour obtenir la norme 27001, il est important d’effectuer un certain nombre de démarches et de mises en place pour que l’entreprise réponde aux exigences de la norme :

– Il faut tout d’abord comprendre les principes de la norme ISO 27001 afin de pouvoir mettre en place un SMSI.

– Identifier ensuite le rôle du SMSI et le périmètre qu’il couvre dans l’entreprise.

– Il faut aussi analyser les risques, identifier les menaces et vulnérabilités, les évaluer et définir des mesures pour les corriger.

– Il faut ensuite mettre en place les mesures de sécurité telles qu’elles sont indiquées dans le document officiel de la norme (qui sont au nombre de 93), bien qu’il n’est pas obligatoire de toutes les appliquer (mais il faut alors justifier le choix de ne pas appliquer celles qui ne sont pas appliquées).

– Il faut ensuite créer la documentation du SMSI pour récapituler la politique de sécurité, faire un registre des risques, mettre en place un PCA (plan de continuité d’activité) des procédures de gestion des incidents et des plans de formation et de sensibilisation, et faire une liste des contrôles appliqués.

– Réaliser ensuite un audit interne pour évaluer la conformité de la norme et détecter et corriger les non-conformités.

– Il faut ensuite choisir un organisme de certification accrédité (comme par exemple l’AFNOR) qui mènera alors un audit qui se déroulera en deux phases : une phase documentaire où on va évaluer de manière méthodique et systématique l’ensemble des documents internes pour vérifier l’efficacité des processus documentaires mis en place. La deuxième phase est sur le site et consiste à vérifier de manière concrète sur le terrain que le SMSI fonctionne réellement comme décrit dans la documentation.

Si vous avez complété toutes les étapes et qu’il n’y a pas de non-conformité majeure, votre entreprise obtient la certification ISO 27001 qui sera alors valable pendant 3 ans avec chaque année un audit de surveillance. Il faut toujours penser à améliorer de manière continue et constante sa documentation, en effectuant des actions correctives ou en formant de manière continue son personnel.

Pour conclure, vous avez ici tout ce que vous avez à savoir sur la norme ISO 27001, son fonctionnement, et comment obtenir la certification. Il existe un très grand nombre de normes ISO (22 467 sont actives). On a préféré couvrir ici la plus connue d’entre elles (et qui est appliquée chez Kalanda.net), afin que vous compreniez la signification de cette norme quand vous la voyez affichée sur le site internet d’une entreprise.