L’auteur : Priyasha Purkayastha, Responsable du contenu mondial, TJC Group
Nous avons maintes fois souligné l’importance de la sécurité des données. Aujourd’hui, les données sont devenues l’un des actifs les plus précieux d’une organisation. Pourtant, même si de nombreuses politiques sont en place, il est fastidieux de protéger ces données contre les accès non autorisés ou les violations. Viennent ensuite les systèmes legacy que de nombreuses organisations utilisent encore, ce qui accroît les risques en matière de cybersécurité. Parfois, il devient même difficile de savoir par où et comment commencer pour protéger les données. Tous ces éléments combinés peuvent également conduire à des infractions graves dues à des idées fausses et à des confusions. L’objectif de ce guide ISO27001 est de vous orienter dans la bonne direction. Alors, plongez dans ce guide pour en savoir plus !
Table des matières
1. ISO27001 – Que devez-vous savoir à ce sujet?
La norme ISO27001 est définie comme une norme de réglementation de la sécurité de l’information, guidant les organisations dans l’élaboration, la mise en œuvre, la maintenance et l’amélioration continue de leurs systèmes de gestion de la sécurité de l’information (SGSI), garantissant ainsi la protection de leurs précieuses ressources en matière d’information. Il s’agit d’une norme internationalement reconnue, publiée par l’Organisation internationale de normalisation (ISO), en partenariat avec la Commission électrotechnique internationale (CEI). La norme ISO27001 s’accompagne d’un cadre qui permet d’améliorer les opérations du SMSI ; le cadre de sécurité ISO définit un objectif, qui est de protéger les informations de l’organisation d’une manière rationalisée, systématique et, surtout, rentable, indépendamment de sa taille ou de son secteur d’activité.
Les organisations doivent garder à l’esprit que la certification ISO27001 est obtenue par le biais d’un processus d’audit externe. Un organisme de certification évaluera les systèmes de gestion de la sécurité de l’information (SGSI) de l’organisation conformément aux exigences de la norme. En obtenant cette certification, vous démontrerez à vos parties prenantes et à vos clients votre engagement à maintenir des normes élevées en matière de sécurité de l’information.
1.1 L’importance de la norme ISO27001 pour les organisations
La norme ISO27001 fournit aux organisations les informations et les connaissances nécessaires à la protection de leurs données précieuses. Cela dit, la norme permet également aux organisations d’obtenir une certification ISO27001, prouvant ainsi à leurs clients et partenaires que leurs données sont protégées. Ce qui est encore plus intéressant à propos de cette norme, c’est que même les particuliers peuvent obtenir la certification ISO27001 en suivant un cours et en passant l’examen. Comme il s’agit d’une norme internationale, la certification est reconnue et réputée dans le monde entier, ce qui accroît les possibilités de relations commerciales pour les organisations.
1.2 Les principaux aspects de la norme ISO27001
Il existe plusieurs aspects clés de la norme ISO27001 que vous devez connaître ; certains des plus importants sont mentionnés ci-dessous.
Système de gestion de la sécurité de l’information (SGSI) : l’un des facteurs les plus importants de la norme de sécurité – il contribue à garantir une approche systématique pour faciliter la gestion des informations sensibles d’une organisation. Le SGSI s’accompagne d’un cercle complet de personnes, de processus et de systèmes informatiques, grâce à l’application de processus de gestion des risques, afin de s’assurer que les informations restent sécurisées à tout moment.
Évaluation et traitement des risques : L’évaluation et le traitement des risques constituent un autre aspect essentiel de la norme ISO27001 internationalement reconnue. Il s’agit essentiellement d’identifier les menaces potentielles pour la sécurité de l’information des organisations et de mettre en œuvre des contrôles pour atténuer les risques.
L’engagement de la direction : Avec ISO27001, l’engagement de la direction devient crucial. Les personnes ayant des capacités décisionnelles (c’est-à-dire les dirigeants) doivent s’engager sans réserve dans le SMSI, qui comprend l’établissement de politiques et de procédures, d’objectifs et d’autres éléments relatifs à la sécurité de l’information.
