Certification ISO/IEC 27001 : 4 mythes persistants déconstruits

dit is de taalfr

Certification ISO/IEC 27001 : 4 mythes persistants déconstruits

La norme internationale pour la sécurité de l'information par excellence, l’ISO/IEC 27001, est la quatrième norme de management la plus utilisée au monde. Seuls les certificats ISO 9001 (qualité), ISO 14001 (environnement) et ISO 22000 (sécurité alimentaire) ont été délivrés en plus grand nombre en 2018. Toutefois, par rapport à d'autres pays, les organisations belges obtiennent beaucoup moins de certificats pour la norme ISO 27001. Notre Innovation Manager, Peter Brosens, qui a conduit le NBN à la certification en 2019, estime que 4 mythes sont à la base de cette différence.

Anciennement connue sous le nom d’ISO/IEC 27001:2013, la norme ISO/IEC 27001 fournit aux organisations un cadre pour la mise en place d'un Système de Management de la Sécurité de l'Information (SMSI). L'objectif d'un SMSI est de gérer vos informations de manière systématique. Par exemple, vous effectuez des contrôles juridiques, physiques et techniques dans le but de minimiser les risques au niveau de la sécurité – un processus d'amélioration continue.

1. Un certificat ISO/IEC 27001 n'offre aucune valeur ajoutée concrète à mon organisation.

Peter Brosens: « Pour le NBN, et probablement pour de nombreuses entreprises, les données et l'environnement dans lequel elles sont stockées sont devenus un levier essentiel pour créer une valeur ajoutée stratégique. Par exemple, le NBN doit non seulement mettre ses normes à disposition, mais aussi assurer leur intégrité et leur confidentialité. Il gère également le contenu des clients. En d'autres termes, l'obtention d'un certificat ISO/IEC 27001 est directement liée aux activités. Cela prouve que le NBN est à même de mettre à disposition des sources d'information internes et externes dans les meilleures conditions possible. Et que, ce faisant, il attache une grande importance à l'intégrité et à la confidentialité. Cela renforce la confiance des parties prenantes et ouvre la voie à de nouvelles opportunités. Il ne fait aucun doute que cette façon de travailler deviendra incontournable dans certaines chaînes de valeur dans les années à venir. »

Un certificat n'est pas une fin en soi, mais un moyen de gagner la confiance et d'exploiter de nouvelles opportunités.

 

2. Trouver un organisme de certification approprié est un travail de longue haleine.

Peter Brosens: « En Belgique, il existe plusieurs organisations et consultants qui réalisent des audits et/ou délivrent des certificats pour la norme ISO/IEC 27001 et d'autres normes. Dans le contexte du NBN, il était important de travailler avec un organisme de certification accrédité. L’accréditation est en effet une preuve d'impartialité, d'indépendance et de compétence technique. La liste de tous les organismes accrédités est disponible sur le site web de BELAC, l'organisme belge d'accréditation. En choisissant de procéder différemment, vous risquez de compromettre la valeur de votre certificat. Les acteurs expérimentés évaluent non seulement le champ d'application de votre certification, mais également l'organisme de certification lui-même. »

Pour le NBN, la certification par un organisme de certification accrédité était la logique même.

3. Un certificat ISO/IEC 27001 s'applique à l'ensemble de mon organisation et de ses processus.

Peter Brosens: « Vous déterminez le champ d'application et donc les services que vous voulez faire certifier. Au NBN, par exemple, nous avons choisi de nous concentrer sur myNBN. Nous utilisons spécifiquement cette plateforme en ligne pour rendre les informations du NBN accessibles à ses parties prenantes et ses clients. En définissant clairement la portée de certification, nous avons pu nous concentrer sur des processus spécifiques et des outils d'information. Nous avons également mis les principes en œuvre pour tous les autres processus, la différence étant que ceux-ci ne sont pas soumis à un processus d'audit. »

CONSEIL

Avant d'entamer un processus de certification, assurez-vous de bien définir l'étendue de ce qui vaut exactement la peine d'être protégé et d'obtenir l'adhésion de la direction.

4. L'obtention d'un certificat ISO/IEC 27001 est un processus long et complexe.

Peter Brosens: « Comme le NBN avait préalablement mis en place une stratégie claire et un système de management de la qualité ISO 9001, l'ajout d'une dimension concernant la sécurité de l'information était déjà partiellement réalisé. Ce qui est important à ce stade, c'est d'interpréter correctement la norme plutôt abstraite et de la transposer dans votre contexte réel. J'ai passé un total de 20 jours-homme à y travailler intensivement. J'ai entre autres consacré ce temps à déterminer la portée, faire l'inventaire de tous les actifs, définir une politique et des procédures, mettre en place un système de management du risque, définir le domaine d'application et réaliser un audit pilote. La norme ISO/IEC 27001 vous indique en effet quelles sont les exigences à satisfaire, mais pas comment les traduire dans la pratique. Il vous appartient de décider. Et avec la bonne méthode, la mise en œuvre correcte et complète de la norme de management ne doit pas prendre un temps inutilement long. »

En un mois de travail, vous pouvez préparer vous-même votre organisation à la certification, à condition de disposer d'une stratégie claire et de sa traduction au niveau tactique et opérationnel.

Comment être parfaitement prêt pour la certification ISO/IEC 27001 ?

Le NBN organise diverses formations et parcours d'apprentissage destinés à vous permettre de maîtriser totalement la norme.

Vous souhaitez acheter la norme dès aujourd'hui ?

Rendez-vous dans l’e-shop du NBN.

Peter Brosens, Innovation Manager NBN

 

Le 28 octobre 2019, le NBN a obtenu un certificat ISO/IEC 27001 pour la plateforme myNBN.