De l’importance de choisir le bon référentiel de sécurité. (Photo: POST Luxembourg) 

De l’importance de choisir le bon référentiel de sécurité. (Photo: POST Luxembourg) 

La fin d’année approche. Pour les responsables de la sécurité, il est temps de défendre un budget auprès de la direction. Mais obtenir les moyens nécessaires pour assurer cette mission est souvent compliqué. Quels arguments avancer? Et si l’adoption d’un référentiel de sécurité pouvait contribuer à faire changer de regard sur le risque?

Encadrer le risque

Prenons l’exemple de POST Luxembourg. L’entreprise opère dans différents secteurs d’activité, comme le courrier, les télécoms, la finance, l’IT. Chaque entité est donc soumise à un ou plusieurs régulateurs: CNPD, ILR, CSSF et autant de normes et règlements: Bale 2, PSD2, PCI-DSS, GDPR… Ces standards auxquels POST doit se conformer ont pour vocation d’encadrer strictement l’entreprise dans les domaines de la gestion du risque, des données personnelles et de la sécurité de l’information.

Dès lors, une question se pose. Quel référentiel suivre face à la multitude de standards existants? Cobit, COSO, ISO 27001… Lequel pourrait permettre de répondre au mieux aux exigences des différents régulateurs nationaux et européens?

Au sein de l’équipe POST, qui travaille sur la sécurité de l’information tant pour le groupe que pour ses clients externes – les collaborateurs sont souvent sollicités pour aider à définir, mettre en place et suivre un cadre ou référentiel de sécurité. Il s’agit en effet de la condition nécessaire pour disposer d’un fil conducteur capable de donner à la direction de l’entreprise une vue cohérente sur les risques encourus. Pour le groupe POST, c’est la norme ISO/IEC 27001:2013 qui a été retenue.

Lire la suite:

Commission Nationale de la Protection des données

2 Institut Luxembourgeois de Régulation

Commission de Surveillance du Secteur Financier