La norme ISO 27001 traite-t-elle de la sécurité physique ?
Février 20th, 2023 By AmywrightCet article traite des sujets suivants :
- Qu’est-ce que la certification ISO/IEC 27001 ?
- Qu’entendons-nous par « sécurité physique » ?
- En quoi la sécurité physique est-elle essentielle à la protection des données d’une entreprise.
- ISO/IEC 27001 traite t’elle de la sécurité physique ?
- Qu’est-ce que la Clause 7 de l’Annexe A de la certification ISO/IEC 27001 :2022 ?
Qu’est-ce que la certification ISO/IEC 27001 ?
ISO/IEC 27001 est la norme internationale pour le management de la sécurité de l’information (SMSI). La mise en œuvre d’un SMSI est essentielle pour toutes les entreprises qui souhaitent être protégées contre les menaces de sécurité ou les brèches dans les données.
La certification ISO/IEC 27001 vous permet de protéger les informations et les données, qu’il s’agisse de celles de vos clients, de votre personnel ou de vos fournisseurs – contre les menaces potentielles.
Ces menaces peuvent être :
- Les vols de propriété intellectuelle.
- L’usurpation d’identité
- L’extorsion d’informations.
- Le vol de matériel ou de données.
- Le sabotage ou le piratage.
- Les virus, vers informatiques, attaques de phishing et chevaux de Troie.
La norme ISO/IEC 27001 a pour but de prévenir et de réduire les menaces qui pourraient survenir dans votre entreprise. Des processus sont mis en place conformément à la norme ISO/IEC 27001, et vont permettre à votre entreprise d’identifier les dangers et de prendre des mesures préventives.
Consultez notre page ISO/IEC 27001 pour plus d’informations à ce sujet.
Qu’entend-on par « sécurité physique » ?
La sécurité physique fait référence aux mesures prises par votre entreprise pour prévenir les menaces physiques. L’entreprise doit se protéger contre tout danger, quelle que soit son importance.
Les menaces liées à l’environnement physique de l’entreprise peuvent causer des dommages irréversibles à votre réputation et nuire à la sécurité de vos clients, de votre personnel et de vos fournisseurs.
Ces menaces physiques éventuels sont:
- Le vandalisme délibéré contre votre entreprise ou un individu en particulier.
- Le vandalisme involontaire.
- Des défaillances matérielles dues à des accidents ou à des actes de sabotage.
- Des pannes d’électricité.
ISO/IEC 27001 permet à votre entreprise de contrôler ses infrastructures matérielles et de déterminer ses éventuelles non-conformités. Grâce aux directives ISO/IEC 27001, votre entreprise peut améliorer et renforcer ses systèmes existants et en faire un système présentant un minimum de risques.
Mettre en place une stratégie dans l’entreprise qui est d’installer un système de double vérification des données, et le stockage des données dans un endroit auquel seules les personnes autorisées ont accès va minimiser la probabilité d’occurrence des risques énoncés ci-dessus.
Protégez-vous contre les menaces physiques de sécurité.
En quoi la sécurité physique est-elle essentielle à la protection des données d’une entreprise ?
La mise en place d’un système de management de la sécurité contre les éventuelles menaces physiques est essentielle au maintien des bonnes pratiques de management de la sécurité des données et des informations.
Supposons qu’une source inconnue pirate vos systèmes ou accède physiquement à vos appareils et logiciels. Dans ce cas, toutes les données et informations stockées sur ces appareils deviendront accessibles et pourront être utilisées ou sabotées.
Les menaces physiques peuvent survenir dans toute entreprise qui utilise et conserve des données ou des informations.
Il existe trois types de données personnelles :
- Données personnelles génériques.
- Données personnelles sensibles.
- Détails relatifs aux infractions pénales.
Les données personnelles génériques incluent les informations personnelles de vos clients, telles que les noms, les adresses e-mail ou encore les adresses physiques. Les mots de passe, les numéros de sécurité bancaires, les archives financières et les données professionnelles sont également considérées comme des données personnelles génériques, parmi tant d’autres.
Les données classées comme sensibles ou de catégorie spéciale, selon le RGPD, nécessitent un niveau de protection plus élevé en raison de leur nature sensible. Ces données comprennent :
- Origines ethniques ou raciales
- Opinions politiques, religieuses ou philosophiques
- Affiliations syndicales
- Données génétiques
- Données biométriques (lorsqu’elles sont utilisées à des fins d’identification)
- Données relatives à la santé
- Les données relatives à l’orientation sexuelle d’un individu.
