Retour d'expérience de la certification ISO 27001

PierreGLe 2 février 2021

L'ISO/CEI 27001 est une norme internationale de sécurité des systèmes d'information produite par l’Organisation Internationale de Normalisation (ISO) et la Commission Électrotechnique Internationale (CEI).

Elle traite la sécurité par les risques. Une entreprise certifiée ISO 27001 montre qu’elle a conscience des risques pesant sur ses actifs sensibles, qu’elle les prend en compte et qu’elle s’en protège. Elle met également en place un processus d’amélioration continue (PDCA) de sa sécurité.

Il ne s’agit pas uniquement de protections physiques ou informatiques.

L’ISO 27001 a bien pour objectif de protéger l’entreprise de toute perte, vol ou altération de données, mais pas uniquement en défendant les systèmes informatiques contre les intrusions ou sinistres. Elle donne des bonnes pratiques conceptuelles qui viennent compléter ces mesures techniques, pour une sécurité à 360°.

Cet ensemble, à la fois technique et organisationnel, est appelé le SMSI : Système de Management de la Sécurité de l’Information. Il regroupe les systèmes d’informations, les processus et les personnes qui sont concernées par les mesures de protection. La norme ISO 27001 est donc un cadre permettant de mettre en place, d’exploiter et de faire évoluer ce SMSI dans le contexte d’une organisation.

Pourquoi est-il important d’être conforme, et encore plus d’être effectivement certifié ?

La norme ISO 27001 comprend plusieurs avantages, d’un point de vue organisationnel, sécuritaire, mais aussi commercial et marketing.

Cette norme intègre des processus de gestion des risques liés à la sécurité de l’information. Des processus spécifiques sont mis en place en interne pour assurer la sécurité de l’information durant l’intégralité du cycle de vie des systèmes d’information. De même, l’organisation de votre entreprise sera adaptée pour répondre à différents types de menaces ou d’attaques.

En mettant en œuvre des politiques et des contrôles basés sur la norme ISO 27001, une entreprise met en œuvre les meilleures pratiques reconnues en matière de sécurité de l’information. Le bénéfice pour l’entreprise c’est une sérénité et une protection contre les incidents de sécurité ou des violations de ses données (et celles de ses clients) qui pourraient nuire à sa réputation.

La mise en place de la norme ISO 27001 permet aussi de réduire vos coûts. Par la mise en place d’un SMSI efficace, les mesures de sécurités seront adaptées à votre entreprise. Les mesures et outils inutiles seront supprimés.

Cette norme est également promue par l’ANSSI afin d’augmenter la maturité des entreprises françaises sur les aspects cybersécurité , réduire les surfaces d’attaques des cybercriminels et ainsi augmenter la confiance numérique.

visa ISO 27001 Veritas

Comment met-on en place un SMSI conforme à la norme ISO 27001 ?

Il faut tout d’abord définir sur quel périmètre portera le SMSI, il sera impossible de prendre en compte l’intégralité des S.I. de l’entreprise dans un premier temps.

Il est judicieux de choisir un périmètre restreint mais qui porte sur un actif important de l’entreprise, que ce soit du point de vue de sa valeur interne ou commerciale.

*"Nous préconisons à nos clients de démarrer la certification sur un périmètre réduit, et une fois la certification acquise, d’élargir le périmètre à d’autres activités.

L'indispensable, c'est d'avoir un appui très fort de la direction, afin qu’elle attribue des ressources suffisantes pour le projet."* JPP, chef de projet sur la certification et Lead Implementer ISO 27001

Une analyse de risques sur le périmètre selon l’ISO 27005 permettra d’établir la liste des risques qui portent sur ce périmètre. Ces risques étant identifiés, on détermine pour chacun d’eux le ratio entre la probabilité qu’il se réalise, et l’impact d’un tel événement.

Les mesures de protection pouvant être appliquées sont toutes référencées dans la norme ISO 27002. Elles ne sont pas toutes obligatoires, le document s’articulant autour des termes « doit », « peut » et « il est conseillé de ».

