ISO/IEC 27001:CERTIFICATION DU SYSTÈME DE GESTION DE LA SÉCURITÉ DE L'INFORMATION

La norme ISO 27001 est la norme de système de management internationale qui décrit les exigences relatives à un système de management de la sécurité de l’information (SMSI). La norme fournit un cadre de meilleures pratiques permettant d’identifier, d’analyser et de mettre en œuvre des contrôles afin de gérer et diminuer les risques en tout réduisant la probabilité de violation de la sécurité de l’information.
Toute entreprise, quels que soient sa taille et son secteur d’activité, peut utiliser les exigences et les contrôles de la norme ISO 27001 pour mettre en œuvre un SMSI efficace qui peut faire l’objet d’une certification indépendante.

La certification ISO 27001 accréditée assurée par un organisme de certification réputé et indépendant témoigne d’un engagement en matière de sécurité de l’information et d’une vision impartiale de la solidité et de l’efficience de votre SMSI. Cela permet de remplir des obligations contractuelles et constitue dans de nombreux cas une homologation pour commercer.

Protection de vos données et de votre réputation

La certification ISO 27001 prouve que vous avez mis en place une démarche de sécurité de l’information systématique et basée sur les risques qui sous-tend les meilleures pratiques pour ce qui est de : 

• L’identification des risques liés à l’information et à la cybersécurité
• L’analyse des risques en fonction de l’impact et de la probabilité
• L’évaluation des risques et l’établissement des priorités lorsqu’ils sont traités sur la base de facteurs liés à votre activité
• La sélection des options de traitement du risque

Démontrer la conformité aux lois, réglementations et exigences contractuelles

Pour obtenir la certification ISO 27001, vous devez identifier la législation applicable, notamment le règlement UE RGPD ou les réglementations comme HIPAA aux États-Unis. Cette démarche influe positivement sur la gestion des risques et la gouvernance d’entreprise en vous aidant à témoigner de votre conformité et de la satisfaction des exigences contractuelles.

Avantage concurrentiel

La certification LRQA garantit aux clients et aux parties prenantes que les risques sécuritaires, pouvant concerner l’informatique, les personnes, l’environnement physique et la continuité des opérations, ont été correctement traités afin de protéger leurs informations.

La certification ISO 27001 fournit un énoncé clair de vos capacités et prouve que vous fonctionnez conformément aux meilleures pratiques reconnues à l’échelle internationale, ce qui vous aide à remporter de nouveaux contrats.

Les audits ISO 27001 suivent la même approche que les autres systèmes de management basés sur l’Annexe SL. Vous pouvez commencer par la formation et l’analyse des écarts ou gap analysis, mais le processus formel comprend un audit de la conception du SMSI (étape 1) et un audit de son fonctionnement (étape 2). Les résultats de ces audits sont examinés sur le plan technique par une personne qualifiée et indépendante au sein de LRQA afin d’assurer la cohérence et l’alignement avec nos engagements en matière de meilleures pratiques définies par les organismes d’accréditation.

Une fois validé, votre certificat ISO 27001 est délivré et vous entamez un cycle d’audits de surveillance de trois ans menant à un audit de renouvellement pour ajouter les trois années suivantes. La surveillance permet à LRQA et à votre organisation de gérer les changements et de s’assurer que les audits sont pertinents pour répondre aux besoins actuels du secteur.

Une fois homologuée, la certification est valable trois ans sous réserve d’une maintenance efficace du système démontrée grâce au programme de surveillance.

Un énoncé type du champ d’application du certificat du SMSI comprend des activités liées à la fourniture de produits et de services. Vous avez pas besoin d’inclure des activités internes ou des processus du SMSI. L’objectif est de garantir au lecteur que les informations fournies lors de la réception du produit ou du service sont protégées.

