ISO27001 et les systèmes legacy | Tout ce que vous devez savoir à ce sujet !

28-10-2024 | 11 lecture minimale | Archivage des données SAP, Cybersécurité, Décommissionnement des systèmes legacy


La norme ISO27001 est définie comme une norme de réglementation de la sécurité de l’information, guidant les organisations dans l’élaboration, la mise en œuvre, la maintenance et l’amélioration continue de leurs systèmes de gestion de la sécurité de l’information (SGSI), garantissant ainsi la protection de leurs précieuses ressources en matière d’information. Il s’agit d’une norme internationalement reconnue, publiée par l’Organisation internationale de normalisation (ISO), en partenariat avec la Commission électrotechnique internationale (CEI). La norme ISO27001 s’accompagne d’un cadre qui permet d’améliorer les opérations du SMSI ; le cadre de sécurité ISO définit un objectif, qui est de protéger les informations de l’organisation d’une manière rationalisée, systématique et, surtout, rentable, indépendamment de sa taille ou de son secteur d’activité.

Les organisations doivent garder à l’esprit que la certification ISO27001 est obtenue par le biais d’un processus d’audit externe. Un organisme de certification évaluera les systèmes de gestion de la sécurité de l’information (SGSI) de l’organisation conformément aux exigences de la norme. En obtenant cette certification, vous démontrerez à vos parties prenantes et à vos clients votre engagement à maintenir des normes élevées en matière de sécurité de l’information.

La norme ISO27001 fournit aux organisations les informations et les connaissances nécessaires à la protection de leurs données précieuses. Cela dit, la norme permet également aux organisations d’obtenir une certification ISO27001, prouvant ainsi à leurs clients et partenaires que leurs données sont protégées. Ce qui est encore plus intéressant à propos de cette norme, c’est que même les particuliers peuvent obtenir la certification ISO27001 en suivant un cours et en passant l’examen. Comme il s’agit d’une norme internationale, la certification est reconnue et réputée dans le monde entier, ce qui accroît les possibilités de relations commerciales pour les organisations.

Il existe plusieurs aspects clés de la norme ISO27001 que vous devez connaître ; certains des plus importants sont mentionnés ci-dessous.

La norme ISO27001 repose principalement sur trois grands principes directeurs qui contribuent à sécuriser les personnes, les processus et les technologies. Il s’agit de la confidentialité, de l’intégrité et de la disponibilité, communément appelées « triade C-I-A ». Pour en savoir plus, cliquez ici.


En résumé, avec un système de gestion de la sécurité de l’information (SGSI) qui répond aux exigences et aux principes directeurs de la norme ISO27001, les organisations peuvent garantir la sécurité des données de manière transparente. En fait, il donne confiance et établit la crédibilité auprès des actionnaires, des clients et des parties intéressées en leur garantissant que leurs données sont sécurisées et conservées de manière adéquate.

Comme nous le disons toujours, la cybersécurité est au cœur de toute organisation. Cependant, il est regrettable que les organisations dotées de systèmes legacy passent souvent à côté de cette notion. En particulier, si les systèmes obsolètes ne sont pas contrôlés, ils peuvent être vulnérables aux attaques des cybercriminels par le biais de diverses cybermenaces.

Les systèmes legacy sont parfois le point d’entrée des vulnérabilités, car ces systèmes obsolètes tombent dans l’oubli et sont souvent négligés. Les systèmes obsolètes sont plus susceptibles de recevoir des vulnérabilités s’ils ne sont pas contrôlés. Mais les maintenir à jour avec les derniers contrôles de sécurité est coûteux et improductif. L’existence de ces systèmes obsolètes s’accompagne de son lot de difficultés : les systèmes peuvent ne pas être cryptés ou protégés par des contrôles d’accès, ce qui les expose à des risques d’attaques internes ou externes hors ligne.

