En Allemagne, de nombreuses entreprises sont concernées par des failles de sécurité qui affectent à la fois la structure informatique et le traitement des données. Les prestataires de services de traduction (ÜDL) n’en sont pas non plus exemptés. La norme ISO 17100 réglemente, entre autres, la manière dont les processus et l'infrastructure peuvent répondre aux exigences de sécurité actuelles pour les prestataires de services de traduction et les agences de traduction.
Il s'agit de ceci :
- Procédures de sécurité des informations
- Quand l'informatique échoue
- Niveaux de sécurité dans les accords
Vous pouvez nous joindre par téléphone au +41 44 552 66 19 ou envoyer un e-mail à M. Markus Kukla, responsable de l'organisme de certification. Nous avons hâte d'avoir de tes nouvelles!
Ne sous-estimez pas les failles de sécurité
L’informatique est encore souvent considérée comme un appendice de l’entreprise, comme un mal nécessaire, comme un outil. L'infrastructure informatique joue depuis longtemps un rôle moteur, du moins dans le domaine opérationnel. Aujourd’hui, rien ne fonctionne sans ordinateurs et serveurs. Les réseaux doivent être correctement sécurisés. Il en va de même pour les informations et données clients : celles-ci ne sont pas destinées aux yeux de tiers.
Dans une enquête sur les cyberattaques (LINK), 19 % des 1 000 entreprises allemandes interrogées ont déclaré avoir déjà été victimes d'une attaque de ransomware. Les ordinateurs sont cryptés jusqu'au paiement d'une rançon.
Mais il n’est même pas nécessaire qu’une violation de données soit la cible d’une attaque. Il est souvent encore trop facile pour les attaquants d’obtenir des informations importantes via des systèmes d’exploitation non mis à jour, des mots de passe faciles à deviner et une gestion bâclée des données clients. 46 % des entreprises interrogées ont été touchées au moins une fois par une cyberattaque, dans la plupart des cas il s'agit d'un virus.
La norme ISO 17100 prescrit des procédures de sécurité des informations
Pour que vos clients sachent que leurs données sont sécurisées, un processus certifié ISO 17100 est une solution. La norme internationale exige qu'il y ait certaines procédures de sécurité des informations. Ceux-ci doivent être documentés en détail.
Les exigences de la norme ISO 17100 précisent :
«L'ÜDL doit disposer d'une procédure pour garantir la sécurité des informations ainsi que le stockage en toute sécurité et, le cas échéant, le retour en toute sécurité de tous les matériaux fournis par le client.»
On sous-estime souvent la portée de cette exigence. Il comprend par exemple les exigences de la norme ISO 27001 (gestion de la sécurité de l'information), les réglementations du BSI (Office fédéral pour la sécurité de l'information) et la mise en œuvre du RGPD de l'UE (règlement général de l'UE sur la protection des données), ainsi que des normes spécifiques à l'industrie telles que TISAX (sécurité de l'information dans le secteur automobile) a.
Échecs courants dans un audit de sécurité ISO 17100
En tant que certificateur reconnu pour les normes ISO 17100 et ISO 18587, nous constatons à plusieurs reprises lors d'audits des écarts récurrents par rapport aux exigences.
Il arrive qu'une liste d'« actifs » avec une évaluation des risques ne puisse pas être consultée. Cependant, l’évaluation des risques constitue un élément important de la stratégie de sécurité. Il faut donc parfois constater qu’une analyse des risques ne suffit pas à garantir la sécurité de l’information. Il ne s’agit pas seulement d’aspects de sécurité, mais aussi de gestion des situations d’urgence. Les clients veulent être sûrs que même en cas de défaillance de la structure informatique, les commandes pourront être traitées le plus rapidement possible.
Un plan d'urgence est prévu à cet effet, qui décrit en détail comment les opérations commerciales peuvent être maintenues. Ce plan doit non seulement décrire des scénarios et des risques, mais également des procédures spécifiques, comment les employés doivent se comporter en cas d'urgence, quels sont leurs rôles et quelles mesures seront prises. Les situations d’urgence peuvent également inclure des pannes de courant, des perturbations du réseau ou des dommages au bâtiment.
