Dans un monde de plus en plus numérisé et interconnecté, les menaces liées aux cyber-attaques se multiplient. Les organisations ont besoin de mettre en œuvre des systèmes et processus résilients et sûrs pour se protéger. C’est pourquoi disposer d’un cadre visant à assurer la cybersécurité s’avère être une solution efficace. Deux nouveaux documents d’orientation ISO viennent d’être publiés afin de permettre aux organisations de mettre en place les meilleurs cadres possibles et d’assurer leur cybersécurité.
Élaborée en collaboration avec la Commission électrotechnique internationale (IEC), la spécification technique ISO/IEC TS 27110, Sécurité de l’information, cybersécurité et protection de la vie privée – Lignes directrices relatives à l’élaboration d’un cadre en matière de cybersécurité, spécifie comment créer, ou perfectionner, un système de protection robuste contre les cyber-attaques.
Sachant qu’il existe de nombreux cadres différents en matière de cybersécurité, proposant des lexiques et des structures conceptuelles très variés, cette spécification technique vise à simplifier la tâche, tant des créateurs que des utilisateurs, en fournissant un ensemble minimum de concepts et de définitions acceptés au niveau international et sur lesquels tout le monde peut s’entendre. Cela permet de libérer un temps précieux pour combattre les véritables menaces à la cybersécurité plutôt que de se perdre dans les concepts et la terminologie.
ISO/IEC TS 27110 est complétée par ISO/IEC TS 27100, qui propose une vue d’ensemble et des concepts visant à définir la cybersécurité et à en préciser le contexte en termes de gestion des risques liés à la sécurité de l’information lorsque celle-ci se présente sous une forme numérique. Cette spécification technique aborde également des questions connexes pertinentes, notamment la manière dont la cybersécurité est associée à la sécurité de l’information.
Selon Edward Humphreys, Animateur du groupe d’experts de l’ISO qui a élaboré ces documents, les nouvelles lignes directrices aideront les acteurs du domaine à être plus efficaces dans la gestion des cyber-risques qui sont omniprésents dans notre monde numérique.
« Le secteur de la sécurité informatique investit beaucoup de temps et de ressources afin de se conformer à des réglementations disparates. Or, dans un contexte où les ressources sont limitées, ceux-ci s’en trouve détournés des activités de cybersécurité proprement dites », explique-t-il. « Ces lignes directrices permettront d’optimiser les ressources pour lutter contre les cyber-menaces en temps réel. »
« Des différences existent au sein d’un même pays et d’un environnement à l’autre à l’échelle mondiale. Ces nouvelles spécifications techniques visent à fournir des orientations claires qui permettront aux organisations de créer un cadre en matière de cybersécurité qui soit à la fois souple d’utilisation et assure la compatibilité et l’interopérabilité avec d’autres cadres. Cela contribuera à atténuer ces différences tout en répondant aux exigences des parties prenantes, afin de favoriser une cohérence dans l’ensemble du secteur. »
ISO/IEC TS 27110 et ISO/IEC TS 27100 ont été élaborées conjointement par le comité technique ISO/IEC JTC 1, Technologies de l’information, sous-comité SC 27, Sécurité de l’information, cybersécurité et protection de la vie privée, dont le secrétariat est assuré par le DIN, membre de l’ISO pour l’Allemagne. Ces spécifications techniques sont disponibles auprès du membre de l’ISO dans votre pays ou sur l’ISO Store.