Nous avons une grande nouvelle à vous annoncer : Spacewell Energy (Dexma) est désormais certifié ISO 27001. Cette accréditation reconnue dans le monde entier garantit un niveau élevé de sécurité de l’information au sein d’une entreprise.
Pour obtenir la certification ISO 27001, Spacewell Energy (Dexma) a réalisé plusieurs audits complets sur l’ensemble de l’entreprise et a validé toutes les étapes nécessaires pour obtenir la certification. L’accréditation ISO 27001 est l’assurance que nous avons créé un système fonctionnel, structuré, sécurisé et évolutif, avec au cœur de notre activité la qualité et la cohérence.
Dans un monde où la technologie est omniprésente, la sécurité des données personnelles est devenue une préoccupation grandissante, tant pour les individus que pour les entreprises.
Par conséquent, l’obtention de ce certificat permet à Spacewell Energy (Dexma) de fournir de solides garanties à ses clients et partenaires sur le fait que les données sont gérées selon les meilleures pratiques internationales et que l’entreprise respecte les exigences réglementaires telles que le Règlement Général sur la Protection des Données (RGPD). La décision de poursuivre cette accréditation démontre également une grande conscience concernant les risques, la prise en compte et la préservation des données.
Qu’est-ce que l’ISO 27001 ?
La norme ISO 27001 / IEC 27001:2013 est une certification internationale de premier plan qui concerne la gestion de la sécurité de l’information et qui régit la sécurité de l’information dans les organisations. Elle a été publiée pour la première fois en 2005 par l’Organisation internationale de normalisation, puis révisée en 2013. Cette norme fournit la trajectoire à suivre pour anticiper les problèmes potentiels et assurer la sécurité des données. Elle définit les exigences relatives à la mise en œuvre, l’exécution, la maintenance et l’optimisation d’un Système de Gestion de la Sécurité de l’Information (SGSI), aussi appelé Système de Management de la Sécurité de l’Information (SMSI).
Pour répondre aux grands principes de la sécurité de l’information, le SGSI s’articule autour de trois principaux axes :
- la confidentialité des données (seules les personnes autorisées peuvent accéder aux données)
- l‘intégrité des informations (garantir que les données restent exactes et cohérentes tout au long de leur durée de vie)
- la disponibilité des informations (les données et les systèmes doivent être accessibles aux personnes autorisées).
Par conséquent, l’objectif principal du SGSI est de réduire systématiquement les risques liés aux données et ce, dans l’ensemble de l’organisation.
Il est important de souligner que les contrôles ne doivent pas seulement être liés à l’informatique. En effet, ils doivent se faire sous diverses formes en combinant technologie, personnes et processus afin de fournir un niveau de sécurité acceptable.
Pour atténuer ces risques et renforcer la sécurité de l’information, il convient de mettre en place des mesures de protection telles que le cryptage des disques, des procédures, des déclarations légales et la formation des employés.
Les étapes d’une mise en place d’un SGSI sont les suivantes :
- Identifier les menaces qui pourraient mettre en danger la confidentialité, l’intégrité et la disponibilité des informations, par le biais d’une évaluation des risques. À titre d’exemple, la méthodologie MAGERIT, adaptée à Spacewell Energy (Dexma), a identifié 24 menaces potentielles réparties en deux catégories principales : « Erreurs et défaillances involontaires [E.xx] » et « Attaques délibérées [A.xx] ». Dans notre cas, les menaces de risque MAGERIT sélectionnées et auxquelles une analyse de risque a été appliquée sont « [E.1] Erreurs de l’utilisateur », « [E.2] Erreurs de l’administrateur » et « [E.3] Erreur de connexion ».
- Une fois les menaces identifiées, choisissez le contrôle approprié pour chaque risque que vous pouvez qualifier d’inacceptable. Ces contrôles peuvent être au niveau de la cryptographie, de la sécurité des communications, ou encore de la gestion des actifs. (Pour la liste complète, voir l’annexe A).
- Enfin, appliquez un facteur de réduction des risques (Risk Reduction Factor en anglais), également appelé facteur de maturité du contrôle. La valeur moyenne de tous les FRR individuels liés à une menace spécifique devient le FRR moyen pondéré qui est appliqué aux calculs du risque inhérent où la menace spécifique est impliquée. Grâce à la norme ISO 27001, ce processus peut être réalisé de manière méthodologique et systématique, de sorte qu’aucun élément ne soit négligé.
