LE BLOG RED-ON-LINE
ISO 27001 : tout savoir sur notre nouvelle certification
- #certification
- #HSE
- #ISO 14001
- #mise en conformité HSE
Le groupe Infopro digital et Red-on-line ont obtenu la certification ISO 14001 en 2015 sur l’ensemble des activités du périmètre France. En complément des certifications ISO 50001 et 25001 également obtenus ces dernières années par l’entreprise, Red-on-line est maintenant certifié ISO 27001, norme qui spécifie les exigences relatives aux systèmes de management de la sécurité des informations (SMSI). Dans cet article, vous en saurez plus sur cette norme ISO/IEC 27001 dédiée aux systèmes de management de la sécurité de l’information. C’est quoi, la norme ISO27001 ? Quel est son but ? Quels sont les avantages du déploiement de la norme ISO27001 ? Quelles sont les étapes de certification ?
Sommaire de l’article :
- Qu’est ce que la norme ISO 27001 ?
- Définition de la norme ISO27001
- Pourquoi déployer la norme ISO27001
- La certification ISO 27001
- Comment être certifié ISO 27001 ?
- Quels sont les organismes accrédités pour certifier une entreprise ISO 27001 ?
Qu’est-ce que la norme ISO 27001 ?
Définition de la norme ISO27001
La norme internationale ISO 27001 est aussi appelée « Technologies de l’information – Techniques de sécurité – Systèmes de gestion de sécurité de l’information – Exigences ». Cette norme vise à protéger les systèmes d’informations d’une entreprise ou d’une organisation. Elle permet d’ anticiper ou contrer la perte, le vol ou l’altération de ses données.
Comme toute norme de système de management, l’ISO 27001 permet aux organisations de s’améliorer en continu et d’aboutir à une performance complémentaire. Cette démarche (que l’on traduit par Plan / Do / Check / Act) est
similaire à l’ISO 9001, ISO 14001, ISO 45001 ou ISO 50001 que vous connaissez d’ores et déjà. Comme elles, le suivi de la norme ISO 27001 et sa certification sont avant tout incitatifs et par conséquent non obligatoires.
Comme dans toutes les normes ISO, celle-ci s’appuie sur les particularités de chaque organisation et donne des pistes qui s’adaptent en fonction des besoins et des risques inhérents à l’activité. Si bien que l’évaluation du périmètre d’action et de la gestion des risques de sécurité s’inscrivent au cœur des ambitions de l’ISO 27001.
Pourquoi déployer la norme ISO27001 ?
Bien avant la crise sanitaire, dans ce que l’on appelle « le monde d’avant »,la question de la sécurité des données et des infrastructures était déjà un enjeu pour les entreprises. La pandémie, en accélérant la transformation digitale à marche forcée, a aussi eu pour effet de précipiter les attaques informatiques et d’entraîner des interrogations sur la gestion de la data. Aujourd’hui, les entreprises privées comme les organismes publics et associatifs sont directement concernées par les attaques. Les données valent de l’or pour peu que l’on sache comment opérer. Elles représentent aussi une valeur importante pour les entreprises tant elles permettent désormais de s’appuyer dessus pour établir une stratégie de croissance dans l’ensemble des services (financier, marketing, relation client, etc.).
Ainsi, le déploiement de la norme ISO27001 à pour but :
- D’assurer la confidentialité et la traçabilité de l’information au sein de l’organisation
- D’identifier les menaces et savoir y répondre avec les bons
outils - De maintenir l’intégrité de l’information et assurer sa
disponibilité - De respecter les exigences réglementaires et contractuelles
- De renforcer la confiance de ses clients et partenaires
- D’optimiser la gestion interne de la sécurité de l’information
- De maitriser les coûts de la cybersécurité
Les avantages concrets de l’ISO 27001 s’appliquent en premier lieu dans le travail des responsables de la sécurité informatique, et rejaillissent sur l’ensemble de l’entreprise. Ainsi, la mise en œuvre d’un SMSI 27001 et l’obtention de la certification maintiennent toute l’organisation dans une optique de sécurité et de disponibilité des données. Les démarches visant à la certification vous apportent ainsi :
- La protection des données : un SMSI garantit une organisation et des process renforcés en matière de sécurité de l’information. La performance de l’organisation et des process en place est surveillée par la mise en place d’indicateurs et, périodiquement, par des audits internes. L’audit de certification, réalisé annuellement par un organisme indépendant, valide que le niveau de performance souhaité est en conformité avec les objectifs fixés. La clarté des informations : Les process sont documentés à travers des procédures opérationnelles afin de clarifier l’organisation et d’identifier les rôles et responsabilités de chaque acteur impliqué dans la démarche.
- La confiance : Cette démarche renforce la confiance des parties intéressées (clients, sous-traitants, partenaires, fournisseurs, salariés…) dans la capacité de l’organisme à maitriser ses risques en matière de sécurité de l’information.
Le risque financier et réputationnel réduit : À travers la connaissance et la maitrise des exigences légales, réglementaires et contractuelles, la démarche prévient les risques d’amendes très élevées pour non-respect de la sécurité des données de ses utilisateurs (ex : comme Free récemment qui été condamné par la CNIL à payer 300 000 € pour quatre manquements au RGPD sur les données de ses clients) ou de rupture de contrat. Dans le même temps, la réputation de l’entreprise n’est pas entachée par un manque de précautions. - L’amélioration continue : Comme toute démarche de Système de management, l’ISO 27001 conduit l’organisme à s’améliorer de manière continue. À travers la fixation annuelle d’objectifs de
performance adaptés aux ressources et aux besoins de l’organisation, l’organisme doit prouver sa capacité à progresser sur la prévention et la maitrise de ces risques.
La certification ISO 27001
Comment être certifié ISO27001 ?
Vous souhaitez obtenir la certification ISO 27001 ? Pour cela vous devrez répondre aux exigences du référentiel ISO 27001 qui décrit les besoins en matière de gouvernance et d’organisation en sécurité.
Voici les étapes à suivre :
- Définition de la stratégie de la sécurité de l’information
- Lancement d’une démarche de gestion des risques
- Définition des objectifs et des indicateurs de sécurité
- Rédaction des politiques et procédures
- Sensibilisation des équipes
Dans le cadre d’une démarche de certification, il sera nécessaire de réaliser un audit à blanc avant de lancer l’audit de certification par un organisme indépendant. Cet audit de certification, réalisé sur un cycle de 3 ans, vous permettra de prouver que votre SMSI est conforme aux exigences de la Norme ISO 27001.
Quels sont les organismes accrédités pour certifier une entreprise ISO 27001 ?
D’après le site du COFRAC (Comité français d’accréditation), les organismes accrédités pour la certification du système de management de l’ISO 27001 sont :
- AFNOR CERTIFICATION
- LA SECURITE DES TECHNOLOGIES DE L’INFORMATION LSTI SAS
- LABORATOIRE NATIONAL DE METROLOGIE ET D’ESSAIS
- SGS INTERNATIONAL CERTIFICATION SERVICE
- VIGICERT
Selon l’AFNOR : la certification ISO/IEC 27001 a augmenté de 11 % en France en 2020 (après un bond de 57 % en 2019) et de 22 % dans le
monde.