Norme ISO 27001 : qui doit se certifier, combien ça coûte et pourquoi c'est un investissement rentable ?

4.8/5
14 octobre 2024
Rédigé par
certification iso 27001
Maitrisez votre Système de Management de la Sécurité de l'Information
Sommaire de l'article

Ce sujet est d'actualité pour votre entreprise ?

📅 

Vous êtes décideur (dirigeant ou responsable) d’une PME.

Prenez RDV avec un consultant expert pour lancer votre projet.

Comprendre la norme ISO 27001

Norme ISO 27001 définition

La certification ISO (International Organization for Standardization) est une procédure par laquelle un tiers donne une assurance écrite qu’un service / produit / processus est conforme aux exigences spécifiées. Un peu comme un label, une norme ISO certifie un gage de qualité.

Il existe beaucoup de normes ISO, qui couvrent tout type de secteurs :

  • le management de la qualité : la famille ISO 9000 (dont la norme ISO 9001 fait partie)
  • le management de la sécurité de l’information : la famille ISO 27000 (dont la norme ISO 27001 fait partie)
  • la santé et la sécurité au travail : la famille ISO 45000
  • le management du risque : la norme ISO 31000
  • le management de l’énergie : la norme ISO 50001
  • etc.

La norme ISO 27001 concerne spécifiquement le Système de Management de la Sécurité de l’Information. Une norme devenue incontournable en termes de cybersécurité et traitement des données sensibles et/ou confidentielles.

La norme ISO 27001 permet d’être certifié sur votre système de management de la Sécurité et de l’Information – papier ou numérique.

Quelles entreprises sont concernées par la norme ISO 27001 ?

La norme ISO 27001 vient appuyer particulièrement sur la gestion des risques liées à la sécurité de l’information – informations autant numériques que papier – et vise à apporter des correctifs techniques pour améliorer les processus de traitement et de stockage de ces données.

Bien que toutes les entreprises peuvent rentrer dans la démarche de certification ISO 27001, notamment pour protéger et réglementer le traitement de leurs données internes, ce sont majoritairement des entreprises qui ont des services liés à la gestion ou au stockage d’informations : datacenter, système bancaire & assurance, aéronautique, telecom, recherche, etc.

La norme ISO 27001 n’est pas obligatoire, contrairement à d’autres règles législatives imposées comme le RGPD en Europe. Les normes ISO respectent un cahier des charges précis définis par des bureaux techniques et le conseil de l’ISO, chapotée par l’ONG ISO.

Les enjeux de la norme ISO 27001 pour une entreprise

La norme ISO 27001 répond à 3 enjeux majeurs :

  1. la confidentialité des informations de l’entreprise et de ses clients
  2. la disponibilité des informations et des services
  3. l’intégrité des informations

Ces 3 notions sont fondamentales pour les clients des entreprises dans les secteurs d’activité que nous avons déjà abordé : aéronautique, banque & assurance, IT, data, recherches, etc.

On veut par exemple qu’un datacenter puisse sécuriser les informations stockées et résister à différentes formes de risques : cyberattaque, coupure d’électricité, systèmes de sauvegarde, vitesse de déploiement des données, etc.

Passez de la théorie à l’action

🔎

Plus qu’un article, découvrez en détails ce qu’on a fait pour l’un de nos clients.

Être certifié ISO 27001, en tant qu’entreprise, c’est bénéficier de 3 avantages clés ⬇️

Certification ISO 27001, un avantage concurrentiel fort

Les normes certifiantes, comme la norme ISO 27001, permet d’ouvrir de nouvelles opportunités commerciales, et notamment d’accéder à des marchés réglementés. Les marchés réglementés comme les services publiques (sécurité, santé, éducation, etc.) fonctionnent majoritairement par appel d’offres, avec un cahier des charges très spécifiques, dans lesquelles les normes ISO sont quasiment systématiques.

Tous les marchés très réglementés partagent généralement cette procédure. Avoir la certification ISO 27001 représente un avantage concurrentiel fort, comparé à d’autres acteurs du secteur qui ne l’ont pas encore, car la procédure d’obtention est longue (entre 12 et 24 mois en moyenne).

Certification ISO 27001, un marqueur de confiance et de qualité

Comme tout label, une norme ISO signifie le respect d’un cahier des charges spécifiques. Voici un aperçu du cahier des charges de la norme ISO 27001.

Particulièrement dans le traitement de l’informations, les clients sont vigilants sur les 3 éléments que nous avons souligné juste en haut :

  • la confidentialité : avoir le niveau de sécurité suffisant sur le traitement de l’information et du stockage
  • la disponibilité : avoir la capacité à classer / sortir de l’information sous un délais court et offrir une assistance rapide
  • l’intégrité : avoir le niveau de fiabilité et crédibilité suffisant sur le cycle de vie de l’information et de son traitement

Une meilleure gestion des risques avec la certification ISO 27001

Les restrictions et les conformités exigées par la norme ISO 27011 poussent les entreprises à professionnaliser leurs processus du traitement de l’informations.

La formalisation des processus, la connaissance des pratiques, la documentation produite… sont un ensemble d’éléments qui permettent aux entreprises de mieux anticiper les risques et d’avoir des solutions déjà pensées et facilement déployables (plan de reprise d’activité, procédure de sauvegardes, prévention aux cyberattaques, etc.).

