Pourquoi mettre en place ISO/IEC 27001 ?

Peut-être êtes-vous déjà familier avec les difficultés qu’une entreprise peut rencontrer à la suite d’une violation de données. Mais quel est le coût réel d’une telle attaque ? Et surtout comment l’éviter ?

En France, le coût moyen d’une violation de données s’élevait à 3,95 millions d’euros en 2022 et selon les derniers rapports d’IBM « dans le monde, les coûts d’une violation de données ont atteint un niveau record et s’élevaient à environ 4,45 millions de dollars en 2023. Ce qui représente une augmentation de 15,3 % depuis 2020 ».

La norme ISO/IEC 27001 est un outil incontournable pour protéger votre entreprise contre ce genre d’attaque. Elle fournit un excellent cadre pour démontrer que vous êtes engagé en faveur de la sécurité des informations et de la confidentialité et vous oblige à vous conformer aux obligations légales telles que le RGPD de l’UE.

De plus, lors de sa dernière mise à jour en octobre 2022, une nouvelle exigence visant à prévenir les « fuites de données » a été ajoutée. Bien que la norme ISO/IEC 27001 contenait déjà des mesures visant à protéger les entreprises contre les violations de données, cette extension établit clairement la priorité accordée à cet aspect de la cybersécurité. Celle-ci offre donc de meilleures mesures de prévention et de détection des infractions.

Quels sont les différents coûts liés à une violation de données ?

En plus des coûts directement liés à une violation de données, il faut également prendre en compte les pertes de chiffre d’affaires et les effets néfastes sur la réputation. Les coûts liés à une violation de données d’une entreprise se décomposent en quatre catégories :

• Détection et réaction : coûts associés à la détection d’une intrusion dans des délais raisonnables.
  – Mesures judiciaires et investigations
  – Évaluations et audits
• Communication : coûts pour informer les personnes concernées, les autorités et autres parties prenantes.
  – Emails, courriers, communications téléphoniques et autres moyens de communication
  – Identification des exigences légales et communication avec les autorités de régulation
• Impact sur le chiffre d’affaires : coûts associés à la perte éventuelle de clients, à l’interruption possible de l’activité pouvant engendrer une perte de revenus.
  – Perturbation de l’activité
  – Perte de clients et coûts liés à l’acquisition de nouveaux clients
  – Réputation compromise
• Rétablissement des activités : coûts liés au soutien apporté aux utilisateurs touchés par la violation de données.
  – Dépenses juridiques
  – Sanctions pénales

Quels sont les secteurs les plus menacés par des violations de données particulièrement coûteuses ?

Bien que toute entreprise détenant et exploitant des données puisse être exposée au risque d’une violation de données, certains secteurs d’activités sont tout de même plus vulnérables à ces attaques. Les principaux sont les suivant :

• Santé
• Finance
• Pharmaceutique
• Technologie
• Énergie

Il est aussi constaté que les entreprises de petites tailles, qui n’investissent pas forcément autant qu’elles le devraient dans leurs logiciels anti-virus sont aussi à haut risque d’intrusions.

Il convient de noter que si les industries ci-dessus ont enregistré les coûts moyens les plus élevés, plusieurs autres secteurs ont connu d’importantes augmentations de leurs pertes totales causées par une violation de données. Selon IBM, il s’agit des suivants :

• Services aux particuliers, collectivités et entreprises (augmentation de 7,8 %)
• Communication (augmentation de 20,3 %)
• Consommation (augmentation de 42,9 %)
• Commerce de détail / Grande distribution (augmentation de 62,7 %)
• Multimédia (augmentation de 92,1 %)
• Hôtellerie et restauration (hausse de 76,2 %)
• Secteur public (augmentation de 78,7 %)

Quelles sont les principales menaces affectant les entreprises ?

Les cybercriminels perfectionnant constamment leurs techniques, de plus en plus de menaces pèsent sur les entreprises. Selon le type et la méthode de l’attaque, les coûts nécessaires à la résolution de celle-ci peuvent varier.

Les principaux facteurs déclencheurs de cyberattaque sont les suivants :

• Identifiants compromis (20 % des violations)
• Hameçonnage (17 % des violations)
• Défaillance des serveurs (15 % des violations)
• Emails compromettants (5 % des violations)

Il est intéressant de noter que si les emails compromettants n’ont été à l’origine que de 5 % des violations, ce type de cyberattaque a engendré la perte financière moyenne la plus élevée, à savoir 5,01 millions de dollars.

Selon ce même rapport, les coûts totaux moyens les plus élevés engendrés par les violations de données sont les suivants :

• Emails compromettants (5,01 millions de dollars)
• Hameçonnage (4,61 millions de dollars)
• Infiltration malveillante (4,61 millions de dollars)
• Ingénierie sociale (4,47 millions de dollars)
• Identifiants compromis (4,37 millions de dollars)

ISO/IEC 27001 : Un outil précieux pour aider les entreprises à prévenir et se rétablir rapidement d’une cyberattaque ?

Il est de votre responsabilité, en tant qu’entreprise, de protéger toutes vos données et de former votre personnel pour qu’il comprenne son rôle dans la sécurisation des données et des informations. La meilleure façon de protéger votre entreprise est d’améliorer vos systèmes de sécurité actuels et de revoir les processus en place. L’un des moyens les plus sûrs d’y parvenir est de procéder à une analyse des écarts. Ceci par l’adoption de la norme ISO/IEC 27001.

La norme ISO/IEC 27001, définissant les exigences d’un système de gestion de la sécurité de l’information, fournit le cadre et les ressources nécessaires à votre entreprise pour identifier les stratégies pertinentes à documenter, les technologies à développer et les formations nécessaires à votre personnel.

Si la volonté de votre entreprise est de mettre en place un environnement plus sécurisé pour ses informations et ses données, alors la norme ISO/IEC 27001, management de la sécurité de l’information (SMSI), est un outil reconnu. Cette décision va permettre à votre entreprise de prévenir et de réagir plus rapidement aux différentes menaces liées à la sécurité informatique et va lui fournir les processus et les dispositifs de contrôle nécessaires à la protection des données et des informations en votre possession. Les divers systèmes de management ISO ne sont pas nouveaux et sont déjà utilisés pour résoudre une multitude de problèmes rencontrés par les entreprises. La norme ISO/IEC 27001 est considérée comme la référence en matière de cybersécurité et permet aux entreprises d’établir, de mettre en œuvre, d’exploiter, de surveiller, d’examiner, de maintenir et d’améliorer continuellement leur système de management de la sécurité de l’information.

Si vous souhaitez examiner les besoins de votre entreprise et savoir si la norme ISO/IEC 27001 est pertinente pour vous, nos conseillers sont à votre disposition pour répondre à toutes vos questions : ISO/IEC 27001 | Spécialistes ISO | IMSM FR