En 2019, la certification ISO 27001de DNS Belgium a été reconduite. Cette année, nous allons lancer une mise à jour du modèle de maturité de la sécurité de CENTR . Ces deux éléments s’inscrivent dans le cadre d’une stratégie européenne de cybersécurité à long terme.
Réglementations européennes
L’Europe a mis au point une stratégie de long terme pour la sécurité de l’information et la cybersécurité. Le RGPD, entré en vigueur en 2018, a constitué un premier élément de cette stratégie. En 2019, la directive sur la sécurité des systèmes de réseau et d’information (NIS) et la loi européenne sur la cybersécurité ont complété cette stratégie.
La directive NIS définit les dispositions légales devant permettre de relever le niveau général de la cybersécurité dans l’UE. Pour ce faire, la directive vise notamment à :
- garantir que les états membres travaillent main dans la main pour atteindre cet objectif, et
- favoriser une culture de la sécurité dans des secteurs qui sont à la fois vitaux pour notre économie et notre société et fortement dépendants des technologies de l’information et de la communication (TIC).
La loi européenne sur la cybersécurité a quant à elle initié un cadre de certification pour la cybersécurité des produits, services et processus digitaux.
La loi sur la cybersécurité instaure un cadre de certification pour la cybersécurité. Mais nous voulons éviter que chaque pays ne joue cavalier seul ou que des organisations ne fassent leur shopping pour obtenir leur certification. C’est pourquoi CENTR veut jouer un rôle de pionnier au niveau européen et recommander de bonnes pratiques. DNS Belgium et DENIC, le registry .de en Allemagne, ont un rôle clé à jouer dans cette perspective.
En matière de RGPD et de Cybersécurité (loi européenne), les mêmes règles s’appliquent à tous les états membres de l’UE. Mais il en va autrement pour la directive NIS : en effet, les états membres peuvent interpréter cette directive à leur guise. « La loi sur la cybersécurité instaure un cadre de certification pour la cybersécurité. Mais nous voulons éviter que chaque pays ne joue cavalier seul ou que des organisations ne fassent leur shopping pour obtenir leur certification » explique Kristof Tuyteleers, Security Officer chez DNS Belgium. « C’est pourquoi CENTR veut jouer un rôle de pionnier au niveau européen et recommander de bonnes pratiques. DNS Belgium et DENIC, le registry .de en Allemagne, ont un rôle clé à jouer dans cette perspective. »
Modèle de maturité de la sécurité
En 2017, sur l’initiative de DNS Belgium, CENTR a mis au point un modèle de maturité de la sécurité. Ce modèle permet aux entreprises de surveiller le niveau de maturité de la sécurité de l’information sur 5 points spécifiques. Une mise à jour de ce modèle sera publiée cette année. Une fois ce modèle analysé, les statistiques de votre société s’affichent et sont comparées à celles d’autres entreprises, en tout anonymat. « Le but est de fournir aux responsables de la sécurité de l’information dans les entreprises des éléments (arguments) supplémentaires lorsqu’ils demandent à leur direction de pouvoir en faire davantage sur le plan de la sécurité », explique Kristof. « Qui plus est, nous voulons utiliser ces résultats pour nous développer en tant que communauté axée sur la cybersécurité et renforcer la position de chacun de ses membres. »
Renouvellement de notre certificat ISO
Nos efforts en matière de cybersécurité ont été récompensés par le renouvellement de notre certificat ISO. Le système de gestion de la sécurité de l’information de DNS Belgium (ISMS) est officiellement certifié conforme ISO 27001 depuis le début du mois de juillet 2016 et a été recertifié en 2019. Cet ISMS vise à contenir les risques en matière de sécurité des données dans notre organisation. Il repose sur une approche processuelle de la planification, de la mise en œuvre, de l’évaluation et de l’amélioration continue de la gestion de la sécurité de l’information. Cette recertification a fait l’objet d’un audit rigoureux.
Nous sommes certifiés ISO depuis plus de 4 ans. Cela ne présente aucun intérêt commercial pour nous, mais nous voulions ce certificat pour prouver au monde extérieur combien la sécurité de l’information est importante pour nous. Une des manières de le faire était d’obtenir une reconnaissance officielle de nos efforts en la matière par un organisme externe, indépendant. Nous voulons montrer que nous travaillons sur les services que nous fournissons de manière responsable et sécurisée, quelles que soient les obligations légales et bien au-delà de celles-ci.
Puzzle européen
Il paraît logique d’associer le modèle de maturité de la sécurité à l’audit de certification ISO et à la législation européenne en matière de cybersécurité. Mais ce n’est pas encore chose faite. Aujourd’hui, les organisations non concernées par la directive NIS mettent spontanément en place des plans de certification développés selon les termes de la loi européenne sur la cybersécurité. En 2023, l’Europe décidera des mesures obligatoires applicables aux différents services et secteurs. « En d’autres termes, l’Europe ne reste pas passive mais nous voulons être plus progressifs et proactifs. Anticiper, c’est se donner le temps de réfléchir adéquatement. Nos initiatives, et celles des 54 membres de CENTR, apporteront certaines pièces du puzzle. De son côté, l’Europe avance bien. Et au final, toutes ces pièces s’emboîteront correctement – mais il faudra du temps et beaucoup de concertation. »
Avec cet article, nous contribuons à réaliser ces objectifs de développement durable de l’Organisation des Nations Unies.