La gestion des risques informatiques prend de plus en plus de place dans le quotidien des entreprises. Les normes de cybersécurité aident justement à mieux gérer ces risques grâce à des référentiels à suivre et des bonnes pratiques à implémenter. Obligatoires dans certains secteurs d’activités amenés à traiter des données sensibles, le respect des normes de cybersécurité est fortement conseillé aux entreprises de toutes tailles qui souhaitent se protéger des cyberattaques.

Vous vous demandez quelles sont les normes de cybersécurité les plus pertinentes pour vous ? Que vous soyez un grand groupe, une PME ou une startup, les normes de cybersécurité (ISO 27001, SOC 2 pour n’en citer que deux) vous aident à mieux vous protéger.

Faisons le tri et passons en revue deux normes de cybersécurité internationalement connues : la norme ISO 27001 et la conformité SOC 2. Quel est le contenu de ces deux normes ? Quelles sont les différences entre ISO 27001 et SOC 2 ?

Qu’est-ce que la norme ISO 27001 ?

Norme ISO 27001 : définition

*L’ISO 27001 * est une norme internationale portant sur la sécurité des systèmes d’information (SI). La certification ISO 27001 relève d’une démarche volontaire, mais elle est de plus en plus souvent exigée. L’essor des cybermenaces et les exigences réglementaires de plus en plus grandes en matière de cybersécurité en font une norme incontournable.

La norme ISO 27001 (actualisée en 2022) porte sur la mise en place d’un Système de Management de la Sécurité de l’Information (SMSI). L’obtention de la certification ISO 27001 reconnaît la capacité d’une entité à :

• Mettre en place un SMSI efficace et construit sur le référentiel de la norme ISO 27001.
• Bien gérer les données qu’elle est amenée à traiter (en garantir la confidentialité, l’intégrité et la disponibilité).

Quelles sont les exigences de la norme ISO 27001 ?

La norme ISO 27001 porte sur l’organisation à mettre en place pour assurer la sécurité de l’information. Ses exigences concernent les infrastructures IT, l’organisation, ses équipes, les mesures de sécurité, les logiciels utilisés, etc.

La certification ISO vise à s’assurer que l’organisation maîtrise les différents aspects relatifs à la sécurité de l’information :

• Gouvernance et stratégie,
• Processus nécessaires pour maîtriser la sécurité informatique,
• Méthodes permettant d’analyser les risques et d’en rendre compte,
• Processus relatifs à la mesure, au suivi et à l’amélioration de la sécurité,
• Responsabilités inhérentes à la sécurité informatique.

À qui s’adresse la certification ISO 27001 ?

Toute organisation soucieuse de la sécurité de son système d’information (comment ne pas l’être ?) peut s’engager dans un processus de certification ISO 27001, quels que soient sa taille et son secteur d’activité. La certification est également pertinente pour les entités qui collectent et/ou traitent des données sensibles et/ou personnelles et souhaitant faire reconnaître la qualité de leurs mesures en matière de sécurité informatique.

L’obtention de la certification ISO 27001 est une démarche volontaire et conseillée pour de nombreuses entités, mais elle est en revanche obligatoire dans certains secteurs. C’est notamment le cas pour les entreprises (PME et startups incluses) des secteurs de la finance (fintechs), de la santé et de la cybersécurité. Les évolutions réglementaires actuelles ne font d’ailleurs que renforcer les obligations des entreprises en matière de sécurité. C’est par exemple le cas du règlement DORA (Digital Operational Resilience Act), qui obligera à partir de janvier 2025 les acteurs financiers européens à prendre des mesures pour améliorer leur gestion des risques numériques.

Comment obtenir la certification ISO 27001 ?

La démarche de certification ISO 27001 est scindée en plusieurs grandes étapes. Chacune de ces étapes comprend un ensemble d’actions à réaliser pour mettre en place un système de management de la sécurité de l’information répondant aux différents critères de la norme.

1. Planifier le projet de développement d’un système de management de la sécurité de l’information (SMSI)

• Analyser le contexte afin de définir les besoins de sécurité de l’organisation.
• Constituer une équipe chargée du projet d’implémentation du SMSI, demander l’appui d’un expert en cybersécurité.
• Définir le périmètre d’application du système de management de la sécurité de l’information et les objectifs de sécurité du projet.
• Élaborer un plan d’action.

2. Élaborer et mettre en œuvre les contrôles exigés dans le cadre de la certification ISO 27001

• Définir les thématiques devant être couvertes par la Politique de Sécurité du Système d’Information (PSSI), à partir du plan d’action.
• À ce stade, le système de management de la sécurité de l’information doit faire l’objet d’une déclaration d’adaptabilité (déclaration obligatoire dans le cadre de la certification). Cette déclaration consigne les mesures de sécurité existantes, celles à mettre en œuvre, la justification du choix des contrôles de sécurité et un aperçu de leur mise en œuvre.