Le processus de certification ISO 27001

Les 5 étapes pour obtenir la norme ISO 27001

Étape 1 – Achat du cahier des charges de la norme ISO 27001

Tous les éléments réglementés de l’ISO sont accessibles depuis le site de l’ONG : https://www.iso.org/

Pour accéder au cahier des charges complet, vous devez payer en moyenne entre 100 à 200€. Vous retrouverez l’ensemble des conformités à respecter pour obtenir la certification.

Le cahier des charges va balayer l’ensemble de vos processus et procédures concernant le traitement de l’information. Par exemple, vous serez amené à évaluer la conformité de votre :

  • politique de sécurité ;
  • processus de gestion des risques ;
  • formation du personnel ;
  • dossier de gestion des incidents ;
  • plan de reprise d’activité ;
  • etc.

Étape 2 – Gap analysis et étude des non conformité

Ce que nous vous conseillons de faire à cette étape est de créer un tableau excel (pas besoin d’outils plus complexe) et d’évaluer chaque critère avec la mention suivante :

  • C : conforme
  • NC mineure : non conformité mineure
  • NC majeure : non conformité majeure

NB : une non conformité majeure vous empêche d’obtenir la certification ISO 27001, là où une non conformité mineure ne vous bloque pas dans le processus, à condition de proposer un plan d’actions correctif sur les 1 à 6 mois à l’auditeur pour la traiter.

Étape 3 – Amélioration des processus et traitement de non conformité majeures

Traitez l’ensemble de vos non conformités majeures, et préparez vos plans d’actions correctifs pour les non conformités mineures.

Prenez le temps de retravailler vos processus, de produire vos documents manquants et d’impliquer vos équipes dans vos modifications. Toutefois, celles-ci peuvent être longues, en fonction du nombre de sujets à traiter. Donc, nous vous conseillons de passer assez rapidement à l’étape d’après, quitte à ce que tout ne soit pas prêt lors de l’audit interne.

Étape 4 – Audit interne

L’audit interne de l’ISO 27001 est une simulation faite par vos équipes ou un consultant externe. Au-delà de déceler les non conformités (que vous aurez déjà fait à l’étape 2), l’audit interne est surtout un excellent exercice pour préparer vos équipes à l’audit initial. Cela peut être aussi un excellent point intermédiaire pour vérifier l’avancée des correctifs 😉

L’auditeur, lors de la procédure de certification, posera des questions et évaluera le niveau de connaissances des équipes concernées par les processus de sécurité et de l’information. Plus les collaborateurs seront préparés et prennent le temps d’étudier la cartographie des processus, plus l’audit sera simple et fluide.

Étape 5 – Audit initial ou de certification ISO 27001

Pensez bien à anticiper la prise de rdv de votre audit ! C’est généralement ce qui peut repousser votre certification de 6 mois (ou plus 😅).

Il existe de nombreux organismes affiliés à la certification ISO 27001 :

L’audit initial se déroule généralement sur une journée. Et la certification ISO 27011 a une validité de 3 ans depuis son émission.

Nos conseils pour la certification ISO 27001

Nous vous avons présenté les grandes étapes de la certification ISO 27001 (qui est en soi assez similaire d’une autre norme ISO). En complément, nous partageons avec vous 3 conseils tirés de nos différentes expériences de préparation d’audits ISO auprès de nos clients.

Conseil n° 1 – Anticipez

Anticipez le choix de l’organisme certifiant dès le début de vos démarches pour gagner du temps : comparez les disponibilités, les tarifs de prestations (qui ne sont pas réglementés) et anticipez en fonction de vos jalons et de vos ressources internes. Ce qui vous permettra de gagner plusieurs mois auprès de votre auditeur 😎

Conseil n°2 – Préparez vos équipes

Un audit peut être assez déstabilisant pour vos équipes, c’est pourquoi l’audit interne nous parait indispensable ! N’hésitez pas à vous faire accompagner par un cabinet ou un consultant externe pour préparer ces différentes étapes, voire faire du coaching individuel et personnalisé si nécessaire !

Conseil n°3 – Ne cherchez pas les 100% de conformités

Le trop est l’ennemi du bien ! Acceptez de ne pas atteindre les 100% de conformités et concentrez vos efforts sur les non conformités majeures. L’objectif est de prioriser pour obtenir la certification ISO 27001. Pour gagner du temps sur le processus d’obtention de la norme, préparez un plan d’actions correctifs sous 6 mois pour les non conformité mineures que vous ne pouvez pas traiter dans le temps imparti.

Le coût et les délais de la certification ISO 27001

Les délais et le budget associé à la certification ISO 27001 vont beaucoup dépendre de l’organisme que vous allez retenir.

En prenant du recul sur les différentes certifications ISO que nous avons menés (27001, 9001 et 14001), comptez en moyenne :

  • entre 12 à 24 mois pour être certifié ISO 27001
  • entre 5 à 15k € de frais pour l’audit initial (sans prendre en compte les investissements internes nécessaires)

Envie d'investir sur ce sujet dans votre entreprise ?

4.9/5
4.9/5
66 avis Google & Pages Jaunes

Prenez RDV avec l’un des meilleurs cabinets spécialisés.

Nos experts partagent leurs secrets

Lisez un autre article et continuez d’apprendre sur un nouveau sujet.