{"id":13761,"date":"2020-08-21T16:20:25","date_gmt":"2020-08-21T15:20:25","guid":{"rendered":"https:\/\/www.riskinsight-wavestone.com\/?p=13761"},"modified":"2021-07-12T09:54:18","modified_gmt":"2021-07-12T08:54:18","slug":"ose-belges-et-iso-27001-quel-chemin-vers-plus-de-cybersecurite-2","status":"publish","type":"post","link":"https:\/\/www.riskinsight-wavestone.com\/en\/2020\/08\/ose-belges-et-iso-27001-quel-chemin-vers-plus-de-cybersecurite-2\/","title":{"rendered":"OSE belges et ISO 27001 : quel chemin vers plus de cybers\u00e9curit\u00e9 ?"},"content":{"rendered":"

Comment utiliser le cadre de la norme ISO 27001 au service de l\u2019am\u00e9lioration continue du niveau de s\u00e9curit\u00e9\u00a0?<\/h1>\n

Dans un pr\u00e9c\u00e9dent article, on vous racontait tout sur la nouvelle directive europ\u00e9enne NIS et le choix de la Belgique de se baser sur la norme ISO 27001 pour accro\u00eetre la s\u00e9curit\u00e9 des Op\u00e9rateurs de Services Essentiels (OSE) avec tout ce que \u00e7a entra\u00eenait pour les organisations nouvellement d\u00e9sign\u00e9es.<\/p>\n

Qui dit directive europ\u00e9enne ne dit pas r\u00e8glement europ\u00e9en\u00a0: il revient donc \u00e0 chaque pays membre de transposer les exigences de la directive NIS dans son droit national.\u00a0La Belgique a fait le choix d\u2019un standard existant\u00a0<\/strong>(la norme ISO 27001) alors que certains de ses voisins, dont la France, ont choisi une approche bas\u00e9e sur la d\u00e9finition d\u2019un r\u00e9f\u00e9rentiel d\u2019exigences pr\u00e9cis m\u00ealant \u00e0 la fois des mesures techniques et de gouvernance\u00a0(SI d\u2019administration, cloisonnement, d\u00e9marche d\u2019homologation, etc.).<\/p>\n

Int\u00e9ressons-nous aujourd\u2019hui \u00e0 ce que \u00e7a implique pour les OSE belges, et plus largement pour toutes les organisations attir\u00e9es par les normes internationales, de suivre les exigences de la norme ISO 27001.<\/p>\n

 <\/p>\n

La norme ISO 27001, adul\u00e9e par certains et critiqu\u00e9e par d\u2019autres<\/h2>\n

Des voix se l\u00e8vent contre la r\u00e9f\u00e9rence du milieu, fustigeant notamment son aspect bureaucratique et sa paperasserie qui, pourtant, peuvent aider \u00e0 mettre en place un r\u00e9f\u00e9rentiel utile \u00e0 la continuit\u00e9 des services et la formation des personnes via le partage des pratiques \u2013 surtout lorsqu\u2019il est pens\u00e9 avec pragmatisme. Les critiques vont \u00e9galement bon train sur le niveau de complexit\u00e9 ajout\u00e9, encore plus pr\u00e9sent pour les plus petites structures. L\u00e0 encore,\u00a0la r\u00e8gle est au pragmatisme et les mesures doivent \u00eatre adapt\u00e9es \u00e0 la taille de l\u2019organisation\u00a0<\/strong>et s\u2019int\u00e9grer \u00e0 l\u2019existant pour \u00e9viter les structures\u00a0ex nihilo<\/em>\u00a0trop lourdes \u00e0 g\u00e9rer.<\/p>\n

Enfin, certains aprioris ont la vie dure et r\u00e9duisent souvent une conformit\u00e9 ISO 27001 \u00e0 une liste de cases \u00e0 cocher, d\u00e9pourvues d\u2019implications r\u00e9elles sur la s\u00e9curit\u00e9 de l\u2019organisation. Mais la fameuse d\u00e9claration d\u2019applicabilit\u00e9 (DdA), exig\u00e9e par la norme ISO 27001 \u00e0 tous ceux qui visent une certification, ne revient pas uniquement \u00e0 lister tous les contr\u00f4les de la norme ISO 27002. Elle demande une v\u00e9ritable \u00e9valuation au regard des enjeux et des risques. De quoi apporter des \u00e9l\u00e9ments concrets pour la s\u00e9curit\u00e9 de l\u2019organisation.<\/p>\n

 <\/p>\n

ISO 27001, ISO 27002, il y en a beaucoup comme \u00e7a\u00a0?<\/h2>\n

Dans la famille des ISO, beaucoup, vraiment beaucoup. En revanche pour la cybers\u00e9curit\u00e9, ce sont bien ces deux-l\u00e0 qui sont les plus utilis\u00e9es, avec l\u2019ISO 27005 pour la gestion des risques (si c\u2019est la protection des donn\u00e9es qui vous int\u00e9resse, lisez aussi notre article sur la nouvelle venue\u00a0ISO 27701<\/a>).<\/p>\n

La norme ISO 27001 apporte\u00a0un cadre \u00e0 la cybers\u00e9curit\u00e9 et vise \u00e0 mettre en place un SMSI<\/strong>\u00a0(Syst\u00e8me de Management de la S\u00e9curit\u00e9 de l\u2019Information). Pour aider les organisations dans cette direction, elle est accompagn\u00e9e de la norme ISO 27002 qui d\u00e9taille les bonnes pratiques s\u00e9curit\u00e9 pr\u00e9sent\u00e9es dans l\u2019annexe A de l\u2019ISO 27001. La certification (le graal des OSE belges) porte sur la norme ISO 27001 mais les deux normes fonctionnent bien de pair.<\/p>\n

