Certification ISO 27001, simplifiée

Certification ISO 27001

La certification démontre l’engagement d’une organisation envers l’amélioration continue, le développement et la protection des actifs informationnels/données sensibles en mettant en œuvre des évaluations de risques appropriées, des politiques et des contrôles appropriés.

Une organisation certifiée ISO 27001 fait de la publicité dans le monde entier, elle a mis en œuvre un système de gestion de la sécurité de l'information (ISMS) conformément à la clause 4.4 de la norme et a démontré sa conformité à un auditeur externe/organisme de certification ISO indépendant, par exemple UKAS.

La certification ISO 27001 est un différenciateur commercial et démontre aux autres entreprises qu'elles peuvent faire confiance à votre organisation pour gérer de précieuses informations/données tierces et la propriété intellectuelle ; cela favorise une multitude de nouvelles opportunités tout en protégeant votre entreprise de l'exposition aux risques.

La norme ISO 27001 est le cadre de bonnes pratiques internationalement reconnu pour un SMSI.

La reconnaissance ISO 27001 est plus précieuse pour les organisations au Royaume-Uni lorsque vous êtes certifié par un organisme de certification accrédité UKAS (United Kingdom Accreditation Service) qui auditera de manière indépendante votre organisation et vous fournira la certification ISO 27001.

D'autres organismes de certification comparables à l'UKAS existent à l'échelle internationale, ce qui contribue à maintenir la norme de gestion de la sécurité de l'information ISO/IEC 27001 partout où une organisation vise à obtenir la certification ISO 27001. La certification ISO 27001 ne concerne pas seulement les mesures techniques que vous mettez en place. La norme ISO 27001 vise à garantir que les contrôles commerciaux et les processus de gestion que vous avez mis en place sont adéquats et proportionnés aux menaces et opportunités en matière de sécurité de l'information que vous avez identifiées et évaluées dans votre évaluation des risques. Et tout cela doit être fait dans le cadre d’une approche métier du processus de gestion de la sécurité de l’information.

Certification ISO 27001 vs Conformité

Les organisations qui découvrent les systèmes de gestion de la sécurité de l'information s'interrogent souvent sur la différence entre la certification ISO 27001 et la conformité, en particulier lorsqu'elles suivent des normes reconnues comme ISO 27001.

En termes simples, la conformité peut signifier que l'organisation respecte la norme ISO 27001 (ou certaines parties de celle-ci). La certification ISO 27001 signifie que le système de gestion de la sécurité de l'information ISO 27001 de l'organisation a été certifié conformément à la norme par des auditeurs appelés organismes de certification.

Pourquoi avez-vous besoin d’une certification ISO 27001 ?

La certification ISO 27001 s'applique à toute organisation qui souhaite ou est tenue de formaliser et d'améliorer ses processus métier autour de la sécurité des informations, de la confidentialité et de la sécurisation de ses actifs informationnels.

La taille/le chiffre d'affaires d'une entreprise ne dicte pas la nécessité d'une organisation ISO 27001 ; même les plus petites entreprises peuvent avoir des clients influents ou d'autres parties prenantes, telles que des investisseurs, qui recherchent les assurances intrinsèques des offres de certification UKAS ISO 27001.

Grâce à la certification ISO 27001, votre organisation peut démontrer que ses collaborateurs, ses processus, ses outils et ses systèmes adhèrent à un cadre reconnu. Imaginez un monde d’information financière ou de santé et sécurité sans normes. La sécurité de l’information est un peu en retard dans ces domaines du point de vue de la certification et de l’audit indépendant. Pourtant, avec le rythme du changement qui s’accélère dans presque tous les domaines, les organisations les plus innovantes progressent en interne, notamment en ce qui concerne leur chaîne d’approvisionnement. Vous pouvez donc examiner la certification ISO 27001 sous deux angles :

Confiance en vos fournisseurs

En tant que client, vous devez avoir l'assurance que vos fournisseurs sont certifiés pour vous aider à atténuer les risques de votre entreprise et à exploiter les opportunités, par exemple grâce à des normes plus cohérentes et plus élevées et à un coût total et un risque de travail inférieurs que vous rencontrez de leur part.

Bâtir la confiance dans votre entreprise

Vos clients deviennent plus intelligents ; ils aiment que vous sachiez que la chaîne d'approvisionnement est protégée de manière adéquate. Les clients influents exigent simplement la certification ISO 27001 et transfèrent le processus de gestion des risques tout au long de la chaîne d'approvisionnement. Il existe également d'autres avantages, sans parler des affaires supplémentaires que vous gagnerez en étant certifié ISO 27001 par rapport aux retardataires qui ne le sont pas. Par exemple, un personnel bien informé souhaitera travailler pour des marques de confiance. À mesure que les assureurs adoptent de meilleures pratiques de travail, cela devrait également signifier une baisse des primes pour les organisations disposant d'un système de gestion de l'information certifié ISO 27001 de manière indépendante.