Deuxièmement, les équipes informatiques des organisations sont confrontées à un autre défi : rester au fait des correctifs et des mises à jour des systèmes. La liste des cyber-vulnérabilités est longue, et avec les systèmes legacy, il devient encore plus essentiel de garder un œil attentif.

Tous ces éléments combinés ensemble pointent toujours vers le fait que le décommissionnement des systèmes legacy est la voie à suivre. Cependant, certaines organisations utilisent encore des systèmes obsolètes, au moins jusqu’à ce qu’elles migrent vers la très nécessaire S/4HANA. Cela dit, il est parfois nécessaire de conserver des systèmes obsolètes, même s’ils ne sont pas utilisés, en raison de facteurs tels que les audits, l’accessibilité aux données historiques, etc. Par conséquent, que votre organisation utilise un système legacy ou qu’elle l’ait conservé en vue d’un décommissionnement ultérieur, la mise en œuvre de mesures de cybersécurité est cruciale. Mais la norme ISO27001 peut-elle être appliquée à ces systèmes ?

Les organisations qui souhaitent obtenir ce badge loué doivent mettre en place et maintenir certaines normes (décrites ci-dessus), qui concernent également les systèmes legacy. La tâche peut s’avérer ardue, mais c’est tout à fait possible. En fait, elle contribue à garantir une sécurité de l’information globale dans votre organisation. Nous avons examiné quelques considérations et stratégies clés sur la façon dont les systèmes legacy peuvent être maintenus dans le cadre de la norme ISO27001.

Par exemple, un système legacy sur VM peut mettre en péril l’ensemble de votre hyperviseur : https://www.tjc-group.com/blogs/virtual-machines-to-maintain-legacy-systems-a-good-or-a-bad-idea/

3.2.1 Lacunes en matière de conformité : L’un des aspects les plus importants à prendre en considération est probablement la vérification des lacunes en matière de conformité. Mais comment faire ? C’est très simple. Il vous suffit de comparer l’état actuel de vos systèmes legacy avec les exigences des normes ISO27001. De cette manière, vous serez en mesure d’identifier les lacunes en matière de conformité.

Par conséquent, vous devez identifier les domaines dans lesquels vos systèmes obsolètes existants ne répondent pas aux pratiques et contrôles de sécurité modernes. Vous trouverez ci-joint un exemple de la manière dont les systèmes legacy doivent être améliorés en permanence pour combler les lacunes en matière de sécurité : https://www.tjc-group.com/blogs/is-it-safe-to-keep-legacy-data-in-an-old-sap-system/

3.3.2 Segmentation du réseau : Il est essentiel pour les organisations d’isoler les systèmes obsolètes du reste du réseau. De cette manière, vous pouvez minimiser les dommages potentiels en cas de violation de la sécurité.

3.3.4 Cryptage : Là encore, il s’agit d’un processus fastidieux dans les systèmes obsolètes, mais tout à fait important : veillez à utiliser le cryptage pour protéger les données sensibles qui sont traitées ou stockées dans le système.

Voici quelques réglementations à travers le monde https://www.tjc-group.com/blogs/data-privacy-your-absolute-guide-to-its-importance-regulations-and-more/

3.4.1 Documenter les procédures : Veillez à créer et à maintenir une documentation détaillée de toutes les politiques et procédures mises en place pour gérer et sécuriser les systèmes legacy. Cela est très utile pour le deuxième principe directeur de la norme ISO27001, qui consiste à établir l’intégrité et la fiabilité des données.

3.4.2 Réponse aux incidents : En tant que membres vigilants de l’organisation, vous devez élaborer des plans de réponse aux incidents spécifiques pour les systèmes obsolètes utilisés. Gardez à l’esprit que les réponses aux incidents doivent tenir compte des vulnérabilités et des limites propres à chaque système.

