La cybercriminalité offre d’alléchantes opportunités aux personnes mal intentionnées : enchevêtrement des réseaux, peines relativement légères, manque de cohérence dans la lutte contre le blanchiment d’argent, gains potentiels énormes… Pour se prémunir des attaques informatiques, les mots d’ordre sont préparation, détection des vulnérabilités et résilience au sein des systèmes globaux de management. C’est à ce niveau qu’intervient la norme ISO/IEC 27001 sur les systèmes de management de la sécurité de l’information (SMSI).
Fleuron de la famille ISO/IEC 27000, cette norme est le fruit du travail de l’ISO/IEC JTC 1, le comité technique mixte de l’ISO et de la Commission électrotechnique internationale (IEC) créé pour constituer un pôle de normalisation officielle des technologies de l’information. Depuis sa première version publiée il y a plus de 20 ans, elle a été constamment tenue à jour et élargie au point d’englober plus de 40 Normes internationales couvrant des aspects divers et variés, comme la création d’un vocabulaire commun (ISO/IEC 27000), la gestion des risques (ISO/IEC 27005), la sécurité dans l’informatique en nuage (ISO/IE 27017 et ISO/IEC 27018) ou encore les techniques de criminalistique servant à l’analyse des preuves numériques et aux investigations sur incident (ISO/IEC 27042 et ISO/IEC 27043, respectivement).
En plus de faciliter la gestion de la sécurité de l’information, ces normes contribueront à l’identification des pirates informatiques, qui pourront alors être traduits en justice. Par exemple, ISO/IEC 27043 fournit des lignes directrices qui décrivent les processus et principes applicables à divers types d’investigations, y compris l’accès non autorisé, la corruption des données, les défaillances du système ou les violations de sécurité des informations d’entreprise, ainsi que toute autre investigation numérique.
Garder une longueur d’avance
Le sous-comité SC 27 de l’ISO/IEC JTC 1, chargé des techniques de sécurité des technologies de l’information, a une responsabilité de taille : s’assurer que cette famille de normes continue de satisfaire les besoins en constante évolution des petites et grandes entreprises. C’est en grande partie grâce à la contribution de personnes comme le Professeur Edward Humphreys, qui préside le groupe de travail en charge de l’élaboration des SMSI, que celle-ci demeure l’un des outils de gestion des risques les plus efficaces face aux milliards d’attaques perpétrées chaque année2) contre des cibles inédites et selon des méthodes toujours plus sophistiquées.
J’ai eu l’occasion de m’entretenir avec M. Humphreys, un spécialiste de la sécurité de l’information et de la gestion des risques fort de plus de 37 ans d’expérience dans les domaines du conseil et de l’enseignement supérieur, qui a d’abord répondu à la question fondamentale que tout le monde se pose sur les SMSI : comment ces systèmes peuvent-ils conserver une longueur d’avance sur les délinquants de façon à protéger les entreprises et les consommateurs ? « S’il est vrai que les risques qui pèsent sur l’information, les processus organisationnels, les applications et les services évoluent en permanence, ISO/IEC 27001 fait également l’objet d’une amélioration continue. Résultat : le processus intégré de gestion des risques permet aux entreprises de se tenir à jour dans leur lutte contre la cybercriminalité. »
Selon M. Humphreys, un organisme ainsi armé est en mesure d’évaluer les risques auxquels il est exposé, de mettre en place des mesures d’atténuation, puis d’assurer un processus de suivi et d’évaluation, et d’améliorer ainsi sa protection selon les besoins. De cette manière, il est toujours sur le qui-vive et préparé en cas d’attaque : « Utilisés correctement, les SMSI permettent de s’adapter au paysage changeant des cybermenaces. »
Derrière les menaces, des opportunités
À l’échelle d’une entreprise, la modélisation et l’atténuation des menaces sous toutes leurs formes représentent toujours une tâche colossale, qui impose d’utiliser un système de sécurité unifié et intégré. Or, compte tenu de la complexité des relations d’interdépendance, la question suivante se pose : les SMSI sont-ils une solution envisageable pour les petites et moyennes entreprises (PME) ? De l’avis de M. Humphreys, « les SMSI peuvent s’appliquer à tous les types d’organisation et à tous les modes de fonctionnement, y compris dans les PME. En tant que maillon des chaînes d’approvisionnement, elles doivent avoir la maîtrise et assurer la gestion de leur sécurité de l’information et des risques informatiques auxquels elles sont exposées, afin de garantir leur propre protection et celle d’autrui. » M. Humphreys explique en outre que les obligations d’une entreprise, comme le déploiement d’un SMSI, sont généralement définies dans des accords du niveau de service (à savoir des contrats conclus entre partenaires de la chaîne d’approvisionnement), en même temps que les besoins en matière de services et les responsabilités juridiques.