La certification s\u2019obtient sur un p\u00e9rim\u00e8tre d\u00e9limit\u00e9\u00a0<\/strong>d\u2019un point de vue m\u00e9tier et IT sur lequel les principaux risques sont identifi\u00e9s. Cette \u00e9valuation par les risques, m\u00eal\u00e9e \u00e0 la prise en compte du contexte de l\u2019organisation, aide \u00e0 s\u00e9lectionner les bonnes pratiques ISO 27002 pertinentes pour formaliser la D\u00e9claration d\u2019Applicabilit\u00e9 (DdA) et \u00e0 exclure les contr\u00f4les qui ne sont pas applicables (attention \u00e0 bien justifier ces exclusions\u00a0: elles seront analys\u00e9es par l\u2019organisme de certification). Si on peut retirer des pratiques moins utiles, on peut aussi en rajouter d\u2019autres\u00a0: l\u2019organisation peut ainsi compl\u00e9ter la liste existante des 114 mesures de s\u00e9curit\u00e9 au regard de ses risques. La norme ISO 27002 n’adresse pas l’exhaustivit\u00e9 des mesures de s\u00e9curit\u00e9 possibles. C\u2019est l\u00e0 qu\u2019une expertise cybers\u00e9curit\u00e9 prend tout son sens.<\/p>\n

 <\/p>\n

5 conseils pour trouver le bon \u00e9quilibre et r\u00e9ussir sa mise en conformit\u00e9 ISO 27001<\/h2>\n

Bien entendu, vu dans son ensemble, un programme de mise en conformit\u00e9 \u00e0 la norme ISO 27001 peut rapidement donner le vertige\u2026 Voici\u00a05 r\u00e9flexes \u00e0 avoir en t\u00eate\u00a0<\/strong>pour faciliter le lancement d\u2019un SMSI et le maintien de ses performances dans le temps :<\/p>\n

 <\/p>\n

\"\"<\/figure>\n

 <\/p>\n

1. Identifier un sponsor investi au service de l\u2019objectif de s\u00e9curisation<\/strong>.\u00a0Comme pour le cin\u00e9ma, il n\u2019y a pas de film sans r\u00e9alisateur, et pas de r\u00e9alisateur sans le soutien du producteur. Le\u00a0match<\/em>\u00a0parfait doit avoir pleine conscience de la valeur ajout\u00e9e de la mise en conformit\u00e9 \u00e0 la norme ISO 27001 pour am\u00e9liorer le niveau de s\u00e9curit\u00e9, au-del\u00e0 de la pure conformit\u00e9 au cadre l\u00e9gal. Il doit utiliser les cadres normatifs au profit d’un meilleur niveau de s\u00e9curit\u00e9 et doit donc voir ce projet comme un chantier de s\u00e9curisation plut\u00f4t qu\u2019un chantier de conformit\u00e9.<\/p>\n

Impl\u00e9menter un SMSI p\u00e9renne demande des ressources et moyens humains, organisationnels, physiques et financiers. Le pilotage du projet de mise en conformit\u00e9 ne fonctionnera que s\u2019il est\u00a0soutenu par un responsable qui a le pouvoir d\u2019allouer les ressources et les moyens n\u00e9cessaires pour piloter les risques<\/strong> et assurer un niveau de s\u00e9curit\u00e9 acceptable au regard des enjeux m\u00e9tier. Le respect de la directive NIS, \u00e0 l\u2019\u00e9chelle europ\u00e9enne ou \u00e0 l\u2019\u00e9chelle belge via une mise en conformit\u00e9 \u00e0 la norme ISO 27001, constitue avant tout un moyen d\u2019augmenter le niveau de s\u00e9curit\u00e9 et non une fin en soi.<\/p>\n

2. Piloter par les risques.\u00a0<\/strong>C\u2019est la base de la s\u00e9curit\u00e9\u00a0; le concept cl\u00e9 \u00e0 toujours garder en t\u00eate. Ce pilotage permet d\u2019identifier les risques du p\u00e9rim\u00e8tre et de s\u2019assurer que les enjeux m\u00e9tier sont bien pris en compte. La gestion des risques ne s\u2019arr\u00eate pas \u00e0 leur identification et au traitement initial. Elle demande la mobilisation des \u00e9quipes et des activit\u00e9s pour traiter les risques existants et suivre l’\u00e9volution des risques (existants et nouveaux qui apparaissent) et leurs traitements, via une mise \u00e0 jour p\u00e9riodique et lors d\u2019\u00e9v\u00e8nements majeurs sur le p\u00e9rim\u00e8tre.<\/p>\n

Par la mise en place de cette d\u00e9marche globale des risques, l\u2019organisation s\u2019assure une vision transverse des risques qui permet de focaliser les efforts des mesures de s\u00e9curit\u00e9 l\u00e0 o\u00f9 il y a le plus d\u2019enjeux. Cette validation et cet arbitrage doivent se faire en concertation avec les propri\u00e9taires des risques (m\u00e9tier ou IT) qui portent la responsabilit\u00e9 du risque sur leurs p\u00e9rim\u00e8tres et doivent se positionner sur les traitements possibles (acceptation, r\u00e9duction, transfert ou \u00e9vitement). Un pilotage affin\u00e9 et resserr\u00e9 des risques permet ainsi de prendre de v\u00e9ritables d\u00e9cisions \u00e9clair\u00e9es,<\/strong>\u00a0par des acteurs parfois \u00e9loign\u00e9s de la s\u00e9curit\u00e9.<\/p>\n