Gestion des ressources et des incidents : Deux des facteurs les plus importants de la norme ISO27001 sont la gestion des ressources et la gestion des incidents. Alors que la gestion des incidents permet d’établir des procédures pour traiter les incidents de sécurité, la gestion des ressources permet d’assurer la disponibilité des ressources nécessaires, y compris les programmes de formation et de sensibilisation.
Conformité : Avec la norme ISO27001, il est essentiel de garantir la conformité aux exigences légales et réglementaires. En outre, il est nécessaire de contrôler, de réviser et d’améliorer régulièrement le SMSI et de conserver une documentation appropriée (le champ d’application, les politiques, les procédures, les enregistrements des mesures prises, etc.
1.3 Les trois principes directeurs de la norme ISO27001
La norme ISO27001 repose principalement sur trois grands principes directeurs qui contribuent à sécuriser les personnes, les processus et les technologies. Il s’agit de la confidentialité, de l’intégrité et de la disponibilité, communément appelées « triade C-I-A ». Pour en savoir plus, cliquez ici.
Confidentialité des données : Il s’agit essentiellement des données et des systèmes qui doivent être protégés contre l’accès non officiel ou non désiré de ceux qui ne sont pas autorisés, comme les personnes, les processus ou même les applications. Le principe de confidentialité inclut l’utilisation de contrôles technologiques tels que les jetons de sécurité, l’authentification multifactorielle, le cryptage des données, etc.
Intégrité des données : Le deuxième principe directeur de la norme ISO27001 est l’intégrité. Cela signifie qu’il faut vérifier l’exactitude, la fiabilité et l’exhaustivité des données. En fait, l’intégrité implique l’utilisation de processus qui contribuent à garantir des données exemptes d’erreurs tout en affirmant que l’accès aux données confidentielles est réservé aux personnes autorisées. Ce principe directeur signifie également que les données utilisées par l’organisation sont stockées de manière fiable et sans aucun dommage.
La disponibilité des données : Enfin, la disponibilité des données est le troisième principe directeur de la norme ISO27001. Ce principe signifie un accès autorisé et précis aux informations chaque fois que cela est jugé nécessaire pour les besoins de l’entreprise. Parfois, en raison de problèmes de serveur et de sauvegardes insuffisantes, la base de données de l’entreprise peut être mise hors ligne, ce qui entraîne le chaos dans les opérations de l’entreprise. Avec ce principe directeur, il devient nécessaire pour les organisations de garder leurs données disponibles, mais uniquement par le biais d’un accès autorisé.
En résumé, avec un système de gestion de la sécurité de l’information (SGSI) qui répond aux exigences et aux principes directeurs de la norme ISO27001, les organisations peuvent garantir la sécurité des données de manière transparente. En fait, il donne confiance et établit la crédibilité auprès des actionnaires, des clients et des parties intéressées en leur garantissant que leurs données sont sécurisées et conservées de manière adéquate.
2. Systèmes legacy et cybersécurité : Quel est le problème ?
Comme nous le disons toujours, la cybersécurité est au cœur de toute organisation. Cependant, il est regrettable que les organisations dotées de systèmes legacy passent souvent à côté de cette notion. En particulier, si les systèmes obsolètes ne sont pas contrôlés, ils peuvent être vulnérables aux attaques des cybercriminels par le biais de diverses cybermenaces.
Les systèmes legacy sont parfois le point d’entrée des vulnérabilités, car ces systèmes obsolètes tombent dans l’oubli et sont souvent négligés. Les systèmes obsolètes sont plus susceptibles de recevoir des vulnérabilités s’ils ne sont pas contrôlés. Mais les maintenir à jour avec les derniers contrôles de sécurité est coûteux et improductif. L’existence de ces systèmes obsolètes s’accompagne de son lot de difficultés : les systèmes peuvent ne pas être cryptés ou protégés par des contrôles d’accès, ce qui les expose à des risques d’attaques internes ou externes hors ligne.