Pourquoi Implémenter l’ISO 27001 ?
Les avantages et améliorations qui découlent de la mise en place de la norme ISO 27001 sont nombreux, parmi lesquels nous pouvons citer :
- La protection des données critiques : avec un SMSI, vous réduisez le risque que les informations soient utilisées de manière inappropriée, ou encore qu’elles soient inexactes ou indisponibles.
- La conformité aux exigences légales : vous serez assuré d’être toujours à la pointe des réglementations toujours plus strictes, telles que le GDPR, le NIS (Network and Information Systems) ou d’autres législations sur la cybersécurité.
- L’augmentation de la confiance et de la fidélité : vos clients et partenaires seront rassurés de savoir leurs données en sécurité et gérées selon les meilleures pratiques internationales.
- L’avantage d’une réputation internationale : la norme de gestion ISO est reconnue dans le monde entier et renforce considérablement votre crédibilité au-delà des frontières nationales.
- Une certification sur mesure et adaptée à toute organisation : La norme ISO 27001 convient à tout type d’entreprise, quels que soit sa taille et son secteur. Elle peut être adaptée aux besoins spécifiques de votre organisation, ce qui permet de réduire les coûts puisque les outils et mesures inutiles seront éliminés.
Contexte et Portée du SMSI Spacewell Energy (Dexma)
Contexte Organisationnel
Identifier le contexte de votre entreprise est une exigence qui relève de la clause 4.1 de la norme ISO 27001. Mais pas seulement ! Afin d’avoir une compréhension claire des aspects liés à la Sécurité de l’Information (qu’ils soient positifs ou négatifs) et d’allouer les ressources là où les meilleurs résultats pouvaient être obtenus, il était essentiel que Spacewell Energy (Dexma) identifie son contexte organisationnel d’un point de vue interne et externe. Au niveau des facteurs internes (sous contrôle direct de Spacewell Energy (Dexma)) nous avons identifié :
- La structure organisationnelle pour aider à positionner le SMSI
Soit la gouvernance d’entreprise, la structure organisationnelle, les rôles, responsabilités et relations hiérarchiques. Mais aussi la forme et l’importance des relations contractuelles avec les autres secteurs de l’entreprise. - Les ressources disponibles pour guider le développement des solutions et compétences
Il s’agit de l’expertise et la formation en termes de ressources et de connaissances ; normes, lignes directrices et modèles de gestion suivis par Spacewell Energy (Dexma). - Les facteurs organisationnels afin de développer des supports pertinents
Il s’agit des politiques et des objectifs ainsi que des stratégies établies pour les atteindre et de la culture d’entreprise de Spacewell Energy (Dexma). - Les opérations organisationnelles dans le but de connaître la façon dont les processus sont exécutés
Cela inclut les systèmes d’information, les flux d’information et les interfaces.
Bien que les questions externes ne puissent être contrôlées, l’entreprise peut s’y adapter. Les aspects externes pouvant affecter les résultats du SGSI de Spacewell Energy (Dexma) incluaient :
- Les tendances du marché et des clients
Les tendances étant en constante évolution, elles peuvent avoir un impact sur les objectifs commerciaux de Spacewell Energy (Dexma). Ceci est donc un point sur lequel Spacewell Energy (Dexma) doit toujours être à l’affût. - Les relations externes
Il s’agit des relations avec les tiers, notamment les parties prenantes qui ont leurs propres valeurs, croyances et perceptions dont il faut tenir compte. - Divers facteurs
Environnement social, culturel, politique, légal, réglementaire, financier, technologique, économique, environnemental ainsi que du marché au niveau international, national et local.
Portée de la Certification
Le déploiement, les opérations techniques et la gestion informatique de l’environnement de production de programmes nouveaux et modifiés font partie du champ d’application du SGSI de Spacewell Energy (Dexma).
Pour résumer, sont inclus les processus suivants :
- Gestion de la sécurité de l’information (SEC001)
- Sécurité du périmètre (SEC002)
- Production informatique (SYS001)
- Déploiement informatique (SYS002).
Comment Obtenir votre Certification ISO 27001
Quelles sont les Étapes à Suivre pour Obtenir la Certification ISO 27001 ?
