Cybersécurité, sécurité de l'information, protection de la vie privée : aujourd'hui, la mise en place de systèmes de management de la sécurité (SMSI) de l'information très performants est essentielle pour tous les organismes (TPE, PME, ETI...). Quels sont les risques d'une mauvaise gestion des données ? Quelles sont les exigences d'une certification ISO 27001 pour la sécurité des systèmes d'information des entreprises ? Explications dans cet article.
Qu’est-ce que la norme ISO 27001 ?
Qu'est-ce que l'ISO 27001 ?
La norme internationale ISO 27001 (ou IEC selon les sujets) est la norme de sécurité la plus connue en matière de systèmes de management de la sécurité de l’information (SMSI, ou ISMS en anglais). Cette norme fournit aux entreprises et organisations de toutes tailles, et quel que soit leur secteur d'activité, des lignes directrices de référence, des points pour sa mise en œuvre, la tenue à jour et l'amélioration continue auxquelles le système de management de la sécurité de l'information doit répondre.
La conformité à ISO/IEC 27001 signifie qu’une organisation ou une entreprise a mis en place un système pour gérer les risques liés à la sécurité de ses données ou des données qu’elle est amenée à traiter, et que ce système est conforme aux bonnes pratiques et principes énoncés dans la norme internationale.
Histoire et évolution de la norme
Les contours de la norme ISO/IEC 27001 ont commencé à se dessiner au début des années 1990. A cette époque, voyant la démocratisation des échanges numériques entre les infrastructures, et à mesure que les entreprises entraient dans l'ère numérique, le ministère britannique du Commerce et de l'Industrie demande au Commercial Computer Security Centre (CCSC) de créer un ensemble de critères d'évaluation pour déterminer la sécurité des produits informatiques. Le CCSC était également chargé de créer un code de bonnes pratiques pour la sécurité de l'information, intitulé "information security management".
Ce travail conjoint a abouti en deux documents : l'un qui décrivait une série de contrôles et d'objectifs de contrôles pour la sécurité des systèmes d'information ; l'autre qui définissait les premiers périmètres stratégiques de la norme ISO 27001, en créant une norme formelle pour le développement d'un système de gestion de la sécurité de l'information (SGSI).
Après une longue série d'itérations et de votes, le texte officiel pour la norme ISO 27001 a été adopté en octobre 2005. En 2017, l'ISO/IEC 27001:2013 a été publiée comme la dernière version de la norme, incorporant des modifications mineures de formulation et de formatage.
Les enjeux de la sécurité dans la signature électronique
Définition de la signature électronique
La signature électronique est un mécanisme qui permet de garantir l'intégrité d'un document électronique et l'authentification de l'auteur, pour s'assurer de la non-répudiation de l'acte (à l'image d'une signature manuscrite). Aujourd'hui largement démocratisée, la signature électronique permet de signer en quelques secondes et sans contact physique des documents essentiels au bon fonctionnement des entreprises.
La signature électronique doit :
- garantir l'intégrité d'un document (quel que soit son format : en word, en pdf,…), c’est-à-dire s’assurer que le document n'a pas été altéré entre sa signature et sa consultation ;
- authentifier son auteur, c’est-à-dire s’assurer de l’identité du signataire ;
- rapporter la preuve du consentement.
Pourquoi la sécurité est essentielle dans la signature électronique ?
Lorsqu'un acte d'engagement est signé entre deux parties - quel que soit la nature du document, et quelle que soit la nature de l'entreprise - la sécurité et la confidentialité des données doit être garantie. Pour cela, il est essentiel de savoir quelles caractéristiques permettent de sécuriser la signature électronique.
La signature doit être :
- authentique : l'identité du signataire doit pouvoir être retrouvée de manière certaine
- infalsifiable : une personne ne peut pas se faire passer pour un autre
- non réutilisable : la signature fait partie du document signé et ne peut être déplacée sur un autre document
- inaltérable : une fois que le document est signé, on ne peut plus le modifier
- irrévocable : la personne qui a signé ne peut le contester
Obtenir la certification ISO 27 001 pour un prestataire de services de confiance, qui fournit notamment des outils comme la signature électronique, permet de préserver les données sensibles contre les menaces tout en garantissant sa disponibilité et sa responsabilité.
Comment la certification ISO 27001 renforce la fiabilité d’une solution de signature électronique ?
Les étapes pour obtenir la certification ISO 27001
La certification ISO 27001 ne s’adresse pas uniquement aux hébergeurs de données, start-up, multinationales ou entreprises du domaine informatique. Toutes les organisations, entreprises et collectivités, de toutes tailles et de tous secteurs détenant des données sensibles, physiques ou dématérialisées, sont concernées.