Les avantages de la certification ISO 27001

Pour toutes les parties prenantes, le message clé est la confiance et l’assurance obtenues grâce à une gestion de la sécurité de l’information auditée en externe. La certification ISO 27001 offre de multiples avantages – par exemple :

Avantages pour vous

• Protéger la propriété intellectuelle, la marque et la réputation
• Gagnez plus d'affaires auprès des clients nouveaux et existants
• Réduire le coût de vente
• Conserver plus d'affaires
• Des processus améliorés conduisant à des économies de temps et d’argent
• Évitez les amendes en cas de non-conformité réglementaire (telle que le RGPD)
• Évitez les poursuites civiles résultant d’une violation de données
• Évitez les coûts des mesures correctives résultant d’incidents et/ou de violations
• Attirer un meilleur personnel

Avantages pour votre personnel

• Confiance dans la pérennité de l'organisation
• Formation pour le travail (et la sécurité du domicile)
• Clarté grâce aux politiques et procédures
• Fierté de l'organisation et de leur rôle dans sa protection

Avantages pour vos clients

• Confiance et assurance en vous et en votre chaîne d'approvisionnement
• Moins de probabilité d’une violation coûteuse
• Coût réduit d’intégration des fournisseurs

Certification ISO 27001 : est-ce que ça vaut le coup ?

Ne rien faire n’est probablement pas une option si vous accédez et gérez des informations précieuses appartenant à d’autres. Pour certaines organisations, l’ensemble de leur activité repose sur le développement ou la gestion d’actifs informationnels.

Ainsi, dans ce cas, perdre une partie ou la totalité de cette activité ou ne pas en gagner davantage à l'avenir signifie probablement qu'il vaut la peine d'investir dans la certification ISO 27001, surtout si les clients ou d'autres parties prenantes comme les investisseurs perçoivent un risque.

Obtenir la certification ISO 27001 n’est plus aussi compliqué ni aussi coûteux qu’avant grâce à des solutions innovantes comme ISMS.online. Et, malgré de nombreux avantages stratégiques et financiers, certains dirigeants considèrent toujours qu'il s'agit d'un achat « rancunier » et d'un autre exercice bureaucratique de cases à cocher. Obtenir la certification signifie généralement un investissement en temps et en argent ; comme la plupart des investissements stratégiques, il vaut la peine de considérer le rendement et les avantages plus larges.

Qu'implique la mise en œuvre de la norme ISO 27001 ?

Pour mettre en œuvre la norme ISO 27001, vous devez développer un « système de management », composé de personnes, de processus et de technologies.

Du côté des personnes, vous avez besoin de leadership pour guider la mise en œuvre afin d'atteindre les objectifs commerciaux, les normes culturelles, des examens réguliers et montrer que l'organisation prend cela au sérieux. Les auditeurs voudront voir « l'esprit de la norme ISO 27001 » appliqué ainsi que les documents à ce niveau supérieur, donc un directeur se lançant dans un audit et prétendant comprendre le système de gestion de la sécurité de l'information ISO 27001 est également une recette pour un désastre.

Vous aurez également besoin de personnes qui comprennent votre entreprise et qui ont la capacité, la capacité et la confiance nécessaires pour répondre aux exigences. L'investissement « humain » est déterminé par la technologie utilisée pour mettre en œuvre et maintenir le système de gestion de la sécurité de l'information (ISMS) ISO 27001.

Par exemple, vous aurez besoin de :