- Étape 1 : Audit Préliminaire
Les auditeurs effectuent une évaluation sur place pour déterminer la situation actuelle du site de l’entreprise. Il s’agit d’une étape facultative. Cet audit est réalisé pour comparer le niveau de sécurité du SMSI de votre entreprise avec les exigences de la norme ISO 27001. Ceci permettra de mettre les points d’attention et d’amélioration en évidence avant de passer à l’étape suivante.
- Étape 2 : Audit de Certification Niveau 1
Cette première étape d’audit a pour but de constater la mise en place des contrôles et procédures selon les exigences de la norme. Si des non-conformités sont constatées, elles devront être corrigées.
- Étape 3 : Audit de Certification Niveau 2
Si vous réussissez la première phase, l’évaluateur effectuera un audit plus approfondi (pouvant aller jusqu’à 18 mois). Ce deuxième audit évalue si les corrections demandées lors du niveau 1 ont bien été effectuées.
- Étape 4 : Certification
Une fois que votre entreprise a été auditée avec succès, elle peut recevoir la certification. Elle est valable 3 ans mais sous réserve de conditions. En effet, votre entreprise doit montrer des signes continus de progrès en matière de sécurité et doit également être à jour et conforme à la norme.
- Étape 5 : Audits de Contrôle
Au cours des deux premières années, des audits de contrôle doivent être réalisés dans un esprit de conformité et d’amélioration continue.
- Étape 6 : Renouvellement de la Certification
Avant la fin des 3 ans, la certification ISO 27001 doit être renouvelée si vous le souhaitez. Pour ce faire, les étapes détaillées ci-dessus devront être répétées.
Combien Coûte la Certification ISO 27001 ?
Il est assez difficile de définir un prix exact concernant la certification en elle-même car cela dépend de plusieurs facteurs : la complexité de votre SGSI, le nombre de sites, d’employés, de réseaux séparés, etc.
D’une manière générale, le coût est calculé lors de l’audit, en fonction des besoins technologiques et du temps qu’il sera nécessaire d’allouer tout au long de la procédure. Bien qu’il soit important de garder à l’esprit que chaque cas est différent et que le prix peut varier, ce tableau peut vous donner une idée du prix en fonction de la taille de votre entreprise.
Combien de Temps dure le Processus d’Évaluation ?
La durée du processus de mise en œuvre est variable car elle dépend de la taille, de la maturité de votre entreprise, de la complexité de votre SMSI, et du nombre d’exigences auxquelles vous répondez déjà. Par conséquent, cela peut prendre 3 mois pour les petites entreprises ou bien au moins un an pour les grandes organisations.
Quelle est la Validité de la Certification ISO 27001 ?
Comme nous l’avons mentionné précédemment, une fois que votre entreprise obtient sa certification ISO, celle-ci reste valable pendant 3 ans, à condition d’effectuer une révision annuelle !
Vous l’avez compris, se lancer dans le processus de certification ISO 27001 n’est pas une tâche facile. Cela peut être assez accablant car c’est un processus qui nécessite du temps, de l’argent et aussi l’engagement de vos équipes.
Toutes les organisations ne décident pas toutes de franchir le pas, mais si vous le faites, vous bénéficierez des nombreux avantages qu’apporte cette certification. Si vous souhaitez plus de détails et informations, vous pouvez accéder au certificat ISO 27001 de Spacewell Energy (Dexma) ici.
Politique de sécurité de l’information : Le fondement de la protection à l’ère numérique
Une politique de sécurité de l’information est un ensemble de lignes directrices, de règles et de procédures destinées à protéger les informations sensibles d’une organisation, en garantissant leur disponibilité, leur confidentialité, leur intégrité et leur authenticité.
La politique de sécurité de l’information est un élément fondamental de la gestion de la sécurité de l’entreprise et doit être diffusée et acceptée par tous les membres de l’organisation. En mettant en œuvre cette politique, l’entreprise peut améliorer sa posture de sécurité et protéger les informations sensibles.
Spacewell Energy (Dexma) a mis en place une politique de sécurité qui reflète son engagement à protéger les données de ses clients ainsi que ses propres actifs et processus internes. La politique de sécurité peut être consultée sur le lien suivant.
N’hésitez pas à nous contacter si vous avez besoin de plus d’informations.