Il y a beaucoup de gens qui aimeraient que votre entreprise ne soit pas certifiée ISO 27001.
Les hackers, par exemple. Aussi les escrocs, les criminels financiers et d'autres habitants du dark web.
Qu'est-ce que la certification ISO 27001, exactement ? Et comment protège-t-elle votre organisation contre ces menaces ?
ISO 27001 est un cadre de sécurité créé par l'Organisation internationale de normalisation qui évalue la capacité d'une entreprise à protéger ses données. Pour obtenir la certification, les entreprises doivent passer un audit pour vérifier qu'elles respectent les normes rigoureuses de l'ISO 27001.
Poursuivre la certification ISO 27001 offre de nombreux avantages pour les entreprises en croissance - en plus de protéger vos données contre une violation. Cela peut aussi renforcer la confiance de vos clients, inspirer confiance à vos actionnaires et vous donner un puissant avantage concurrentiel.
Si vous êtes intéressé par ce qu'il faut pour obtenir la certification ISO 27001, vous êtes au bon endroit.
Dans cet article, nous couvrirons ce qu'est une certification ISO 27001, les avantages et les exigences de la conformité, ainsi que le processus et les coûts de la certification.
Que signifie être certifié ISO 27001 ?
En matière de sécurité informatique, la certification ISO 27001 est l'une des normes les plus respectées au niveau international.
Le nom complet de l'ISO 27001 est « ISO/IEC 27001:2017 Technologies de l'information — Techniques de sécurité — Systèmes de management de la sécurité de l'information — Exigences ».
La norme a été établie en 2005. Elle a été révisée en 2013 et 2017 grâce à un partenariat avec la Commission électrotechnique internationale (CEI), une autre organisation de normalisation.
Le cadre ISO 27001 détermine si une organisation a mis en place un système de management de la sécurité de l'information (SMSI) capable de protéger les données sensibles.
Un SMSI est plus que le matériel et les logiciels que vous utilisez pour protéger les informations. C'est un ensemble complet de règles qui régissent l'utilisation de l'information. Cela inclut la manière dont vous stockez et récupérez les données, comment vous évaluez et atténuez les risques, et comment vous améliorez continuellement la sécurité des données.
Si un auditeur indépendant confirme que le SMSI de votre entreprise respecte les normes, vous êtes certifié ISO 27001.
La certification apporte une multitude d'avantages.
Vous pourriez avoir accès à des clients qui hésiteraient à travailler avec vous autrement. Vous démontrerez à tous vos clients que vous prenez leurs informations personnelles au sérieux. L'ISO 27001 peut également aider votre organisation à se conformer à d'autres réglementations comme le RGPD (bien que la mise en œuvre de l'ISO ne signifie pas que vous êtes automatiquement conforme au RGPD).
Mais surtout, vous aurez un système en lequel vous et tous vos partenaires pouvez avoir confiance.
Que signifie ISO ?
ISO signifie « Organisation Internationale de Normalisation ».
C'est une entité mondiale et apolitique fondée en 1946. Des délégués de 25 pays se sont réunis pour s'assurer que les frontières nationales n'interfèrent pas avec la capacité de l'humanité à développer des technologies fiables.
Aujourd'hui, l'ISO réunit des comités de normalisation de 166 pays, sous un gouvernement central en Suisse.
Son travail est visible partout : des conteneurs de transport pouvant être chargés et déchargés dans presque tous les ports aux caméras dont la sensibilité à la lumière est mesurée en unités appelées ISO.
Quel est l'objectif de la certification ISO 27001 ?
L'ISO a créé l'ISO 27001 pour contrer des attaques de plus en plus sophistiquées contre les systèmes d'information. Pour protéger des données privées précieuses, les entreprises devaient se conformer à un ensemble complet de normes de sécurité rigoureuses.
La montée des réglementations sur la sécurité de l'information a également favorisé l'adoption de l'ISO 27001. Des lois comme la Loi sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA) aux États-Unis et le Règlement général sur la protection des données (GDPR) dans l'Union européenne imposent des pénalités sévères pour les violations de données évitables.
Le prix de la non-conformité est élevé. En juillet 2019, British Airways a été condamnée à une amende de 183 millions de livres sterling pour ne pas avoir empêché une attaque de phishing utilisant une version factice de son site web. Deux jours plus tard, les hôtels Marriott ont été condamnés à une amende de 100 millions de livres sterling après que des hackers ont volé des données sensibles à partir de dossiers de clients mal sécurisés.
La certification ISO 27001 est-elle obligatoire ?
Non, ce n'est pas le cas. Mais respecter la loi l'est.
Bien que le gouvernement n'exige pas qu'une entreprise subisse un audit ISO 27001, c'est souvent le moyen le plus simple de se conformer à des lois comme le GDPR.
Si votre modèle commercial repose sur la fourniture de services informatiques à d'autres entreprises, vous pourriez constater que de nombreux clients ne veulent pas travailler avec vous sans une sorte de certification de sécurité. C'est généralement soit ISO 27001, soit SOC 2.