3. Constituer un r\u00e9f\u00e9rentiel documentaire pragmatique.<\/strong>\u00a0Cette \u00e9tape aide \u00e0 d\u00e9finir et documenter les pratiques et ainsi favoriser la continuit\u00e9 des op\u00e9rations, leur contr\u00f4le et leur am\u00e9lioration continue. Cette documentation doit \u00eatre le reflet de la r\u00e9alit\u00e9 tout en assurant la coh\u00e9rence avec les exigences de la norme ISO 27001 pour aider \u00e0 d\u00e9finir les pratiques \u00e0 mettre en \u0153uvre et les g\u00e9rer au quotidien (impl\u00e9mentation et mises \u00e0 jour au gr\u00e9 des \u00e9volutions, etc.).<\/p>\n

Les ma\u00eetres-mots lors de la constitution de ce r\u00e9f\u00e9rentiel sont\u00a0pragmatisme\u00a0et utilit\u00e9<\/strong>\u00a0: il doit s\u2019int\u00e9grer \u00e0 l\u2019existant en compl\u00e9tant les proc\u00e9dures existantes et en en cr\u00e9ant de nouvelles qui manquaient\u00a0; il ne doit pas compliquer inutilement la situation mais se baser sur une interpr\u00e9tation pertinente de la norme\u00a0; il doit \u00eatre utile aux \u00e9quipes qui assurent les activit\u00e9s pour permettre le maintien des op\u00e9rations.\u00a0Evitez donc les copier-coller des exigences des normes<\/strong>. Ils cr\u00e9ent un r\u00e9f\u00e9rentiel inutile aux \u00e9quipes terrain et attiseront la curiosit\u00e9 de vos auditeurs qui douteront alors de l’effectivit\u00e9 des mesures…<\/p>\n

4. \u00c9valuer r\u00e9guli\u00e8rement les performances.<\/strong>\u00a0Tout syst\u00e8me de management qui se respecte n\u00e9cessite une boucle de contr\u00f4le pour \u00e9valuer ses performances et, dans le cas du SMSI, ses non-conformit\u00e9s \u00e0 la norme ISO 27001 et au r\u00e9f\u00e9rentiel en place dans l\u2019organisation (synth\u00e9tis\u00e9 dans la DdA). L\u2019identification de ces non-conformit\u00e9s doit permettre de remonter jusqu\u2019\u00e0 leur source et d\u2019initier la r\u00e9flexion sur la meilleure mani\u00e8re de les g\u00e9rer. La r\u00e9flexion \u00e0 mener doit porter sur la mani\u00e8re dont la non-conformit\u00e9 va \u00eatre r\u00e9solue pour assurer l\u2019augmentation du niveau de s\u00e9curit\u00e9 tout en s\u2019assurant que les mesures correspondent aux exigences de la norme et sont adapt\u00e9es au contexte, aux risques et aux enjeux de l\u2019organisation.<\/p>\n

Les diff\u00e9rents niveaux de contr\u00f4les (auto-contr\u00f4les par les \u00e9quipes, audits internes\/externes, revues de direction) doivent tous garder l\u2019objectif d\u2019am\u00e9lioration du niveau de s\u00e9curit\u00e9 en t\u00eate en utilisant de mani\u00e8re pragmatique les exigences de la norme et le r\u00e9f\u00e9rentiel de l\u2019entreprise, et au besoin faire \u00e9voluer ce dernier au regard de la r\u00e9alit\u00e9 pratique de l\u2019organisation. Il s’agit de trouver le bon \u00e9quilibre entre le contexte de l’organisation et la gestion des risques identifi\u00e9s.\u00a0Si vos enjeux portent essentiellement sur la disponibilit\u00e9 d’une activit\u00e9, focalisez vos efforts (mesures et contr\u00f4les) sur cet enjeu en priorit\u00e9.<\/em>\u00a0Pour \u00eatre pertinent,\u00a0ce cycle d\u2019\u00e9valuation doit distribuer les efforts sur les p\u00e9rim\u00e8tres les plus pertinents pour l\u2019organisation<\/strong>\u00a0(selon ses risques et enjeux) et alimenter les prochaines \u00e9tapes du cylce de vie du SMSI.<\/p>\n

5. Engager les \u00e9quipes.<\/strong>\u00a0Un projet de mise en place d\u2019un SMSI n\u2019est pas uniquement l\u2019apanage du RSSI ou d\u2019une \u00e9quipe de documentalistes. Il s\u2019agit avant tout d\u2019un projet d\u2019envergure qui demande un large \u00e9ventail d\u2019expertises allant de la cybers\u00e9curit\u00e9 au business en passant par l\u2019IT, le juridique, les achats, les ressources humaines, etc. C\u2019est une v\u00e9ritable conduite du changement qui est \u00e0 organiser avec l\u2019implication pleine et compl\u00e8te des diff\u00e9rentes \u00e9quipes et du management de l\u2019organisation pour\u00a0assurer un SMSI qui sert l\u2019am\u00e9lioration durable du niveau de s\u00e9curit\u00e9 pour l\u2019ensemble du p\u00e9rim\u00e8tre<\/strong>.<\/p>\n

