Certification ISO/IEC 27001 – Sécurité des systèmes d’information
ISO/IEC 27001 est la norme la plus connue de cette famille qui n’en compte pas moins d’une douzaine. Elle spécifie les exigences relatives aux systèmes de management de la sécurité des informations (SMSI). La mise en œuvre des normes de cette famille par tout type d’organisation facilite le management de la sécurité d’actifs sensibles tels que les données financières, les documents de propriété intellectuelle, les données relatives au personnel ou les informations confiées par des tiers.
Quel que soit le secteur d’activité, votre système d’information est au cœur de votre activité. La certification ISO 27001 en garantit sa protection, son amélioration et sa performance.
Cybersécurité, protection des données personnelles, contrôle des data, management des systèmes d’informations : sécurisez vos systèmes d’information avec l’ISO 27001..
QU’EST-CE QUE LA CERTIFICATION ISO 27001 ?
La certification ISO 27001 démontre que vous avez mis en place un système de management de la sécurité de l’information (SMSI) efficace construit sur la base de la norme internationale de référence, l’ISO 27001. Elle définit une méthodologie pour identifier les cyber-menaces, maîtriser les risques associés aux informations cruciales de votre organisation, mettre en place les mesures de protection appropriées afin d’assurer la confidentialité, la disponibilité et l’intégrité de l’information.
COMMENT METTRE EN PLACE UN SYSTÈME DE MANAGEMENT DE LA SÉCURITÉ DE L’INFORMATION ?
Étape 1 : Définition du périmètre
- Identifier les enjeux internes et externes (aspects règlementaires, performances de l’entreprise, …) en lien avec le système d’information
- Identifier les parties intéressées (clients, donneurs d’ordre, service public, …) en lien avec le système d’information ainsi que leurs interactions avec vos activités
Étape 2 : Leadership et engagement
- Définir les rôles et les responsabilités au sein du système de management (qui pilote quoi ? RSSI, …)
- Engagement de la Direction au travers d’une politique de sécurité de l’information (document macro qui donne les objectifs à atteindre)
Étape 3 : Analyse des risques liés à la sécurité de l’information (perte d’information, perte de confidentialité, fuite de données, rupture de l’activité)
- Analyser et apprécier les risques qui pèsent sur les actifs (matériels, logiciels, informationnels, humains, …) de l’entreprise
- Les risques sont classés de faible à fort en fonction de leur impact sur l’entreprise et de leur probabilité
- Méthodes d’analyse connues : EBIOS (ANSSI), ISO 27005, MEHARI (CLUSIF)
Étape 4 : Déterminer les mesures à prendre suite à cette analyse
- Mettre en place les mesures pour traiter les risques identifiés en incluant les mesures de l’Annexe A (possibilité d’accepter des risques faibles)
- L’ensemble de ces mesures et leurs justifications doivent figurer dans la déclaration d’applicabilité
Étape 5 : Surveillance et boucle d’amélioration continue
- Surveiller et analyser la mise en œuvre des mesures de sécurité et leur efficacité.
- Réaliser des audits internes et des revues de direction
- Mise en place d’actions curatives et correctives.
- Rebouclage sur l’analyse de risques.
POURQUOI CHOISIR LA CERTIFICATION ISO 27001 ?
Selon une étude réalisée en 2019 auprès des certifiés ISO 27001 :
- 89% estime avoir moins d’incidents de sécurité,
- 83% estime que la mise en place de la certification ISO 27001 a permis de consolider des processus internes liés à la sécurité,
- 88% reconnaissent que la certification a permis de fidéliser certains de leurs clients qui sans quoi les auraient probablement quittés.
Faire face à une cyberattaque dont le coût peut s’élever à plusieurs millions d’euros peut mettre en danger votre image et votre activité. Traitement et confidentialité des données, maîtrise des risques, sécurité des informations : la certification ISO 27001 vous donne un cadre rigoureux et vous protège. Votre audit vous apportera des pistes d’actions pour améliorer votre système à long terme.
Partenaires, clients, institutionnels : tous vos interlocuteurs ont besoin d’avoir confiance dans la robustesse de votre Système de management de la sécurité de l’information. En affichant votre certification ISO 27001, vous montrez patte blanche partout dans le monde. Vous êtes en mesure de prouver votre conformité à des critères reconnus internationalement et ainsi de réduire la charge des contrôles de vos clients et de vous positionner sur des appels d’offres.
LES AVANTAGES DE CETTE CERTIFICATION
- Identifier les menaces et les dangers pesant sur votre système d’information
- Mobiliser vos équipes autour d’un projet commun
- Améliorer vos pratiques pour sécuriser votre système d’information
- Être en conformité avec les exigences règlementaires
- Maitriser les coûts liés à la sécurité à la cybersécurité
- Pérenniser votre activité
- Accroitre la confiance de vos clients et répondre à leurs exigences en matière de sécurité
- Accroitre votre chiffre d’affaire avec l’acquisition de nouveaux clients privés et publics
- Améliorer l’image de votre organisation en matière de cybersécurité
QUELLES ENTREPRISES ET ORGANISATIONS SONT CONCERNÉES PAR LA CERTIFICATION ISO 27001 ?
La certification ISO 27001 ne s’adresse pas uniquement aux hébergeurs de données, start-up, multinationales ou entreprises du domaine informatique. Ce sont bien toutes les organisations, entreprises et collectivités, de toutes tailles et de tous secteurs détenant des données, physiques ou dématérialisées, qui sont concernées.
MODE D’EMPLOI VERS LA CERTIFICATION ISO 27001
1 Visite d’évaluation (facultative) : Pré-diagnostic en conditions réelles avec un auditeur pour maximiser vos chances d’être certifié
2 Préparation de l’audit : Votre auditeur prend connaissance de vos spécificités et prépare avec vous le déroulement de l’audit initial
3 Audit documentaire : Revue documentaire de votre système d’information afin de déterminer sa conformité aux exigences du référentiel de certification
4 Audit sur site Les preuves de conformité technique et organisationnelle sont recueillies dans vos locaux
5 Certification : AFNOR Certification délivre votre certificat ISO 27001 et vos logos pour 3 ans
6 Surveillance et renouvellement : Audit de suivi tous les ans et audit de renouvellement tous les 3 ans
établissement d’accréditation internationale :
S’inscrire à la newsletter!