La certification ISO 27001 : comment faire pour l’obtenir ?

ISO 27001 est une certification liée à la protection de données. Cette certification est délivrée par un organisme agréé en ce qui concerne la certification. Elle atteste l’efficacité des mesures mises en place par une entreprise pour la protection de son système d’information. Bien qu’il ne soit pas obligatoire d’être conforme à la norme ISO 27001, cette certification met en avant le professionnalisme d’une entreprise et offre à celle-ci, la possibilité d’attirer plus facilement de nouveaux clients.

ISO 27001 : Définition

ISO 27001 est un ensemble de normes qui s’appliquent aux technologies de l’information. Il a été conçu pour aider les organisations dans la mise en œuvre d’un système efficace de gestion et de sécurité de l’information, quelle que soit leur taille, et quelle que soit leur secteur d’activité. ISO 27001 a été conçue sur une approche descendante, qui se base sur le risque, et qui est neutre concernant le plan technologique.

ISO 27001 englobe tout ce qui est gestion des risques. Une entreprise doit savoir identifier les informations précieuses ou sensibles qui nécessitent d’être protégées. Elle doit aussi déterminer les différentes situations qui peuvent représenter une menace pour ces informations pour pouvoir effectuer la mise en place des contrôles qui sont nécessaires pour diminuer les risques (liés à la disponibilité, à l’intégrité et à la confidentialité des données).

Il existe une norme fournissant un cadre qui permet de choisir des processus et des contrôles appropriés.

Les obligations qui sont imposées par ISO 27001 concernent :

• L’identification des parties prenantes, ainsi que ce qu’elles peuvent attendre vis-à-vis du SMSI
• La définition du domaine d’application de son SMSI
• La définition de la politique de sécurité
• L’évaluation des risques (risques potentiels et risques existants qui peuvent peser sur les données)
• La définition des objectifs clairs qui concerne les initiatives relatives à la sécurité de l’information
• La définition des processus et des contrôles de gestion des risques
• La mise en place de plusieurs méthodes pour la réduction des risques
• La mesure et l’amélioration des performances du SMSI

ISO 27001 : exigences et contrôles de sécurité

Il existe deux parties principales dans ISO 27001. On trouve la partie présentant les définitions et les exigences. Cela concerne les clauses qui sont :

• L’introduction : qui décrit le processus de gestion systématique des risques qui s’associe à l’information
• Le domaine d’application : qui spécifie les exigences génériques du SMSI pour toutes les organisations, quelles que soient leur nature et leur taille
• Les références nominatives : qui liste les normes contenant des informations pertinentes pour la détermination de la conformité à ISO27001
• Les termes et définitions : qui comporte les explications des termes qui sont complexes, et qui sont utilisés dans la norme
• Le contexte organisationnel : qui explique la raison et la manière de définir les aspects externes et internes, qui peuvent affecter la capacité d’une organisation dans la mise en place d’un SMSI
• Le leadership : qui oblige les cadres supérieurs de faire preuve d’implication et de leadership envers le SMSI. Cette partie mentionne également l’obligation de ces cadres supérieurs en ce qui concerne la définition de la politique et l’attribution des responsabilités et des rôles en ce qui concerne la sécurité de l’information.
• La planification : qui décrit le processus d’identification, d’analyse et de planification qui permet le traitement des risques qui sont associés à l’information, et qui permet aussi la clarification de l’objectif des initiatives de sécurité qui sont relatives à l’information
• Le support : qui oblige des organisations de préparer et de sensibiliser toute la documentation nécessaire ; qui les oblige aussi à affecter les ressources adéquates.
• L’exploitation : qui précise la manière d’évaluation et de traitement des risques qui sont liés à l’information, la manière de documentation des choses, et la manière de gestion des changements
• L’évaluation des performances : qui oblige les organisations à mesurer, à surveiller et à analyser leurs processus et leurs contrôles concernant la gestion de la sécurité de l’information
• L’amélioration : qui oblige les organisations à affiner de manière continue leur SMSI, tout en tenant compte des résultats des évaluations et des audits

La deuxième partie est la présentation détaillée d’un ensemble de contrôles. Cela peut aider à se conformer aux exigences qui sont mentionnées dans la première partie. Il faut effectuer la sélection des contrôles qui sont correspondants aux besoins d’une organisation. Ces contrôles peuvent être répartis dans certaines catégories :

• Les politiques de sécurité de l’information
• L’organisation de la sécurité de l’information
• La sécurité des ressources humaines
• La gestion des ressources
• Les contrôles d’accès
• Le chiffrement
• La sécurité environnementale et physique
• La sécurité des opérations
• La sécurité des communications
• L’acquisition, le développement et la maintenance de systèmes
• Les relations avec les fournisseurs
• La gestion des incidents de sécurité de l’information
• Les aspects de la sécurité de l’information en ce qui concerne la gestion de la continuité des activités
• La conformité

Comment obtenir la certification ISO 27001 ?

Les documents obligatoires

Pour prouver sa conformité à l’ISO 27001, il faut réunir plusieurs documents :

• Le domaine d’application du SMSI
• Les objectifs de sécurité de l’information
• La politique de sécurité de l’information
• L’attestation de compétence des personnes qui sont affectées à la sécurité de l’information
• Le programme d’audit interne du SMSI et le résultat des audits qui ont été réalisés
• Le résultat de l’évaluation des risques qui sont liés à l’information
• La preuve des examens du SMSI par la direction
• La preuve des actions correctives engagées et des non-conformités identifiées

Le processus de certification

Il existe quelques étapes dans le processus de certification ISO 27001 :

• Le développement d’un SMSI qui comprend des procédures, des politiques, les technologies et des personnes
• Le passage d’un examen interne pour l’identification des actions correctives et des non-conformités
• L’invitation des auditeurs à passer un examen sommaire du SMSI
• La correction des problèmes qui sont constatés par les auditeurs
• Le passage d’un audit approfondi des composantes ISO 27001 (effectué par un organisme de certification agréé), afin de vérifier le respect des procédures et des politiques

L’obtention de la certification peut prendre jusqu’à 12 mois.

La durée de la certification

Après obtention de la certification, il est essentiel de passer des audits internes de manière régulière. Cela est nécessaire, car l’organisme de certification peut procéder à un audit pour la vérification de certains éléments :

• Le fonctionnement du SMSI
• La résolution des non-conformités qui ont été constatées antérieurement
• Les examens de la gestion des risques
• Les mises à jour de la documentation
• Les actions correctives
• La mesure et le suivi des performances du SMSI

Le coût de la certification

Il existe plusieurs éléments qui peuvent influer sur le coût de la certification. Le budget à consacrer pour cette dernière peut être différent pour chaque organisation.

Les coûts qui peuvent porter sur l’assistance externe, la formation et la documentation, le temps et le travail des employés, les technologies à déployer ou à actualiser, ainsi que l’audit de certification.