Comment obtenir la certification ISO 27001 ?

Certification ISO 27001 : les 6 points essentiels de cette norme

La protection des données est un défi quotidien à relever pour les entreprises du XXIe siècle. Parmi toutes les normes, il en est une, l’ISO 27001 qui peut faire la différence auprès de vos clients pour gagner leur confiance et en interne pour améliorer la sécurisation des données sensibles face aux menaces extérieures. Obtenir la certification ISO 27001 est un atout dont votre entreprise ne devrait pas se passer. Découvrez les points clés et les enjeux de cette norme.

Certification ISO 27001 : à quoi sert cette norme ?

Nommée « Technologies de l’information – Techniques de sécurité – Systèmes de gestion de sécurité de l’information – Exigences », la certification ISO 27001 est une norme internationale de référence. Elle permet une gestion optimale des risques liés à la sécurité de l’information.

En clair, grâce à elle, les entreprises surveillent, révisent, entretiennent et améliorent la gestion de la sécurité des informations en mettant en place un Système de Management de Sécurité de l’Information (SMSI).

Toutes les données sont efficacement protégées avec une méthodologie technique et organisationnelle. Il ne s’agit pas uniquement de défendre les systèmes informatiques contre des intrusions, mais de mettre en place les bonnes pratiques et les bonnes procédures pour obtenir une sécurité à 100%.

Cette certification iso 27001 atteste que :

  • Vous savez identifier les menaces (cyber-attaques, vols ou pertes de données…).
  • Vous maîtrisez les risques concernant les informations sensibles détenues par votre société.
  • Vous avez mis en place des mesures de protection adaptées et efficaces pour garantir la confidentialité, l’intégrité et la disponibilité des données.
  • Vous faites évoluer votre SMSI pour vous adapter en permanence aux nouveaux risques.
  • Vous vous engagez à maintenir un niveau de sécurité maximal.

Des certifications en augmentation

Avec les dernières affaires de piratage informatique médiatisées (l’affaire Ariane par exemple, fichier clé du ministère de l’Europe et des Affaires étrangères), pas étonnant si de plus en plus d’entreprises souhaitent obtenir la certification ISO 27001, et ce dans le monde entier !

La progression du nombre de certifications ISO 27001 s’est accentuée récemment en France notamment avec le décret n° 218-137 du 26 février 2018 sur l’Hébergement des Données de Santé (HDS). La nouvelle loi impose aux hébergeurs de données de santé d’être certifiés ISO 27001 pour obtenir la certification HDS. Ce prérequis prouve qu’ils se conforment aux exigences de la norme sur la sécurité de l’information.

En clair : si une entreprise spécialisée dans le traitement médical veut externaliser ses données informatiques, elle doit faire appel à un infogérant certifié HDS. Cela sous-entend qu’il a préalablement obtenu la certification ISO 27001.

La norme ISO 27001 protège votre société autant qu’elle rassure vos clients ou prospects pour une collaboration en toute sérénité réciproque.

Mise en œuvre d’un Système de Management de Sécurité de l’Information (SMSI) : qui est concerné ?

Toutes les entreprises sont concernées par la certification ISO 27001 à partir du moment où elles détiennent des données, physiques ou dématérialisées !

Vous pouvez être certifié :

  • Quel que soit votre secteur d’activité.
  • Quelle que soit la taille de votre entreprise (start-up, multinationale, PME…).

Mettre en œuvre un SMSI ne se limite pas aux entreprises du domaine informatique ou aux hébergeurs de données. L’ISO 27001 concerne toutes les sociétés, les organisations et même les collectivités !

La certification est possible et pas obligatoire : être certifié n’est pas l’objectif principal.
Mais obtenir la certification est l’aboutissement de l’implémentation d’un SMSI : vous prouvez officiellement, notamment à vos clients, que vous respectez les recommandations de la norme puisqu’un organisme indépendant le certifie.

Les spécificités de la norme ISO/CEI 27001

La certification ISO/CEI 27001 fait partie de la grande famille des normes ISO 27000 sur la sécurité de l’information. Il existe une douzaine de normes visant à faciliter le management de la sécurité des données financières, des documents de propriété intellectuelle, des données du personnel…

L’ISO 27001 présente des points communs à d’autres normes de système de management. Mais quelles sont ses spécificités ?

Contrairement aux normes du management de la qualité (ISO 9001 par exemple) ou de la santé (ISO 45001 par exemple), l’ISO/CEI 27001 se différencie par :

  • Une situation opérationnelle avec des mises en application. Cette norme du management de sécurité est un cahier des charges de 10 chapitres et une annexe de 114 points de contrôle à appliquer. Et c’est bien ce qui fait la différence ! Si l’ISO/CEI 27001 exige une procédure de maîtrise des documents internes comme pour tout système de management (ISO 9001), elle implique une mise en pratique.
  • La protection des données face à des menaces externes comme des cyber-attaques. Avec cette norme, on parle de cyber-sécurité contrairement à la norme ISO 45001 qui identifie des risques en interne (sur le lieu de travail).