 <\/p>\n

La certification ISO 27001, oui mais pragmatique\u00a0!<\/h2>\n

La v\u00e9ritable force de la certification ISO 27001 est avant tout d\u2019enclencher une dynamique de s\u00e9curit\u00e9 dans l\u2019organisation<\/strong>. La documentation peut certes alourdir les pratiques mais n\u2019enl\u00e8ve rien de la philosophie d\u2019am\u00e9lioration continue du niveau de s\u00e9curit\u00e9. Par l\u2019apport d\u2019un socle minimal pour la cybers\u00e9curit\u00e9, sans d\u00e9finir des exigences strictes, la norme laisse \u00e0 l\u2019organisation le choix de placer le curseur s\u00e9curit\u00e9 \u00e0 un niveau qui lui est adapt\u00e9 et d\u2019obtenir des r\u00e9sultats positifs –\u00a0\u00e0 condition de s\u2019entourer de bonnes personnes sensibilis\u00e9es au sujet<\/em>\u00a0!<\/p>\n

Trait\u00e9e avec un\u00a0regard critique et pragmatique<\/strong>, la norme apporte ainsi un cadre pour installer la gouvernance de la cybers\u00e9curit\u00e9 au sein de chaque organisation en mobilisant les concepts cl\u00e9s tout en laissant la marge n\u00e9cessaire pour proposer des mesures compl\u00e9mentaires qui, ensemble, servent l\u2019am\u00e9lioration du niveau de s\u00e9curit\u00e9.<\/p>\n

 <\/p>\n

Au-del\u00e0 de l\u2019approche traditionnelle de la conformit\u00e9, la mise en conformit\u00e9 \u00e0\u00a0la norme<\/strong>\u00a0ISO 27001 doit servir de bo\u00eete \u00e0 outils<\/strong>\u00a0\u00e0 toute les \u00e9quipes et non constituer une fin en soi.<\/p><\/blockquote>\n

 <\/p>\n

La libert\u00e9 de mise en \u0153uvre de la directive NIS au niveau europ\u00e9en offre un nouveau terrain d\u2019exp\u00e9rimentation o\u00f9 se m\u00ealent cultures diff\u00e9rentes et visions divergentes de la cybers\u00e9curit\u00e9. Seul l\u2019avenir pourra nous dire ce qui fonctionne au niveau europ\u00e9en, mais\u00a0l\u2019approche belge d\u00e9montre une nouvelle fois la culture du compromis entre cadre strict et libert\u00e9 de mouvement.\u00a0<\/strong>Pour les OSE belges comme pour les organismes de certification, l\u2019inconnue demeure avant tout sur le positionnement du curseur entre les deux extr\u00eames.<\/p>\n

 <\/p>\n

Il leur faudra alors \u00e9viter une approche scolaire et mettre \u00e0 profit une interpr\u00e9tation utile et pragmatique de la norme en gardant l\u2019objectif final en t\u00eate\u00a0: plus de cybers\u00e9curit\u00e9.<\/p><\/blockquote>\n","protected":false},"excerpt":{"rendered":"