Cependant, de nombreuses entreprises qui comprennent l'importance de l'ISO 27001 ne se certifient toujours pas, craignant la complexité du processus de certification ISO 27001.
Si vous hésitez encore, continuez à lire pour apprendre exactement ce que la certification ISO pour la sécurité de l'information implique.
Combien de temps faut-il pour obtenir la certification ISO 27001 ?
Cela dépend de la taille de votre entreprise et de la complexité des données que vous gérez.
Une petite ou moyenne entreprise peut s'attendre à être prête pour l'audit en moyenne en quatre mois, puis à traverser le processus d'audit en six mois. Les grandes organisations peuvent nécessiter un an ou plus.
Ces quatre mois de préparation à l'audit impliquent généralement de définir la portée de votre Système de Management de la Sécurité de l'Information (SMSI), de réaliser des évaluations des risques et des analyses des écarts, de concevoir et de mettre en œuvre des contrôles, de former le personnel et de préparer la documentation.
L'audit de certification de six mois est divisé en deux étapes. Lors des audits de la phase 1, l'auditeur examine la documentation du SMSI pour s'assurer que les politiques et procédures sont correctement conçues. Il peut également faire des suggestions sur la manière dont l'organisation peut améliorer son SMSI pour le rendre plus sécurisé.
Lors d'un audit de la phase 2, l'auditeur examine les processus métiers et les contrôles pour s'assurer de la conformité avec le SMSI et les exigences de l'Annexe A de l'ISO 27001.
Le processus de certification ISO 27001
Votre quête de la certification ISO 27001 vous fera passer par les étapes suivantes :
1. Constituer une équipe ISO 27001. Désignez des membres de votre personnel pour prendre en charge le processus de certification.
L'équipe ISO 27001 déterminera la portée de votre SMSI, établira des processus pour le documenter, obtiendra le soutien de la direction, et travaillera directement avec l'auditeur, entre autres tâches.
2. Définir la portée de votre SMSI. Chaque entreprise est unique et héberge différents types de données. Avant de construire votre SMSI, vous devrez déterminer exactement quel type d'informations vous devez protéger.
Pour certaines entreprises, la portée de leur SMSI inclut toute leur organisation. Pour d'autres, elle ne concerne qu'un département ou un système spécifique.
Votre équipe devra discuter de ce que vous souhaitez représenter dans la déclaration de portée de votre certificat ISO 27001.
Commencez par vous demander : "Quel service, produit ou plateforme nos clients sont-ils le plus intéressés à voir comme partie de notre certificat ISO 27001 ?"
3. Compléter une évaluation des risques et mettre en œuvre des contrôles. ISO 27001 exige des entreprises qu'elles documentent un effort actif et continu pour identifier et atténuer les menaces.
Réalisez une évaluation des risques selon ISO 27001 pour identifier les menaces potentielles à la sécurité de vos informations. Évaluez la probabilité de chaque risque et la gravité de ses conséquences.
Avec une évaluation des risques achevée, il est temps de documenter ce que vous faites pour chaque risque. Élargissez votre SMSI pour inclure des stratégies d'atténuation pour chaque risque révélé par votre analyse.
4. Documenter et collecter des preuves. Plus vous ferez de travail pour renforcer votre documentation avant l'audit, meilleures seront vos chances d'obtenir la certification.
La documentation peut être un travail éprouvant sans l'aide de l'automatisation, il est donc préférable de commencer tôt. Passez un audit interne comme répétition générale avant l'audit réel.
Pendant cette phase, votre équipe ISO 27001 devrait informer votre personnel général sur la sécurité de l'information, votre SMSI et la certification ISO 27001 en particulier. En ayant l'ensemble de votre personnel ensemble, vous réduisez considérablement les chances de laisser des lacunes non traitées dans votre SMSI.
5. Complétez un audit de la première étape. Cela fait environ quatre mois à ce stade, et vous êtes enfin prêt à inviter un auditeur externe pour examiner votre SMSI. Votre auditeur ISO 27001 viendra d'un organisme de certification accrédité par l'ISO.
Le processus d'audit officiel comporte deux étapes.
6. Mettre en œuvre les recommandations de l'audit de la première étape. Corrigez tous les aspects de votre SMSI que l'auditeur a signalés pour amélioration. Si vous manquez de contrôles de sécurité de l'information, mettez-les en pratique et documentez-les de manière approfondie.
7. Passer un audit de la deuxième étape. Cette fois, votre auditeur examinera le fonctionnement de votre sécurité de l'information. Son objectif est de vérifier si vous respectez les pratiques définies dans votre SMSI. Les processus bien documentés sont inutiles s'ils ne sont pas suivis.
Après un audit de la deuxième étape réussi, vous recevrez votre certification ISO 27001, qui est valable pendant trois ans.
8. Maintenir la conformité ISO 27001. Après avoir obtenu la certification ISO 27001, établissez un plan pour des audits internes réguliers. L'ISO 27001 exige que les organisations effectuent un « audit de surveillance » chaque année pour s'assurer que leur engagement envers un SMSI conforme n'a pas faibli.