Avec ISO/IEC 27001, les données et les informations sont gérées de manière pertinente et sécurisée afin d’éviter toute utilisation abusive. Les données doivent être conservées uniquement pour leur finalité et conformément aux règles et réglementations du RGPD.
ISO/IEC 27001 traite-t-elle de la sécurité physique ?
La certification ISO/IEC 27001 prévoit une section sur les procédures à suivre en cas de fuite de données liée à l’environnement physique de votre entreprise.
La certification ISO/IEC 27001 :2022 comprend des critères répartis en quatre catégories : Organisation, personnel, physique et technologie. La clause 7 de l’annexe A comprend les critères physiques, qui se doivent d’être maintenus à un haut niveau d’efficacité pour assurer la protection de la sécurité physique.
L’environnement physique dans lequel les données sont exploitées doit être évalué de manière adéquate pour détecter les non-conformités et les dangers qui pourraient survenir de manière inattendue.
L’application de la certification ISO/IEC 27001 au sein de votre entreprise permet de réduire considérablement le risque d’apparition de menaces pour la sécurité physique. Vous pouvez garantir que vos systèmes seront continuellement évalués selon des critères rigoureux et que vous pourrez assurer le maintien des compétences de votre entreprise.
Les critères décrits dans la clause 7 de l’annexe A de la norme ISO/IEC 27001: 2022 sont les suivants :
- 1 Périmètres de sécurité physique
- 2 Accès physique
- 3 Sécurisation des locaux et des installations
- 4 Contrôle de la sécurité physique
- 5 Protection contre les menaces physiques et environnementales
- 6 Le travail dans des espaces sécurisés
- 7 Bureau et écran dégagé
- 8 Emplacement et protection des équipements
- 9 Sécurité des ressources hors site
- 10 Supports de stockage
- 11 Services de support
- 12 Sécurité du câblage
- 13 Maintenance des équipements
- 14 Élimination ou réutilisation sécurisée des équipements
Par exemple, dans le contrôle 7.2, Accès Physique, il est indiqué que les zones sécurisées doivent être protégées par des dispositifs de contrôle d’entrée et des points d’accès adaptés. Cela permet de s’assurer que seul le personnel autorisé peut accéder physiquement aux informations de votre entreprise. Les contrôles d’entrée physiques comprennent des dispositifs techniques permettant de gérer les zones d’accès, tels que des portes d’entrée, des portails, des lecteurs de cartes, des scanners de badges, des digicodes ou des portes tournantes.
Dans le contrôle 7.10, supports de stockage, ISO/IEC 27001 traite de la manière dont les entreprises peuvent gérer leurs dispositifs de stockage, tels que les SSD, les clés USB, les disques durs externes et les appareils mobiles, tout au long de leur cycle de vie (acquisition, utilisation, transport et élimination), conformément à leurs exigences de manipulation.
ISO/IEC 27001 comprend des clauses et des contrôles qui couvrent la sécurité physique au sein de votre entreprise. Par conséquent, vous pouvez être assuré qu’en adoptant la certification ISO/IEC 27001, vos contrôles et votre gestion de la sécurité seront prémunis contre les risques liés à la sécurité physique.
Je suis intéressé par ISO/IEC 27001. Que dois-je faire ?
Vous souhaitez en savoir plus sur les bénéfices que peut apporter la certification ISO/IEC 27001 à votre entreprise ?
Contactez-nous pour fixer un entretien gratuit avec l’un de nos conseillers spécialisés ici : IMSM FR Contactez Nous
IMSM offre un forfait fixe et sans frais cachés ainsi qu’une approche flexible, vous aidant à obtenir la certification en toute sérénité.
Vous êtes déjà certifié ISO/IEC 27001 ? Vous pouvez vous inscrire dès maintenant pour une formation aux principes de l’audit interne ISO/IEC 27001 ici : Nos formations 27001 (imsm.com)
Sources :
https://www.verizon.com/business/en-au/resources/reports/dbir/
Contactez nous
Pour un devis gratuit ou une présentation sur place par un spécialiste ISO, contactez-nous dès aujourd’hui!
Norme-Impact SARL,
Spaces Part-Dieu,
47 boulevard Marius Vivier Merle,
69003 Lyon,
France