Nouvelle directive VdS : Exigences minimales pour la sécurité de l'information des PME
Même les petites entreprises utilisent des systèmes de traitement de l'information pour leurs processus commerciaux et sont donc soumises à divers cyberrisques. Ils peuvent difficilement se permettre une protection étendue. Avec VdS 10005, il existe désormais une directive permettant de mettre en œuvre une sécurité informatique systématique avec un certificat de test VdS indépendant.
L'expérience pratique avec la norme de cybersécurité établie VdS 10000 a montré : Les exigences formulées et les lignes directrices d'action constituent une base pratique permettant aux PME d'atteindre un niveau de sécurité approprié dans le domaine de la sécurité de l'information. Pour les petites et micro-entreprises, les spécifications du VdS 10000 sont toutefois encore trop complexes, de sorte que ce groupe de clients en particulier hésite encore à adopter une approche systématique de la sécurité informatique. C'est dans ce contexte que VdS a élaboré les directives 10005. L'objectif de ce cadre est de montrer aux entreprises comptant jusqu'à 20 employés un moyen rentable de sécuriser leurs systèmes informatiques et de le justifier par des mesures efficaces.
Élaboration d'un guide en ligne
"Comment pouvons-nous proposer aux petites et microentreprises une offre qui, d'une part, échelonne les mesures technico-organisationnelles (TOM) de manière responsable et offre encore un niveau de protection approprié, mais qui, d'autre part, ne perd pas de vue la situation des ressources et, enfin et surtout, la volonté d'investir du groupe cible ?". Combien la sécurité de l'information peut-elle coûter aujourd'hui ? ", Markus Edel, chef du département Cyber-sécurité et systèmes de gestion de VdS, explique la démarche intellectuelle qui a présidé à l'élaboration des directives VdS 10005 : " En séparant l'aspect système de gestion des exigences. En effet, l'intégration des TOM dans un système de gestion dont l'élément central est le processus d'amélioration continue nécessite une série de mesures qui exigent beaucoup de ressources", poursuit-il.
Un guide en ligne a également été développé pour les directives VdS 10005, qui guide les clients pas à pas à travers les exigences. Outre le texte des lignes directrices, le guide fournit des informations précieuses sur l'interprétation et présente des exemples concrets de mise en œuvre tirés de la pratique des entreprises. Le guide est disponible à l'adresse suivante vds.de/guide-vds-10005 est disponible en tant qu'outil en ligne dans une zone fermée payante et offre aux utilisateurs des fonctions pratiques supplémentaires - par exemple, la possibilité d'afficher l'état actuel de la mise en œuvre de la directive VdS 10005 afin de pouvoir déterminer précisément la capacité du certificat d'essai.
Ne plus être certifiable
Grâce à l'ensemble des lignes directrices et des guides, l'objectif de réduction des efforts pour les micro-entreprises peut être atteint de manière optimale. Ainsi, pour moins de 650 euros, VdS propose aux entreprises intéressées une procédure qui permet une protection adéquate de leur paysage informatique, mais qui n'est plus certifiable en raison de l'omission de l'aspect système de gestion. Au lieu de cela, la directive vise un certificat d'essai basé sur un audit à distance sans contrôle annuel obligatoire, de sorte que les audits sur site coûteux puissent être supprimés. En outre, le VdS 10005 représente un sous-ensemble du VdS 10000 et est donc compatible avec le niveau supérieur. Une option intéressante si, par exemple, les exigences en matière de sécurité de l'information augmentent également en raison d'une augmentation des activités ou de changements dans l'environnement de risque.
Plus d'informations sur le site : www.vds.de/cyber
Autres sujets :
Nouvelle cyber-assurance pour les indépendants et les PME
