Nahla Davies examine l'angle mort entre les contrôles de sécurité de l'information et une véritable gouvernance de l'intégrité des données.
L'obtention de la certification ISO 27001 suscite une étrange sorte de confiance. L'audit est terminé, le certificat est accroché au mur et soudain, tout le monde dans le bâtiment dort un peu mieux la nuit. Vous avez l'impression d'avoir réglé la question de sécurité une fois pour toutes.
Mais voici ce dont personne ne parle lors du dîner de célébration : la plupart des risques liés aux données qui brûlent réellement les entreprises en 2026 n'ont que très peu à voir avec la réussite d'un audit. Ils sont plus compliqués que ça.
Ils vivent dans le chaos quotidien et banal de la façon dont les équipes créent, déplacent, copient et oublient les données. Et c’est exactement là que la norme ISO 27001, malgré toute sa valeur, commence à manquer de réponses.
La certification couvre le cadre, pas le désordre
La norme ISO 27001 est vraiment utile. Mettons cela de côté. Il donne aux organisations une approche structurée de la gestion de la sécurité de l’information et oblige les dirigeants à réfléchir réellement aux risques de manière systématique. Pour les entreprises qui n’avaient rien auparavant, c’est un énorme pas en avant.
Mais la norme a été conçue pour évaluer si vous avez mis en place les politiques, contrôles et processus appropriés. Il vérifie que l'architecture existe. Ce qu'il ne peut pas faire, c'est suivre vos données un mardi après-midi lorsqu'un responsable du marketing copie une liste de clients dans une feuille Google personnelle pour « vérifier rapidement quelque chose ».
C'est là que réside l'écart. La certification indique aux auditeurs que vous avez construit les murs. Il ne dit à personne ce qui se passe à l’intérieur des pièces. Et dans la plupart des organisations, ce qui se passe dans les salles est à la limite du chaos.
Pensez à la manière dont les données circulent réellement entre les personnes dans une entreprise moderne. Il démarre dans un seul système, est exporté dans une feuille de calcul, envoyé par courrier électronique à un collègue, téléchargé sur un lecteur partagé, dupliqué dans trois départements et finalement oublié dans un dossier que personne n'a ouvert depuis le trimestre dernier. Rien de tout cela ne viole nécessairement vos contrôles ISO 27001. Tout cela crée des risques.
La norme demande si vous disposez d’une politique d’inventaire des actifs et de classification des données. La plupart des entreprises certifiées le font. Mais la réalité de l’application d’une classification à grande échelle, sur des milliers de fichiers et des dizaines d’outils, est un problème complètement différent. C'est comme avoir un plan d'évacuation incendie épinglé au mur alors que la moitié des sorties sont bloquées par des meubles. Techniquement conforme, mais pratiquement dangereux.
La gouvernance des données est la partie que tout le monde saute
Il y a une raison pour laquelle la gouvernance des données revient toujours dans les conversations sur la sécurité, même si cela semble terriblement ennuyeux. C'est parce que la gouvernance est la couche qui se situe entre la politique et la réalité. C'est la partie qui répond à des questions telles que : à qui appartient réellement cet ensemble de données ? Quand a-t-il été révisé pour la dernière fois ? Est-ce que quelqu'un sait qu'il est toujours stocké à trois endroits ?
La norme ISO 27001 aborde certains de ces aspects. L'annexe A comporte des contrôles concernant la classification des informations, la gestion des accès et la propriété des actifs. Mais la norme les traite comme des cases à cocher lors d’un cycle d’audit. En pratique, la gouvernance des données nécessite une attention constante et active. C'est opérationnel, pas périodique.
La plupart des entreprises certifiées élaborent leur documentation, attribuent leurs rôles et passent à autre chose. Six mois plus tard, le paysage des données a complètement changé. De nouveaux outils sont adoptés, les équipes se réorganisent, les gens partent et leur accès persiste. Le certificat reste valable. Les risques se multiplient.
