Experts-Comptables

Cybersécurité : experts-comptables, devez-vous passer à la norme ISO 27001 ?

17 Déc 2019

L’ISO 27001 est une norme internationale relative aux systèmes de gestion de la sécurité de l’information. En clair, sa certification démontre qu’un ensemble de moyens techniques et organisationnels protège vos données du vol, de la perte, et de toute altération. Plutôt rassurant pour les clients donc. Mais est-il vraiment utile d’investir dans ce coûteux label pour un cabinet d’expertise comptable ? Éléments de réponse.

L’amélioration continue appliquée aux systèmes d’information

L’objectif de la norme ISO 27001 est de mettre en place des politiques (grands principes, juridiques), des procédures (organisation, process, contrats), et des outils informatiques (matériels et logiciels) permettant de sécuriser les systèmes d’information et donc les données qu’ils renferment.

Elle repose donc à la fois sur la technologie et les collaborateurs. Et c’est bien sûr la dimension humaine la plus complexe à gérer et à faire évoluer.

explique Sylvain Fourey

Responsable de la Sécurité des Systèmes d’Information de Cegid

Ajoutons que la norme ISO 27001 n’est pas le fruit d’une démarche ponctuelle et applique le principe de l’amélioration continue PDCA (Plan-Do-Check-Act), en français : établir, implémenter, maintenir, améliorer (voir notre encadré). Au-delà de l’audit initial, viennent donc des vérifications annuelles : la démarche est ainsi clairement chronophage et coûteuse…

Une norme particulièrement utile aux fournisseurs de services cloud !

Les fournisseurs de « cloud services » doivent néanmoins rassurer leur client, et leur assurer un  certain niveau de confiance numérique, que la certification ISO 27001 peut tout à fait apporter. « Soyons précis, réclame Sylvain Fourey. S’il me semble impératif de certifier les services cloud, autrement dit les infrastructures qui contiennent les données des clients, et les équipes qui opèrent les services cloud, il est en revanche difficile à un fournisseur de certifier l’usage des applications dont la sécurité dépend par essence des pratiques mises en œuvre par les clients. » C’est ainsi que, depuis 2017, Cegid certifie son infrastructure et ses équipes cloud, et donc la sécurité et la pérennité des données qu’elle héberge pour ses clients.

S’inspirer de la norme pour se protéger

Reste donc aux experts-comptables à s’organiser pour sécuriser ces données sur leur périmètre d’action. Les principaux risques à couvrir sont en effet essentiellement internes : attaque involontaire via un périphérique contaminé comme une clé USB, ou par un site web infecté ; vol ou modification de données par un collaborateur indélicat ; perte (ou diffusion !) accidentelle de données par erreur et/ou incompétence informatique…

Inutile de se lancer dans une certification pour ces risques relativement classiques. On peut en revanche s’inspirer de la norme pour mettre en place une démarche collaborative avec ses équipes.

assure Sylvain Fourey.

Commencez par exemple par évaluer vos risques, en gardant en tête que le maillon faible de la chaîne de la sécurité est toujours l’humain. Puis piochez par exemple les solutions adéquates dans l’excellent guide de l’ANSI « Guide d’hygiène informatique – Renforcer la sécurité de son système d’information en 42 mesures ». En quelques semaines et quelques ateliers, vous devriez juguler la majorité des risques identifiés. « Attention. Le choix des solutions doit prendre en compte l’ergonomie et le confort de travail au quotidien, rappelle Sylvain Fourey. La sécurité informatique n’est pas une fin en soi, et n’a pas toujours de retour sur investissement. Il faut plutôt la considérer comme une assurance, en arbitrant entre les risques et les coûts (financiers et humains) liés à leur traitement. » Enfin, n’oubliez pas de sensibiliser, d’informer, et de former vos collaborateurs. L’humain, toujours l’humain.

Les 5 étapes de la certification ISO 27001

    1. Définir le périmètre d’action
    2. Identifier et évaluer les risques liés à la sécurité
      • Identifier les actifs
      • Identifier les personnes responsables
      • Identifier les vulnérabilités
      • Identifier les menaces
      • Identifier leurs impacts sur les actifs à défendre
      • Évaluer la vraisemblance ou potentialité du risque
      • Estimer les niveaux de risque, fonction de leur potentialité et de leur impact

          1. Élaborer la politique de sécurité et les procédures pour traiter le risque
          2. Identifier les risques résiduels et leur traitement :
            • L’évitement
            • La réduction
            • Le transfert ou le partage
            • L’acceptation
          3. Choisir les mesures de sécurité à mettre en place

  1. Mise en place technique et organisationnelle des choix
  2. Formation

  1. Suivi des incidents
  2. Corrections immédiates

  1. Analyse des problèmes rencontrés
  2. Itération d’un nouveau cycle (retour en 1/)

Télécharger notre mémo des technos