Vous envisagez d'obtenir une certification ISO 27001 pour votre entreprise ? Vous ne savez pas comment ou où choisir un auditeur ISO 27001 ?

Commencer le chemin vers la certification ISO 27001 peut sembler accablant. Même trouver un auditeur accrédité dans votre région peut être un défi.

Nous avons interviewé Mahtab Haider, directeur de la ligne de service ISO chez The Cadence Group, pour vous donner une perspective éclairée. Avec plus de 15 ans d'expérience en matière de risque et de conformité, il sait exactement ce que votre entreprise doit considérer lors du choix de votre auditeur.

Nous couvrirons ce qu'est l'ISO 27001, pourquoi les entreprises devraient se faire auditer, comment trouver des auditeurs accrédités et d'autres facteurs qui influenceront votre choix final.

Qu'est-ce que l'ISO 27001 et pourquoi les entreprises devraient-elles se faire certifier ?

L'ISO 27001 est une norme internationale pour les systèmes de gestion de la sécurité. L'ISO 27001 aide les entreprises à démontrer que leur système de gestion de la sécurité de l'information dispose des bons processus de sécurité en place. C'est crucial pour les entreprises qui stockent numériquement les données des clients et d'autres informations sensibles - ce qui est pratiquement le cas de toutes les entreprises au 21e siècle.

Pour prouver que votre entreprise respecte cette norme, vous devez vous faire auditer par un auditeur accrédité qui supervise vos procédures, systèmes et pratiques de travail. Une fois que vous avez passé l'audit de la phase 2, vous obtenez votre certification ISO 27001 et pouvez la promouvoir publiquement.

Avec un accent accru sur les meilleures pratiques en matière de sécurité de l'information et de standardisation, les entreprises se tournent vers des cadres et des normes reconnus mondialement. En obtenir une est le meilleur moyen de montrer l'efficacité de vos contrôles de sécurité de l'information.

La plupart des startups trouvent plus facile de conclure des affaires avec de grandes entreprises si elles sont certifiées ISO 27001. En fait, certaines entreprises exigent que tous les fournisseurs avec lesquels elles travaillent soient certifiés ISO 27001. Si vous ne pouvez pas prouver que leurs informations seront en sécurité avec vous, l'affaire est perdue.

Si vous avez déjà vécu ce genre d'ultimatum, vous êtes probablement pressé de trouver le bon auditeur pour votre entreprise. C'est ce que nous aborderons dans notre prochaine question.

Où puis-je trouver des auditeurs ISO 27001 accrédités ?

Vous pouvez trouver des organismes de certification ISO 27001 accrédités en ligne sur le site officiel d'ANAB dans le répertoire des accréditations.

Définissez la norme sur ISO/CEI 27001, et entrez votre pays, état ou d'autres critères. Appuyez sur rechercher, et vous verrez des auditeurs accrédités dans votre région.

L'ANAB (ANSI National Accreditation Board) fait partie de l'ANSI (American National Standards Institute) et est donc responsable de l'accréditation des fournisseurs américains.

En Europe et en Asie, vous devrez peut-être rechercher les sites web d'autres organismes d'accréditation pour obtenir les mêmes informations.

Ceux-ci incluent :

• UKAS: United Kingdom Accreditation Service
• JAB: Japan Accreditation Board
• DAkkS: German Accreditation Body

Ces sites officiels sont les seules sources fiables pour confirmer l'accréditation.

Comment pouvez-vous vérifier qu'un auditeur est accrédité par des organismes officiels d'accréditation?

Avant d'engager un auditeur pour votre entreprise, assurez-vous toujours que l'organisme de certification est répertorié dans le répertoire des accréditations sur le site web du registre de certification.

Vous pouvez le faire en utilisant les liens dans la section ci-dessus.

Assurez-vous que le nom de l'entreprise, l'adresse professionnelle et le numéro de certificat correspondent à ceux présentés sur le site web de l'auditeur.

Y a-t-il d'autres facteurs (au-delà de l'accréditation) à prendre en compte lors du choix d'un auditeur ?

Si être accrédité était le seul critère, vous pourriez simplement contacter tous les auditeurs accrédités locaux pour connaître les prix et la disponibilité.

Mais il y a d'autres facteurs à considérer, y compris l'expérience dans l'industrie, d'autres accréditations d'audit, et plus encore.

Les cabinets d'audit ayant beaucoup d'expérience dans votre secteur auront une meilleure compréhension des technologies émergentes, par exemple, le cloud computing comme GCP, AWS, et Azure. Cela signifie qu'ils comprendront mieux les pratiques et les exigences de l'industrie, accélérant ainsi le processus d'audit dans ses premières étapes.

Cela signifie également qu'ils peuvent offrir des informations beaucoup plus significatives pendant le processus de certification de la Phase 1, où l'auditeur vérifie si l'entreprise est prête pour un processus de certification détaillé de la Phase 2.

Il est également important de s'assurer que le cabinet d'audit peut offrir plusieurs certifications, en particulier SOC 2, FedRamp, et PCI.

