Il n’est pas forcément aisé de mettre en œuvre une politique de sécurité efficiente tant les dimensions à considérer sont multiples. Beaucoup d’organisations peinent à déterminer par où commencer ou encore à bien orchestrer les diverses mesures. « Afin de pouvoir bien appréhender l’ensemble des enjeux et organiser sa sécurité de manière pertinente, il est intéressant de s’appuyer sur les standards et normes existants qui font référence en la matière », commente David Blampain, Founder of Rangers-IM.eu (& CISO de la BCED), avant de détailler les divers avantages de recourir à des référentiels tels que :
– ISO/IEC 27001 : 2022 (système de management de la sécurité de l’information axé sur sécurité de l’information, la cybersécurité et la protection de la vie privée),
– ISO/IEC 27002 : 2022 (guide des bonnes pratiques liée à l’ISO 27001),
– ISO/IEC 27005 : 2022 (Préconisations pour la gestion des risques liés à la sécurité de l’information),
– CIS18 (Framework de cybersécurité),
– IEC 62443 axée sur les réseaux de communication industriels et la sécurité informatique des réseaux et des systèmes.

On peut aussi mettre en avant le tout nouveau Framework de CyberSécurité de la Belgique (le CyFund : CyberFundamentals Framework, le Centre pour la Cybersécurité Belgique) qui pourrait également être appliqué au Luxembourg à terme (des discussions sont en cours entre état). Ce Framework regroupe la majorité des bonnes pratiques des normes vu précédemment. Un Must en la matière.

Les CISO identifient 7 avantages majeurs non exhaustifs.

Mettre en œuvre une approche cohérente

Le premier réside dans le cadre qu’offrent ces référentiels, « facilitant  le management des mesures de sécurité sur lesquels on applique des contrôles, afin de garantir une approche cohérente et robuste, sur la base des meilleures pratiques », explique David Blampain.

Deuxièmement, le suivi des préconisations contenues dans les normes contribue à une bonne prise en compte des risques et à une gestion cohérente de ces derniers. « Cette étape est essentielle à la priorisation des mesures de sécurité à mettre en œuvre », poursuit-il.

Répondre aux enjeux réglementaires

Troisièmement, s’appuyer sur les standards internationaux permet de s’assurer de répondre aux exigences en matière de conformité réglementaire. Les normes évoluent avec les réglementations et vice versa.

Recourir aux standards, quatrièmement, constitue un gage de confiance et de crédibilité, vis-à-vis du régulateur, mais aussi aux yeux du marché.

« Cela peut vous offrir un avantage compétitif, poursuit l’expert. De plus en plus, dans les marchés publics ou dans les appels d’offre, il est demandé aux candidats soumissionnaires de pouvoir apporter des garanties en matière de sécurité ou de résilience. Les certifications s’appuyant sur des normes permettent de répondre efficacement à ces demandes autant pour les personnes que pour les organisations. »

Amélioration continue

Cinquièmement, comme ils permettent de prioriser les mesures, les standards vous assurent que les ressources mobilisées sont efficacement allouées.

Le respect des standards, comme sixième avantage, permet d’inscrire son organisation dans une démarche d’amélioration continue, indispensable pour renforcer sa posture de sécurité.

« Enfin, la démarche permet d’aborder les enjeux plus facilement, les divers référentiels s’envisageant les uns avec les autres, pour une intégration et une interopérabilité facilitées », ajoute l’expert.

Uniformiser les processus à l’échelle d’un groupe

Si les normes et standards ne préconisent pas des outils à mettre en œuvre ou des solutions techniques, ils permettent de procéder avec méthode. « La norme ISO/IEC 27001 : 2022 constitue un point de départ. C’est la base pour garantir une approche solide » commente Jean-Philippe Noto, Risk & Compliance Manager au sein de KPMG Luxembourg. « Elle permet d’aborder ensuite d’autres standards, comme ISO/IEC 27002 : 2022, ISO/IEC 27005 : 2022, ou encore des normes plus techniques comme l’IEC 62443. À l’échelle d’un groupe, en outre, les normes permettent d’uniformiser les manières de travailler dans son propre pays et à l’étranger. Elles contribuent à une plus grande transversalité entre les entités et facilitent le déploiement de processus communs. »

Sécuriser l’ensemble de la chaîne de valeur

L’importance de recourir à des standards internationaux a par ailleurs été soulignée à l’occasion de la table ronde proposée dans le cadre du Fortinet Security Day. Les responsables de la sécurité de Broadcasting Center Europe (BCE) et de SES, deux acteurs clés et sensibles, ont en effet eu l’opportunité d’évoquer leurs grands défis du moment, et notamment ceux liés au renforcement des réglementations. « L’enjeu est de parvenir à se protéger soi-même, mais aussi de veiller à la sécurité de l’ensemble de la chaîne de valeur », a notamment précisé Ignacio Calvo, IS&T Project Manager au sein de BCE. « Dans ce contexte, il est important de porter les standards mis en œuvre jusqu’aux partenaires qui nous accompagnent, pour élever l’ensemble du niveau de sécurité, prévenir les risques et répondre efficacement et de manière coordonnée à tout incident. »

Le renforcement de la réglementation, en outre, constitue une opportunité d’élever la sécurité, de mieux faire valoir les enjeux à l’échelle de l’entreprise et d’obtenir des budgets pour répondre aux défis qui se posent, a notamment précisé le représentant de SES. Obtenir l’attention de la direction sur ces sujets, au regard des nouveaux risques, réglementaires ou réputationnels, offre l’opportunité de mettre en œuvre des approches structurées, qui s’appuient sur des normes et les meilleures technologies, pour améliorer la résilience de l’activité.