La déclaration d’acceptabilité fait référence à la liste des contrôles sélectionnés. Il ne fournit pas de détails sur ces contrôles, mais une référence traçable à une déclaration de contrôle utilisée comme base du dernier audit ISO 27001. Parfois, les organisations ont une version publique partageable qui répertorie simplement les contrôles sélectionnés dans l’annexe A de la norme ISO 27001, mais ce n’est pas une exigence impérative.

Les frais sont calculés en fonction du nombre de journées d’audit, qui se rapporte au nombre d’employés dans le champ d’application du SMSI. Le nombre de journées d’audit figure dans la norme d’accréditation ISO 27006, tout le monde peut en prendre connaissance. En faisant appel à un organisme de certification accrédité à l’instar de LRQA, vous avez l’assurance de vous voir proposer une durée d’audit basée sur les meilleures pratiques du secteur, comparable à celle de tous les autres organismes de certification accrédités.

Par exemple, une entreprise de 100 équivalents temps plein (ETP) devrait s’attendre à ce que l’audit initial prenne entre 8 et 12 jours (étape 1 + étape 2), en fonction du secteur dans lequel elle opère, de la complexité de son environnement de travail, de son implication dans le développement de solutions logicielles ou de la nécessité d’intégrer la sécurité dans le produit. Le programme de surveillance ultérieur serait de 3 à 4 jours/an et le renouvellement de 6 à 8 jours.

Oui, car les normes ISO 9001 et ISO 27001 sont toutes deux basées sur les meilleures pratiques génériques pour les systèmes de management, l’Annexe SL. Il est possible d’optimiser les processus de management de base pour répondre aux exigences des deux normes. En fait, la conception d’un système répondant à ces deux normes améliore l’efficacité de la gouvernance organisationnelle. Par exemple, les objectifs opérationnels, tels que la croissance, nécessitent souvent le développement de nouveaux produits, la sécurité étant généralement considérée comme une norme de qualité conformément aux attentes du marché. L’intégration peut également réduire les doublons, ce qui peut réduire le temps consacré à l’audit et fournir une solution rentable.

La voie qu’emprunte votre organisation pour obtenir la certification ISO 27001 dépend souvent du niveau de maturité de votre entreprise en matière de sécurité de l’information et de gestion plus large des risques, entre autres. Mais le processus type pour obtenir la certification ISO 27001 comprend 3 étapes principales.

• Étape 1 de l’audit : examiner les documents et planifier : Votre auditeur examinera la conception et la documentation de votre système de management. Dans la plupart des cas, cela se fait à distance.
• Étape 2 de l’audit : évaluer votre mise en place : Votre auditeur évaluera la mise en place et l’efficience de votre SMSI conformément aux exigences de la norme ISO 27001. S’il n’y a pas de non-conformités, vous obtiendrez votre certification. Cette étape peut être réalisée à distance ou sur site.
• Promouvoir votre certification ISO 27001 : Votre certification témoigne de votre engagement envers les meilleures pratiques et à l’amélioration continue reconnues à l’échelle internationale, ce qui vous permet de décrocher de nouveaux marchés et de répondre aux demandes de vos clients.

La publication de la norme ISO 27002:2022 fournit une mise à jour de la liste des contrôles présents dans la norme ISO 27001 – qui date de 2013. Les contrôles révisés reflètent les développements liés à la fois aux menaces et aux meilleures pratiques actuelles, et le champ d’application élargi de la norme ISO 27002 permet de s’assurer que les mesures de gestion des risques sont vastes et efficaces. Les entreprises peuvent utiliser la liste de contrôle complète pour traiter les risques qu’elles ont identifiés ou découvrir des lacunes potentielles, ce qui les aide à conserve un temps d’avance sur l’ensemble des menaces complexe en pleine évolution auxquelles les entreprises font face de nos jours.

Une nouvelle version de la norme ISO 27001 devrait être publiée d’ici fin octobre 2022. Elle présentera les nouveaux contrôles décrits par la norme ISO 27002:2022, qui exigent des organisations qu’elles revoient leur évaluation des risques et déterminent si de nouvelles gestions des risques doivent être mises en œuvre.