La sécurité de l'information étant une priorité, la plupart des entreprises se sentent plus à l'aise lorsque vous avez prouvé que vous respectez plusieurs normes internationales. De plus en plus, nous constatons que nos clients veulent étendre leurs audits ISO avec des travaux d'audit SOC 2 et FedRamp pour couvrir toutes leurs bases.

Prendre en compte l'évolutivité future lors du choix d'un cabinet d'audit permettra d'économiser beaucoup de travail supplémentaire à long terme. En particulier, les preuves d'audit et les entrevues d'audit seront très chronophages.

Travailler avec le même cabinet pour plusieurs certifications rend le processus d'audit beaucoup plus efficace.

La dernière chose que vous voulez est de repartir de zéro chaque fois que vous souhaitez obtenir une nouvelle certification similaire. Travailler avec un cabinet d'audit capable de gérer plusieurs certifications peut vous faire gagner du temps et de l'argent.

Que doivent faire les entreprises avant d'engager un auditeur pour un audit externe ISO 27001 ?

La plupart des cabinets d'audit proposent des services de précertification et d'analyse des écarts comme première étape pour obtenir la certification.

À moins que vous n'ayez un expert en sécurité de l'information dans votre entreprise, ces services sont essentiels pour vous aider à poser les bases d'un audit ISO réussi à l'avenir.

Un auditeur principal ISO 27001 expérimenté travaillera avec vous pour identifier tous les problèmes potentiels de vos systèmes et procédures, afin que vous ne perdiez pas de temps à vous préparer pour plusieurs audits.

Une fois l'évaluation des écarts terminée, les clients ont une vision complète des problèmes dans leur environnement actuel qui les empêchent de satisfaire aux exigences de certification. Cela joue un rôle crucial dans la préparation à l'audit de certification ISO 27001.

Après l'achèvement de l'analyse des écarts, les étapes suivantes pour vous préparer à votre audit ISO 27001 de l'étape 1 comprennent :

1. Documentation des politiques : Documentez les politiques que vous avez mises en place pour protéger les données des clients, comme l'identification à deux facteurs, les clés de connexion cryptées, et plus encore.
2. Procédures de mise en œuvre : Décrivez comment ces politiques se manifesteront en pratique, ce que vos employés doivent faire, et plus encore.
3. Formation des personnes : Formez tous vos employés à réellement suivre ces procédures et politiques pour la gestion des données. Une organisation est aussi sécurisée que son maillon le plus faible. Vous ne voulez pas que quelqu'un se connecte à des systèmes sensibles à partir d'ordinateurs personnels potentiellement infectés.
4. Mise en œuvre et test des contrôles de sécurité : Avant d'être audité, il est temps de mettre en place de nouveaux contrôles de sécurité.
5. Audit interne : mettez en place des contrôles ponctuels et des audits pour vérifier si le personnel suit les procédures et s'ils préviennent réellement les problèmes potentiels.

C'est un long processus en plusieurs étapes qui sera beaucoup plus difficile sans les conseils d'un auditeur à partir d'une analyse des écarts. Ce n'est pas quelque chose que vous pouvez simplement apprendre à partir de billets de blog et de vidéos YouTube.

L'objectif final est de mettre en place un système de gestion de la sécurité de l'information (SGSI) robuste qui surveille toutes les pratiques de gestion des données de votre entreprise. L'intégration et la formation des nouveaux employés devraient faire partie intégrante de ce système. De cette façon, les données des clients restent sécurisées tout au long des restructurations, des acquisitions et d'autres événements majeurs.

Quelles sont vos réflexions finales sur l'ISO 27001 ?

L'ISO 27001 est la première étape pour établir et démontrer des contrôles de sécurité de l'information et de conformité. Cependant, le voyage ne se termine pas une fois que votre entreprise est certifiée.

Votre organisation doit rester engagée dans l'amélioration continue du SGSI. C'est le seul moyen de suivre les exigences, technologies et risques changeants de votre industrie.

Cela signifie des investissements continus et l'implication des parties prenantes dans le projet de sécurité de l'information. Si les cadres supérieurs perdent de l'intérêt, cela peut entraîner une rupture de la collaboration inter-service.

La dernière chose que vous souhaitez est d'échouer à votre audit de renouvellement dans trois ans et de recommencer le projet à zéro. Sans parler que, dans le pire des cas, devenir négligent peut entraîner des violations de données, des poursuites judiciaires et la perte de clients importants.

Vous avez toutes les raisons de continuer à investir dans la sécurité des données dans l'ensemble de votre organisation.

La sécurité de l'information n'est plus optionnelle

Les entreprises cherchent de plus en plus des certifications ISO 27001 et comparables lorsqu'elles choisissent des fournisseurs avec lesquels elles souhaitent faire affaire.

Lorsqu'une seule violation de données en 2020 coûte en moyenne 3,86 millions de dollars, il est compréhensible que les entreprises prennent cela au sérieux.

Si vous êtes novice dans ce domaine et souhaitez mieux comprendre la fiabilité de vos systèmes et de votre pile technologique globale, vous n'avez pas besoin d'engager des consultants coûteux. Secureframe vous permet de scanner toutes les applications, plateformes et outils que vous utilisez pour gérer des informations en ligne. Pour voir notre plateforme en action, demandez une démonstration gratuite dès aujourd'hui.