ISO 27001 et contrôle d'accès aux bâtiments
ISO 27001 fournit un cadre d'application de la mise en oeuvre d'un système de management du patrimoine numérique de l'entreprise, actif stratégique à l'heure où l'information est la clé de la performance et de la compétitivité.
Pourquoi mettre en place un système de management du système d'information (SMSI) suivant ISO 27001 ?
Le système de management du système d'information permet d'encadrer la mise en oeuvre d'une gouvernance de la sécurité des systèmes d'information de l'entreprise. Il vise à protéger les actifs intangibles ou les équipements nécessaires à la continuité de l'activité et dont la non disponibilité temporaire ou définitive porterait atteinte à la valeur d'entreprise.
L'analyse des risques de sécurité de l'information suivant la norme ISO 27001 comprend 5 étapes, à itérer de manière continue dans le cadre d'un système de management du système d'information (SMSI) :
1/ Etablissement d'un cadre d'analyse des risques en matière de sécurité de l'information ;
2/ Identification des risques inhérents à la sécurité de l'information ;
3/ Analyse des risques de sécurité de l'information ;
4/ Evaluation des risques de sécurité de l'information ;
5/ Sélection et mise en oeuvre des actions de contournement ou réduction de ces risques.
Typiquement, le cadre de risque doit comprendre la capacité d'un tiers, interne ou accéder, à accéder à de l'information située dans les murs de l'entreprise. Ce risque doit être quantifié (en probabilité d'arriver, et en gravité) et parmi les actions les plus classiquement mises en oeuvre, les assureurs, par exemple, réclament le déploiement d'un système de contrôle d'accès permettant d'identifier les passages dans les zones sécurisées.
Quels sont les critères de contournement ou de réduction des risques de sécurité de l'information suivant la norme ISO 27001 ?
Au nombre de 4, ces critères sont les suivants :
1/ L'évitement du risque (ou contournement) d'atteindre à la sécurité de l'information ;
2/ Forcer le risque à muter en le soumettant à des contrôles en matière de sécurité (par exemple, du contrôle d'accès physique pour disposer d'une traçabilité des accès aux locaux et ainsi dissuader d'éventuelles malveillances internes) ;
3/ Faire supporter le risque par un tiers, ce qui peut se traduire par la souscription d'une assurance ou par la sous-traitance du risque ;
4/ Vivre avec le risque, si celui-ci semble acceptable.
Par exemple, coupler du contrôle d'accès à de la vidéoprotection permet de faire muter le risque : sans contrôle d'accès, n'importe qui peut accéder à et/ou subtiliser de l'information de manière cagoulée ; sans vidéoprotection, l'entreprise ne pourra pas être certaine que le moyen d'accès n'aura pas été subtilisé par un tiers. Le couplage des deux dispositifs de sécurité électronique permet de renforcer la sécurité des actifs immatériels comme matériels présents sur les lieux.
Quels sont les 3 niveaux d'analyse de la sécurité d'un système d'information suivant ISO 27001 ?
Les conséquences d'une compromission d'informations suivant la norme ISO 27001 sont à lire suivant la grille suivante :
1/ Perte de Confidentialité, s'il n'est plus certain qu'une information ne fut consultée que par la population disposant du privilège de la consulter ;
2/ Perte de Disponibilité, si l'information disparaît pour tout ou partie ;
3/ Perte d'Intégrité, s'il le processus de développement l'information n'est plus traçable.
Suivant une veille règle en matière de sécurité, "ce que je touche est à moi". Dit autrement, l'accès physique à un actif sensible par un tiers malveillant fait de cet actif sensible une faille de sécurité potentielle sur le long terme.
Quelles sont 5 grands principes de sécurité à utiliser pour protéger ses données ?
- la confidentialité
- l'intégrité
- la disponibilité
- la non répudiation
- l'authentification
Ces 5 grands principes sont valables pour ISO 27001, mais plus généralement pour toute conception d'un système nécessitant un socle de réflexion autour de la sécurité.
Ces 5 règles fondamentales de la sécurité sont universelles : ces principes s'appliquent évidemment à la conception de systèmes d'information, donc à la sécurité logique, mais également aux systèmes de sécurité physique tels que le contrôle des accès aux bâtiments.
Quelle utilité aux annexes ISO 27002, ISO 27004 et ISO 27005 ?
ISO 27002 détaille les mesures de sécurité listées dans l'annexe d'ISO 27001, au nombre de 133 et regroupées en 39 objectifs de sécurité, eux-mêmes classés en 11 domaines (politique de sécurité, sécurité du personnel, contrôle des accès logiques et physiques…).
Les changements récents (février 2022) sur cette norme ISO 27002 sont très intéressants et vont dans le sens d'une sécurité holistique avec :
- l'introduction de nouvelles mesures de sécurité très pertinentes (cloud, continuité, suppression des données, bonnes pratiques de sécurité en matière de développement informatique, etc.),
- le regroupement des contrôles en 4 thèmes - contre 14 ! auparavant - que sont les mesures organisationnelles, les mesures sur les individus, les mesures physiques, et enfin les mesures technologiques et techniques,
- la mise en place d'un système de tags favorisant la réalisation de cartographies des risques de sécurité de information simples et automatisées.
ISO 27004 fournit un cadre méthodologique de mise en œuvre des indicateurs de mesure de la pertinence du système de management de la sécurité de l'information et de son plan d'amélioration continue.
ISO 27005 étaye la grille d’évaluation des risques de la sécurité de l’information d'ISO 27001.
Le contrôle d'accès, qu'il soit physique (accès aux bâtiments) ou logique (accès aux logiciels), contribue bien entendu à la mise en place des contrôles nécessaires à la "mitigation" du risque d'atteinte à la sécurité de l'information dans les entreprises. Bien entendu, le contrôle d'accès doit être couplé à d'autres mesures actives de sécurisation des locaux et des systèmes d'information.
Nous recommandons dans tous les cas une approche systémique de l'analyse des risques de compromission, en matière cyber comme pour les sites de l'entreprise, appuyée par un cadre d'amélioration continue tel que le propose ISO 27001 - qui décrit, on le rappelle, un système de management de la sécurité de l'information. Pour vous aider dans votre réflexion sur la sécurité des locaux, nous vous recommandons la lecture de cet article de l'Observatoire du Flex-Office sur l'évaluation des failles de sécurité et des stratégiques de sécurisation de vos bâtiments.