Comment utiliser le cadre de la norme ISO 27001 au service de l\u2019am\u00e9lioration continue du niveau de s\u00e9curit\u00e9\u00a0? Dans un pr\u00e9c\u00e9dent article, on vous racontait tout sur la nouvelle directive europ\u00e9enne NIS et le choix de la Belgique de se…<\/p>\n","protected":false},"author":1368,"featured_media":13138,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"page-templates\/tmpl-one.php","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[3222,36],"tags":[2509,2598],"coauthors":[3505,3548],"class_list":["post-13761","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cyberrisk-management-strategy","category-cybersecurity-digital-trust","tag-iso27001","tag-nis"],"acf":[],"yoast_head":"\nOSE belges et ISO 27001 : quel chemin vers plus de cybers\u00e9curit\u00e9 ? - RiskInsight<\/title>\n<meta name=\"description\" content=\"Dans un pr\u00e9c\u00e9dent article, on vous racontait tout sur la nouvelle directive europ\u00e9enne NIS et le choix de la Belgique de se baser sur la norme ISO 27001 pour accro\u00eetre la s\u00e9curit\u00e9 des Op\u00e9rateurs de Services Essentiels (OSE) avec tout ce que \u00e7a entra\u00eenait pour les organisations nouvellement d\u00e9sign\u00e9es.Qui dit directive europ\u00e9enne ne dit pas r\u00e8glement europ\u00e9en\u00a0: il revient donc \u00e0 chaque pays membre de transposer les exigences de la directive NIS dans son droit national.\u00a0La Belgique a fait le choix d\u2019un standard existant\u00a0(la norme ISO 27001) alors que certains de ses voisins, dont la France, ont choisi une approche bas\u00e9e sur la d\u00e9finition d\u2019un r\u00e9f\u00e9rentiel d\u2019exigences pr\u00e9cis m\u00ealant \u00e0 la fois des mesures techniques et de gouvernance\u00a0(SI d\u2019administration, cloisonnement, d\u00e9marche d\u2019homologation, etc.).Int\u00e9ressons-nous aujourd\u2019hui \u00e0 ce que \u00e7a implique pour les OSE belges, et plus largement pour toutes les organisations attir\u00e9es par les normes internationales, de suivre les exigences de la norme ISO 27001.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/www.riskinsight-wavestone.com\/2020\/08\/ose-belges-et-iso-27001-quel-chemin-vers-plus-de-cybersecurite-2\/\" \/>\n<meta property=\"og:locale\" content=\"en_US\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"OSE belges et ISO 27001 : quel chemin vers plus de cybers\u00e9curit\u00e9 ? - RiskInsight\" \/>\n<meta property=\"og:description\" content=\"Dans un pr\u00e9c\u00e9dent article, on vous racontait tout sur la nouvelle directive europ\u00e9enne NIS et le choix de la Belgique de se baser sur la norme ISO 27001 pour accro\u00eetre la s\u00e9curit\u00e9 des Op\u00e9rateurs de Services Essentiels (OSE) avec tout ce que \u00e7a entra\u00eenait pour les organisations nouvellement d\u00e9sign\u00e9es.Qui dit directive europ\u00e9enne ne dit pas r\u00e8glement europ\u00e9en\u00a0: il revient donc \u00e0 chaque pays membre de transposer les exigences de la directive NIS dans son droit national.\u00a0La Belgique a fait le choix d\u2019un standard existant\u00a0(la norme ISO 27001) alors que certains de ses voisins, dont la France, ont choisi une approche bas\u00e9e sur la d\u00e9finition d\u2019un r\u00e9f\u00e9rentiel d\u2019exigences pr\u00e9cis m\u00ealant \u00e0 la fois des mesures techniques et de gouvernance\u00a0(SI d\u2019administration, cloisonnement, d\u00e9marche d\u2019homologation, etc.).Int\u00e9ressons-nous aujourd\u2019hui \u00e0 ce que \u00e7a implique pour les OSE belges, et plus largement pour toutes les organisations attir\u00e9es par les normes internationales, de suivre les exigences de la norme ISO 27001.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/www.riskinsight-wavestone.com\/2020\/08\/ose-belges-et-iso-27001-quel-chemin-vers-plus-de-cybersecurite-2\/\" \/>\n<meta property=\"og:site_name\" content=\"RiskInsight\" \/>\n<meta property=\"article:published_time\" content=\"2020-08-21T15:20:25+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2021-07-12T08:54:18+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2020\/05\/Fotolia_74336338_Subscription_Monthly_XXL-74336338-Hand-holding-map.-Flat-design-web-icons\u00a9-evencake-scaled.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"2560\" \/>\n\t<meta property=\"og:image:height\" content=\"2560\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"No\u00ebmie Honor\u00e9, Corentin Decock\" \/>\n<meta name=\"twitter:label1\" content=\"Written by\" \/>\n\t<meta name=\"twitter:data1\" content=\"No\u00ebmie Honor\u00e9, Corentin Decock\" \/>\n\t<meta name=\"twitter:label2\" content=\"Est. reading time\" \/>\n\t<meta name=\"twitter:data2\" content=\"11 minutes\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/2020\/08\/ose-belges-et-iso-27001-quel-chemin-vers-plus-de-cybersecurite-2\/#article\",\"isPartOf\":{\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/2020\/08\/ose-belges-et-iso-27001-quel-chemin-vers-plus-de-cybersecurite-2\/\"},\"author\":{\"name\":\"No\u00ebmie Honor\u00e9\",\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/en\/#\/schema\/person\/770c3b6033b52b37512a70d681a8440d\"},\"headline\":\"OSE belges et ISO 27001 : quel chemin vers plus de cybers\u00e9curit\u00e9 ?\",\"datePublished\":\"2020-08-21T15:20:25+00:00\",\"dateModified\":\"2021-07-12T08:54:18+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/2020\/08\/ose-belges-et-iso-27001-quel-chemin-vers-plus-de-cybersecurite-2\/\"},\"wordCount\":2120,\"publisher\":{\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/en\/#organization\"},\"image\":{\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/2020\/08\/ose-belges-et-iso-27001-quel-chemin-vers-plus-de-cybersecurite-2\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2020\/05\/Fotolia_74336338_Subscription_Monthly_XXL-74336338-Hand-holding-map.