• Une solution numérique ou papier pour décrire comment vous répondez aux exigences fondamentales de la norme ISO 27001 et comment cela est géré au fil du temps (vous êtes audité au moins une fois par an – voir plus loin ci-dessous).
• Il s'agit d'un environnement similaire pour documenter et gérer tous les contrôles et politiques de l'Annexe A développés, puis s'assurer qu'ils sont mis à la disposition des personnes auxquelles ils s'appliquent. Vous pouvez prouver qu’ils en sont conscients et engagés (rappelez-vous que ces personnes peuvent être du personnel et des fournisseurs). Ne vous contentez pas non plus d’écrire des contrôles et des politiques pour le plaisir. Ils doivent tous être basés sur les problèmes auxquels votre organisation est confrontée, les attentes de vos parties prenantes, votre champ d'application et vos limites (par exemple produits, emplacements, etc.) et les actifs informationnels que vous souhaitez protéger. Ici aussi, vous devez « montrer votre travail » et documenter tout cela. Il devient difficile de bien faire cela et de le maintenir au fil du temps avec uniquement des documents Word, des feuilles de calcul et un lecteur partagé.
• Votre système de gestion disposera de tous les outils qui sous-tendent ce travail, documentés et facilement suivis par l'auditeur.
  Ces activités font toutes l'objet d'une évaluation des risques (avec votre outil de gestion des risques) pour vous aider ensuite à déterminer lesquels des objectifs de contrôle de l'annexe A vous devez mettre en œuvre, ce qui, sans devenir trop technique à ce stade, conduit à votre déclaration d'applicabilité. Ai-je déjà dit que vous deviez le démontrer à un auditeur pour obtenir la certification ISO 27001 ?
• Un ensemble de documents peut être utile s'il est exploitable, c'est-à-dire que vous pouvez l'utiliser pratiquement et qu'il est facile à adopter, à adapter et à compléter. Il devrait également s’intégrer à cette solution technologique.
• Si vous comptez sur la supply chain, vous devez montrer comment vous contrôlez ces fournisseurs et, en particulier, leurs contrats (c'est aussi une exigence fondamentale de la conformité RGPD !)
• Les objectifs et exigences de contrôle attendent la description de l'approche (par exemple la politique sur la façon de traiter les incidents de sécurité) et sa démonstration (c'est-à-dire le suivi des incidents de sécurité avec tous ses incidents, événements et faiblesses, ainsi que des preuves facilement accessibles).

Planifier, faire, vérifier, agir

Les approches reconnues pour la mise en œuvre d’un système incluent l’approche PDCA (Plan, Do, Check, Act). Il s’agissait d’une approche standard de gestion de la qualité, mais elle est peut-être un peu dépassée dans sa forme littérale.

La version 2013/17 de la norme ISO 27001 a facilité un processus plus agile et dynamique qui prend en charge l'évaluation et l'amélioration continues du système de management, donc davantage un PDCA en temps réel et un mélange de l'ordre PDCA également pour une approche agile pragmatique. Les organisations ont généralement ce type d'approche dynamique pour leurs systèmes de sécurité opérationnels, par exemple les pare-feu, les scanners de réseau, etc. Elle est plus adaptée au paysage des risques moderne en constante évolution. Un système de gestion de la sécurité de l’information bien géré constituera à l’avenir un SMSI beaucoup plus agile, dynamique et surveillé en permanence.

1. Plan de mise en œuvre de la norme ISO 27001

Lorsqu'il ajoute plus de contexte et de structure à votre plan de mise en œuvre ISO 27001, le responsable de la mise en œuvre doit prendre en compte les aspects suivants :

• Soyez clair sur les objectifs, les raisons impérieuses d’agir et les délais que vous souhaitez respecter – ainsi que les conséquences si cela dérive.
• Identifiez le retour sur investissement global afin de pouvoir faire appel aux bonnes personnes et au bon leadership – cela facilitera également l’élaboration du budget, si cela est nécessaire.
• Si l'équipe est novice en matière d'ISO 27001, achetez les normes ISO et les lignes directrices ISO 27002, et lisez-les en comparant votre environnement interne actuel à ce qui est requis pour réussir (une légère analyse des écarts). De nombreuses exigences, processus et contrôles sont peut-être déjà en place et doivent être formalisés. Vous n’aurez peut-être pas besoin de formation externe ou de programmes de mise en œuvre d’auditeur principal – ceux-ci peuvent être inutiles et affecter négativement la façon dont vous souhaitez que votre système de gestion de la sécurité de l’information fonctionne comme un SMSI pratique.
• Envisagez des solutions et des outils technologiques préconfigurés pour comparer s'ils sont meilleurs que ce dont vous disposez déjà en interne et une meilleure utilisation de vos précieuses ressources. Certaines de ces solutions, comme ISMS.online, disposent déjà de tous les outils dont vous avez besoin et incluent une documentation exploitable que vous pouvez adopter, adapter et compléter pour une longueur d'avance considérable, et proposent un coaching et une formation virtuels pour obtenir la certification.
• Commencez… et divisez tout le travail en petits morceaux et célébrez le pouvoir des petites victoires. Voir des progrès fréquents vers une exhaustivité à 100 % est contagieux, alors n'oubliez pas de trouver une solution visible, transparente et collaborative pour partager ces petits succès !

