Mielabelo

Login
Home » Publications » White papers »
A+ R A-

Cinq raisons de certifier son organisation ISO 27001

Par Mathieu Briol

 

De nos jours, nombreuses sont les organisations qui ont fait le choix de se certifier ISO9001. La certification ISO14001 se généralise également de plus en plus. Cependant, la proportion d’organisations désirant s’approprier la norme ISO27001 en vue d’une certification demeure comparativement assez faible. D’où vient cette relative ‘impopularité’ de l’ISO27001 ? Quels bénéfices peuvent-elles pourtant en retirer?

Retrouvez cet article en PDF ici ou sur SlideShare.

 

Une référence normative essentielle


La norme ISO27001 s’est imposée depuis plusieurs années comme la norme de référence en matière de sécurité de l’information. A tort ou à raison ? Objectivement, cette norme, ainsi que les différents documents qui l’accompagnent (ISO27002, etc), a permis de structurer les efforts en matière de sécurité de l’information, en instaurant la primauté de la gestion de risques dans la réflexion liée à la sélection des mesures de sécurité. La nouvelle version 2013 des 2 documents fondateurs (ISO27001/2) a simplifié le processus de conformité et le schéma de contrôle, le rendant plus lisible pour des novices de la sécurité de l’information et des systèmes de gestion. Aujourd’hui donc, plus d’excuse possible !


La sécurité, oui ; La conformité, peut-être (ou est-ce l’inverse ?)


Cette faible popularité signifie-t-elle que les organisations belges sont mal sécurisées ? A priori, il y a lieu de constater que toute une série d’organisations n’a pas besoin d’un processus de certification pour mettre en place les mesures de sécurité adéquates. De par leur domaine d’activité, elles sont d’ores et déjà soumises à de fortes contraintes réglementaires qui les poussent à investir dans la sécurisation de leur système d’information. S’agit-il pour autant d’un système de gestion de la sécurité de l’information ? À proprement parler, non, même si la régularité des contrôles externes (audits réglementaires indépendants ou pas) peut leur imposer à terme de rentrer dans cette logique d’amélioration continue. À n’en pas douter, les 2 problématiques (sécurité et conformité) apparaissent
interconnectées. Pour autant, sécurité n’est pas conformité et inversement.

Malheureusement, tout comme la mise en place d’un système de gestion ISO9001 ne permet pas de garantir à 100% la qualité d’un processus, la norme ISO27001 n’est pas une solution miracle à tous les problèmes de sécurité. Sa mise en place garantit simplement l’implémentation et le fonctionnement d’un système de gestion de la sécurité de l’information, qui va permettre à l’organisation, sur le périmètre identifié, de rentrer dans un cercle vertueux d’amélioration continue en la matière. La certification garantit qu’un organisme externe vient régulièrement contrôler le système de gestion. 

En conclusion, ce n’est pas parce que l’organisation met en place ISO27001 qu’elle peut oublier sa sécurité ou se dire ‘sécurisée’ à 100%.

 

Cinq raisons de lancer un projet de certification ISO27001


Il apparaît certain que la mise en place d’un programme de sécurité de l’information doit trouver ses fondements dans la protection du patrimoine informationnel métier de l’organisation. Quels bénéfices les organisations peuvent-elles y trouver, de manière à justifier les coûts non-négligeables liés à l’obtention et à la maintenance de la certification ISO27001?


1. Se différencier et créer un avantage compétitif
Dans le contexte d’un marché où peu de vos concurrents ont fait l’effort d’investir dans ce type de certification, il y a fort à parier que le précieux sésame se transformera bientôt en une arme commerciale redoutable. En effet, bien utilisé, l’argument pourra vous aider à marquer des points par rapport à vos compétiteurs. Vous pourrez mettre en avant l’importance accordée à la sécurité de vos informations et de celles de vos clients.

 

2. Gérer ses risques de manière systématique et inspirer la confiance chez ses partenaires
L’obtention d’une certification peut revêtir un intérêt à la fois purement sécuritaire (la mise en place d’un système de gestion de la sécurité), mais également constituer un signal d’engagement vers les différentes parties prenantes.