-Flat-design-web-icons\u00a9-evencake-scaled.jpg\",\"keywords\":[\"ISO27001\",\"NIS\"],\"articleSection\":[\"Cyberrisk Management & Strategy\",\"Cybersecurity & Digital Trust\"],\"inLanguage\":\"en-US\"},{\"@type\":\"WebPage\",\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/2020\/08\/ose-belges-et-iso-27001-quel-chemin-vers-plus-de-cybersecurite-2\/\",\"url\":\"https:\/\/www.riskinsight-wavestone.com\/2020\/08\/ose-belges-et-iso-27001-quel-chemin-vers-plus-de-cybersecurite-2\/\",\"name\":\"OSE belges et ISO 27001 : quel chemin vers plus de cybers\u00e9curit\u00e9 ? - RiskInsight\",\"isPartOf\":{\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/en\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/2020\/08\/ose-belges-et-iso-27001-quel-chemin-vers-plus-de-cybersecurite-2\/#primaryimage\"},\"image\":{\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/2020\/08\/ose-belges-et-iso-27001-quel-chemin-vers-plus-de-cybersecurite-2\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2020\/05\/Fotolia_74336338_Subscription_Monthly_XXL-74336338-Hand-holding-map.-Flat-design-web-icons\u00a9-evencake-scaled.jpg\",\"datePublished\":\"2020-08-21T15:20:25+00:00\",\"dateModified\":\"2021-07-12T08:54:18+00:00\",\"description\":\"Dans un pr\u00e9c\u00e9dent article, on vous racontait tout sur la nouvelle directive europ\u00e9enne NIS et le choix de la Belgique de se baser sur la norme ISO 27001 pour accro\u00eetre la s\u00e9curit\u00e9 des Op\u00e9rateurs de Services Essentiels (OSE) avec tout ce que \u00e7a entra\u00eenait pour les organisations nouvellement d\u00e9sign\u00e9es.Qui dit directive europ\u00e9enne ne dit pas r\u00e8glement europ\u00e9en\u00a0: il revient donc \u00e0 chaque pays membre de transposer les exigences de la directive NIS dans son droit national.\u00a0La Belgique a fait le choix d\u2019un standard existant\u00a0(la norme ISO 27001) alors que certains de ses voisins, dont la France, ont choisi une approche bas\u00e9e sur la d\u00e9finition d\u2019un r\u00e9f\u00e9rentiel d\u2019exigences pr\u00e9cis m\u00ealant \u00e0 la fois des mesures techniques et de gouvernance\u00a0(SI d\u2019administration, cloisonnement, d\u00e9marche d\u2019homologation, etc.).Int\u00e9ressons-nous aujourd\u2019hui \u00e0 ce que \u00e7a implique pour les OSE belges, et plus largement pour toutes les organisations attir\u00e9es par les normes internationales, de suivre les exigences de la norme ISO 27001.\",\"breadcrumb\":{\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/2020\/08\/ose-belges-et-iso-27001-quel-chemin-vers-plus-de-cybersecurite-2\/#breadcrumb\"},\"inLanguage\":\"en-US\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/www.riskinsight-wavestone.com\/2020\/08\/ose-belges-et-iso-27001-quel-chemin-vers-plus-de-cybersecurite-2\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"en-US\",\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/2020\/08\/ose-belges-et-iso-27001-quel-chemin-vers-plus-de-cybersecurite-2\/#primaryimage\",\"url\":\"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2020\/05\/Fotolia_74336338_Subscription_Monthly_XXL-74336338-Hand-holding-map.-Flat-design-web-icons\u00a9-evencake-scaled.jpg\",\"contentUrl\":\"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2020\/05\/Fotolia_74336338_Subscription_Monthly_XXL-74336338-Hand-holding-map.-Flat-design-web-icons\u00a9-evencake-scaled.jpg\",\"width\":2560,\"height\":2560},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/2020\/08\/ose-belges-et-iso-27001-quel-chemin-vers-plus-de-cybersecurite-2\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Accueil\",\"item\":\"https:\/\/www.riskinsight-wavestone.com\/en\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"OSE belges et ISO 27001 : quel chemin vers plus de cybers\u00e9curit\u00e9 ?\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/en\/#website\",\"url\":\"https:\/\/www.riskinsight-wavestone.com\/en\/\",\"name\":\"RiskInsight\",\"description\":\"The cybersecurity & digital trust blog by Wavestone's consultants\",\"publisher\":{\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/en\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/www.riskinsight-wavestone.com\/en\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"en-US\"},{\"@type\":\"Organization\",\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/en\/#organization\",\"name\":\"Wavestone\",\"url\":\"https:\/\/www.riskinsight-wavestone.com\/en\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"en-US\",\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/en\/#\/schema\/logo\/image\/\",\"url\":\"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2021\/08\/Monogramme\u2013W\u2013NEGA-RGB-50x50-1.png\",\"contentUrl\":\"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2021\/08\/Monogramme\u2013W\u2013NEGA-RGB-50x50-1.png\",\"width\":50,\"height\":50,\"caption\":\"Wavestone\"},\"image\":{\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/en\/#\/schema\/logo\/image\/\"}},{\"@type\":\"Person\",\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/en\/#\/schema\/person\/770c3b6033b52b37512a70d681a8440d\",\"name\":\"No\u00ebmie Honor\u00e9\",\"url\":\"https:\/\/www.riskinsight-wavestone.com\/en\/author\/noemie-honore\/\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"OSE belges et ISO 27001 : quel chemin vers plus de cybers\u00e9curit\u00e9 ? - RiskInsight","description":"Dans un pr\u00e9c\u00e9dent article, on vous racontait tout sur la nouvelle directive europ\u00e9enne NIS et le choix de la Belgique de se baser sur la norme ISO 27001 pour accro\u00eetre la s\u00e9curit\u00e9 des Op\u00e9rateurs de Services Essentiels (OSE) avec tout ce que \u00e7a entra\u00eenait pour les organisations nouvellement d\u00e9sign\u00e9es.Qui dit directive europ\u00e9enne ne dit pas r\u00e8glement europ\u00e9en\u00a0: il revient donc \u00e0 chaque pays membre de transposer les exigences de la directive NIS dans son droit national.