16 étapes pour obtenir la certification ISO 27001

Vous souhaitez mettre en place un Système de Management de la Sécurité de l’Information (SMSI) ou obtenir la certification ISO 27001 ?

Bonne nouvelle ! Optimiso Group vous dévoile ses meilleures pratiques appliquées avec succès chez nos clients ces 15 dernières années.

Au travers de ces 16 étapes, vous disposerez d’un projet clés en main pour mettre en place votre SMSI certifié ISO 27001.

1/ Présentation du projet aux collaborateurs

Comme dans toute gestion de projet, la communication aux collaborateurs est essentielle pour assurer sa réussite. Idéalement, cette présentation devra être effectuée en présentiel, éventuellement en visioconférence ou par écrit. L’essentiel étant de présenter les points suivants :

• L’objectif de la certification ISO 27001
• Ce qu’est la norme ISO 27001
• Les bénéfices pour les collaborateurs et l’entreprise
• Les étapes et les délais du projet
• L’implication de chacun
• Le soutien de la Direction

2/ Description du contexte et périmètre de la certification ISO 27001

La norme ISO 27001 exige de définir le contexte de l’entreprise, c’est-à-dire l’environnement dans lequel elle évolue. Pour cela, vous devrez définir :

• Les enjeux externes : pour cela, vous pouvez utiliser le modèle PESTEL : Politique, Économique, Sociétal, Écologique, Technologique et Légal
• Les enjeux internes : culture de l’entreprise, valeurs, etc.
• Les parties intéressées : clients, syndicats, groupes de pressions, actionnaires privés ou publics, autorités, etc.

Il faut dès maintenant définir le périmètre de la certification ISO 27001. Prenons l’exemple d’une entreprise comme Optimiso Group qui développe un logiciel et fournit des prestations de conseil. Faut-il certifier uniquement le pôle développement ou toutes les activités de l’entreprise ? Cette étape permettra de cadrer toutes les actions à mettre en place pour assurer la conformité selon la norme ISO 27001.

3/ Inventaire des actifs informationnels

Un actif informationnel est une ressource importante liée à l’information. Cela peut être des données, des systèmes informatiques, des bases de données, des informations confidentielles ou tout autre élément qui a de la valeur pour une organisation. Il est important de ne pas les confondre avec les actifs comptables.

Dans cette étape, il faut donc identifier tous les actifs que possède l’entreprise ainsi que les supports liés.

Dans cet exemple lié à la comptabilité d’une entreprise, nous retrouvons plusieurs actifs informationnels :

• Une facture, qui contient des informations telles que le fournisseur, les produits, les tarifs, les coordonnées bancaires, etc.
• Un logiciel comptable qui permet de gérer toutes les factures de l’entreprise
• Un serveur qui héberge en SaaS le logiciel de comptabilité
• Un réseau par lequel transitent toutes les informations
• Un datacenter pour héberger les serveurs

Maintenant que tous les actifs informationnels sont identifiés, il faut les gérer et les trier selon leur importance afin de prioriser les actions futures.

4/ Politique de sécurité de l’information

Dans cette 4^ème étape du projet de certification ISO 27001, il faut rédiger une politique qui formalise les éléments suivants :

• Engagement de la Direction
• Finalité de l’entreprise
• Engagement pour la sécurité de l’information
• Engagement pour l’amélioration continue

Cette politique pourra s’ajouter aux politiques que l’on retrouve souvent en entreprise (par exemple la politique qualité ou la politique environnementale). Il est important que cette politique soit communiquée et comprise par les collaborateurs et les parties intéressées.

5/ Définition des rôles et responsabilités

Dans le cadre de la certification ISO 27001, il faut savoir qui fait quoi. Vous devrez ainsi définir les différents rôles et responsabilités :

• Responsable de la sécurité de l’information
• Membres du comité de sécurité de l’information
• Responsable informatique
• Responsables des actifs
• Responsable des backups
• Responsable des contrôles

6/ Analyse des risques

Dans cette étape, il est demandé d’identifier et d’évaluer les risques. En amont de cela, il est important d’avoir une politique qui définit les critères d’évaluation des risques. Dans cette évaluation, il est important de prendre en compte les trois impacts liés à la sécurité de l’information : Confidentialité, Intégrité et Accessibilité.

