Dans un monde où les exigences en matière de conformité se multiplient et où les brèches informatiques et les cyberattaques font partie du quotidien, les clients, les partenaires commerciaux et les fournisseurs se préoccupent grandement de la sécurité de l’information.
Les entreprises doivent mettre en place des programmes de cybersécurité robustes qui protègent bien leurs données. En vous conformant à la norme ISO 27001, vous renforcez et maintenez la confiance que vous accordent vos parties prenantes, demeurez au fait des exigences changeantes, limitez les coûts liés aux brèches et évitez les amendes.
Cet article présente certains des principaux avantages de satisfaire à cette norme et les facteurs commerciaux qui favorisent son adoption, son incidence générale et les modifications qui y ont été apportées et qui doivent être respectées d’ici 2025.
Aperçu de la norme ISO/CEI 27001
Cette norme internationale de sécurité de l’information fournit une base de référence minimale pour les contrôles de la sécurité de l’information nécessaires à l’élaboration, au maintien et à l’amélioration continue des systèmes d’une entreprise. Elle comprend des politiques, des procédures et d’autres contrôles portant sur les gens, les processus et les technologies.
Lorsque les pratiques d’une entreprise sont conformes à cette norme, ses clients ont l’assurance que ses mesures de protection des renseignements personnels et de sécurité respectent les normes internationales et les pratiques exemplaires du secteur.
Voici certains avantages de son adoption :
Facteurs commerciaux et industriels favorisant l’adoption de la norme ISO 27001
Au cours des dernières années, de plus en plus d’entreprises ont décidé d’adopter la norme ISO 27001, cette tendance coïncidant avec une série de brèches informatiques et de cyberattaques très médiatisées. Plusieurs facteurs expliquent l’importance et l’intérêt grandissants de cette norme au sein des entreprises. En voici quelques-uns :
Les clients et les partenaires commerciaux tiennent de plus en plus compte de la sécurité de l’information lorsqu’ils établissent des relations stratégiques. L’adoption de cette norme témoigne de l’engagement d’une entreprise à l’égard de la sécurité des données et permet d’instaurer un lien de confiance avec les parties prenantes.
La conformité à cette norme peut donner aux entreprises un avantage concurrentiel, en particulier dans le cas de celles qui exercent des activités dans des secteurs où la sécurité de l’information est cruciale. Elle atteste leur volonté à mettre en œuvre des pratiques de sécurité robustes, leur permet d’étayer leurs arguments de vente et améliore leur réputation sur le marché.
La hausse du nombre de violations de données et de cybermenaces a poussé les entreprises à privilégier davantage la sécurité des données. Cette norme offre une approche systématique pour détecter, gérer et atténuer les risques liés à la sécurité de l’information, ce qui en fait un outil précieux pour les entreprises qui cherchent à améliorer leur situation en matière de sécurité.
La norme est harmonisée avec plusieurs lois et règlements régissant la protection des données et des renseignements personnels, comme la Loi sur la protection des renseignements personnels et les documents électroniques du Canada et le Règlement général sur la protection des données. En s’y conformant, les entreprises démontrent leur engagement à l’égard de ces lois et règlements.
Cette norme internationale fournit une terminologie et un cadre communs en matière de gestion de la sécurité de l’information. Elle favorise l’adoption par les entreprises souhaitant étendre leurs activités à l’étranger ou collaborer avec des clients et des investisseurs stratégiques d’une approche uniforme et facilite leurs échanges transfrontaliers.
Cette norme souligne l’importance d’un système de gestion des risques qui permet de respecter les exigences et la tolérance aux risques d’une entreprise. Pour conserver leur certification, les entreprises doivent régulièrement évaluer leurs risques et mettre en place des contrôles appropriés pour les réduire de même que détecter les vulnérabilités.
Comme de plus en plus d’entreprises retiennent les services de fournisseurs tiers pour les soutenir dans leurs activités, le nombre de risques liés à la sécurité peut aussi augmenter. Cette norme rappelle l’importance d’avoir recours à des fournisseurs tiers dont les pratiques en matière de risques sont robustes et permet aux entreprises de procéder à un contrôle diligent approfondi.
L’adoption de la norme ISO 27001 offre une approche globale
Comparativement aux autres normes ou cadres, qui mettent souvent l’accent sur des contrôles techniques ou des mesures de sécurité isolées, la norme ISO 27001 encourage les entreprises à adopter une approche globale et à élargir leur vision de leurs opérations.
Cette approche est fondée sur les risques. En fait, les entreprises doivent réaliser une évaluation rigoureuse de leurs risques, repérer les menaces et les vulnérabilités potentielles et mesurer les répercussions des incidents de sécurité. En adoptant une vue d’ensemble des risques, elles peuvent corriger en amont les vulnérabilités à l’échelle de leur écosystème, de l’infrastructure technologique aux ressources humaines, afin de protéger toutes les zones essentielles.
Dans le cadre d’une telle approche, la participation de tous les employés à tous les échelons, des membres de la haute direction au personnel de première ligne, est requise pour protéger les renseignements confidentiels.
Cette norme ne doit pas être appliquée de façon distincte. Elle doit plutôt être intégrée aux objectifs et aux stratégies de l’entreprise. Les entreprises qui harmonisent leurs efforts de conformité avec leurs objectifs organisationnels peuvent améliorer l’efficacité de leur stratégie en matière d’information.
Incidence des modifications apportées à la norme ISO 27001 en 2022
Le 25 octobre 2022, la norme ISO 27001 a été mise à jour dans le but de la rationaliser et de la rendre plus concise. Les modifications les plus importantes ont été apportées à l’annexe A, qui a été entièrement révisée. Par conséquent, le nombre de contrôles est passé de 114 à 93. De plus, les mesures de sécurité sont maintenant réparties dans 4 domaines (personnel, organisationnel, technologique et physique), comparativement aux 14 précédents.
Les entreprises doivent se conformer à la nouvelle version d’ici le 31 octobre 2025. Pour ce faire, elles devront élaborer une planification méticuleuse, suivre des formations exhaustives, allouer des ressources et prévoir un budget.
BDO est là pour vous
Se conformer à cette norme peut s’avérer une aventure éprouvante pour de nombreuses entreprises. Que vous déteniez déjà la certification ISO 27001 ou que vous souhaitiez l’obtenir, l’équipe des Services de certification de tiers de BDO peut vous accompagner tout au long du processus de conformité.
Elle collaborera étroitement avec vous et vous offrira une vaste gamme de services se rapportant à cette norme, notamment les suivants:
- Évaluation préliminaire de l’état de préparation pour repérer les lacunes et définir votre niveau actuel de conformité réglementaire;
- Feuille de route de mise en œuvre pour combler ces lacunes et apporter les améliorations nécessaires;
- Soutien à la préparation en vue de l’audit préalable à la certification;
- Soutien à la migration permettant de satisfaire aux exigences de 2022 de la norme ISO 27001 mise à jour.
Communiquez avec nous pour en savoir plus.
Sam Khoury, CPA, CRISC, CITP
Responsable principal de la mise en œuvre de la norme ISO 27001
Associé, Services de certification de tiers
416 369-6030
Dishank Rustogi
Directeur principal, Services-conseils en cybersécurité, Gestion et transformation des cyberrisques
416 369-3109
Winnie Phung, CPA, CMA
Directrice principale, Services de certification de tiers
403-956-0115