Conseils pour travailler avec un auditeur

Nous avons beaucoup écrit sur ISO 27001 sur notre blog : son objectif et ses avantages, le processus de certification, les exigences de contrôle et les coûts. Nous avons partagé des checklists, des guides et des modèles. C'est une partie essentielle de notre mission pour démystifier le monde de la sécurité et de la conformité pour nos clients.

Mais il y a aussi quelque chose à dire pour partager notre perspective en tant qu'organisation ayant réellement suivi le processus de certification ISO 27001. À quoi cela ressemble-t-il vraiment ? La certification ISO 27001 en vaut-elle la peine ?

En tant que plateforme d'automatisation de la conformité, nous avons toujours cru qu'une forte posture de sécurité stimule l'innovation et la croissance. Nous savions que l'investissement porterait ses fruits.

Aujourd'hui, nous partageons notre expérience de première main du processus de recertification et comment nous maintenons une conformité continue, ainsi que nos conseils pour d'autres organisations en pleine croissance se préparant à traverser le même processus.

Notre expérience de recertification ISO 27001

En tant qu'entreprise centrée sur le client, il était logique de passer notre propre certification ISO 27001 non seulement pour les bénéfices en matière de sécurité et d'organisation, mais aussi pour nous mettre à la place de nos clients.

Nous avons commencé les préparatifs dans la seconde moitié de 2020, avons terminé les audits des phases 1 et 2 avec A-LIGN et avons obtenu la certification début 2021. Nous avons récemment complété notre recertification pour l'année de surveillance 1 sans aucune non-conformité !

Étant une équipe d'experts dans une entreprise de sécurité et de conformité, avoir des ressources disponibles était plus facile. Mais le processus de recertification peut toujours être chronophage. Nous continuons d'améliorer la posture de sécurité et la culture de conformité de Secureframe, et mettons même à jour notre offre ISO 27001 pour intégrer les leçons tirées de nos propres audits.

En fin de compte, poursuivre et maintenir la certification en vaut vraiment la peine, et nous sommes heureux de partager des informations supplémentaires tirées de notre propre expérience.

Pourquoi nous avons décidé d'être certifiés ISO 27001

En tant qu'entreprise de sécurité et de conformité, nous comprenons la valeur d'un cadre international respecté comme l'ISO 27001. C'est l'une des raisons pour lesquelles nous sommes également conformes aux normes SOC 2, RGPD et CCPA.

Deuxièmement, bien qu’aucun de nos clients n’exige spécifiquement que nous soyons certifiés ISO 27001, nous savons que cela aide à renforcer la confiance avec nos clients et partenaires commerciaux. Nous pouvons dire que nous sommes une entreprise qui comprend et fournit une sécurité de premier ordre, mais le fait d'avoir un auditeur tiers objectif pour vérifier nos déclarations sur notre propre posture de sécurité ajoute de la crédibilité. Être conformes à la norme ISO 27001 nous distingue également de nos concurrents, qui n'ont pas encore obtenu la certification.

Les processus de certification et de recertification ont l'avantage supplémentaire de nous donner une meilleure compréhension de ce que nos clients traversent lors de leur parcours de conformité. Ayant vécu le processus nous-mêmes, toute notre équipe peut mieux empathiser avec nos clients qui passent par le même processus. Nous y avons été nous-mêmes.

Notre chronologie de recertification ISO 27001

Se préparer pour un audit ISO 27001 n'est pas une tâche facile. Il y a beaucoup de pièces mobiles, beaucoup de personnes doivent être impliquées et beaucoup de temps doit être consacré au processus.

Passer un audit pour la première fois (et pendant les années où tous les contrôles doivent être testés) est plus chronophage que les années nécessitant un audit de surveillance, où seul un sous-ensemble de contrôles de l'annexe est testé.

Pour notre audit de certification initial l'année dernière, les tâches de conformité ont occupé environ 50-75% de 1 à 2 ressources dans les 3 mois précédant l'audit - soit environ 480-720 heures au total.

Au cours de l'année écoulée, 20 heures supplémentaires ont été consacrées à la préparation de notre audit de surveillance.

Ces heures concernent une équipe d'experts en conformité avec des décennies d'expérience. Les heures réelles seront probablement différentes pour les organisations qui ne sont pas familières avec les audits de conformité, les entreprises qui embauchent un consultant, ou les entreprises qui nécessitent plus de temps pour mettre en place des processus et des politiques ou pour traiter les non-conformités.

Chaque entreprise est différente, c'est pourquoi il est si important de s'associer à des experts qui prennent le temps de comprendre vos systèmes uniques et vos besoins en matière de conformité.

Comment nous avons géré le processus de préparation à l'audit

Selon notre expérience, le fait d'avoir une personne ou une équipe responsable de la conduite du processus de conformité et de s'assurer que les tâches sont effectuées à temps est essentiel.

D'un point de vue gestion de projet, nous avons également trouvé qu'il était important d'identifier nos ressources les plus sollicitées (pour nous, c'est notre équipe d'ingénierie) et de prioriser les demandes qui leur sont adressées en premier.

Prévoir ce temps de marge nous a permis de nous assurer que nous ne manquions aucune échéance interne ou externe. Être conscient des dépendances, y compris des personnes et des activités, est essentiel. Selon notre expérience, avoir 80-90 % des preuves téléchargées avant le début de l'audit est un bon objectif.

