ISO 27001 – Tour d’horizon

ordinateur avec cadenas pour la sécurité informatique
3 février 2021

Depuis 2004, FullSave déploie et opère des infrastructures cloud et d’hébergement mutualisé dans ses centres de données à destination des entreprises. Depuis 2004, nous attachons une importance à la qualité des services que nous proposons à nos clients et partenaires.

Outre le niveau de performance de ces services, la sécurité est au cœur de nos préoccupations. Disponibilité, confidentialité, intégrité, traçabilité des traitements, sauvegarde des données, etc. sont autant d’enjeux auxquels nous sommes particulièrement attentifs.

Depuis plusieurs mois, nous préparons activement notre certification à la norme ISO 27001, afin de faire reconnaître nos pratiques et nos engagements en matière de sécurité de l’information.

La démarche de certification porte sur le périmètre de notre activité d’hébergement housing de notre datacenter TLS00. L’audit de certification, réalisé auprès d’un organisme indépendant, est prévu pour le premier semestre 2021.

Tour d’horizon de la norme ISO 27001 et de ce qu’elle implique.

L’ISO 27001 en bref

L’ISO (Organisation internationale de normalisation) est un réseau d’instituts nationaux de normalisation qui participent au développement de normes internationales par l’intermédiaire de comités techniques.

La norme ISO 27001 définit un ensemble d’exigences pour l’établissement, la mise en oeuve, la tenue à jour et l’amélioration continue d’un Système de Management de la Sécurité de l’Information. Elle est une référence internationale en matière de management de la sécurité des actifs sensibles d’une organisation.

Un Système de Management de la Sécurité de l’Information (SMSI) est un ensemble de politiques, processus et procédures concernant la gestion de la sécurité de l’information.

La sécurité de l’information

La sécurité de l’information s’articule autour de 4 objectifs :

  • La disponibilité : Une information ou une fonction est accessible en temps utile, dans les délais prévus.
  • L’intégrité : Une information est exacte et complète.
  • La confidentialité : Une information est inaccessible aux tiers non autorisés.
  • La traçabilité : La personne ou le processus à l’origine d’un traitement peut être identifié.

La sécurité ne recouvre pas uniquement la sécurité physique des centres de données et des systèmes informatiques qui la composent. Elle doit également se conformer à un cadre global technique, organisationnel et juridique à travers la mise en œuvre d’un SMSI.

Le Système de Management de la Sécurité de l’Information préserve la confidentialité, l’intégrité et la disponibilité de l’information en appliquant un processus de gestion des risques.

L’objectif est de mettre en œuvre, dans un périmètre défini, les mesures de sécurité adéquates et proportionnées aux risques encourus afin de protéger les actifs de l’organisme.

Pour garantir la sécurité de l’ensemble des systèmes, FullSave doit donc en permanence et pour chaque périmètre concerné, évaluer les risques auxquels les composants sont exposés, et maîtriser ces risques afin de protéger les biens essentiels conformément aux objectifs de sécurité définis par le métier de FullSave et de ses clients.

Pourquoi une certification ?

La sécurité des données est aujourd’hui un enjeu majeur pour l’ensemble des individus, des organisations et des entreprises. La certification d’une entreprise permet d’accroître la confiance de ses clients et de ses partenaires. Elle répond à leurs exigences en leur apportant des garanties. Une entreprise certifiée renforce également sa position sur son marché.

La certification ISO 27001 démontre que l’organisation certifiée a une approche basée sur une méthodologique efficace et maîtrisée de la protection des données et atteste qu’elle a mis en place un SMSI efficace construit sur la base de la norme internationale de référence ISO 27001. Elle assure ainsi une conformité légale et réglementaire applicable dans plusieurs secteurs industriels, et démontrée auprès d’un organisme indépendant.

L’entreprise certifiée s’inscrit par ailleurs dans une démarche à long terme d’amélioration continue. Elle doit en permanence maintenir, optimiser et faire évoluer son SMSI et l’ensemble de ses processus de manière régulière. Cela requiert un engagement permanent des parties prenantes.

La certification aide ainsi l’entreprise à mettre en œuvre, contrôler et améliorer ses pratiques de gestion de la sécurisation de l’information, tout en gagnant en maturité, au bénéfice de la qualité de service rendu à ses clients et de ses engagements de service.

Crédits photos