5 min

PME, ETI : comment mieux renforcer la confiance numérique ?

Pour toutes les PME et ETI désireuses d’accroitre le niveau de sécurité de leurs systèmes d’information, AFNOR Certification a publié un guide de sensibilisation à la confiance numérique, afin de se préparer à la certification ISO/IEC 27001 « sans brûler les étapes ».

« Aujourd’hui, la confiance numérique est au cœur de toutes les directives sur la sécurité des entreprises. Pourtant, c’est un concept intangible », remarque Arthur Ribémont, responsable du pôle Confiance numérique chez AFNOR Certification. De plus, pour les entreprises de taille modeste (TPE, PME, voire certaines ETI), qui ne font pas l’objet de contraintes réglementaires de cybersécurité, comme les opérateurs d’importance vitale (OIV) et les opérateurs de services essentiels (OSE), il n’est pas toujours aisé de savoir par où commencer. « Dans un contexte où le risque de cyberattaques grimpe et où les contraintes réglementaires s’accélèrent, notamment en Europe (RGPD, Digital Services Act, Digital Market Act, règlements sur l’intelligence artificielle, sur la gouvernance des données, sur les données non personnelles…), de plus en plus d’entreprises s’intéressent aux enjeux cyber, assure l’expert. Pour autant, beaucoup pensent que la norme ISO/IEC 27001, la plus importante en gestion de la sécurité des systèmes d’information, est inaccessible. »

Et pour cause : « si la plupart des normes certifiantes comptent une trentaine d’exigences, la seule annexe de la 27001 en comporte 114 ! », détaille Arthur Ribémont. Au total, l’ISO/IEC 27001 représente pas moins de 140 exigences… « Cela signifie que la mise en conformité pour atteindre le niveau de certification sera longue mais aussi que les audits seront longs et techniques », complète-t-il. C’est pourquoi, depuis plusieurs mois, AFNOR Certification s’est donnée pour mission d’accompagner les TPE, PME et ETI pour qui la montagne à gravir semble trop haute. Le tout en suivant une approche « des petits pas », afin d’amener ces entreprises à atteindre cette certification étape par étape.

Un parcours en 3 temps : découverte, valorisation, excellence

En 2021, l’organisation s’est attelée à concevoir des prestations individuelles dans ce but. « En 2022, nous voulions aller plus loin, mieux expliquer la démarche que l’on prône, explique Arthur Ribémont. Nous avons donc mis en place un parcours progressif pour accompagner les entreprises vers cette certification d’excellence. » Ce « parcours progressif » prend la forme d’un guide gratuit, à destination des RSSI, DSI, voire des directions des entreprises.

Celui-ci est divisé en trois temps : la découverte, la valorisation et l’excellence.

Le premier introduit les enjeux du numérique, comme la multiplicité des réglementations et l’explosion des cyberattaques. « Aujourd’hui, dans un monde où une cyberattaque peut avoir des effets sur l’ensemble des activités, dont la production, la confiance numérique n’est plus un sujet technique qui concerne le seul champ de la DSI, mais bien toute l’organisation, et même toute la chaîne d’approvisionnement (sous-traitants, fournisseurs, clients, partenaires…), souligne le responsable d’AFNOR Certification. Nous essayons dans ce guide d’expliquer quel est l’intérêt pour les organisations de prendre conscience de l’importance d’évaluer son niveau de maturité, c’est-à-dire faire la liste de ses forces et de ses faiblesses. »

Valoriser sa démarche grâce au référentiel VP2

Dans un second temps, celui de la « valorisation », AFNOR Certification souhaite amener les entreprises à se positionner sur chaque réglementation. En prenant comme exemple la plus importante d’entre elles, le RGPD, « qui concerne l’ensemble des entreprises sur le sol européen et qui a l’avantage de représenter une première étape de conformité afin qu’ensuite, les organisations puissent étendre leur système de gestion de sécurité à d’autres normes », précise Arthur Ribémont.

Dans ce chapitre, AFNOR Certification y explique notamment comment une entreprise doit anticiper sa réponse à incident en mettant en place, à travers l’acquisition d’un premier espace de confiance puis d’un autre, puis d’un troisième, etc., tout un système de gestion du RGPD.

Pour ce faire, AFNOR Certification a développé le référentiel VP2, qui s’appuie sur les grands principes du RGPD et « qui permet à une entreprise de mettre en place 50 % des exigences de la norme ISO/IEC 27001 », sans même s’en rendre compte, ajoute l’expert. « Nous y expliquons les grandes étapes de la démarche d’audit et comment s’y préparer, pour les entreprises qui n’en ont jamais faits. »

La méthode Ebios, une aide précieuse vers la certification 27001

Enfin, le dernier temps dédié à l’« excellence » détaille comment mener une analyse de risques afin de planifier tout son système de gestion des risques de sécurité pour ensuite mettre en œuvre différentes mesures, surveiller les indicateurs et hausser progressivement le niveau de sécurité de son système d’information, en fonction des objectifs et des moyens déployés par l’entreprise.

Dans ce dernier, AFNOR Certification donne la part belle à la méthode Ebios. En suivant cette méthode de gestion des risques cyber, développée par l’ANSSI, une entreprise peut « remplir le premier pilier réclamé par la norme ISO/IEC 27001, soit identifier les risques », indique Arthur Ribémont.

Cette méthode permet :

  • d’identifier le périmètre des activités et les différents événements de sécurité (pannes, dysfonctionnement, cyberattaques…) ;
  • d’identifier les différentes sources de risques, qui peuvent venir du fait que l’entreprise soit la cible directe d’une attaque, mais aussi qu’elle soit vulnérable à des attaques par rebond visant d’autres acteurs de la chaîne d’approvisionnement ;
  • de comprendre comment un attaquant pourrait réussir à causer du dommage aux systèmes d’information de l’organisation ;
  • d’ajuster la stratégie cyber de l’organisation de la priorisation des risques (quelles ressources sont les plus vulnérables, quelles cybermenaces sont les plus probables…).

À noter qu’il existe d’autres méthodes de gestion des risques, comme la norme ISO/IEC 27005 ou la méthode Méhari du Clusif, mais « la méthode Ebios est la plus utilisée par les entreprises », insiste-t-il.

Ce guide, à télécharger gratuitement ici, « fait écho à un projet commun avec Bpifrance », indique enfin l’expert. Depuis plusieurs mois, les deux organisations se sont associées pour accompagner les TPE et PME dans leur démarche de transformation numérique, notamment « en les aidant à mettre en place un plan d’action de cybersécurité en cinq mesures ». Une initiative que le responsable de la confiance numérique voit comme une deuxième étape idéale après avoir pris connaissance du guide. De quoi bien commencer son ascension vers la confiance numérique, sans brûler les étapes.

Les 3 démarches clés à mettre en place

⇒ Évaluer les forces et les faiblesses de son organisation

⇒ Être en capacité de réagir à un incident de sécurité (qui peut survenir à tout moment, peu importe les mesures que l’on a prises)

⇒ Initier une culture d’anticipation des risques au sein de l’organisation

Partager cet article avec un ami