Deuxièmement, les équipes informatiques des organisations sont confrontées à un autre défi : rester au fait des correctifs et des mises à jour des systèmes. La liste des cyber-vulnérabilités est longue, et avec les systèmes legacy, il devient encore plus essentiel de garder un œil attentif.
Tous ces éléments combinés ensemble pointent toujours vers le fait que le décommissionnement des systèmes legacy est la voie à suivre. Cependant, certaines organisations utilisent encore des systèmes obsolètes, au moins jusqu’à ce qu’elles migrent vers la très nécessaire S/4HANA. Cela dit, il est parfois nécessaire de conserver des systèmes obsolètes, même s’ils ne sont pas utilisés, en raison de facteurs tels que les audits, l’accessibilité aux données historiques, etc. Par conséquent, que votre organisation utilise un système legacy ou qu’elle l’ait conservé en vue d’un décommissionnement ultérieur, la mise en œuvre de mesures de cybersécurité est cruciale. Mais la norme ISO27001 peut-elle être appliquée à ces systèmes ?
3. Intégrer ISO27001 aux systèmes legacy : Est-ce une stratégie possible ?
Les organisations qui souhaitent obtenir ce badge loué doivent mettre en place et maintenir certaines normes (décrites ci-dessus), qui concernent également les systèmes legacy. La tâche peut s’avérer ardue, mais c’est tout à fait possible. En fait, elle contribue à garantir une sécurité de l’information globale dans votre organisation. Nous avons examiné quelques considérations et stratégies clés sur la façon dont les systèmes legacy peuvent être maintenus dans le cadre de la norme ISO27001.
3.1 Évaluation de votre inventaire
3.1.1 Identifier les systèmes legacy : La première étape consiste à évaluer votre inventaire et à créer un répertoire de tous les systèmes legacy, y compris leur objectif, les données qu’ils traitent et les mesures de sécurité actuelles. Il s’agit d’un parcours allant de l’extinction du système au décommissionnement des systèmes legacy : https://www.tjc-group.com/blogs/legacy-systems-a-journey-from-sunsetting-to-decommissioning/
3.1.2 Évaluation des risques : Après avoir évalué votre inventaire, vous devez procéder à une évaluation détaillée des risques de chaque système legacy. Cela vous aidera à identifier les vulnérabilités et les menaces potentielles.
Par exemple, un système legacy sur VM peut mettre en péril l’ensemble de votre hyperviseur : https://www.tjc-group.com/blogs/virtual-machines-to-maintain-legacy-systems-a-good-or-a-bad-idea/
3.2 Analyse des lacunes
3.2.1 Lacunes en matière de conformité : L’un des aspects les plus importants à prendre en considération est probablement la vérification des lacunes en matière de conformité. Mais comment faire ? C’est très simple. Il vous suffit de comparer l’état actuel de vos systèmes legacy avec les exigences des normes ISO27001. De cette manière, vous serez en mesure d’identifier les lacunes en matière de conformité.
3.2.2 Lacunes en matière de sécurité : Comme nous l’avons déjà mentionné, les systèmes legacy présentent des risques élevés de failles de sécurité.
Par conséquent, vous devez identifier les domaines dans lesquels vos systèmes obsolètes existants ne répondent pas aux pratiques et contrôles de sécurité modernes. Vous trouverez ci-joint un exemple de la manière dont les systèmes legacy doivent être améliorés en permanence pour combler les lacunes en matière de sécurité : https://www.tjc-group.com/blogs/is-it-safe-to-keep-legacy-data-in-an-old-sap-system/
3.3 Stratégies d’atténuation
3.3.1 Gestion des correctifs : Si le cryptage des nouveaux correctifs peut constituer un défi, il est néanmoins nécessaire de veiller à ce que les systèmes legacy soient en phase avec les dernières mises à jour et les correctifs de sécurité.