Les données clients sont un actif à protéger
Les documents qui vous sont remis pour traduction sont confidentiels. Il peut s'agir de manuels internes relatifs à des processus métier contenant des secrets d'entreprise ou des contrats que personne ne devrait voir. Enfin, selon le règlement européen sur la protection des données UE-RGPD, les données personnelles doivent être particulièrement protégées - cela inclut également les adresses et autres informations sur les clients. La norme DIN EN ISO 17100 exige que vous expliquiez comment ces réglementations légales sont introduites et respectées. Cela implique de veiller à ce que les documents de communication externe sur les principes de protection des données et les informations sur la correction et la suppression des données soient clairement formulés.
Vous pouvez nous joindre par téléphone au +41 44 552 66 19 ou envoyer un e-mail à M. Markus Kukla, responsable de l'organisme de certification. Nous avons hâte d'avoir de tes nouvelles!
Procédures de sécurité des informations
Une partie des exigences requises pour un certificat ISO 17100 concerne une procédure de sécurité des informations. Cela comprend une liste des contenus à protéger, une analyse des risques, le suivi des mesures visant à accroître la sécurité des informations et à sécuriser le stockage des données.
Pour protéger les données et les informations, une politique est nécessaire. Celui-ci répertorie non seulement le comportement, mais doit également inclure une évaluation des risques de l'infrastructure informatique. Étant donné que les évaluations et les réglementations évoluent constamment, ces directives et évaluations des risques doivent être marquées d'un statut de révision. C'est le seul moyen de savoir quand quelles mesures sont entrées en vigueur et si, par exemple, de nouveaux développements ont été intégrés par rapport à une certification précédente.
Afin de respecter les dispositions de la norme ISO 17100 concernant la protection des données, il est recommandé de diviser les informations nécessitant une protection en classes. Ceux-ci peuvent être :
- Documents client spécifiques à la commande
- Documents confidentiels
- Documents clients classés hautement confidentiels ou secrets
- Données de base client
- Données personnelles
- Données internes du personnel
Pour ces classes, pour devenir certifié ISO 17100, vous devez réaliser une évaluation des risques qui comprend les critères de disponibilité, d'accessibilité (protection contre les accès non autorisés) et d'intégrité (protection contre la modification des données). L'évaluation des risques est généralement basée sur les facteurs « probabilité d'occurrence » et « étendue des dommages ».
Le résultat de l'évaluation des risques est finalement une liste de mesures permettant de suivre les priorités de tâches identifiées. De cette façon, vous pouvez prouver que le stockage et le transfert de données sont sécurisés dans le cadre de la certification ISO 17100.
Accords de sécurité des données avec les clients
Vos clients n'ont pas besoin de connaître la réglementation applicable à l'ÜDL. Cependant, ils ont souvent certaines règles internes que vous devez respecter en tant que prestataire de services. Ces accords avec les clients s'ajoutent à nos propres efforts en matière de sécurité des informations. Il est important qu'ils soient consignés par écrit et intégrés dans les processus du projet.
En tant que prestataire de services certifié ISO 17100, vous respectez souvent déjà ces normes, mais cela doit également être enregistré. La norme ISO 17100 précise :
«L'ÜDL conclut un accord avec le client et conserve une trace de cet accord. Si l'accord est conclu verbalement ou par téléphone, l'ÜDL confirmera l'accord et ses conditions par écrit. Tout écart par rapport à l’accord initial doit être accepté par toutes les parties avant que toute mesure ne soit prise.
Bénéficiez des règles de sécurité de la norme ISO 17100
Si votre entreprise est certifiée selon la norme ISO 17100, vous saurez déjà quelles sont les lacunes et comment y remédier. Dans nos pré-audits, nous vous informons sur la manière dont vous pouvez adapter vos processus existants aux exigences de la norme ISO 17100.
De cette façon, vous entrerez dans la certification mieux préparé, même si des améliorations peuvent encore être apportées au cours de celle-ci.
Conclusion:
Avec un certificat ISO 17100, vous pouvez convaincre vos clients que la sécurité est une priorité pour vous. Votre entreprise est certifiée selon les normes internationales, ce qui vous facilite également l'accès à de nouveaux marchés.
Nous serions heureux de vous aider pour toute question concernant la sécurité des informations dans le processus de certification. Contactez-nous simplement en utilisant ce formulaire de contact ou appelez-nous : 41 (44) 552 66 19.