Le commerce en ligne présente indéniablement des défis pour les PME, mais ils sont largement compensés par l’énorme potentiel qu’offre l’Internet. Certaines personnes, à l’image d’Alan Wolff, Directeur général adjoint de l’Organisation mondiale du commerce, avancent d’ailleurs que les petites entreprises ont été les plus favorisées par l’avènement de la technologie. À l’occasion de l’Assemblée générale de l’ISO en 2018, ce dernier a en effet souligné que « quiconque a un projet, possède un ordinateur connecté à l’Internet et bénéficie de l’accès à une plateforme peut devenir un acteur à part entière du commerce international ».
Les avantages pour le développement socioéconomique ne manquent pas, car l’Internet permet à un nombre croissant de personnes et de communautés auparavant isolées de jouer un rôle sur le marché mondial. Toutefois, il est indispensable de contrebalancer les inconvénients en adoptant une approche prudente et éprouvée comme celle fondée sur les SMSI. Et M. Humphreys de rappeler qu’« une cyberattaque visant un maillon de la chaîne d’approvisionnement peut perturber l’ensemble des acteurs » et avoir des répercussions bien au-delà de l’entreprise ciblée et de ses clients directs. Un constat qui se vérifie aussi bien pour les fabricants de jouets artisanaux de Bali que pour les services de santé publique nationaux en Europe.
Les deux enjeux : respect de la vie privée et climat de confiance
Notre vie privée est peut-être moins complexe que le monde des affaires, mais l’enjeu est tout aussi important. Pour beaucoup d’entre nous, le simple fait de recourir aux meilleures pratiques pour choisir un mot de passe et réaliser les mises à jour de sécurité (sans oublier de suivre notre intuition lorsqu’une affaire semble louche ou trop belle pour être vraie) devrait suffire à nous protéger des pirates informatiques la plupart du temps. On s’interroge cependant de plus en plus sur la façon dont les institutions et les entreprises stockent, analysent et monétisent les vastes quantités de données que nous leur fournissons plus ou moins volontairement.
J’ai demandé à M. Humphreys si, selon lui, la famille de normes ISO/IEC 27000 apporte des réponses à ces diverses inconnues : « Récemment, le sous-comité SC 27 a entrepris l’élaboration d’ISO/IEC 27552, une norme d’extension d’ISO/IEC 27001 visant à répondre aux besoins spécifiques en matière de protection de la vie privée. » Actuellement au stade de projet, ce document précise les exigences et formule les lignes directrices à suivre pour l’instauration, la mise en œuvre, le maintien et l’amélioration continue du management de la protection de la vie privée en entreprise.
Toute menace pesant sur la vie privée, les moyens financiers ou la réputation d’une personne ou d’une entreprise vient ébranler notre confiance et modifier notre comportement en ligne, mais aussi dans la vie réelle. La famille de normes ISO/IEC 27000 remplit alors une mission cruciale : nous permettre d’aller de l’avant. Si la numérisation toujours plus importante de notre vie a de quoi nous inquiéter, il est rassurant de savoir que l’on peut compter sur cette famille de normes régissant les systèmes de management de la sécurité de l’information et qu’un groupe mondial d’experts, comme celui dont fait partie M. Humphreys, est à pied d’œuvre pour nous donner toujours une longueur d’avance.
1) Steve Morgan, “Cyber Crime Costs Projected To Reach $2 Trillion by 2019”, Forbes Online
2) “Internet Security Threat Report”, Volume 23, Symantec, 2018