3.3.2 Segmentation du réseau : Il est essentiel pour les organisations d’isoler les systèmes obsolètes du reste du réseau. De cette manière, vous pouvez minimiser les dommages potentiels en cas de violation de la sécurité.
3.3.3 Contrôles d’accès : Une autre considération à garder à l’esprit est de mettre en œuvre des contrôles d’accès stricts à vos systèmes legacy. Les organisations peuvent ainsi non seulement contrôler l’accès, mais aussi s’assurer que les systèmes ne tombent pas entre de mauvaises mains.
3.3.4 Cryptage : Là encore, il s’agit d’un processus fastidieux dans les systèmes obsolètes, mais tout à fait important : veillez à utiliser le cryptage pour protéger les données sensibles qui sont traitées ou stockées dans le système.
3.3.4 Confidentialité des données : Aujourd’hui, les applications doivent intégrer la notion de « privacy by design » (respect de la vie privée dès la conception). Cependant, ce n’est pas le cas pour les systèmes legacy. Depuis 2018 et la réglementation européenne sur la confidentialité des données, vous ne pouvez pas vous contenter de maintenir votre système legacy en état de marche. Il est important de mettre votre système hors service dans un cadre conforme à la confidentialité des données, et cela ne se limite pas à l’Europe.
Voici quelques réglementations à travers le monde https://www.tjc-group.com/blogs/data-privacy-your-absolute-guide-to-its-importance-regulations-and-more/
3.4 Politiques et procédures
3.4.1 Documenter les procédures : Veillez à créer et à maintenir une documentation détaillée de toutes les politiques et procédures mises en place pour gérer et sécuriser les systèmes legacy. Cela est très utile pour le deuxième principe directeur de la norme ISO27001, qui consiste à établir l’intégrité et la fiabilité des données.
3.4.2 Réponse aux incidents : En tant que membres vigilants de l’organisation, vous devez élaborer des plans de réponse aux incidents spécifiques pour les systèmes obsolètes utilisés. Gardez à l’esprit que les réponses aux incidents doivent tenir compte des vulnérabilités et des limites propres à chaque système.
3.5 Formation et sensibilisation à la cybersécurité
3.5.1 Formation des employés : Pour être juste, que vous utilisiez des systèmes legacy ou non, la formation des employés à la cybersécurité est toujours un facteur essentiel. Toutefois, dans le cas particulier des systèmes obsolètes, veillez à former vos employés aux risques spécifiques associés à ces systèmes. En outre, veillez à les former aux meilleures pratiques à suivre pour atténuer les risques.
3.5.2 Programmes de sensibilisation : Outre les sessions de formation, il est également important d’identifier et de mettre en œuvre des programmes de sensibilisation permanents. Cela permettra de s’assurer que les membres de votre équipe restent vigilants quant aux problèmes de sécurité liés aux systèmes obsolètes.
3.6 Suivi et révision des systèmes legacy
3.6.1 Contrôle continu : En gardant à l’esprit les principes directeurs de la norme ISO27001, la mise en œuvre de solutions de surveillance continue s’avère utile pour détecter les incidents de sécurité dans les systèmes legacy et y répondre.
3.6.2 Réalisation d’audits réguliers : Des audits réguliers de vos systèmes obsolètes permettent de garantir la conformité aux normes et aux principes directeurs de la norme ISO27001. En outre, des audits réguliers permettent également d’identifier de nouveaux risques et de nouvelles vulnérabilités.
3.7 Planification du démantèlement
3.7.1 Déclassement : Comme indiqué précédemment, les organisations ne peuvent pas s’en tenir éternellement à des systèmes obsolètes et le décommissionnement de ces systèmes legacy est essentiel. Cependant, pour le processus de migration, vous devez disposer de plans et de stratégies appropriés. Assurez-vous que les plans de décommissionnement des systèmes legacy sont optimisés et sécurisés.