Dans l'ensemble, l'aspect le plus important de notre processus de préparation était la communication. Expliquer la nécessité de sélectionner des échantillons aux personnes appropriées à l'avance les a vraiment aidées à anticiper les demandes de preuves et à comprendre les délais.

Communiquer à l'avance le calendrier de l'audit à l'ensemble de l'équipe évitait que les demandes de l'auditeur surprise ne soient trop désagréables. Répondre à celles-ci peut être stressant, c'est pourquoi Secureframe est dans le domaine de l'automatisation de la conformité.

Nos conseils pour travailler avec un auditeur ISO 27001

Nous avons travaillé avec A-LIGN pour notre certification initiale et notre recertification. Développer une relation solide avec votre auditeur externe aide énormément à assurer la continuité. En abordant notre recertification, notre auditeur avait déjà une familiarité avec notre organisation.

Pour la recertification, nous avons eu un appel de planification début novembre 2021 pour un audit commençant fin janvier 2022. En dehors de ces réunions, la communication se faisait principalement par email.

Nous avons donné une présentation générale de notre organisation et partagé des écrans pour montrer notre système à l'auditeur. Lorsque vous travaillez avec un auditeur pendant plusieurs années, il sait déjà ce qu'il doit rechercher et peut utiliser cette compréhension plus approfondie pour offrir des recommandations d'amélioration plus adaptées.

En tant qu'équipe d'experts en conformité, il nous était plus facile d'interpréter les exigences, d'anticiper les demandes de preuves et d'être conscients des lacunes potentielles.

Pour les organisations qui n'ont pas ce type d'expérience à exploiter, nous recommandons fortement de travailler avec des experts en conformité dès le début de votre parcours de certification ISO 27001. Sans cette expertise, tout cela peut sembler intimidant et le temps gagné peut être inestimable.

Comment nous abordons la conformité continue

Bien que nous ressentions certainement un sentiment d'accomplissement en recevant notre recertification ISO 27001, notre travail n'est pas terminé. Nous planifions des activités récurrentes du Système de Management de la Sécurité de l'Information (SMSI) à l'avance et les programmons tout au long de l'année. Cela évite que tout soit précipité dans les mois précédant l'audit.

Il est important d'ajuster la manière dont vous respectez les contrôles de l'Annexe en fonction de la croissance ou de l'évolution de votre organisation. Par exemple, si vos lieux physiques ont changé ou si votre organisation est devenue entièrement à distance. S'il y a de nouveaux ou changés risques commerciaux ou menaces à la sécurité, si les processus ont mûri ou changé pour répondre à un effectif plus important - toutes ces situations nécessitent de réexaminer vos politiques et contrôles internes.

Pour maintenir la conformité, vous devrez mettre à jour votre documentation ISO 27001 chaque année (c'est-à-dire les politiques, votre Déclaration d'applicabilité, le document de périmètre, les actions correctives, etc.). D'autres activités de révision et de mise à jour annuelles incluent l'examen des fournisseurs, les exercices de simulation et l'inventaire.

Un test de pénétration annuel, une formation de sensibilisation à la sécurité des employés et des évaluations de performance, une évaluation des risques ISO 27001 doivent également être effectués. Les objectifs de l'ISMS et le suivi des KPI, ainsi que les audits internes sont également requis.

Votre réunion ISMS doit se tenir après l'audit interne annuel et que l'évaluation des risques soit terminée afin de permettre un examen approprié, et les minutes de la réunion doivent être capturées et documentées. L'examen des accès et la recherche de vulnérabilités sont recommandés au moins trimestriellement.

Points clés

Obtenir une certification ISO est un peu comme courir un marathon. Passer la ligne d'arrivée est génial, mais vous ne pouvez y arriver qu'avec beaucoup de préparation dédiée.

Condensant notre expérience en quelques points clés peut sembler une simplification excessive, mais si nous devions résumer, voici nos conseils pour les autres entreprises à forte croissance qui se préparent à un audit de conformité.

• Priorisez la communication – à la fois avec votre équipe interne et votre auditeur. Tout le monde dans votre organisation doit comprendre pourquoi vous poursuivez la certification, quelles sont leurs responsabilités et quand ils doivent agir.
• Prévoir un temps tampon dans votre planification de préparation. Les tâches de conformité prennent plus de temps que ce que vous pensez, et vous devrez vous fier à d'autres équipes pour générer des preuves et répondre aux questions.
• Passez du temps au début pour familiariser votre auditeur avec vos systèmes et processus. Vous construisez une relation à long terme avec eux, et plus ils comprendront votre organisation, plus le processus d'audit sera fluide.
• Répartissez vos tâches de maintenance tout au long de l'année pour éviter une ruée frénétique dans les semaines précédant votre audit de recertification.
• L'expérience et l'expertise sont des atouts inestimables. Si vous êtes nouveau sur l'ISO 27001, envisagez de faire appel à un consultant ou de vous associer à une solution de conformité pour vous aider tout au long du processus. Assurez-vous de demander à chaque fournisseur s'il est lui-même certifié ISO 27001 et/ou SOC 2.

Nous espérons que partager notre expérience sera utile à d'autres entreprises ! Si vous êtes intéressé par la certification ISO 27001, vous pouvez planifier une démonstration pour en savoir plus sur notre plateforme et notre équipe d'experts en conformité.