Les services informatiques de la BCV certifiés ISO 27001!

En 2021 dans le monde, les cyberattaques auraient augmenté de 125% et elles devraient s’accroître en 2022.

Le niveau de gravité et de sophistication de la cybercriminalité s’élève sans cesse à mesure que les pirates informatiques développent des techniques toujours plus avancées. Pour relever les défis en matière de cybersécurité et améliorer la confiance envers le numérique, les organisations doivent renforcer leur résilience (autrement dit leur capacité à résister et surmonter les chocs) et mettre en œuvre des efforts d’atténuation des cybermenaces.

Afin d’analyser l’écart de la BCV par rapport aux bonnes pratiques et d’évaluer si les objectifs de la stratégie de la Banque en la matière étaient atteints, la Sécurité a lancé, il y a 18 mois, une vaste opération d’analyse et de mise en œuvre d’un système de management transverse de la sécurité de l’information. Celle-ci comprend plusieurs volets, car la sécurité au sens large repose sur les trois piliers que sont les aspects humains, les processus et les technologies.

Où en sommes-nous en matière de sécurité?

Martin Dion: la BCV s’investit systématiquement, depuis plusieurs années, pour améliorer sa posture de sécurité. Le 20 octobre 2022, notre travail nous a permis d’obtenir la certification de nos processus en conformité avec la norme ISO 27001. En effet, pour assurer la sécurité de ses informations sensibles, toute organisation peut s’appuyer sur la famille de normes ISO 27000 (www.iso.org/fr) qui existent depuis une vingtaine d’années. Dans le secteur de la sécurité de l’information, la norme ISO 27001 est la plus connue et la plus répandue dans le monde. Elle spécifie les exigences relatives aux systèmes de management de la sécurité de l’information (SMSI) et un ensemble de contrôles techniques obligatoires. La mise en œuvre de cette norme facilite le management de la sécurité des actifs sensibles tels que les données financières ou les informations confiées par des tiers et aide à renforcer le système d’information et sa résilience.

La norme ISO 27001, qu’est-ce que c’est exactement?

Cette norme détaille comment la sécurité de l’information doit être intégrée et gérée au sein d’une entreprise et définit des objectifs tant techniques que managériaux. Elle spécifie les exigences relatives à l’établissement, à la mise en œuvre, au maintien et à l’amélioration continue du système de management de la sécurité de l’information dans le contexte de la BCV. Elle comprend également des exigences pour l’évaluation et le traitement des risques de sécurité de l’information adaptés à nos besoins. Les exigences spécifiées dans la norme doivent toutes être respectées du moment que la Banque déclare s’y conformer.

Est-ce que cette norme certifie le niveau de sécurité de la BCV?

Non. Cette norme ne certifie pas le niveau de sécurité de la Banque, mais celui de l’adéquation du système de management mis en place pour vérifier que tout est fait pour assurer la sécurité. Il est toutefois évident que si ce management est bien mené, la sécurité suit le même mouvement, car il se base sur une démarche d’amélioration continue.

Cela dit, cette question me permet de faire passer un message que je dis à chaque fois, c’est que la sécurité est l’affaire de toutes et tous. Le département Sécurité agit, lui, comme un spécialiste de la gestion des incendies: il aide à la mise en œuvre des normes et moyens permettant de prévenir les incendies et, parfois, agit comme pompier pour limiter les dommages.

Quel est le fonctionnement de la norme ISO 27001?

L’application de la norme ISO se fonde sur la méthode PDCA – plan, do, check, act –, qui signifie planifier, réaliser, vérifier, puis assurer et améliorer. Cette norme contient 114 contrôles pour s’assurer que les exigences du SMSI sont respectées. L’approche globale de la norme couvre la BCV dans son ensemble et pas seulement le système informatique. Le personnel, les technologies et les processus en bénéficient tous. Un audit interne est réalisé, qui ne concerne pas seulement la Sécurité, mais tout aussi bien l’Infrastructure, le Juridique, etc. Il est suivi d’un audit externe une fois par année pour s’assurer que tout est en ordre et pour définir des opportunités d’amélioration.

La BCV fonctionne également avec des prestataires externes dont le fonctionnement doit être conforme à la norme ISO.

Est-ce quelque chose de nouveau pour la BCV?

La BCV est assez novatrice dans ce domaine, puisque c’est seulement la cinquième banque de suisse à être certifiée. Beaucoup d’autres banques se contentent encore de vérifier si leurs prestataires le sont, sans faire elles-mêmes la démarche. D’autres entreprises, comme Swisscom ou Kyndryl, sont aussi certifiées.

Qu’est-ce que la certification ISO 27001 va changer pour la BCV?

Pour la BCV, utiliser une norme reconnue mondialement et en être certifiée permet de démontrer à nos parties prenantes et à notre clientèle, notamment en appui aux efforts commerciaux ou lors d’appels d’offres, que nous avons pris l’engagement de gérer les informations de manière sûre et sécurisée. En d’autres termes, qu’ils peuvent nous faire confiance, dans la durée, car c’est un processus continu: 2023 et 2024 vont être consacrées à la surveillance de notre système et à son amélioration continue avec le but d’obtenir la recertification en 2025.