Les dommages considérables occasionnés par de telles attaques peuvent affecter des célébrités embarrassées par la diffusion de photos compromettantes, entraîner la perte de dossiers médicaux, et aller jusqu’à des demandes de rançon de plusieurs millions adressées aux entreprises les plus puissantes.
Lorsque ces données concernent des informations personnelles, financières ou médicales, les entreprises ont l’obligation légale et morale de les protéger contre les attaques de cybercriminels. C’est à ce niveau que les Normes internationales, telles que celles de la famille ISO/IEC 27000, interviennent en aidant les organisations à gérer la sécurité d’actifs comme des informations financières, des droits de propriété intellectuelle, des informations relatives au personnel ou des données confiées par des tiers.
ISO/IEC 27001, la norme la plus prisée de cette famille, spécifie les exigences relatives à tout système de management de la sécurité de l’information (SMSI). Bien que la certification ne soit pas une exigence obligatoire de cette Norme internationale, une organisation peut demander à être certifiée.
Pour toute personne chargée de l’audit d’une entreprise donnée, ce processus peut s’avérer complexe, et pour que ce dernier se déroule sans problèmes, l’auditeur doit être préparé et rester attentif aux détails. C’est précisément dans ce but qu’ISO/IEC 27007, Technologies de l’information – Techniques de sécurité – Lignes directrices pour l’audit des systèmes de management de la sécurité de l’information, a été élaborée. La norme, initialement publiée en 2011, vient d’être actualisée et alignée sur la norme ISO/IEC 27001:2013 afin d’aider les deux parties à se préparer soigneusement grâce à des lignes directrices claires.
ISO/IEC 27007 propose des lignes directrices sur la gestion des programmes d’audit de SMSI, la réalisation d’audits internes et externes de SMSI conformément à ISO/IEC 27001, ainsi que sur la compétence et l’évaluation des auditeurs de SMSI. Elle fournit en outre des recommandations détaillées pour l’audit de l’ensemble des exigences d’ISO/IEC 27001. Conçue pour être utilisée conjointement aux lignes directrices d’ISO 19011:2011, elle adopte par ailleurs la structure de cette Norme internationale.
La dernière édition d’ISO/IEC 27007, qui présente des avantages pour toute entreprise, peut être appliquée par tous types d’utilisateurs, y compris les PME.