La certification ISO 27001 est une norme internationale qui garantit la mise en place de mécanismes de sécurité de l’information et la création d’un plan de continuité pour faire face aux cyberattaques. Quels sont les risques potentiels? Que faire en premier lieu? “Nous classons les risques par ordre d’importance pour l’entreprise”, explique Isabelle Ledoux.
“Cela ne garantit pas une protection totale contre les attaques informatiques”, admet-elle. Cependant, cela permet de mettre en place des bonnes pratiques et des plans de contingence efficaces.”
5 étapes pour obtenir la certification ISO 27001
1. Évaluation de la situation actuelle
“Avant de commencer le processus de certification, nous réalisons une évaluation de la situation actuelle”, explique la conseillère d’affaires. “Nous évaluons ce qui est déjà en place.” Une série d’audits est réalisée pour garantir le bon fonctionnement des processus et des systèmes.
“À moins d’avoir une expertise interne, nous recommandons aux entreprises de faire appel à des spécialistes qui connaissent les exigences de la norme”, ajoute Isabelle Ledoux.
2. Définition de la portée de la certification
Ensuite, votre entreprise doit définir la portée de la certification. Un document comprenant plus d’une centaine de questions permet de déterminer les risques, d’établir les priorités et de remettre en question certains processus.
La certification permet de redéfinir les mécanismes en place et de préciser les interactions entre les processus. Le processus de certification prend en compte toutes les menaces de sécurité, internes et externes, et les relie à vos objectifs commerciaux et à vos indicateurs de performance clés.
Votre entreprise doit être résiliente sur tous les aspects de la sécurité informatique. “Imaginez si vous protégez les données de vos clients mais que votre infrastructure informatique est vulnérable aux ransomwares”, illustre Isabelle Ledoux. “Avec ISO 27001, ce scénario ne se présenterait même pas, car il est obligatoire de protéger votre entreprise et vos clients.”
Une fois obtenue, la certification doit être maintenue. L’efficacité des contrôles doit être démontrée par le biais d’audits internes, d’évaluations de vulnérabilité et de tests d’intrusion réalisés chaque année.
3. Mise en place d’un cadre de gestion
La certification ISO 27001 fournit un cadre de gestion de la sécurité informatique pour toute l’organisation. Elle concerne les pratiques, la bonne gestion et l’établissement de comportements responsables, documentés et améliorables en continu. De la gestion des données privées à la protection des informations confidentielles, en passant par les données personnelles, les transactions, les plans d’affaires, les informations bancaires et les documents juridiques, ISO 27001 couvre tous les aspects de l’information.
Par exemple, la certification définit les normes de sécurité à appliquer lorsqu’un employé quitte l’entreprise. Elle établit les procédures pour récupérer le matériel, révoquer les accès, gérer les mots de passe et prévenir les actions malveillantes.
4. Formation de votre équipe
Pour mettre tout cela en place et bénéficier pleinement de la certification ISO 27001, il est essentiel de disposer en interne de ressources qualifiées. C’est pourquoi la certification nécessite une formation complète et spécialisée du personnel chargé de la sécurité et de la conformité de l’information. La norme ISO 27001 est généraliste, et une formation adéquate du personnel clé permet de l’adapter aux besoins spécifiques de votre entreprise.
5. Certification de votre entreprise
Seul un organisme de certification externe peut délivrer la certification ISO 27001 à votre entreprise. Plusieurs organismes accrédités existent. Votre entreprise doit s’engager pour une durée de trois ans avec l’organisme de certification de son choix. BDC Services-conseils peut vous aider à comprendre les exigences et à vous accompagner dans le processus de certification.
Un avantage pour vendre à l’étranger
“En étant certifié ISO 27001, vous êtes en mesure de répondre aux normes internationales”, conclut Isabelle Ledoux. “L’Europe, le Japon et les États-Unis ont tous des normes différentes.”
Il existe en effet une trentaine de lois sur la confidentialité dans le monde.
Les nouvelles réglementations en matière de confidentialité adoptées ces dernières années par les gouvernements, comme le règlement général sur la protection des données de l’Union européenne (RGPD) et la California Consumer Privacy Act, obligent les entreprises à agir.
De plus en plus d’organisations exigent la certification ISO 27001 tout au long de la chaîne d’approvisionnement, et dans certains pays comme le Japon et l’Inde, c’est même une obligation légale.