3.5.2 Programmes de sensibilisation : Outre les sessions de formation, il est également important d’identifier et de mettre en œuvre des programmes de sensibilisation permanents. Cela permettra de s’assurer que les membres de votre équipe restent vigilants quant aux problèmes de sécurité liés aux systèmes obsolètes.

3.6.1 Contrôle continu : En gardant à l’esprit les principes directeurs de la norme ISO27001, la mise en œuvre de solutions de surveillance continue s’avère utile pour détecter les incidents de sécurité dans les systèmes legacy et y répondre.

3.6.2 Réalisation d’audits réguliers : Des audits réguliers de vos systèmes obsolètes permettent de garantir la conformité aux normes et aux principes directeurs de la norme ISO27001. En outre, des audits réguliers permettent également d’identifier de nouveaux risques et de nouvelles vulnérabilités.

3.7.1 Déclassement : Comme indiqué précédemment, les organisations ne peuvent pas s’en tenir éternellement à des systèmes obsolètes et le décommissionnement de ces systèmes legacy est essentiel. Cependant, pour le processus de migration, vous devez disposer de plans et de stratégies appropriés. Assurez-vous que les plans de décommissionnement des systèmes legacy sont optimisés et sécurisés.

Grâce à ces considérations, les organisations peuvent mettre en œuvre, gérer et maintenir la sécurité des systèmes legacy dans le cadre de la norme ISO27001, tout en garantissant un système de gestion de la sécurité de l’information complet et solide.

Il n’est pas surprenant que le programme de déclassement et la gestion des fournisseurs soient également liés à la valeur et au retour sur investissement. Vous trouverez plus de détails ici : https://www.tjc-group.com/blogs/decommissioning-legacy-systems-exploring-the-hidden-costs-of-legacy-systems/

C’est avec une immense fierté que nous annonçons que le groupe TJC est certifié ISO27001. L’obtention de cette certification témoigne de l’engagement de l’organisation en faveur de la sécurité de l’information et du respect des normes les plus strictes en matière de gestion de la sécurité de l’information. Le parcours de TJC Group vers la certification ISO27001 a commencé il y a un an, pour formaliser et améliorer nos pratiques de cybersécurité afin de construire un système de gestion de la sécurité de l’information (ISMS) robuste.

Lire : https://www.tjc-group.com/blogs/tjc-group-achieves-iso-27001-certification-for-information-security/

Grâce à nos normes ISO27001, les organisations qui cherchent à décommissionner leurs systèmes legacy peuvent s’associer à nous. Pourquoi? Notre équipe d’experts aide les organisations –

  • Évitez les risques de non-conformité liés à la non-application des réglementations légales et des exigences en matière de confidentialité des données dans les systèmes legacy.
  • Évitez la non-conformité lors des fusions et acquisitions tout en garantissant un accès sécurisé et continu aux données.
  • Grâce à nos techniques de déclassement, les organisations peuvent dire adieu aux coûts élevés de maintenance des systèmes obsolètes, à leurs coûts de licence substantiels, etc.

En outre, l’un de nos points clés est que TJC Group peut décommissionner des systèmes legacy SAP et non SAP. En fait, en plus d’utiliser SAP ILM pour le déclassement, nous proposons notre propre solution basée sur le cloud – Enterprise Legacy System Application (ELSA) pour le déclassement. Pour en savoir plus sur le décommissionnement des systèmes legacy, contactez nos experts ici !

L’association de la norme ISO27001 et des systèmes legacy nécessite une gestion des risques, une documentation, une gestion de la sécurité et bien d’autres choses encore, conformément aux considérations mentionnées ci-dessus. À cela s’ajoutent les principes directeurs des normes ISO27001 auxquels les organisations doivent adhérer. Bien que les systèmes legacy posent des problèmes, ils peuvent être gérés efficacement grâce à un SMSI solide et bien structuré.

Pour d’autres lectures intéressantes sur la cybersécurité, la confidentialité des données et d’autres sujets, restez à l’écoute!