3.7.2 Approche progressive : Tout en planifiant la migration vers des systèmes mis à niveau tels que S/4HANA, il est tout aussi important de mettre en œuvre une approche progressive afin de minimiser les perturbations et d’atténuer les risques de manière efficace. Vous pouvez mettre hors service un seul système, un paysage ou des centaines de systèmes différents.
3.8 Gestion des fournisseurs
3.8.1 Évaluations par des tiers : Le décommissionnement des systèmes legacy n’est pas une mince affaire ; il nécessite une planification adéquate et pas mal d’efforts pour la gestion des données, le retrait progressif des systèmes, etc. Dans de tels cas, le recours à des experts en démantèlement tiers peut s’avérer utile. Veillez toutefois à évaluer les procédures de sécurité de votre fournisseur et à vérifier si elles sont conformes aux normes ISO27001.
3.8.2 Contrats et accords de niveau de service : Il est important que vous incluiez des exigences de sécurité spécifiques dans les contrats et les accords de niveau de service (SLA) des fournisseurs tiers avec lesquels vous vous associez pour la gestion et le décommissionnement des systèmes legacy.
Grâce à ces considérations, les organisations peuvent mettre en œuvre, gérer et maintenir la sécurité des systèmes legacy dans le cadre de la norme ISO27001, tout en garantissant un système de gestion de la sécurité de l’information complet et solide.
Il n’est pas surprenant que le programme de déclassement et la gestion des fournisseurs soient également liés à la valeur et au retour sur investissement. Vous trouverez plus de détails ici : https://www.tjc-group.com/blogs/decommissioning-legacy-systems-exploring-the-hidden-costs-of-legacy-systems/
4. ISO27001, déclassement des systèmes et groupe TJC : Un trio efficace
C’est avec une immense fierté que nous annonçons que le groupe TJC est certifié ISO27001. L’obtention de cette certification témoigne de l’engagement de l’organisation en faveur de la sécurité de l’information et du respect des normes les plus strictes en matière de gestion de la sécurité de l’information. Le parcours de TJC Group vers la certification ISO27001 a commencé il y a un an, pour formaliser et améliorer nos pratiques de cybersécurité afin de construire un système de gestion de la sécurité de l’information (ISMS) robuste.
Grâce à nos normes ISO27001, les organisations qui cherchent à décommissionner leurs systèmes legacy peuvent s’associer à nous. Pourquoi? Notre équipe d’experts aide les organisations –
- Évitez les risques de non-conformité liés à la non-application des réglementations légales et des exigences en matière de confidentialité des données dans les systèmes legacy.
- Évitez la non-conformité lors des fusions et acquisitions tout en garantissant un accès sécurisé et continu aux données.
- Grâce à nos techniques de déclassement, les organisations peuvent dire adieu aux coûts élevés de maintenance des systèmes obsolètes, à leurs coûts de licence substantiels, etc.
En outre, l’un de nos points clés est que TJC Group peut décommissionner des systèmes legacy SAP et non SAP. En fait, en plus d’utiliser SAP ILM pour le déclassement, nous proposons notre propre solution basée sur le cloud – Enterprise Legacy System Application (ELSA) pour le déclassement. Pour en savoir plus sur le décommissionnement des systèmes legacy, contactez nos experts ici !
L’association de la norme ISO27001 et des systèmes legacy nécessite une gestion des risques, une documentation, une gestion de la sécurité et bien d’autres choses encore, conformément aux considérations mentionnées ci-dessus. À cela s’ajoutent les principes directeurs des normes ISO27001 auxquels les organisations doivent adhérer. Bien que les systèmes legacy posent des problèmes, ils peuvent être gérés efficacement grâce à un SMSI solide et bien structuré.
Pour d’autres lectures intéressantes sur la cybersécurité, la confidentialité des données et d’autres sujets, restez à l’écoute!