Vous êtes victime d’un incident de sécurité ? Contactez notre CERT

19/10/2023

Cybersecurity Insights

Dans une optique de réponse à des questionnaires SSI Client, une démarche ISO 27001 est-elle intéressante ?

Dans une optique de réponse à des questionnaires SSI Client, une démarche ISO 27001 est-elle intéressante ?

 

C’est ce que tente d’éclairer cet article en explorant les avantages d’une approche ISO 27001 pour structurer les réponses attendues par vos clients dans les questionnaires SSI qu’ils vous transmettent.

  • La sécurité de l’information est devenue l’une des principales préoccupations des entreprises à l’ère numérique. À mesure que les cybermenaces augmentent et que les réglementations deviennent plus strictes, la protection des données sensibles est essentielle pour maintenir la confiance des clients et des partenaires commerciaux. Dans ce contexte, la certification ISO 27001 est devenue une norme internationale de référence dans le domaine du management de la sécurité de l’information.
  • De nombreuses entreprises, notamment celles qui gèrent des données sensibles ou fournissent des services essentiels, se voient contraintes de répondre à des questionnaires sur la sécurité de l’information émis par leurs clients. Ces questionnaires visent à évaluer la capacité de l’entreprise à protéger les données et à gérer les risques en matière de sécurité de l’information.
  • Les questionnaires SSI clients constituent dès lors un véritable défi pour les entreprises sollicitées. En effet, cette tâche peut être laborieuse et complexe, car elle requiert souvent la fourniture d’une documentation détaillée sur les pratiques de sécurité mises en œuvre au sein de l’organisation.

En juin 2023, lors du Symposium sur la Sécurité des Technologies de l’Information et des Communications le CERT-FR (ANSSI) a souligné la nécessaire anticipation, pour prendre une longueur d’avance sur les attaquants, alerter les victimes potentielles au plus tôt, et collaborer avec les fournisseurs.

Améliorer cette capacité à collaborer avec vos fournisseurs sur le sujet de la SSI est un problème qui s’avère complexe, tant le besoin de maîtrise de cet écosystème devient crucial.

  • Cette nécessité de dynamique collaborative devient d’autant plus présente que les appels d’offres (AO) exigent de plus en plus souvent et quasiment systématiquement des réponses SSI détaillées, et par voie de conséquence la production de preuves mobilisant une allocation importante de ressources pour fourniture de ces éléments.
  • Rappelons que les fournisseurs et partenaires jouent un rôle prépondérant dans la chaîne de sécurité des systèmes d’information. Il est donc essentiel de collaborer étroitement avec eux pour s’assurer qu’ils respectent les normes de sécurité appropriées.
  • Ainsi, les organisations devraient intégrer des clauses de sécurité dans leurs contrats avec les fournisseurs et effectuer des évaluations régulières de leur conformité. Cela permet de réduire les risques liés aux vulnérabilités externes.

Face à la montée en puissance des demandes via AO ou non, exigeant des réponses SSI, il est judicieux de disposer d’une approche structurée pour optimiser l’utilisation des ressources et améliorer la réactivité. Une démarche basée sur la norme ISO 27001 offre un cadre de référence solide pour y parvenir.

L’approche gagnera à être systématique
  • La participation de toutes les parties prenantes, y compris la direction, est essentielle. Les dirigeants d’entreprise sont les mieux placés pour comprendre les besoins spécifiques de leur secteur et devraient être responsables de la réponse initiale à l’AO en matière de SSI.
  • Disposer d’une base de Connaissance et d’un registre de Preuves, ancré sur la structure et le chapitrage de l’ISO 27001 est aussi un facteur clé de succès. Le maintien et l’alimentation de la base de connaissance partagée et d’un registre de preuves/réponse est indispensable. Cela permet de capitaliser sur les expériences passées et de garantir la cohérence des réponses.
  • Facilitateur de la démarche, un outil de gestion documentaire et de feuille de route SSI, pour centraliser, gérer et partager des informations est un moyen efficace d’optimiser les ressources et d’assurer une réponse coordonnée aux AO en matière de SSI.

 

En conclusion, la sécurité des systèmes d’information doit être abordée de manière proactive pour anticiper les menaces, collaborer avec les fournisseurs et automatiser la détection et les alertes.
  • De plus, l’optimisation de la réponse aux AO SSI nécessite une approche structurée et collaborative basée sur des normes reconnues. Cela permet aux entreprises de renforcer la sécurité, de mieux répondre aux exigences AO et de protéger efficacement leurs actifs informatiques. L’apport structurant de la norme ISO 27001 permet d’arriver à une démarche plus industrialisée et efficace, pour optimiser la gestion de ressources et le temps à y consacrer.

Anthony CHALHOUB

Consultant Governance, Risks & Compliance

Jean-François LA MANNA

Manager Information Security

Voir les derniers Cybersecurity Insights

21 novembre 2023
Cet évènement dédié à la sécurité de vos environnements Microsoft 365 est l’occasion de vous présenter les avancées produits et services mis à votre disposition pour répondre à vos besoins de protection contre les menaces permanentes qui pèsent sur vos systèmes d’information.
21 novembre 2023
Nous sommes très fiers de vous annoncer notre accréditation Happy Trainees pour la 9e fois consécutive !
13 novembre 2023
Version révisée (Edition 4) de la norme ISO/CEI 27005 : Almond vous propose un top 3 des changements normatifs et des précisions sur leurs implications directes dans les travaux des Risk Managers au sein des organisations.
24 octobre 2023
Mon rôle de formatrice : Albane, Consultante Governance, Risks & Compliance et formatrice au sein d’Almond Institute.
19 octobre 2023
Chers étudiants, vous recherchez votre future entreprise ? Bonne nouvelle, Almond recherche ses futurs stagiaires de fin d'études pour l'année 2024.
16 octobre 2023
L'authentification multi-facteurs, un sujet toujours d'actualité à ne pas négliger !
11 octobre 2023
Chez Almond, nous préconisons de parachever les pratiques de contrôle par une approche par les risques pour améliorer la qualité du portefeuille des fonds d’investissement.
5 octobre 2023
Did you ever imagine that you or your colleagues could be a serious threat to your company? Discover our study: Insider Threat !
29 septembre 2023
Découvrez la solution SASE de Zscaler avec Benoit Vérove, Partner et Lead Security Integration chez Almond et Reda Nedjar, Principal Sales Engineer chez Zscaler au travers d'une démonstration technique au cœur de l'outil Zscaler Zero Trust Exchange™!
30 août 2023
Cette année, Almond est présent au Suisse IT Forum à Genève les 20 et 21 septembre prochain.

Jour 1 : Qu'est-ce que la DORA?

  • Réponse 1 : Une jeune exploratrice bilingue
  • Réponse 2 : Un protocole de communication décrit dans le RFC 9364
  • Réponse 3 : Une organisation internationale de régulation de la cybersécurité
  • Réponse 4 : Une règlementation concernant les « entités financières »

Pour y répondre, rendez-vous sur notre page Linkedin ! A vos votes !