2. Aborder les éléments clés de la norme ISO 27001

La norme ISO 27001 peut être élaborée de manière ascendante en adoptant une approche axée sur les politiques, en créant simplement une documentation pour les contrôles de l'Annexe A. Cependant, l’approche plus stratégique et axée sur l’entreprise suit globalement la manière dont la norme ISO 27001 est rédigée et logique. Nous l'avons résumé simplement comme suit :

• Examinez les enjeux auxquels votre organisation est confrontée et comprenez les besoins des parties intéressées (parties prenantes) ; en particulier, identifiez également les actifs informationnels le plus tôt possible (vous y reviendrez plus en détail plus tard).
• Définissez les limites et la portée du SMSI.
• Définissez les objectifs de sécurité de votre organisation à partir de son SMSI.
• Mettez en place la capacité d'effectuer des examens, des audits et des évaluations réguliers de la mise en œuvre pour montrer que vous avez le contrôle et documentez (brièvement) dès le premier jour de la mise en œuvre pour partager ce parcours avec l'auditeur et les leçons apprises.
• Identifiez les risques pesant sur ces actifs informationnels et effectuez des évaluations des risques. Si vous manquez de ressources, nous vous recommandons de donner la priorité aux actifs informationnels à plus haut risque et aux menaces les plus importantes pour la CIA en fonction de leur probabilité et de leur impact.
• Créez un plan de traitement des risques pour chaque risque. Le cas échéant, choisissez les objectifs de contrôle et les contrôles de l’Annexe A à mettre en œuvre et traitez ces risques – idéalement, reliez-les afin que vous sachiez que vos actifs, vos risques et vos contrôles s’articulent. Si vous modifiez ou révisez une pièce, vous voyez l'impact sur les pièces associées.
• Préparez votre déclaration d'applicabilité – cela surprend beaucoup de gens, mais il s'agit d'une exigence obligatoire et peut vous faire perdre beaucoup de temps.

N'oubliez pas de tout documenter et de montrer que l'ensemble du système fonctionne avec cette évaluation régulière.

3. Évaluez votre norme ISO 27001 conformément à la norme et sa préparation à l'obtention de la certification

Il est essentiel de mettre en place des mesures et des examens pour garantir que votre SMSI atteint ses objectifs. La norme ISO 27001 comprend des exigences pour que l'évaluation planifiée ait lieu sous la forme de :

• Revues de direction
• Audits internes
• Audits externes : le cas échéant, ils peuvent provenir d'un organisme de certification ISO 27001, de clients ou de consultants.

4. Améliorez votre SMSI si nécessaire et organisez l'audit de phase 1 par l'organisme de certification externe

Le processus d'amélioration continue est la clé du succès de la norme ISO 27001 et c'est un élément que les auditeurs examineront pour en voir la preuve.

Les menaces et les vulnérabilités en matière de sécurité évoluent rapidement, tout comme, dans de nombreux cas, la croissance ou les objectifs des organisations. Une entreprise doit démontrer son engagement à prendre des mesures correctives et à apporter des améliorations à son SMSI. Mis en œuvre correctement, votre SMSI sera un catalyseur commercial plutôt que de restreindre la façon dont vous souhaitez gérer votre entreprise.

Comment obtenir la certification ISO 27001 ?

Après avoir mis en œuvre votre système de gestion de la sécurité de l'information et effectué les premières revues de direction du SMSI, et commencé à mettre en pratique l'approche, vous serez sur la bonne voie pour obtenir la certification ISO 27001.

Il s'agit d'un processus en deux étapes pour obtenir la certification selon la norme accréditée du Service d'accréditation du Royaume-Uni :

Vérification de l'étape 1

En termes simples, l'auditeur de l'organisme de certification voudra voir la documentation du système de gestion de la sécurité de l'information et vérifier que vous avez satisfait aux exigences, du moins en théorie ! Il s'agit plutôt d'un examen documentaire du SMSI avec l'auditeur à ce stade, couvrant les domaines obligatoires et garantissant que l'esprit de la norme est appliqué. Les organismes de certification avant-gardistes commencent à le faire à distance, ce qui réduit les coûts et accélère le processus.

Le résultat de cet exercice est une recommandation concernant la préparation à l’audit de phase 2 (éventuellement avec des observations à réévaluer lors de l’audit de phase 2) ou la nécessité de traiter toute non-conformité identifiée avant que de nouveaux progrès puissent se produire.