\u00a0La Belgique a fait le choix d\u2019un standard existant\u00a0(la norme ISO 27001) alors que certains de ses voisins, dont la France, ont choisi une approche bas\u00e9e sur la d\u00e9finition d\u2019un r\u00e9f\u00e9rentiel d\u2019exigences pr\u00e9cis m\u00ealant \u00e0 la fois des mesures techniques et de gouvernance\u00a0(SI d\u2019administration, cloisonnement, d\u00e9marche d\u2019homologation, etc.).Int\u00e9ressons-nous aujourd\u2019hui \u00e0 ce que \u00e7a implique pour les OSE belges, et plus largement pour toutes les organisations attir\u00e9es par les normes internationales, de suivre les exigences de la norme ISO 27001.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/www.riskinsight-wavestone.com\/2020\/08\/ose-belges-et-iso-27001-quel-chemin-vers-plus-de-cybersecurite-2\/","og_locale":"en_US","og_type":"article","og_title":"OSE belges et ISO 27001 : quel chemin vers plus de cybers\u00e9curit\u00e9 ? - RiskInsight","og_description":"Dans un pr\u00e9c\u00e9dent article, on vous racontait tout sur la nouvelle directive europ\u00e9enne NIS et le choix de la Belgique de se baser sur la norme ISO 27001 pour accro\u00eetre la s\u00e9curit\u00e9 des Op\u00e9rateurs de Services Essentiels (OSE) avec tout ce que \u00e7a entra\u00eenait pour les organisations nouvellement d\u00e9sign\u00e9es.Qui dit directive europ\u00e9enne ne dit pas r\u00e8glement europ\u00e9en\u00a0: il revient donc \u00e0 chaque pays membre de transposer les exigences de la directive NIS dans son droit national.\u00a0La Belgique a fait le choix d\u2019un standard existant\u00a0(la norme ISO 27001) alors que certains de ses voisins, dont la France, ont choisi une approche bas\u00e9e sur la d\u00e9finition d\u2019un r\u00e9f\u00e9rentiel d\u2019exigences pr\u00e9cis m\u00ealant \u00e0 la fois des mesures techniques et de gouvernance\u00a0(SI d\u2019administration, cloisonnement, d\u00e9marche d\u2019homologation, etc.).Int\u00e9ressons-nous aujourd\u2019hui \u00e0 ce que \u00e7a implique pour les OSE belges, et plus largement pour toutes les organisations attir\u00e9es par les normes internationales, de suivre les exigences de la norme ISO 27001.","og_url":"https:\/\/www.riskinsight-wavestone.com\/2020\/08\/ose-belges-et-iso-27001-quel-chemin-vers-plus-de-cybersecurite-2\/","og_site_name":"RiskInsight","article_published_time":"2020-08-21T15:20:25+00:00","article_modified_time":"2021-07-12T08:54:18+00:00","og_image":[{"width":2560,"height":2560,"url":"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2020\/05\/Fotolia_74336338_Subscription_Monthly_XXL-74336338-Hand-holding-map.-Flat-design-web-icons\u00a9-evencake-scaled.jpg","type":"image\/jpeg"}],"author":"No\u00ebmie Honor\u00e9, Corentin Decock","twitter_misc":{"Written by":"No\u00ebmie Honor\u00e9, Corentin Decock","Est. reading time":"11 minutes"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/www.riskinsight-wavestone.com\/2020\/08\/ose-belges-et-iso-27001-quel-chemin-vers-plus-de-cybersecurite-2\/#article","isPartOf":{"@id":"https:\/\/www.riskinsight-wavestone.com\/2020\/08\/ose-belges-et-iso-27001-quel-chemin-vers-plus-de-cybersecurite-2\/"},"author":{"name":"No\u00ebmie Honor\u00e9","@id":"https:\/\/www.riskinsight-wavestone.com\/en\/#\/schema\/person\/770c3b6033b52b37512a70d681a8440d"},"headline":"OSE belges et ISO 27001 : quel chemin vers plus de cybers\u00e9curit\u00e9 ?","datePublished":"2020-08-21T15:20:25+00:00","dateModified":"2021-07-12T08:54:18+00:00","mainEntityOfPage":{"@id":"https:\/\/www.riskinsight-wavestone.com\/2020\/08\/ose-belges-et-iso-27001-quel-chemin-vers-plus-de-cybersecurite-2\/"},"wordCount":2120,"publisher":{"@id":"https:\/\/www.riskinsight-wavestone.com\/en\/#organization"},"image":{"@id":"https:\/\/www.riskinsight-wavestone.com\/2020\/08\/ose-belges-et-iso-27001-quel-chemin-vers-plus-de-cybersecurite-2\/#primaryimage"},"thumbnailUrl":"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2020\/05\/Fotolia_74336338_Subscription_Monthly_XXL-74336338-Hand-holding-map.-Flat-design-web-icons\u00a9-evencake-scaled.jpg","keywords":["ISO27001","NIS"],"articleSection":["Cyberrisk Management & Strategy","Cybersecurity & Digital Trust"],"inLanguage":"en-US"},{"@type":"WebPage","@id":"https:\/\/www.riskinsight-wavestone.com\/2020\/08\/ose-belges-et-iso-27001-quel-chemin-vers-plus-de-cybersecurite-2\/","url":"https:\/\/www.riskinsight-wavestone.com\/2020\/08\/ose-belges-et-iso-27001-quel-chemin-vers-plus-de-cybersecurite-2\/","name":"OSE belges et ISO 27001 : quel chemin vers plus de cybers\u00e9curit\u00e9 ? - RiskInsight","isPartOf":{"@id":"https:\/\/www.riskinsight-wavestone.com\/en\/#website"},"primaryImageOfPage":{"@id":"https:\/\/www.riskinsight-wavestone.com\/2020\/08\/ose-belges-et-iso-27001-quel-chemin-vers-plus-de-cybersecurite-2\/#primaryimage"},"image":{"@id":"https:\/\/www.riskinsight-wavestone.com\/2020\/08\/ose-belges-et-iso-27001-quel-chemin-vers-plus-de-cybersecurite-2\/#primaryimage"},"thumbnailUrl":"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2020\/05\/Fotolia_74336338_Subscription_Monthly_XXL-74336338-Hand-holding-map.