Et cela est particulièrement vrai pour les données non structurées, qui constituent la grande majorité de ce que détiennent la plupart des organisations. E-mails, documents, journaux de discussion, fichiers partagés. La norme ISO 27001 n'apporte pas de réponse satisfaisante au volume considérable et à l'imprévisibilité des données non structurées. Cela suppose que vous puissiez le classer et le contrôler. Quiconque a essayé sait que c’est au mieux optimiste.
Ce qui est réellement nécessaire, outre la certification, c'est une pratique de gouvernance des données vivante et respirante. Celui qui cartographie l'endroit où résident réellement les données sensibles (pas seulement là où elles sont censées se trouver), surveille leur déplacement et signale lorsque quelque chose dérive en dehors des limites acceptables. Il ne s'agit pas d'un exercice de vérification. Il s'agit d'une fonction opérationnelle continue.
La conformité crée un plancher, pas un plafond
Il y a ici un point plus large qui s'applique au-delà de la norme ISO 27001. Les cadres de conformité, de par leur nature, fixent une barre minimale. Ils définissent ce qui est « acceptable » à un moment donné, même dans des cas extrêmes comme l’utilisation de l’IA pour les tests de logiciels. Mais les menaces évoluent, la technologie évolue et la manière de travailler évolue constamment. Une norme révisée régulièrement ne peut tout simplement pas suivre la rapidité avec laquelle le paysage des données évolue.
Cela est particulièrement pertinent à mesure que les outils d’IA sont désormais intégrés aux flux de travail quotidiens. Les employés alimentent les données de l'entreprise dans de grands modèles linguistiques, utilisent des assistants IA pour résumer les documents internes et génèrent du contenu basé sur des informations exclusives. La norme ISO 27001 n'a pas été rédigée en tenant compte de cette réalité. La mise à jour de 2022 a certes fait des progrès, mais la vitesse d’adoption de l’IA a dépassé ce que n’importe quelle norme peut raisonnablement résoudre.
Les entreprises qui considèrent la certification comme la ligne d’arrivée ont tendance à développer des angles morts précisément dans ces domaines. Ils sont conformes sur papier mais exposés dans la pratique. Les risques liés aux données auxquels ils sont confrontés ne proviennent pas d’attaques externes sophistiquées (même si celles-ci sont également importantes). Ils viennent de l’intérieur de la maison, des façons quotidiennes et peu glamour dont les gens interagissent avec l’information.
Les organisations les plus intelligentes utilisent la norme ISO 27001 comme base, puis progressent. Ils investissent dans des outils de découverte de données qui cartographient les données fantômes. Ils mettent en œuvre une surveillance en temps réel des informations sensibles. Ils forment les employés non seulement sur la politique, mais aussi sur les habitudes pratiques qui empêchent les données de se retrouver là où elles ne devraient pas se trouver. La certification devient le point de départ de la conversation sur la sécurité, et non la conclusion.
Réflexions finales
La norme ISO 27001 mérite sa réputation de cadre sérieux et crédible. Obtenir la certification demande de réels efforts et cela indique qu'une organisation prend la sécurité des informations au sérieux.
Mais il existe un décalage croissant entre ce que prouve le certificat et ce qu’exigent réellement les environnements de données modernes. Les risques les plus importants aujourd'hui proviennent de la prolifération des données, de la duplication, de la dérive et de l'entropie silencieuse des informations que personne ne gère activement.
Pour résoudre ce problème, il faut plus qu’un cadre. Cela nécessite une culture de gouvernance continue, des outils pratiques et un regard honnête sur l’écart entre la manière dont les données devraient se comporter et la manière dont elles se comportent réellement. Le certificat ouvre la porte. Ce que vous construisez derrière cela est ce qui compte réellement.
Par Nahla Davies
Nahla Davies est développeur de logiciels et rédactrice technique. Avant de consacrer son travail à plein temps à la rédaction technique, elle a réussi – entre autres choses intrigantes – à devenir programmeuse principale dans une organisation de branding expérientiel Inc 5,000, qui compte parmi ses clients Samsung, Time Warner, Netflix et Sony.