3. Évaluer le système de management de sécurité de l’information

• Définir des indicateurs de performance (KPI) destinés à piloter le SMSI à court, moyen et long terme et à évaluer ses performances opérationnelles.
• Réaliser un audit interne afin de s’assurer que le système de management de la sécurité de l’information réponde bien aux objectifs définis lors de l’étape de planification.
• Mettre en place des révisions internes si nécessaire.

4. Mettre en œuvre les correctifs et s’engager dans un processus d’amélioration continue

• L’entreprise fait appel à un organisme de certification indépendant afin de faire réaliser un audit externe (également appelé « audit initial »), à l’issue duquel l’entreprise obtiendra ou non la certification.
• La certification ISO 27001 est valable 3 ans maximum.
• Des audits sont réalisés chaque année afin de s’assurer que l’entreprise s’attache à mettre en conformité les éléments qui ne l’étaient pas lors des audits précédents.

À l’issue des 3 ans, un audit de renouvellement peut être lancé afin d’évaluer l’amélioration du système de management de la sécurité de l’information à partir des points soulevés lors des précédents audits.

Qu’est-ce que la conformité SOC 2 ?

SOC 2 : définition

L’acronyme « SOC 2 » signifie « Systems and Organizations Controls 2 ». SOC 2 correspond à une liste de critères ou contrôles de sécurité de l’information auxquels une organisation peut choisir librement de se conformer. Cette liste a été établie par l’American Institute of Certified Public Accountants (AICPA).

SOC 2 n’est pas une certification mais un rapport d’évaluation (ou rapport d’audit) établi par un cabinet (auditeur). L’objectif de l’audit est d’évaluer les contrôles de sécurité déployés par une entreprise pour protéger efficacement les données de ses clients. Il existe différents types de certifications SOC et de rapports SOC, SOC 2 type 2 étant le plus recherché et portant sur une période d’au moins 6 mois.

Qui est concerné par la conformité SOC 2 ?

La conformité SOC 2 n’est pas une obligation, mais certaines entreprises (et leur direction des systèmes d’information) l’exigent de leurs fournisseurs potentiels. Il s’agit plutôt d’une question de confiance. Le rapport d’audit SOC 2 indique que des contrôles de sécurité ont été mis en place et qu’ils s’avèrent efficaces.

Pour une entreprise, la mise en conformité SOC 2 atteste d’une bonne gestion des données clients qui lui sont confiées. Elle est donc particulièrement importante pour les entreprises fournissant des services d’hébergement cloud ou des solutions en mode SaaS et qui traitent/hébergent des données sensibles confiées par leurs clients.

Quelles sont les exigences de conformité SOC 2 ?

La structure SOC 2 s’appuie sur 5 principes essentiels (critères de services de confiance) en matière de gestion des données.

• Sécurité : protection des systèmes et des données contre les accès non autorisés.
• Disponibilité des systèmes et des données garantissant un fonctionnement normal.
• Intégrité du traitement.
• Confidentialité des données avec accès à un nombre limité de personnes
• préalablement autorisées.
• Protection de la vie privée : la manière dont les données sont traitées est conforme au respect de la vie privée et aux critères définis dans le cadre de SOC 2.

Seul le principe « Sécurité » doit obligatoirement être étudié dans le cadre d’un audit SOC 2. Les entreprises peuvent ensuite librement ajouter ou non d’autres critères.

Comment se mettre en conformité SOC 2 ?

Le processus de conformité SOC 2 est une démarche volontaire qui se découpe généralement en* 3 grandes étapes.*

1. Rédaction des politiques et des procédures relatives à la sécurité de l’information par l’équipe chargée de la conformité, analyse des écarts.
2. Élaboration d’un plan de mise en œuvre des critères/contrôles afin de combler les lacunes identifiées.
3. Examen par un cabinet d’audit indépendant des contrôles et des processus de stockage, de manipulation et de transmission sécurisée des données. Les audits SOC 2 sont obligatoirement réalisés par des auditeurs ou cabinets d’audit indépendants, accrédités par l’AICPA. Le rapport d’audit SOC 2 est un compte-rendu des contrôles de sécurité.

Quelles sont les différences entre les normes ISO 27001 et SOC 2 ?

ISO 27001 et SOC 2 sont des normes comportant un grand nombre de contrôles de sécurité communs, mais elles présentent tout de même des différences.

Résumé des principales différences entre ISO 27001 et SOC 2

L’implémentation de ces normes de cybersécurité est une démarche exigeante. En s’y conformant, les normes ISO 27001 ou SOC 2, renforcent le niveau de sécurité de l’entreprise tout en développant un avantage concurrentiel certain.

Mais concrètement comment s’y conformer ? Dans cet article nous vous livrons des bonnes pratiques et des outils simples à mettre en place en un clic. *Le Mobile Device Management * est justement l’un de ces outils, permettant d’implémenter les mesures de sécurité les plus essentielles, de manière simple et centralisée.

Découvrez en quoi le MDM est un atout dans le cadre de votre certification ISO 27001 et la mise en place de la norme SOC 2.