Conformité TI en sécurité : un simple “nice to have” pour les PME?

Conformité TI en sécurité : un simple “nice to have” pour les PME?

Nombreuses sont les PME qui ne se sentent pas concernées par une démarche de conformité TI. Obtenir une certification en sécurité semble parfois loin de leurs priorités opérationnelles, et ça peut se comprendre. Pourtant, le jeu en vaut souvent la chandelle! On vous explique pourquoi.

D’abord, « être conforme”, qu’est-ce que ça signifie pour une entreprise?

Tout simplement respecter des réglementations ou certains standards qui s’appliquent à son industrie, ou qui sont requis par certains types de clients.

Ex. Certaines organisations qui conservent des données issues de cartes de crédit sont soumises aux normes de sécurité PCI.

Quand on parle de conformité des TI, on parle essentiellement de sécurité, et beaucoup de certifications comme :

– ISO 27001 pour la sécurité des systèmes d’information
– ISO 27018 pour la protection des données à caractère personnel dans le Cloud
– ISO 27017 pour la sécurité des services dans le nuage

Comme bien des PME non technologiques, l’évocation de ces normes de sécurité peut vous amener les réflexions suivantes :

Quelques idées reçues des PME concernant la conformité TI en sécurité

Ce n’est pas pour moi, je ne suis soumis à aucune obligation.
Bon point. Mais, avec l’essor rapide des technologies en milieu de travail, protéger vos TI, vos employés, ou les données de vos clients et partenaires peut devenir un enjeu. Avez-vous correctement sécurisé le télétravail implanté ces derniers mois dans votre entreprise? Que dire de votre nouveau processus de commerce en ligne?

Ce n’est pas pour moi, je ne suis pas une entreprise de services/solutions informatiques.
Certes. Mais, comme toutes les entreprises, vous avez un « joyau » à protéger. Recette secrète de produit, liste confidentielle de fournisseurs, procédé de fabrication unique : une certification vous garantit de passer au crible vos processus, vos systèmes et vos plans de continuité TI pour le mettre à l’abri des regards indiscrets.

Pas besoin, je n’ai jamais été attaqué!
En êtes-vous sûr? Les pirates ne laissent pas de cartes lors de leurs passages! La mise en place d’une norme de sécurité – en fonction du périmètre pertinent pour vos activités – identifie vos failles, car on y teste toutes les “portes d’entrée” de vos systèmes d’information. Sinon, vous restez dans le domaine des suppositions.

Ça me coûterait trop cher de me faire certifier (versus ce que ça me rapporte)
Oui, la certification a un coût variable en fonction d’où on part, d’où on veut aller et de ce qu’on veut protéger. Mais combien vous coûterait la récupération de vos données en cas d’attaque par rançongiciel? Ou un vol de données? Voyez l’investissement dans une certification comme une assurance, même si l’infaillibilité à 100% n’existe (malheureusement) pas.

La conformité TI est donc souvent perçue comme une contrainte. Ou comme un projet utile, mais pas nécessaire pour une PME. Cette démarche rigoureuse est pourtant une opportunité d’entrer dans un cycle d’amélioration continue bénéfique à de nombreux points de vue.

Quels avantages à passer une certification TI en sécurité?

  • Relevez votre niveau de sécurité, peu importe votre situation de départ
    Travailler sur ses processus, ses systèmes et sa sensibilisation, c’est améliorer la prise de conscience en interne sur ce sujet devenu crucial. On ne vous demande pas d’être parfait dès la première tentative de certification, mais d’augmenter progressivement le niveau de maturité de votre entreprise. Pour tirer tous les bénéfices de la démarche, définissez la certification et le périmètre les plus adaptés à votre cœur de métier.
  • Inspirez confiance à vos clients et partenaires
    L’impact sur le plan de l’image est significatif. Une certification peut vous aider à gagner de nouveaux clients, ou vous éviter d’en perdre. Certains l’exigent directement dans leurs appels d’offres, d’autres y voient un avantage concurrentiel pour choisir leur fournisseur. C’est une preuve (validée par une tierce partie) que vous faites votre possible pour sécuriser la relation d’affaires, et ainsi éloigner le risque de faire les manchettes pour vol d’informations.
  • Prenez le chemin d’une performance durable
    La conformité des TI en matière de sécurité s’inscrit dans une bonne gouvernance de votre entreprise. C’est un des aspects à considérer concernant sa santé globale. Une donnée supplémentaire pour anticiper les problèmes, prendre des décisions éclairées, et ainsi assurer sa pérennité à long terme.

Conformité TI en sécurité : un simple “nice to have” pour les PME?

Autres billets

22Oct
Vulnérable le cloud? Pas si votre solution est bien choisie et configurée!

R2i - Membre AQT

05Nov
Conformité : une assurance de cybersécurité pour gagner la confiance de vos partenaires d’affaires

Fortica - Membre AQT

27Oct
Guide des bonnes pratiques en matière de cybersécurité

admin