Nous avons détecté que vous utilisez un navigateur obsolète. Cela vous empêchera d'accéder à certaines fonctions. Mettre votre navigateur à jour

La certification ISO/IEC 27001 (SMSI) pour le management de la sécurité de l’information

Bénéficiez de la certification et de la formation LRQA

En savoir plus sur ce service

 

Pour toute entreprise, quelle que soit sa taille ou son secteur, la norme ISO/IEC 27001 fournit une base solide pour une stratégie complète d’information et de cybersécurité. La norme définit un cadre de bonnes pratiques du SMSI pour réduire les risques et protéger les données critiques de l’entreprise grâce à l’identification, à l’analyse et aux contrôles exploitables. La certification ISO/IEC 27001 accréditée prouve que vous avez mis en place les processus et les contrôles pour protéger les données de votre entreprise, et celles de vos clients, face à un ensemble de menaces de plus en plus complexe. Consultez les Questions fréquemment posées sur la norme et nos offres.

La norme ISO/IEC 27001 évolue : De meilleures pratiques dans la sécurité de l’information

En février 2022, la norme ISO/IEC 27002, qui permet de contrôler les meilleures pratiques que les entreprises peuvent mettre en œuvre pour améliorer la sûreté, a été mise à jour. Par conséquent, une nouvelle version de la norme internationale ISO/IEC 27001 qui décrit les exigences d’un système de management de la sécurité de l’information (SMSI) devrait également être publiée au dernier trimestre de 2022.

La norme ISO 27001:2022 offrira aux entités de toutes tailles et de tous secteurs, où qu’elles se trouvent, une structure mise à jour pour faire face à la complexité croissante des menaces. Les contrôles seront regroupés en quatre « thèmes » clairs ( organisationnel, humain, technologique et physique) pour aider les entreprises à parvenir à une plus grande clarté et responsabilité en matière de sécurité de l’information. Il existe désormais 93 mesures de contrôle au lieu de 114 ; 11 sont de nouveaux ajouts, tandis que d’autres ont été fusionnés ou supprimés.

Les entreprises auront trois ans selon le document IAF MD du 26 du 9 Août 2022 pour passer à la nouvelle norme. 

Les équipes LRQA vous propose un accompagnement à chaque étape avec une gamme complète de services.

Nos services ISO/IEC 27001

Nos services de certification et de formation peuvent être assurés sur site, à distance ou dans une approche hybride, ce qui vous offre de la souplesse et une offre de services adaptée à vos besoins.

icône d’écran d’ordinateur

Formation

Développez vos compétences sur  la norme ISO 27001 grâce à une gamme de formations conçues pour différents niveaux, dispensées avec des méthodes d’apprentissage variées.

 

image94kd3.png
Analyse des écarts (gap analysis)

Avec ce service facultatif, l’un de nos auditeurs spécialisés vous aidera à identifier les domaines essentiels, à haut risque ou de faiblesse de votre système avant votre audit ISO 27001 formel.

imageao21.png
Certification accréditée

Un processus indépendant en deux étapes qui fournit un énoncé clair de vos capacités, ce qui vous aide à remporter de nouvelles affaires et à instaurer un climat de confiance avec les parties prenantes.

icône des services intégrés.png
Audits intégrés

Si vous avez mis en place plusieurs systèmes de management, vous pourriez bénéficier d’un audit intégré et d’une surveillance plus efficiente et plus rentable.

Une approche globale de l’information et de la cybersécurité

Notre connaissance technique approfondie et notre expertise, alliées à notre portefeuille étoffé en cybersécurité, nous permettent de travailler en collaboration avec votre entreprise pour vous aider à identifier les menaces spécifiques auxquelles vous êtes confronté avant d’y apporter des solutions pour les atténuer. Nous pouvons certifier vos systèmes, identifier des vulnérabilités et aider à prévenir des attaques et des incidents pouvant avoir un impact sur l’intégrité de votre marque, vos finances et vos activités opérationnelles.

Services dédiés à la cybersécurité de LRQA : vue d’ensemble.png

 

Pourquoi travailler avec nous ?

local et global.png
Expertise locale et mondiale

Nous sommes à vos côtés partout dans le monde Avec plus de 300 auditeurs hautement qualifiés et 250 experts en cybersécurité à travers le monde, nous pouvons fournir un service local avec dévouement, toujours le même à l’échelle mondiale. Nos collaborateurs sont des experts techniques possédant une connaissance approfondie des risques liés à l’information et à la cybersécurité, des enjeux, des normes, des réglementations et des référentiels.

prestation flexible.png
Prestation variable

Dans la plupart des cas, tous nos services de formation et de certification ISO 27001 peuvent être assurés sur site ou à distance à l’aide d’une technologie sûre et sécurisée. Si vous optez pour nos prestations à distance, vous bénéficiez du même service de haute qualité avec plusieurs avantages supplémentaires, notamment la flexibilité, la livraison rapide et l’accès à une expertise mondiale.

l’histoire de pionniers.png
L’histoire de pionniers

Nous avons été les premiers à recevoir l’accréditation UKAS pour fournir des services de certification selon un large éventail de normes à travers le monde. Nous continuons à jouer un rôle déterminant dans le développement de diverses normes et référenciels spécifiques dans différents secteurs.

au-delà de la mise en conformité.png
Au-delà de la mise en conformité

En collaboration avec Nettitude, notre entreprise de cybersécurité primée, ayez un temps d’avance sur les cybermenaces sophistiquées grâce à des services de pointe qui assure votre première ligne défensive permettant de faire face à toutes les menaces et vulnérabilités.