Pour qu'une entreprise puisse obtenir une certification ISO 27001, elle doit suivre plusieurs étapes :
- Etape 1 : Visite d'évaluation
Un auditeur effectue un pré-diagnostic en conditions réelles pour détailler le processus et maximiser les chances de l'entreprise d'être certifiée.
- Etape 2 : Préparation de l'audit
L'auditeur prend bien connaissance des spécificités de l'entreprise et prépare le déroulement de l'audit intitial.
- Étape 3 : Audit documentaire
L'auditeur effectue une revue documentaire du système d'informations afin de déterminer sa conformité aux exigences du référentiel en vigueur.
Les preuves de conformité technique et organisationnelle sont recueillies dans les locaux de l'entreprise.
L'organisme de certification officiel (comme l'AFNOR, par exemple), délivre le certificat ISO 27001 et les logos pour 3 ans.
- Étape 6 : Surveillance et renouvellement
Un audit de suivi est effectué tous les ans, et un audit de renouvellement est réalisé tous les trois ans.
ISO 27001 pour la signature électronique
Les certifications internationales comme ISO 27001 définissent la mise en œuvre d’un système de management de la sécurité de l’information et garantissent donc la protection de tous les actifs de l’organisme. Cela permet notamment de protéger les fonctions et informations de l'entreprise de tout vol, de toute perte ou de toute altération. En recourant à une solution de signature électronique dont l’entreprise met en œuvre des politiques de sécurité strictes, et est certifiée par la norme ISO 27001, vous avez l'assurance que vos documents - même les plus sensibles - transitent sur une plateforme dont le niveau de sécurité est à la fois exigeant, structuré et reconnu.
ISO 27001 et conformité au règlement eIDAS
Le règlement eIDAS pour la signature électronique
Le règlement « eIDAS » n°910/2014 du 23 juillet 2014 a pour ambition et avantages d'accroître la confiance dans les transactions électroniques au sein du marché intérieur. Il établit un socle commun pour les interactions électroniques sécurisées entre les citoyens, les entreprises et les autorités publiques. D’une part, le règlement eIDAS vise à définir des exigences de sécurité harmonisées et à instaurer un mécanisme de reconnaissance mutuelle des moyens d’identification électronique des États membres sur l’ensemble des services en ligne des autres États membres. D’autre part, il vise à instaurer un cadre juridique pour les prestataires de confiance, en définissant des exigences de sécurité et d'interopérabilité ainsi qu'un schéma de qualification pour certains de ces services.
Cas d’usage pour les secteurs sensibles
Chez Goodflag, en tant qu’entreprise française et indépendante certifiée ISO 27001, nous offrons des niveaux de signature électronique systématiquement adaptés au secteur de l'entreprise, même pour les engagements les plus sensibles.
En plus d'être ISO 27001, nous sommes la seule solution de signature électronique et de cachetage à proposer une API de signature électronique certifiée Sécurité de Premier Niveau (CSPN) par l’ANSSI. Signature de commandes fiduciaires sur INTEROP, demandes de prêt, ou cachetage de RIB ou de virements SEPA : de nombreuses banques et services financiers font confiance à Goodflag pour signer, faire signer et cacheter tous leurs documents, en toute sécurité et conformité.
Dans le secteur de la santé, nombreux sont les documents et données et sensibles et confidentiels. Chez Goodflag, nous nous appuyons sur des référentiels stricts incluant le respect de normes ISO (ISO 27001 et ISO 20000 notamment), pour garantir un environnement de confiance pour l’eSanté et le suivi des patients. Nous sommes également labellisés Hébergeur de Données de Santé (HDS), ce qui renforce la protection et l'accès des données de santé personnelles que nous hébergeons.
Goodflag est certifiée ISO 27001
En tant qu'experts de la signature électronique et du cachetage, nous mettons la sécurité au coeur de nos solutions. C'est pourquoi nous sommes certifiés ISO 27001, et avons renouvelé nos certifications en décembre 2004, pour trois ans. Cette norme internationale ISO 27001 confirme notre engagement envers la sécurité des données et atteste de notre capacité à anticiper et gérer efficacement les risques liés à la sécurité des informations. Elle confirme la robustesse du système de gestion de la préservation de l’information (SGSI) de notre entreprise et valide notre capacité à identifier, anticiper et gérer efficacement les risques (attaques, violations,...) liés à la sûreté des données.
En tant qu’entreprise souveraine, nos certifications garantissent également que toutes nos solutions de signatures électroniques certifiées sont développées, hébergées et opérées en France, assurant ainsi une maîtrise totale des infrastructures.
Vous souhaitez en savoir plus sur nos certifications ? Consultez notre page dédiée !
Venez nous rejoindre pour une démo et en apprendre davantage sur notre solution
Venez nous rejoindre pour une démo et en apprendre davantage sur notre solution