À la fin de la troisième année, vous pouvez effectuer un audit de recertification pour maintenir votre certification ISO 27001 pendant trois ans supplémentaires.
Le chemin vers la certification ISO 27001 peut varier légèrement pour chaque entreprise. Certaines peuvent choisir de faire appel à un consultant ou d'opter pour un test de pénétration plutôt qu'un scan de vulnérabilité. Mais cette vue d'ensemble devrait vous donner une idée des étapes à suivre pour obtenir la certification ISO 27001 et pourquoi le processus peut prendre jusqu'à 12 mois.
Combien coûte la certification ISO 27001?
Comme le calendrier, le coût d'un audit ISO 27001 peut varier considérablement en fonction de la taille et de la portée de votre entreprise et de votre système de gestion de la sécurité de l'information.
Le plus gros coût associé à la conformité ISO 27001 est que vous devrez retirer des employés d'autres projets ou en engager de nouveaux. Vous devrez également payer pour le matériel de formation en sécurité et pour l'audit lui-même.
En tout, une entreprise moyenne peut s'attendre à payer jusqu'à 40 000 $ pour les préparatifs de pré-certification, 10 000 $ pour l'audit de certification lui-même, et 15 000 $ par an pour les audits de maintenance et de surveillance après avoir obtenu la certification.
Un moyen plus rapide et plus facile d'obtenir la certification ISO 27001
ISO 27001 peut sembler intimidant au début, mais les avantages dépassent de loin les efforts.
Lorsque vous considérez les paiements de responsabilité qui peuvent découler des violations de données - sans parler du coût du contrôle des dommages - il y a de fortes chances que le processus de certification vous fasse économiser de l'argent et du temps.
Cela dit, si vous avez trouvé quelque chose d'accablant dans cet article, nous avons une bonne nouvelle.
La plateforme d'automatisation de la conformité de Secureframe et l'équipe d'experts en conformité de la sécurité peuvent vous préparer plus rapidement et avec moins de tracas à votre propre certification ISO 27001. Planifiez une démonstration pour en savoir plus.
FAQ
Qu'est-ce que la certification ISO 27001 ?
ISO 27001 est la norme mondiale pour la sécurité de l'information. Elle fournit des directives aux organisations pour établir, maintenir et améliorer continuellement leur système de gestion de la sécurité de l'information (SGSI). La certification ISO 27001 est délivrée par un organisme d'accréditation après qu'une organisation a subi un audit montrant que son SGSI répond aux exigences de l'ISO 27001. Il est important de noter que les organisations peuvent mettre en œuvre l'ISO 27001 sans passer par le processus de certification.
Pourquoi la certification ISO 27001 est-elle importante ?
La certification ISO 27001 est importante pour démontrer votre engagement et votre capacité à gérer l'information de manière sécurisée et sûre auprès des clients et autres parties prenantes. Bien que la mise en œuvre des exigences de l'ISO 27001 puisse également le faire, franchir l'étape supplémentaire du processus de certification peut fournir une couche supplémentaire d'assurance.
Quelle est la différence entre un organisme de certification ISO et un organisme d'accréditation ?
Un organisme de certification ISO peut fournir une confirmation tierce qu'un SGSI d'organisation répond aux exigences de l'ISO 27001 via un audit. Un organisme d'accréditation ISO audite les organismes de certification pour confirmer leur conformité aux exigences d'audit de certification de l'International Accreditation Forum (IAF). Cela fournit une confirmation indépendante de la compétence de l'organisme de certification. Les organismes de certification qui terminent cette évaluation sont connus sous le nom d'organismes de certification accrédités. Ceux qui ne le font pas sont connus sous le nom d'organismes de certification non accrédités.
Les organisations qui utilisent un organisme de certification accrédité recevront leur certification ISO 27001 avec inclus le sceau de l'organisme d'accréditation et de l'IAF.
Comment obtenir la certification ISO 27001 ?
Pour obtenir la certification ISO 27001, les entreprises doivent compléter un audit de Stade 1 et un audit de Stade 2 pour vérifier qu'elles sont conformes aux normes rigoureuses de l'ISO 27001.
Combien coûte la certification ISO 27001 ?
Le coût d'une certification ISO 27001 dépend de la taille et de la portée de votre entreprise et de votre système de gestion de la sécurité de l'information. En moyenne, une entreprise peut s'attendre à payer jusqu'à 40 000 $ pour la préparation à la pré-certification et 10 000 $ pour l'audit de certification lui-même. Il y a des coûts supplémentaires pour les audits de maintenance et de surveillance après l'obtention de la certification.
Combien de temps faut-il pour obtenir la certification ISO 27001 ?
Le temps nécessaire pour obtenir la certification ISO 27001 dépend de la taille de votre entreprise et de la complexité des données que vous maintenez. En moyenne, il faut environ quatre mois à une petite ou moyenne entreprise pour être prête pour l'audit et six mois supplémentaires pour compléter le processus d'audit. Les grandes organisations prennent en moyenne un an ou plus.