La certification ISO 27001 d’une organisation délivre un message fort en direction de ses partenaires, qu’ils soient des clients, des prospects, des employés, des citoyens ou des fournisseurs, contribuant ainsi à créer une relation de confiance. Elle montre que l’organisation a mis en place des processus efficaces de gestion de la sécurité de l’information et que sa direction considère la sécurité de l’information comme une thématique importante, prise au sérieux et à laquelle des moyens humains et financiers sont alloués.

 

3. Répondre à un besoin ou une exigence de vos clients
De nos jours, la sécurité de l’information est devenue un sujet régulier de l’actualité. Si ce n’est déjà fait, vos clients et vos partenaires pourraient s’inquiéter du traitement que vous réservez aux informations qu’ils vous confient. Ils peuvent même vous y obliger ! Tout comme la certification ISO9001 exigée dans certains marchés publics a connu une popularité grandissante depuis quelques années, ISO27001 pourrait se généraliser dans le panel des exigences des acheteurs publics ou privés. Qualité, sécurité et environnement forment un triptyque complémentaire. À ce titre, il y a lieu de mettre en avant la complémentarité entre vos systèmes de gestion. Certains processus peuvent être mis en commun afin de rendre ces activités plus efficaces. Autant en profiter pour rajouter de la cohérence et créer des synergies internes !

 

4. Réduire les coûts de gestion de la sécurité
La norme ISO27001 instaure le rôle central de la gestion des risques dans l’exercice de sélection des mesures de sécurité. Gérer ses risques de sécurité, c’est tout d’abord les identifier, les évaluer de manière répétable et répétée, décider du traitement à y apporter (éventuellement en accepter certains) et sélectionner des mesures de sécurité en adéquation avec l’ampleur des risques identifiés. Autrement dit, par sa structure et les réflexes qu’elle promeut, la norme ISO27001 vous aidera à sécuriser de manière raisonnable et raisonnée vos informations et à ne pas surinvestir inutilement dans la protection de votre information. En parallèle, pour des organismes soumis à de fortes contraintes réglementaires ou contractuelles, et donc à des audits internes et externes, la certification permettra de simplifier les efforts de préparation et de structurer les discussions.

 

5. Motiver et rassurer ses collaborateurs
Protection de la vie privée, mesures de contrôle et de surveillance de l’outil informatique sur le lieu de travail,… autant de sujets qui peuvent amener à des situations inconfortables dans les relations entretenues avec votre personnel et vos sous-traitants. Ces éléments sont des thématiques adressées globalement par la norme ISO27001. La certification apparaît comme un jalon important qui
permettra à l’organisation de se jauger sur ces thématiques grâce à l’intervention d’auditeurs indépendants. De manière générale, les efforts liés à une certification organisationnelle représentent également une opportunité de fédérer les forces vives de l’organisation et d’impliquer les collaborateurs vers l’atteinte d’objectifs clairs et positifs pour tous. Mais à condition de concevoir cette initiative comme un projet global supporté par le management et non comme une volonté de certains membres de l’organisation! Sensibiliser et communiquer efficacement sont donc deux clés de voûte de la démarche.

 

Conclusion


À n’en point douter, toute organisation peut trouver son intérêt à la certification ISO27001! Même si les efforts à mettre en oeuvre peuvent s’avérer conséquents (tout dépend de la maturité de l’organisation en matière de sécurité de l’information), il ne faut pas oublier l’origine même des systèmes de gestion: faire rentrer l’organisation dans un cercle vertueux d’amélioration continue en matière de sécurité de l’information. Avec un peu de retard mais tout comme dans le domaine de la qualité (ISO9001), la sécurité de l’information et la certification ISO27001 arrivent peu à peu à maturité et doivent s’envisager au-delà de l’aspect purement ‘marketing’ pour véritablement permettre d’engranger des résultats significatifs.


Première étape indispensable pour ce faire : réaliser une analyse d’écarts (gap analysis) objective et indépendante entre la situation actuelle et les requis de la certification. En fonction du périmètre organisationnel et technique observé, cette escale indispensable permettra de poser les jalons d’une feuille de route pragmatique vers la certification ISO27001.

 

Retrouvez cet article en PDF ici ou sur SlideShare.

 

Last modified on Thursday, 19 June 2014 08:44

NOUVELLE ADRESSE !!!

Boulevard Dolez, 23
7000
Mons - Belgique

Reseaux sociaux

linked intwitter 

Inscription/Newsletter

cliquez ici pour vous inscrire à la newsletter

Login