Êtes-vous prêt pour les prochaines étapes ?

 

Questions fréquemment posées

  • Qu’est-ce qu’ISO 27001 ?

    La norme ISO 27001 est la norme de système de management internationale qui décrit les exigences relatives à un système de management de la sécurité de l’information (SMSI). La norme fournit un cadre de meilleures pratiques permettant d’identifier, d’analyser et de mettre en œuvre des contrôles afin de gérer et diminuer les risques en tout réduisant la probabilité de violation de la sécurité de l’information.
    Toute entreprise, quels que soient sa taille et son secteur d’activité, peut utiliser les exigences et les contrôles de la norme ISO 27001 pour mettre en œuvre un SMSI efficace qui peut faire l’objet d’une certification indépendante.

    La certification ISO 27001 accréditée assurée par un organisme de certification réputé et indépendant témoigne d’un engagement en matière de sécurité de l’information et d’une vision impartiale de la solidité et de l’efficience de votre SMSI. Cela permet de remplir des obligations contractuelles et constitue dans de nombreux cas une homologation pour commercer.

  • Quels sont les avantages de la norme ISO 27001 et pourquoi est-elle si importante ?

    Protection de vos données et de votre réputation

    La certification ISO 27001 prouve que vous avez mis en place une démarche de sécurité de l’information systématique et basée sur les risques qui sous-tend les meilleures pratiques pour ce qui est de : 

    • L’identification des risques liés à l’information et à la cybersécurité
    • L’analyse des risques en fonction de l’impact et de la probabilité
    • L’évaluation des risques et l’établissement des priorités lorsqu’ils sont traités sur la base de facteurs liés à votre activité
    • La sélection des options de traitement du risque
    Démontrer la conformité aux lois, réglementations et exigences contractuelles

    Pour obtenir la certification ISO 27001, vous devez identifier la législation applicable, notamment le règlement UE RGPD ou les réglementations comme HIPAA aux États-Unis. Cette démarche influe positivement sur la gestion des risques et la gouvernance d’entreprise en vous aidant à témoigner de votre conformité et de la satisfaction des exigences contractuelles.

    Avantage concurrentiel

    La certification LRQA garantit aux clients et aux parties prenantes que les risques sécuritaires, pouvant concerner l’informatique, les personnes, l’environnement physique et la continuité des opérations, ont été correctement traités afin de protéger leurs informations.

    La certification ISO 27001 fournit un énoncé clair de vos capacités et prouve que vous fonctionnez conformément aux meilleures pratiques reconnues à l’échelle internationale, ce qui vous aide à remporter de nouveaux contrats.

  • Comment fonctionnent les audits ISO 27001 ?

    Les audits ISO 27001 suivent la même approche que les autres systèmes de management basés sur l’Annexe SL. Vous pouvez commencer par la formation et l’analyse des écarts ou gap analysis, mais le processus formel comprend un audit de la conception du SMSI (étape 1) et un audit de son fonctionnement (étape 2). Les résultats de ces audits sont examinés sur le plan technique par une personne qualifiée et indépendante au sein de LRQA afin d’assurer la cohérence et l’alignement avec nos engagements en matière de meilleures pratiques définies par les organismes d’accréditation.

    Une fois validé, votre certificat ISO 27001 est délivré et vous entamez un cycle d’audits de surveillance de trois ans menant à un audit de renouvellement pour ajouter les trois années suivantes. La surveillance permet à LRQA et à votre organisation de gérer les changements et de s’assurer que les audits sont pertinents pour répondre aux besoins actuels du secteur.

  • Combien de temps dure la certification ISO 27001 ?

    Une fois homologuée, la certification est valable trois ans sous réserve d’une maintenance efficace du système démontrée grâce au programme de surveillance.

  • Qu’est-ce qui est inclus dans un champ d’application classique de SMSI et dans une déclaration d’applicabilité ?

    Un énoncé type du champ d’application du certificat du SMSI comprend des activités liées à la fourniture de produits et de services. Vous avez pas besoin d’inclure des activités internes ou des processus du SMSI. L’objectif est de garantir au lecteur que les informations fournies lors de la réception du produit ou du service sont protégées.

