Dans le monde de la cybersécurité et de la confiance numérique, il existe peu de règles strictes, mais de nombreuses bonnes pratiques en constante évolution.
PKI et les certificats numériques sont l'ADN de la confiance numérique, permettant le cryptage et l'échange sécurisé de données entre les humains et les machines. L'IA, la technologie quantique, l'adoption de IoT et d'autres innovations font de PKI un élément de l'infrastructure de l'entreprise dont les enjeux sont encore plus importants. Pourtant, les organisations de toutes sortes sont toujours en proie aux pannes et à la prolifération. Leur visibilité et leurs connaissances sont limitées.
PKI implique une expertise dans un domaine de niche qui est affectée de manière indirecte par les normes de sécurité qui touchent à la protection des données et au cryptage. Si l'industrie financière, les soins de santé et d'autres domaines de haute gouvernance ne sont pas étrangers aux réglementations, la conformité s'impose également aux industries courantes.
Pour répondre aux exigences de conformité, réduire les coûts d'assurance et renforcer la résilience opérationnelle, il est essentiel de travailler avec des fournisseurs et des solutions conçues pour respecter et renforcer les cadres de cybersécurité.
Les normes que nous respectons
À Keyfactor, nous voulons réaliser notre plein potentiel en tant qu'organisation et offrir rien de moins que l'excellence à nos clients et partenaires. C'est pourquoi nous ne nous contentons pas de respecter les normes suivantes, mais nous les utilisons comme base de référence pour aller encore plus loin.
SOC 2 Type II
Le cadre de contrôle des systèmes et des organisations (SOC) propose une série de rapports qui valident l'efficacité des contrôles de sécurité de l'information.
Les rapports SOC 2 évaluent les contrôles relatifs à la sécurité, à la confidentialité, à l'intégrité du traitement, au respect de la vie privée et à la disponibilité des données des clients. SOC 2 concerne les organisations qui stockent, traitent ou transmettent tout type de données clients, comme les fournisseurs de SaaS, d'hébergement de données et de stockage en nuage.
Le respect des normes SOC 2 garantit quelques contrôles de sécurité clés :
- L'organisation dispose de contrôles de sécurité des données qui protègent les données des clients contre tout accès non autorisé.
- L'organisation peut détecter les anomalies et les incidents de sécurité dans l'ensemble du paysage informatique.
- En cas de violation ou de panne, l'organisation peut rapidement remettre les systèmes en état de fonctionnement.
Dans le cadre de la désignation SOC 2, les rapports de type I évaluent les contrôles et les processus d'un seul coup d'œil, tandis que les rapports de type II les évaluent sur une période de 3 à 12 mois. Les rapports de type II ont plus de poids et couvrent l'infrastructure, software, le personnel, les données et les procédures.
Ces audits sont réalisés par un auditeur indépendant et leur réussite témoigne d'une véritable culture de la sécurité et d'une stratégie de sécurité permanente efficace.
ISO 27001, 9001 et 14001
L'Organisation internationale de normalisation (ISO) est un organisme indépendant et non gouvernemental d'élaboration de normes. Chaque pays dispose d'un représentant votant qui élabore des normes de qualité et de sécurité pour le marché mondial. Ces normes jettent les bases des réglementations nationales et internationales.
L'ISO publie un grand nombre de normes et de cadres. Sur Keyfactor, nous nous conformons aux normes ISO 27001, 9001 et 14001. Même si ces normes ne sont pas obligatoires, leur mise en œuvre met par définition les organisations en conformité avec le GDPR et d'autres lois sur la protection des données.
ISO 27001 - Sécurité
ISO 27001, l'une des normes les plus réputées au monde, évalue la capacité d'une entreprise à protéger efficacement ses données.
L'audit 27001 évalue les sites hardware et software qu'une organisation utilise pour protéger ses données, ainsi que la gouvernance pour le stockage et la récupération de ces données. Il évalue également les politiques de réponse aux violations et d'amélioration continue des stratégies de protection des données.
ISO 9001 - Qualité
La norme ISO 9001 est l'une des normes de gestion de la qualité les plus utilisées dans le monde. Elle permet d'assurer le contrôle de la qualité des biens, des services et de software.
L'audit ISO 9001 évalue la satisfaction des clients, l'amélioration des processus et des produits, la gestion des risques, l'efficacité opérationnelle, l'audit interne de la qualité et d'autres protocoles.
ISO 14001 - Développement durable
La norme ISO 14001 définit les meilleures pratiques permettant aux organismes de réduire leur impact sur l'environnement en adoptant un système de management environnemental (SME). Ces systèmes permettent de contrôler et de rendre compte de la durabilité environnementale d'une organisation.
Le respect de cette norme peut aider les organisations à éviter les pénalités et à accroître leur efficacité, par exemple en réduisant les déchets produits au cours du processus de fabrication.
Critères communs certifiés pour EJBCA
Fondé sur plusieurs normes techniques employées par diverses agences gouvernementales aux États-Unis et en Europe, le cadre des critères communs unifie plusieurs normes techniques de l'ISO de sorte que les entreprises qui vendent des produits informatiques aux gouvernements n'aient à les évaluer qu'en fonction d'un seul ensemble de critères d'évaluation.
Les critères communs permettent de vérifier si un produit est aussi sûr qu'il le prétend. Pour obtenir la certification Critères communs, les organisations doivent présenter une vue d'ensemble du produit, un inventaire de ses caractéristiques de sécurité et une description du contexte dans lequel il sera déployé. Elle doit également évaluer les menaces potentielles qui pèsent sur le produit. Ensuite, un laboratoire indépendant teste le produit pour déterminer s'il est à la hauteur des affirmations de l'organisation et s'il fonctionne correctement dans l'environnement prévu.
La convergence de la conformité et des meilleures pratiques
À l'heure où nous écrivons ces lignes, ces normes ne sont pas obligatoires. Toutefois, même si elles ne deviennent jamais obligatoires, elles continueront d'avoir de l'importance et en auront même davantage. Les consommateurs accordent plus d'attention aux cyberattaques, aux brèches et aux pannes lorsqu'ils décident de l'emplacement de leur entreprise. Les organisations, à la recherche de partenaires pour étoffer leur chaîne d'approvisionnement informatique, examinent de plus près la sécurité des outils et des fournisseurs.
Nous pensons que l'avenir n'est pas possible sans la confiance numérique. Avec nos produits, nos services et nos collaborateurs, nous continuerons à viser l'excellence et à aider nos clients à cultiver la confiance, à gagner la loyauté et à s'imposer sur le marché.