-Flat-design-web-icons\u00a9-evencake-scaled.jpg","datePublished":"2020-08-21T15:20:25+00:00","dateModified":"2021-07-12T08:54:18+00:00","description":"Dans un pr\u00e9c\u00e9dent article, on vous racontait tout sur la nouvelle directive europ\u00e9enne NIS et le choix de la Belgique de se baser sur la norme ISO 27001 pour accro\u00eetre la s\u00e9curit\u00e9 des Op\u00e9rateurs de Services Essentiels (OSE) avec tout ce que \u00e7a entra\u00eenait pour les organisations nouvellement d\u00e9sign\u00e9es.Qui dit directive europ\u00e9enne ne dit pas r\u00e8glement europ\u00e9en\u00a0: il revient donc \u00e0 chaque pays membre de transposer les exigences de la directive NIS dans son droit national.\u00a0La Belgique a fait le choix d\u2019un standard existant\u00a0(la norme ISO 27001) alors que certains de ses voisins, dont la France, ont choisi une approche bas\u00e9e sur la d\u00e9finition d\u2019un r\u00e9f\u00e9rentiel d\u2019exigences pr\u00e9cis m\u00ealant \u00e0 la fois des mesures techniques et de gouvernance\u00a0(SI d\u2019administration, cloisonnement, d\u00e9marche d\u2019homologation, etc.).Int\u00e9ressons-nous aujourd\u2019hui \u00e0 ce que \u00e7a implique pour les OSE belges, et plus largement pour toutes les organisations attir\u00e9es par les normes internationales, de suivre les exigences de la norme ISO 27001.","breadcrumb":{"@id":"https:\/\/www.riskinsight-wavestone.com\/2020\/08\/ose-belges-et-iso-27001-quel-chemin-vers-plus-de-cybersecurite-2\/#breadcrumb"},"inLanguage":"en-US","potentialAction":[{"@type":"ReadAction","target":["https:\/\/www.riskinsight-wavestone.com\/2020\/08\/ose-belges-et-iso-27001-quel-chemin-vers-plus-de-cybersecurite-2\/"]}]},{"@type":"ImageObject","inLanguage":"en-US","@id":"https:\/\/www.riskinsight-wavestone.com\/2020\/08\/ose-belges-et-iso-27001-quel-chemin-vers-plus-de-cybersecurite-2\/#primaryimage","url":"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2020\/05\/Fotolia_74336338_Subscription_Monthly_XXL-74336338-Hand-holding-map.-Flat-design-web-icons\u00a9-evencake-scaled.jpg","contentUrl":"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2020\/05\/Fotolia_74336338_Subscription_Monthly_XXL-74336338-Hand-holding-map.-Flat-design-web-icons\u00a9-evencake-scaled.jpg","width":2560,"height":2560},{"@type":"BreadcrumbList","@id":"https:\/\/www.riskinsight-wavestone.com\/2020\/08\/ose-belges-et-iso-27001-quel-chemin-vers-plus-de-cybersecurite-2\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Accueil","item":"https:\/\/www.riskinsight-wavestone.com\/en\/"},{"@type":"ListItem","position":2,"name":"OSE belges et ISO 27001 : quel chemin vers plus de cybers\u00e9curit\u00e9 ?"}]},{"@type":"WebSite","@id":"https:\/\/www.riskinsight-wavestone.com\/en\/#website","url":"https:\/\/www.riskinsight-wavestone.com\/en\/","name":"RiskInsight","description":"The cybersecurity & digital trust blog by Wavestone's consultants","publisher":{"@id":"https:\/\/www.riskinsight-wavestone.com\/en\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/www.riskinsight-wavestone.com\/en\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"en-US"},{"@type":"Organization","@id":"https:\/\/www.riskinsight-wavestone.com\/en\/#organization","name":"Wavestone","url":"https:\/\/www.riskinsight-wavestone.com\/en\/","logo":{"@type":"ImageObject","inLanguage":"en-US","@id":"https:\/\/www.riskinsight-wavestone.com\/en\/#\/schema\/logo\/image\/","url":"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2021\/08\/Monogramme\u2013W\u2013NEGA-RGB-50x50-1.png","contentUrl":"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2021\/08\/Monogramme\u2013W\u2013NEGA-RGB-50x50-1.png","width":50,"height":50,"caption":"Wavestone"},"image":{"@id":"https:\/\/www.riskinsight-wavestone.com\/en\/#\/schema\/logo\/image\/"}},{"@type":"Person","@id":"https:\/\/www.riskinsight-wavestone.com\/en\/#\/schema\/person\/770c3b6033b52b37512a70d681a8440d","name":"No\u00ebmie Honor\u00e9","url":"https:\/\/www.riskinsight-wavestone.com\/en\/author\/noemie-honore\/"}]}},"_links":{"self":[{"href":"https:\/\/www.riskinsight-wavestone.com\/en\/wp-json\/wp\/v2\/posts\/13761","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.riskinsight-wavestone.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.riskinsight-wavestone.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.riskinsight-wavestone.com\/en\/wp-json\/wp\/v2\/users\/1368"}],"replies":[{"embeddable":true,"href":"https:\/\/www.riskinsight-wavestone.com\/en\/wp-json\/wp\/v2\/comments?post=13761"}],"version-history":[{"count":3,"href":"https:\/\/www.riskinsight-wavestone.com\/en\/wp-json\/wp\/v2\/posts\/13761\/revisions"}],"predecessor-version":[{"id":14709,"href":"https:\/\/www.riskinsight-wavestone.com\/en\/wp-json\/wp\/v2\/posts\/13761\/revisions\/14709"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.riskinsight-wavestone.com\/en\/wp-json\/wp\/v2\/media\/13138"}],"wp:attachment":[{"href":"https:\/\/www.riskinsight-wavestone.com\/en\/wp-json\/wp\/v2\/media?parent=13761"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.riskinsight-wavestone.com\/en\/wp-json\/wp\/v2\/categories?post=13761"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.riskinsight-wavestone.com\/en\/wp-json\/wp\/v2\/tags?post=13761"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/www.riskinsight-wavestone.com\/en\/wp-json\/wp\/v2\/coauthors?post=13761"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}