Les avantages de la certification ISO 27001

Mettre en place un SMSI visant à obtenir la certification ISO 27001 vous offre bien des avantages, non seulement pour le développement de votre activité, mais aussi en interne :

  • Gagner en crédibilité sur votre marché. La certification ISO 27001 est un avantage concurrentiel et améliore votre réputation. Vos clients ont confiance en vous et vous restent fidèles. Mais c’est également un argument en votre faveur auprès de vos prospects.
  • Réduire vos coûts en matière de sécurité. Cette certification vous permet d’identifier le bon SMSI à mettre en place et de supprimer toute autre mesure de sécurité inutile. Vous évitez également les pertes financières et pénalités associées aux violations des informations.
  • Faciliter les échanges à l’international avec une certification reconnue par-delà les frontières.
  • Gagner en sécurité. Vous identifiez efficacement les menaces de votre système d’information. Vous améliorez continuellement vos pratiques pour sécuriser les données. La mise en place en interne d’un système de management performant réduit les risques et mobilise votre personnel formé pour répondre aux exigences de la norme.
  • Être conforme à la réglementation en matière de gestion des risques et de la sécurité (notamment au Règlement Général sur la Protection des Données – RGPD).

Grâce à la certification ISO 27001 et aux contrôles réguliers du management de sécurité, les risques et incidents diminuent sensiblement pour votre entreprise.

Bon à savoir :

Même si le RGPD a une portée plus large, la certification ISO/CEI 27001 simplifie la procédure de mise en conformité au RGPD.

Le RGPD et l’ISO 27001 sont deux normes de conformité qui visent à réduire les risques liés à la protection des données et à renforcer la sécurité. Elles se rejoignent sur plusieurs points :
– Assurer la confidentialité, la disponibilité et l’intégrité des données.
– Analyser les risques (procédure imposée par le RGPD sous le nom « Analyse d’Impact » ou « PIA »).
– Protéger les données dès le début et par défaut.
– Gérer les partenaires externes (fournisseurs) pour assurer la sécurité des données externalisées.
– Notifier les incidents et les failles de sécurité.
– Tenir des registres pour conserver les historiques des activités de traitement.

Comment obtenir la certification ISO 27001

Obtenir la certification ISO 27001 implique que vous respectiez les exigences de la norme. Mais il n’est pas toujours évident d’y arriver seul. Vous pouvez faire appel à un cabinet de conseil expert afin de vous accompagner dans toutes les démarches.

Pour obtenir la certification ISO 27001, vous devez :

  • Réaliser une analyse de risques dans le contexte de l’entreprise.
  • Identifier les moyens à mettre en œuvre et les ressources à manager (formation du personnel).
  • Définir une politique de sécurité et choisir le périmètre du SMSI.
  • Etablir un plan de traitement des risques et de gestion des incidents.
  • Sélectionner et mettre en place les mesures de protection.
  • Surveiller les mesures mises en place et leur efficacité (audits internes).
  • Planifier les actions correctrices identifiées.
  • Effectuer une déclaration d’applicabilité. Ce document obligatoire liste les objectifs et mesures de sécurité sélectionnés et mis en œuvre, ainsi que ceux exclus et les raisons de leur exclusion.

Pour faciliter l’obtention de la certification mais aussi son renouvellement tous les 3 ans, il est fortement recommandé de former vos équipes en interne. Tournez-vous vers un organisme de formation spécialisé en certification ISO pour vous aider à atteindre votre objectif !

Voici les principales formations :

  • ISO/IEC 27001 Lead Auditor : cet examen atteste des compétences du professionnel qui se charge de l’audit sur la conformité du SMSI. Elle peut également être utile en interne pour bien comprendre à quoi s’attendre lorsque le SMSI de l’entreprise sera audité.
  • ISO/IEC 27001 Lead Implementer : cette formation enseigne à vos collaborateurs internes comment mettre en œuvre un SMSI et à bien l’implémenter en tenant compte des spécificités de l’entreprise.
  • ISO/IEC 27005 Risk Manager : avec cette formation, vos collaborateurs comprennent les concepts de management du risque. Ils apprennent à réaliser une appréciation du risque selon la norme référente ISO/IEC 27005.

Les obligations après la certification ISO 27001

Votre entreprise a obtenu la certification ISO 27001 ? C’est une bonne nouvelle et une étape de franchie ! Mais être certifié vous oblige à évaluer en continu les performances de votre entreprise en matière de sécurité de l’information.

La certification est valable 3 ans au bout desquels elle peut être renouvelée. Chaque année, un auditeur externe s’assure que votre démarche est pérenne :

  • 1re année : un audit complet
  • 2e et 3e année : un audit de suivi.

A l’issue de ce cycle, l’auditeur changera et vous aurez la possibilité de choisir un autre organisme certificateur.

Notre conseil : C’est pourquoi nous préconisons d’établir des plans d’actions sur 3 ans avec des audits planifiés à intervalles réguliers pour répondre à ce cycle.

Durant ces 3 années, il faut :

  • assurer des contrôles continus. Les performances du SMSI sont surveillées et évaluées.
  • réaliser des audits internes. Ils permettent de définir si le système de gestion de la sécurité de l’information est toujours adapté.
  • effectuer des revues de direction permanentes. Le SMSI est examiné pour s’assurer de son efficacité et définir d’un plan d’action si ce n’est pas le cas.

Obtenir la certification ISO 27001 n’est pas anodin pour votre société : cela a des répercussions positives en termes de développement de votre clientèle, de maîtrise des coûts et de gestion optimale des risques liés à la sécurité de l’information. Vous hésitiez ? Plus maintenant ! Vous savez comment procéder afin de profiter de tous les avantages de cette norme internationale.