Objectif ISO 27001 : les normes BSI largement dépassées
Chaque entreprise relevant de la réglementation KRITIS est légalement tenue de se soumettre à un audit du BSI tous les deux ans. Lors de cet audit, un auditeur certifié vérifie la conformité de l’entreprise aux réglementations en vigueur. « Nous prenons très au sérieux la sécurité de l’information et sommes pleinement conscients de notre responsabilité. Ce n’est pas seulement une obligation légale ; nos clients exigent également, à juste titre, une stratégie de protection étendue des systèmes d’information utilisés en commun, que nous nous engageons à fournir », déclare Nicolas Abel, Chief Information Security Officer chez Deutsche Windtechnik. « Pour nous, l’audit BSI n’est qu’une preuve de respect des exigences minimales. Le véritable pilier de notre concept KRITIS repose sur les exigences de la norme ISO 27001 ».
En effet, la norme ISO 27001 est reconnue internationalement pour les systèmes de gestion de la sécurité de l’information (ISMS) et vise à garantir la confidentialité, l’intégrité et la disponibilité des informations. Elle définit les exigences nécessaires à la mise en œuvre d’un SMSI, tout en spécifiant son fonctionnement, sa surveillance, sa maintenance et son amélioration continue. Les mesures adoptées englobent la gestion des risques, les politiques de sécurité, les contrôles d’accès, les plans d’urgence, ainsi qu’une surveillance continue pour identifier, évaluer et atténuer les risques liés à la sécurité de l’information.
Réseaux dédiés pour les infrastructures critiques
Chez Deutsche Windtechnik, la sécurité des salles de contrôle est au cœur de notre stratégie de protection. Selon la directive KRITIS, ces installations sont classées parmi les plus « critiques » et nécessitent donc des mesures de protection rigoureuses. Une cyberattaque ciblant ces salles pourrait avoir des conséquences significatives, tant sur l’exploitation des installations gérées que sur nos clients, allant jusqu’à perturber l’approvisionnement électrique d’une partie de la population.
« Nous nous engageons à garantir que personne ne puisse accéder à nos flux de données ou les modifier sans autorisation », souligne Nicolas Abel. « Pour ce faire, nous avons transféré notre infrastructure critique vers un réseau de centrales électriques dédié et autonome. Cette mesure dépasse largement les exigences légales, ce qui est assez rare dans le secteur éolien ».
Impliquer le personnel : clé de la sécurité de l’information
Un aspect fondamental de la sécurité de l’information est la protection des données, quel que soit le support de stockage utilisé. En effet, la sécurité de l’information dépasse largement le cadre de la sécurité informatique. Nous analysons attentivement la manière dont les informations sont classées, cryptées, transmises et, enfin, détruites, tant sur le plan numérique qu’analogique. « Nous sommes pleinement conscients que des tiers peuvent tenter d’accéder à des données sensibles dans le but de causer des préjudices », déclare Nicolas Abel. « Nous le savons bien : la sécurité de l’information débute avant tout avec nous, c’est-à-dire avec les individus. Pour sensibiliser nos collaborateurs, nous organisons régulièrement des sessions de formation. Cela leur permet de mieux identifier et signaler les tentatives de phishing ».
Accroître la sécurité en bâtissant la confiance
Dans un marché globalisé, il est essentiel de dépasser les frontières allemandes, notamment en matière de sécurité de l’information. En nous appuyant sur la norme ISO 27001, reconnue internationalement, nous établissons des standards d’excellence auxquels nos clients du monde entier accordent leur confiance. En nous alignant systématiquement sur cette norme, nous envoyons un message fort : nous reconnaissons notre responsabilité sociale. Pour nous, la sécurité ne se limite pas à une obligation légale, elle constitue un pilier fondamental de notre stratégie d’entreprise.
Cette approche proactive envers la sécurité de l’information témoigne de notre engagement à atteindre les normes les plus élevées. Elle inspire confiance à tous ceux qui utilisent nos services et renforce l’infrastructure numérique partagée, tout en consolidant la confiance dans notre propre stratégie de sécurité.