Quand les géants de la tech misent sur la cyber-résilience

La défiance nous incite à nous imposer certaines limites. Or, les Normes internationales peuvent nous aider à ne pas craindre nos vulnérabilités et à faire preuve de résilience en toute confiance.

Lu en quelques minutes
Mots clés : Informatique
Publié le
Partager sur , ,

Selon vous, qu’ont en commun Microsoft, Apple, Google, Intel et IBM ? Outre le fait que ces géants de la tech font partie du classement des 500 plus grandes firmes du monde publié par le magazine Fortune, ils s’appuient tous sur ISO/IEC 27001. Cette norme, mise en avant sur des milliers de sites, partout dans le monde, et bénéficiant d’un taux d’adoption global toujours plus important, s’est imposée comme la norme de facto pour les systèmes de management de la sécurité de l’information. 

Pour protéger leurs actifs de données sensibles face aux menaces et vulnérabilités numériques, les organisations doivent miser sur la cyber-résilience. Celle-ci est un élément indispensable des systèmes technologiques, mais aussi pour les équipes, la culture organisationnelle et les opérations courantes. En effet, les chefs d’entreprise sont aujourd’hui bien plus conscients du risque lié aux cyber-menaces qu’il y un an. Selon le Global Security Outlook 2023 du Forum économique mondial (WEF), 91 % des personnes interrogées estiment qu’un cyber-événement majeur et lourd de conséquences est « pour le moins probable dans les deux années à venir ». 

Face à ces menaces, partout dans le monde, les entreprises s’appuient sur ISO/IEC 27001[1], la normes pour les systèmes de management de la sécurité de l’information (SMSI) la plus connue au monde. Cet ensemble documenté de politiques, procédures, processus et systèmes permet de gérer les risques de perte de données résultant d’une cyberattaque, d’un piratage, d’un vol ou d’une fuite de données. 

Les organisations doivent miser sur la cyber-résilience.

Qu’est-ce que la cyber-résilience ? 

La cyber-résilience repose sur la capacité d’une organisation à agir face à une cyberattaque ou tout autre incident informatique. Elle exige la mise en place de mesures techniques et organisationnelles essentielles pour détecter ces incidents, répondre et remédier à ces derniers, mais aussi être en mesure de s’adapter et de tirer des leçons de ce type d’incidents pour renforcer sa résilience future. 

Selon Andreas Wolf, Président du groupe d’experts responsable des normes ISO/IEC pour la sécurité de l’information, « en matière de sécurité, la cyber-résilience doit primer lorsque les mesures préventives ne suffisent plus. Dans une économie numérique, la capacité à transcender la cyber-réputation permet aux champions du marché de se démarquer. Les organisations qui font de la vulnérabilité un atout seront en bonne position pour prendre des risques raisonnables. » 

M. Wolf est particulièrement bien placé pour parler de sécurité. En effet, c’est à l’équipe qu’il dirige que l’on doit la nouvelle édition enrichie d’ISO/IEC 27001, publiée en octobre 2022 pour relever les défis mondiaux en matière de sécurité de l’information et renforcer la confiance dans la sphère numérique. Cette norme permet ainsi aux organisations de sécuriser les informations sous toutes leurs formes, d’établir un cadre géré de manière centralisée, de réduire les dépenses consacrées à des technologies de défense inefficaces, et d’assurer l’intégrité, la confidentialité et la disponibilité de leurs données.  

Les normes ISO et la cybersécurité

La résilience ne concerne toutefois pas uniquement le fonctionnement interne d’une organisation. Elle doit en effet être appliquée à tout partenariat avec un tiers ainsi qu’à l’ensemble de la chaîne d’approvisionnement. Fort heureusement, un livre blanc intitulé The Cyber Resilience Index (CRI): Advancing Organizational Cyber Resilience, également publié par le WEF, propose un cadre de référence pour accroître la visibilité et la transparence des pratiques en matière de cyber-résilience, quel que soit le secteur, entre pairs comme au niveau de la chaîne d’approvisionnement.  

Le CRI, ou indice de cyber-résilience, fournit aux cyberdirigeants du secteur privé et du secteur public un cadre commun de bonnes pratiques pour une cyber-résilience effective, ainsi qu’un mécanisme de mesure des performances organisationnelles et un langage clair permettant de faire valoir ses avantages. Selon les principes du CRI, le recours à des normes sectorielles et des cadres reconnus en matière de sécurité, comme ISO/IEC 27001, fait partie intégrante des pratiques et sous-pratiques ultérieures pour une solide cyber-résilience organisationnelle.  

À l’ère numérique, on ne saurait se permettre de faire des compromis en matière de cyber-résilience. 

La vulnérabilité : un élément de base de la résilience 

En faisant le choix de la transparence s’agissant des pratiques internes et du partage d’informations avec la concurrence et les décideurs politiques, les organisations peuvent avoir le sentiment d’être vulnérables. Or, cette vulnérabilité ouvre la voie à une collaboration et des avancées réelles.  

À l’ère numérique, on ne saurait se permettre de faire des compromis en matière de cyber-résilience. Celle-ci présente en outre un intérêt commercial, car les organisations qui embrassent la cyber-résilience en se montrant confiantes vis-à-vis de leur vulnérabilité s’imposent rapidement en tant que leaders de leur secteur et montrent l’exemple à suivre au sein de leur écosystème. L’approche holistique d’ISO/IEC 27001 implique que l’organisation dans son ensemble est couverte, et pas uniquement ses systèmes informatiques. Les individus, les technologies comme les processus en tirent parti. 

 

  1. ISO/IEC 27001 est publiée conjointement par l’ISO et la Commission électrotechnique internationale (IEC).

¿Hablas español?

Este artículo se puede descargar en versión PDF.

Descargar

会说中文吗

本文已由我们的中国成员翻译,可下载中文PDF版本。

下载中心
contact pour la presse

press@iso.org

Journaliste, blogueur ou rédacteur ?

Vous souhaitez obtenir des informations exclusives sur les normes, ou simplement en savoir plus sur ce que nous faisons ? Contactez notre équipe ou consultez notre dossier médias.