Simon Maurer est auditeur principal et responsable de la norme ISO/CEI 27001 auprès de l’Association Suisse pour Systèmes de qualité et de Management (SQS). La SQS est leader de la certification en Suisse pour les systèmes de management de la sécurité de l’information répondant à cette norme. Simon Maurer dispose d’une solide expérience de conduite dans le domaine de l’informatique. En plus de son activité à la SQS, il conseille des entreprises sur la sécurité de l’information.
Nous avons posé quelques questions à Simon Maurer sur ses responsabilités.
Comment êtes-vous devenu responsable produit et auditeur principal pour la SQS?
J’étais directeur d’une société d’informatique, et nous avons fait appel à la SQS pour être certifiés. À l’époque, j’ai découvert tout ce qu’impliquait la mise en place d’un système de management. Et j’ai rencontré plusieurs auditeurs. Un jour, ceux-ci m’ont demandé si cela m’intéressait d’auditer. J’ai alors franchi le pas et je me suis mis à mon compte, ce que je n’ai jamais regretté. Il y a quelques années, mes supérieurs à la SQS m’ont demandé si je souhaitais prendre en plus la responsabilité produit pour la norme ISO/CEI 27001 sur les systèmes de management de la sécurité de l’information, et j’ai accepté. Il s’agit d’un rôle passionnant dans un environnement extrêmement dynamique.
Comment les menaces dans le domaine de la cybersécurité ont-elles évolué ces dernières années?
Le monde de l’informatique connaît une profonde mutation. De nombreuses entreprises veulent migrer vers le cloud, mais ont toujours besoin d’une infrastructure informatique locale. Elles augmentent ainsi considérablement la complexité de leurs plates-formes d’exploitation. D’où un accroissement de leurs risques. Prenons un exemple courant: l'inventaire des outils informatiques utilisés n’est pas mené comme il se doit, et des mises à jour de sécurité importantes sont oubliées. S’il existe alors un accès Internet, des pirates s’engouffrent dans la brèche. De plus, le développement de logiciels devient de plus en plus complexe, ce qui augmente le risque que les développeurs ne puissent pas identifier les failles au cours de la phase de test. Lorsque de telles failles touchent des solutions déployées dans le monde entier, des milliers de clients peuvent être piratés en même temps.
Selon vous, quelles seront les prochaines évolutions dans le domaine de la cybersécurité?
L’intelligence artificielle (IA) est sans aucun doute la grande tendance du moment. Côté attaque, elle est désormais utilisée par des personnes n’ayant aucune connaissance en programmation, par exemple pour créer des logiciels malveillants ou pour écrire des e-mails de phishing parfaitement formulés. Mais côté défense, elle sert aussi, par exemple, à identifier rapidement des anomalies sur le réseau. Parallèlement, je constate une forte augmentation des activités de réglementation, non seulement au sein de l’UE, mais aussi en Suisse, par exemple avec la nouvelle loi sur la sécurité de l’information. Pour les entreprises en Suisse, cela fait aussi grimper la complexité de manière significative.
Quels sont les avantages de la mise en œuvre de la norme ISO/CEI 27001 pour les organisations?
Cette norme détaille les bonnes pratiques actuelles dans le domaine de la sécurité de l’information. Des spécialistes du monde entier, notamment de Suisse, ont participé à l’élaboration de la dernière version, publiée fin 2022. Toute entreprise qui met en œuvre et fait certifier un système de management conformément à cette norme peut compter sur une protection de base nettement améliorée. Les risques sont identifiés de manière proactive et traités avec des mesures appropriées. L’informatique en particulier est protégée par de nombreuses mesures. Si un incident se produit un jour, l’entreprise y est préparée, peut en limiter les effets et minimiser les dommages consécutifs. Le personnel est sensibilisé en permanence et sait comment faire face au problème.
Quel est le rôle de la gestion des risques dans le contexte de la norme ISO/CEI 27001?
Il s’agit d’un élément central de la sécurité de l’information. Quand on connaît ses objets de protection («assets») et les risques qui en découlent, on peut les traiter de manière proactive.
Quelles mesures de prévention les entreprises peuvent-elles prendre pour se protéger contre la cybercriminalité?
Un grand nombre de mesures complémentaires sont nécessaires pour améliorer la sécurité de l’information. Des études empiriques sur les cyberincidents révèlent que, dans plus de 80% des cas, des actions individuelles ont été déterminantes pour la résolution de l’incident. Il vaut donc la peine d’investir dans les compétences des collaboratrices et collaborateurs. La certification ISO/CEI 27001 est certainement la «voie royale». L’élaboration, l’exploitation et la certification du système de management de la sécurité de l’information offrent la garantie d’intégrer au mieux les bonnes pratiques internationales dans l’entreprise.
Un moyen plus simple est de recourir à l’outil Cyber-Navi (cybernavi.ch), qui fournit un aperçu des mesures possibles. Nous l’avons développé au sein de l’Information Security Society Switzerland (ISSS).
Y a-t-il des méthodes éprouvées ou des conseils que vous donneriez aux entreprises pour faire face aux menaces de sécurité?
Restez vigilants, informez-vous et préparez-vous! Les cybercriminels n’ont aucune éthique et s’attaquent désormais aussi, par exemple, à de grands hôpitaux, comme cela a été le cas en Allemagne à Noël. Quelle que soit l’entreprise qui se trouve derrière une faille: le vol de données et le sabotage permettent toujours d’extorquer de l’argent.