La norme ISO 27001 des portails pour conseil d’administration est-elle suffisante ?

Référence internationale en matière de sécurité des données, la norme ISO 27001 requiert une mise en conformité tant physique, technique que juridique des dispositifs et processus. Elle va aider l’entreprise à adopter, mettre à jour et optimiser les meilleures pratiques de gestion de la sécurisation de l’information. Cette certification est appliquée dans de nombreux domaines, en particulier par les fournisseurs de portails digitaux pour conseil d’administration. Quels sont ses atouts et ses limites ? Comment l’organisme certifié ISO 27001 peut-il aller plus loin pour protéger les données ?

Quel intérêt à appliquer la norme ISO 27001 ?

Quelle que soit la structure qui la met en place, la certification ISO 27001 apporte son florilège d’avantages.

La protection des données des entreprises est devenue un enjeu si fondamental dans notre économie qu’un prestataire pouvant attester de garanties en la matière sera préféré. En effet, bénéficier de la norme ISO 27001 est une excellente façon de certifier disposer d’une sécurisation optimale. Facteur de confiance, elle représente un message fort et convaincant auprès de ses utilisateurs actuels et futurs.

Par ailleurs, avec les réglementations européennes, telles que le Règlement Général sur la Protection des Données (RGPD), les sociétés ont bien conscience de la nécessité de se conformer aux meilleurs standards de protection. Une violation, même mineure, peut coûter très cher à une entreprise.

De plus, faire appel à un prestataire certifié ISO 27001 permet de valoriser une entreprise qui a su s’inscrire dans un processus complexe pour obtenir le précieux sésame. Cette certification témoigne que la société dispose d’un système de gestion de la sécurité des informations (ISMS, Information Security Management System) qui suit un référentiel international. Ainsi, elle a pu démontrer de son expertise, de son sérieux et de sa rigueur auprès d’un organisme indépendant.

Enfin, l’obtention de la norme ISO 27001 nécessite de s’inscrire dans un processus de long terme d’amélioration continue. L’organisation certifiée doit maintenir à jour son dispositif de sécurisation, le faire progresser et l’optimiser en permanence. Elle doit également évaluer de façon régulière ses performances. Cela requiert un investissement pérenne de bon nombre de personnels concernés en interne ainsi qu’un engagement responsable de la direction. Aussi le fournisseur prouve qu’il est une entreprise solide et fiable.

Etre certifié ISO 27001 est-il suffisant ?

Malgré les nombreux avantages qu’elle offre, la norme ISO 27001 est sujette à diverses critiques qui tendent à démontrer ses limites.

Tout d’abord, pour disposer de la certification, les prestataires se sont investis dans la mise en place de dispositifs de contrôle qui ne sont pas tous rationalisés. Les motivations de ces organisations sont diverses. Certaines partent dans cette voie par simple conformisme ou parce qu’elles sont intéressées par un aspect spécifique. Aussi, l’engagement dans ce processus de normalisation n’est pas systématiquement total et global.

Par ailleurs, de nombreux observateurs de cette norme ISO 27001 mettent en avant sa complexité. Aussi, sa mise en œuvre dans une entreprise exige un travail particulièrement lourd, exigeant et chronophage pour les équipes.

De plus, il existe des solutions de contournement des normes. À partir du moment où une personne connaît les règles pour être certifié ISO 27001, elle peut facilement les contourner. De ce fait, la seule application de cette norme ne limite pas tous les risques de vols de données ou de piratage.

Enfin, pour être réellement opérante en matière de sécurisation des données, chaque étape des processus doit être certifiée. La seule normalisation de l’entreprise qui héberge les données ou de celle qui gère la relation client est insuffisante.

Comment garantir une sécurité à toute épreuve au-delà de la norme ISO 27001 ?

Comme nous venons de le voir, la certification ISO 27001 est certes indispensable à la sécurisation de l’information, mais ne représente pas la panacée universelle. Il convient d’aller plus loin pour assurer une sécurité robuste au système d’information.

En plus de la norme ISO 27001, Diligent vous propose des garanties additionnelles :

• Clés de chiffrement côté client pour vous permettre de garder un contrôle complet de vos données : Diligent s’assure que les données soient chiffrées lors du stockage, en cours de transfert et sur les appareils des utilisateurs à l’aide de clés stockées dans un module de sécurité matérielle inviolable certifié FIPS 140-2 L3. Vous conservez une partie des clés de chiffrement, pour un environnement inviolable.
• Des tests de pénétrations réguliers par des agences externes, nos clients et même nos prospects afin d’éprouver vous-même la robustesse de nos installations IT : Diligent réalise de nombreux audits annuels (SSAE 18 SOC 1 Type 2, SSAE 18 SOC 2 Type 2 et HIPAA/HI-TECH AT-101) ainsi que des tests de vulnérabilité des infrastructures et d’intrusion des applications et des réseaux réalisés par des sociétés de renom (plusieurs centaines par an !)
• Des installations d’hébergement des données offrant une protection maximale : Diligent dispose de ses propres centres d’hébergement hautement sécurisés, soigneusement implantés à travers le monde et bénéficiant d’une protection physique auditée annuellement.
• Des investissements inégalés dans les technologies de pointe : En tant que leader mondial et incontesté depuis de nombreuses années des solutions pour portail de conseil d’administration, Diligent investit continuellement et avec détermination pour perfectionner ses pratiques de sécurité un montant supérieur à la valeur du chiffre d’affaires de bien d’autres prestataires.
• Des options de personnalisation qui renforcent la sécurité des données : Diligent vous permet de mettre en place diverses mesures renforçant la sécurisation de l’information, telles que la complexification du mot de passe, l’intégration d’un filigrane, la protection des appareils des utilisateurs…
• Une certification TRUSTe Privacy Shield : Diligent est en conformité avec le Privacy Shield (ou bouclier de protection) défini entre l’Union européenne, la Suisse et les États-Unis.

Vecteur de confiance et d’exigence, la norme ISO 27001 est une bonne réponse aux enjeux de sécurisation des données. Néanmoins, elle ne se suffit pas à elle-même. Cette certification doit être complétée, comme le fait Diligent, par diverses mesures de protection, des solutions techniques, des audits et des tests pour être pleinement efficace.