    La déclaration d’acceptabilité fait référence à la liste des contrôles sélectionnés. Il ne fournit pas de détails sur ces contrôles, mais une référence traçable à une déclaration de contrôle utilisée comme base du dernier audit ISO 27001. Parfois, les organisations ont une version publique partageable qui répertorie simplement les contrôles sélectionnés dans l’annexe A de la norme ISO 27001, mais ce n’est pas une exigence impérative.

  • Combien coûte la certification ISO 27001 ?

    Les frais sont calculés en fonction du nombre de journées d’audit, qui se rapporte au nombre d’employés dans le champ d’application du SMSI. Le nombre de journées d’audit figure dans la norme d’accréditation ISO 27006, tout le monde peut en prendre connaissance. En faisant appel à un organisme de certification accrédité à l’instar de LRQA, vous avez l’assurance de vous voir proposer une durée d’audit basée sur les meilleures pratiques du secteur, comparable à celle de tous les autres organismes de certification accrédités.

    Par exemple, une entreprise de 100 équivalents temps plein (ETP) devrait s’attendre à ce que l’audit initial prenne entre 8 et 12 jours (étape 1 + étape 2), en fonction du secteur dans lequel elle opère, de la complexité de son environnement de travail, de son implication dans le développement de solutions logicielles ou de la nécessité d’intégrer la sécurité dans le produit. Le programme de surveillance ultérieur serait de 3 à 4 jours/an et le renouvellement de 6 à 8 jours.

  • J’applique déjà la norme ISO 9001. Puis-je l’intégrer à la norme ISO 27001 ?

    Oui, car les normes ISO 9001 et ISO 27001 sont toutes deux basées sur les meilleures pratiques génériques pour les systèmes de management, l’Annexe SL. Il est possible d’optimiser les processus de management de base pour répondre aux exigences des deux normes. En fait, la conception d’un système répondant à ces deux normes améliore l’efficacité de la gouvernance organisationnelle. Par exemple, les objectifs opérationnels, tels que la croissance, nécessitent souvent le développement de nouveaux produits, la sécurité étant généralement considérée comme une norme de qualité conformément aux attentes du marché. L’intégration peut également réduire les doublons, ce qui peut réduire le temps consacré à l’audit et fournir une solution rentable.

  • Qu’est-ce qu’un processus classique de certification ISO 27001 ?

    La voie qu’emprunte votre organisation pour obtenir la certification ISO 27001 dépend souvent du niveau de maturité de votre entreprise en matière de sécurité de l’information et de gestion plus large des risques, entre autres. Mais le processus type pour obtenir la certification ISO 27001 comprend 3 étapes principales.

    • Étape 1 de l’audit : examiner les documents et planifier : Votre auditeur examinera la conception et la documentation de votre système de management. Dans la plupart des cas, cela se fait à distance.
    • Étape 2 de l’audit : évaluer votre mise en place : Votre auditeur évaluera la mise en place et l’efficience de votre SMSI conformément aux exigences de la norme ISO 27001. S’il n’y a pas de non-conformités, vous obtiendrez votre certification. Cette étape peut être réalisée à distance ou sur site.
    • Promouvoir votre certification ISO 27001 : Votre certification témoigne de votre engagement envers les meilleures pratiques et à l’amélioration continue reconnues à l’échelle internationale, ce qui vous permet de décrocher de nouveaux marchés et de répondre aux demandes de vos clients.
  • Qu’est-ce que la norme ISO 27002:2022 et quel est son impact ?

    La publication de la norme ISO 27002:2022 fournit une mise à jour de la liste des contrôles présents dans la norme ISO 27001 – qui date de 2013. Les contrôles révisés reflètent les développements liés à la fois aux menaces et aux meilleures pratiques actuelles, et le champ d’application élargi de la norme ISO 27002 permet de s’assurer que les mesures de gestion des risques sont vastes et efficaces. Les entreprises peuvent utiliser la liste de contrôle complète pour traiter les risques qu’elles ont identifiés ou découvrir des lacunes potentielles, ce qui les aide à conserve un temps d’avance sur l’ensemble des menaces complexe en pleine évolution auxquelles les entreprises font face de nos jours.

  • Une nouvelle version de la norme ISO 27001 est-elle en cours d’élaboration ?

    Une nouvelle version de la norme ISO 27001 devrait être publiée d’ici fin octobre 2022. Elle présentera les nouveaux contrôles décrits par la norme ISO 27002:2022, qui exigent des organisations qu’elles revoient leur évaluation des risques et déterminent si de nouvelles gestions des risques doivent être mises en œuvre.

Êtes-vous déjà certifié ISO 27001 et souhaitez passer à LRQA ?

En savoir plus sur ce service

Appuyer sur Entrée ou cliquer sur la flèche pour lancer la recherche Appuyer sur Entrée pour lancer la recherche

Icône de recherche

Recherchez-vous...?