En fonction de votre statut d'audit interne, vous devrez peut-être effectuer un audit interne complet avant l'étape 2. Nous vous suggérons de vous mettre d'accord sur des détails avec vos auditeurs, car certains recherchent des choses légèrement différentes – c'est un peu comme les règles du football où les arbitres les interprètent différemment. . Assurez-vous de leur demander ! Un bon auditeur voudra que vous réussissiez et vous aidera à comprendre ce qu’il attend d’un audit de phase 2.

De nombreuses organisations échouent à l'étape 1, et c'est pour un ensemble commun de raisons qui sont généralement faciles à résoudre avec une bonne solution de système de gestion de la sécurité de l'information (à moins que vos dirigeants ne soient pas engagés, alors rien ne vous aidera avec le SMSI !)

Vérification de l'étape 2

C'est là que les auditeurs commenceront à rechercher la preuve que le système de gestion de la sécurité de l'information documenté est vécu et respiré dans la pratique. Votre personnel sera engagé, interviewé ; l'auditeur ISO 27001 évaluera votre portée en termes d'emplacement physique, de systèmes, de processus et de procédures. Comme la plupart des audits, il s'agira d'un échantillon de taille unique, et si vous pouvez diriger l'auditeur avec un système intégré, il en tirera une grande confiance.

Le résultat de cet exercice est soit une réussite, soit un échec. Si vous réussissez, vous obtenez ce certificat très apprécié, échouez et il vous restera du travail à faire concernant les non-conformités avant de pouvoir vous soumettre à nouveau pour un autre audit ou un examen spécifique de la non-conformité.

Combien coûte la certification ISO 27001 ?

L’audit de certification n’est pas le coût global que vous devez prendre en compte. Le coût le plus élevé est le temps et les efforts nécessaires pour obtenir la certification des personnes impliquées dans la création initiale de votre système de gestion de la sécurité de l'information et dans la maintenance du SMSI année après année.

Cela pourrait entraîner des coûts d'opportunité en termes de perte de revenus pour les ressources supérieures, de distraction des compétences de base pour l'entreprise et de coûts de conseil plus élevés si vous faites appel à une aide extérieure sans un point de départ technologique solide.

Cependant, les coûts de certification méritent toujours d'être pris en compte et dépendent de la taille, de la portée, des processus, etc. de votre organisation. La plupart des organismes de certification proposeront soit un devis rapide en ligne, soit un suivi.

Les coûts de la certification ISO 27001 doivent être considérés sur un cycle de certification de 3 ans :

• Audit initial et audit de certification – étapes 1 et 2
• Audits de surveillance pour les années 1 et 2
• Puis le cycle continue, avec une recertification tous les trois ans.

Les frais d'audit s'élèvent généralement à environ 1,000 1 £ par jour (hors TVA), et le nombre de jours nécessaires varie en fonction de la taille de l'organisation et de la portée du système de gestion. Par exemple, une petite entreprise avec une portée simple (par exemple un produit, quelques processus, un siège social, etc.) peut avoir besoin d'une journée pour un audit de phase 2, de deux jours pour un audit de phase XNUMX et d'une journée supplémentaire par surveillance annuelle.

Il vaut également la peine de rechercher des organismes d'audit plus innovants, prêts à examiner les audits à distance de première étape. Cela ne sera probablement envisagé que lorsque le système de gestion est entièrement numérique, comme c'est le cas avec ISMS.online. Cela signifie qu’il est plus facile pour eux, en tant qu’auditeurs, de constater la mise en œuvre à l’œuvre. Cela permettra d’économiser du temps et des frais de déplacement inévitables.

Maintenir votre certification ISO 27001

La certification ISO 27001 se fait sur un cycle de 3 ans :

• Etape 1 et 2 puis délivrance du certificat
• Audit de surveillance 1 (généralement une fois par an ou peut être plus fréquent en fonction de la portée, du risque et de la taille)
• Audit de surveillance 2
• Recertification en troisième année et évaluation plus détaillée

La réservation auprès d'un organisme d'audit peut prendre de 4 à 6 semaines, alors gardez ce délai à l'esprit, et nous vous recommandons de trouver un auditeur connaissant bien votre secteur et la taille de votre entreprise. Sinon, ils peuvent être plus ou moins chers, mais surtout s'ils ne comprennent pas les défis de votre système de gestion de la sécurité de l'information d'un point de vue commercial, le processus peut être pénible. N'oubliez pas que l'auditeur a généralement toujours raison (même si vous pouvez plus facilement démontrer pourquoi vous avez fait quelque chose et expliquer votre appétit pour le risque, la sélection des contrôles, etc., si vous disposez d'un SMSI bien géré.)