Transition SMSI d'IMS Networks vers ISO/IEC 27001:2022

La certification ISO 27001 est une norme internationale de standardisation en matière de sécurité de l'information qui a vu le jour au début des années 2000. La conformité à ISO/IEC 27001 signifie qu’une organisation ou une entreprise a mis en place un système pour gérer les risques liés à la sécurité de ses données ou des données qu’elle est amenée à traiter, et que ce système est conforme aux bonnes pratiques et principes énoncés dans cette Norme internationale.

En décembre 2022, l'Association Française de Normalisation (AFNOR) a annoncé le lancement tant attendu de la version 2022 de la norme ISO 27001, une avancée majeure dans le domaine de la sécurité de l'information. Cette nouvelle version a suscité l'intérêt et l'engagement des entreprises à travers le monde, cherchant à renforcer leurs pratiques de gestion de la sécurité de l'information (SMSI).

Depuis 2015, nous sommes certifiés pour les activités historiques d'opérateur de réseau et nous avons progressivement élargi le champ d'application de notre certification ISO 27001 pour inclure nos activités d'hébergement, ainsi que les services SOC intégrés dans notre centre d'opération NSOC réseau et sécurité. En accord avec notre engagement dans l'excellence opérationnelle et la protection des données, nous avons pris les devants pour aligner notre système de management de la sécurité des informations sur les évolutions de la norme.

Dès 2023 nous avons procédé à une analyse d'impact, communément appelée « gap analysis », comparant notre SMSI basé sur la version 2017 de la norme avec les exigences de la version 2022. Cette évaluation minutieuse nous a permis d’identifier les évolutions majeures de la norme et de déterminer les mesures nécessaires pour faciliter l'adoption du nouveau référentiel.

Après la mise en œuvre du plan visant la conformité aux exigences de la nouvelle version de la norme, notre SMSI était prêt pour un audit "à blanc". Les résultats de l’audit mené en janvier 2024 ont été concluants, témoignant de l'engagement et de la rigueur de l'entreprise en matière de sécurité de l'information.

C'est donc avec confiance et enthousiasme qu’IMS Networks s'engage dans un nouveau cycle de certification. Le prochain audit de renouvellement aura lieu au printemps 2024, marquant ainsi notre entrée dans notre quatrième cycle de certification pour une durée de trois ans. IMS Networks devrait figurer parmi les premières entreprises à être auditées selon les normes rigoureuses de la version 2022 de l'ISO 27001.

« L'effort d'homogénéisation de la nouvelle norme améliore la lisibilité des exigences en matière de sécurité de l'information. Les mesures de sécurité et les capacités opérationnelles sont désormais mises en perspective avec des référentiels renommés tels que les domaines de sécurité de l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) et le Cybersecurity Framework (Cadre de Cyber sécurité) du National Institute of Standards and Technology (NIST). » Laurent Santoul, RSSI chez IMS Networks.

Cette intégration permet aux clients d'IMS Networks de mieux comprendre les champs d'application des mesures de sécurité mises en place. Par exemple, l'équipe en charge de la Sécurité des Systèmes d'Information (SSI) et le Centre Opérationnel de Sécurité (SOC) intègrent le renseignement sur les menaces afin de réévaluer les risques et d'ajuster les mesures de sécurité en conséquence, en accord avec les concepts de sécurité "Identifier" et "Détecter" du référentiel NIST.

En parallèle, IMS Networks déploie une stratégie Zero Trust et de gestion des identités, visant à identifier les comportements à risque conformément aux directives des référentiels ANSSI et NIST, renforçant ainsi sa posture de sécurité et sa capacité à faire face aux menaces émergentes.

Les actions pour le passage à la version 2022 de la norme reflètent notre valeur « confiance » et notre engagement continu envers l'excellence en matière de sécurité de l'information, au service d’un monde numérique plus sûr et plus résilient.