C’est à la direction de l’entreprise de déterminer celles qui conviennent au périmètre, selon le traitement réservé à chacun des risques identifiés :

  • Réduction du risque, en réduisant son impact potentiel,
  • Partage du risque avec un prestataire,
  • Acceptation du risque, par exemple si la mesure à mettre en place coûte trop cher par rapport au risque ou si le risque a un impact qui est supportable par la structure.

Les mesures choisies sont alors référencées dans une Déclaration d’Applicabilité, document obligatoire matérialisant l’engagement de la Direction et de son entreprise. C’est la phase finale de la définition du Plan de Traitement du Risque.

Il faudra également déployer un système documentaire à 4 niveaux pour y gérer l’ensemble des documents du SMSI.

structure de documentation ISO 27001

Un audit interne permettra de vérifier que l’approche initiale est correcte et apportera les pistes nécessaires à l’amélioration du SMSI en vue d’une certification. Il est possible de se faire accompagner par un prestataire dans cette phase pour garantir une certification sereine, il aura une vue externe et challengera le projet pour ne rien laisser au hasard.

Concrètement, comment se déroule un audit ISO 27001 ?

L’audit de certification se déroule en deux phases, la première permettant de confirmer s’il est opportun de continuer l’audit en phase 2.

L’auditeur va déterminer rapidement, en une journée, si la démarche a été menée correctement tant au niveau du corpus documentaire que sur l’organisation. S’il estime que tout est en place, l’audit passe en phase 2 qui est l’audit de certification en lui-même et qui va se dérouler sur 2 jours. Les personnes qui seront auditées sont le Responsable du SMSI et potentiellement toutes les fonctions de l’entreprise en relation avec le périmètre audité (Direction, RH, Techniciens …). Le document d’applicabilité va être vu en détail afin de vérifier que les mesures nécessaires ont été sélectionnées et appliquées. L’auditeur va également challenger les équipes sur la plupart des procédures et vérifier leur connaissance du SMSI et que celui-ci est correctement utilisé et renseigner.

Une fois le rapport de l’auditeur terminé, le comité de certification de l’organisme de certification se réunit pour valider ou rejeter la certification.

La préparation à ces audits va consister principalement à bien connaître son SMSI et que les équipes soient bien sensibilisées à celui-ci, et bien sûr que l’on applique effectivement ce qui est formalisé dans le SMSI.

Mais la certification n’est pas la fin de l’aventure !

Il faut maintenant mettre en œuvre, dans le cadre du PDCA (Plan-Do-Check-Act), les améliorations notées dans le rapport d’audit, corriger les non conformités mineures et maintenir à jour le SMSI. L’amélioration continue du SMSI passe, entre-autre, par des revues de direction dédiées et régulières, la réévaluation périodique de l’analyse de risques, l’amélioration du niveau de maturité de l’entreprise sur les mesures sélectionnées et appliquées et l’augmentation du périmètre du SMSI pour y inclure progressivement l’ensemble des actifs de l’entreprise.

Un audit interne périodique permettra de s’assurer, par une vue externe à l’entreprise, que la démarche se déroule correctement et que les audits de certification obligatoires ultérieurs se dérouleront sans difficultés.

En conclusion

Obtenir une certification ISO 27001 vous permet non seulement de démontrer vos bonnes pratiques de sécurité, rehaussant ainsi les relations professionnelles tout en fidélisant les clients existants, mais elle vous offre aussi un avantage marketing sur vos concurrents. Grâce à la certification ISO 27001, vous montrez à vos clients et partenaires que vos données et donc leurs données sont sécurisées. Obtenir la certification et son renouvellement est un gage de qualité rassurant et assure votre crédibilité.

Attention, obtenir cette certification s’accompagne d’une réelle démarche pérenne quant au plan d’action adoptée, et ne vous met pas à l’abri d’un non-respect d’autres normes de gestion des données personnelles telles que le RGPD !

Besoin d’être accompagné.e pour demander la certification ISO 27001 ? Parlons-en !

You've enabled "Do Not Track" in your browser, we respect that choice and don't track your visit on our website.