Prenons un exemple dans le domaine médical avec comme actif informationnel les informations médicales du patient.

Deux risques principaux sont liés à cet actif : la divulgation des données et l’inaccessibilité aux données. Pour chaque risque, vous devrez définir, par exemple dans une matrice :

• L’évaluation brute
• Les moyens de maîtrise
• L’évaluation nette
• La stratégie de traitement
• Les éventuels plans de traitement mis en place

7/ Objectifs de sécurité de l’information

La norme ISO 27001 exige de fixer des objectifs et des indicateurs de performance liés à la sécurité de l’information. Pour que ces objectifs aient du sens, il faut des objectifs chiffrés. En voici quelques exemples :

• Assurer 100% d’accessibilité aux données
• 0 divulgation de données sur l’année
• -50% d’incidents liés à la sécurité de l’information
• Restaurer les backups de données clients en moins de 2 jours

8/ Gestion des informations documentées

De nombreuses informations vont être documentées lors de la mise en place de votre SMSI certifié ISO 27001. Vous devrez décrire comment les activités de l’entreprise sont réalisées, qui fait quoi dans l’entreprise, etc.

Dans ce cadre, il est recommandé de rédiger un document souvent appelé « Règlement de gestion documentaire ». Ce document permettra de formaliser les règles à suivre pour la gestion et la description de ces informations. Vous y trouvez des informations telles que :

• Les types de documents : formulaires, modes opératoires, procédures, vidéos, etc.
• La procédure de mise à jour
• Les modes de communication et de diffusion
• Les durées de validité

Élaborer un « Règlement de gestion documentaire » permet d’assurer que la documentation soit bien décrite, régulièrement mise à jour et comprise par tous.

9/ Points de contrôles ISO 27001

La norme ISO 27001 impose de mettre en place des points de contrôle ou mesures pour assurer une bonne maîtrise des risques liés à la sécurité de l’information. Nous retrouvons 4 grandes familles de mesures :

• Opérationnelles
• Applicables aux personnes
• Physiques
• Technologiques

Tous ces points de contrôles devront être décrits dans un document que devra produire l’entreprise. Il s’agit de la « Déclaration d’Applicabilité » ou « Declaration of Applicability ».

Retrouvez ci-dessous quelques exemples de mesures concrètes à mettre en place pour chaque famille.

9.1/ Mesures organisationnelles

Restitution des actifs :
– Procédure de restitution des actifs informationnels
– Contrôles des accès aux actifs informationnels

Planification et préparation de la gestion des incidents de sécurité de l’information :
– Procédure de gestion de crise

9.2/ Mesures applicables aux personnes

Sélection des candidats :
– Contrôle du casier judiciaire et des diplômes des candidats

Accords de confidentialité ou de non-divulgation :
– Signature de NDA avec les collaborateurs, prestataires, etc.

9.3/ Mesures physiques

Sécurisation des bureaux, des salles et des installations :
– Accès par badge
– Caméras de surveillance

Élimination ou recyclage sécurisé du matériel :
– Procédure de traitement du matériel obsolète

9.4/ Mesures technologiques

Authentification sécurisée :
– Droits d’accès aux logiciels
– Mots de passe / Double authentification
– Politique de changement des mots de passe

Protection contre les programmes malveillants :
– Mise en place d’antivirus

Sauvegarde des informations :
– Backup des données
– Contrôles et tests de restore des backups

10/ Communication et sensibilisation

Il s’agit là de former et d’informer les collaborateurs, car ce sont eux qui mettront en œuvre le SMSI et qui assureront le succès de la démarche. Pour cela, vous pouvez envoyer des newsletters mensuelles, organiser des séances d’information, réaliser des quiz ou faire des tests de phishing.

Lors de ces événements, il sera important de communiquer sur les sujets suivants :

• L’avancée du projet
• La politique de sécurité de l’information
• La gestion de la documentation
• La participation à l’amélioration continue (comment déclarer incidents et améliorations)
• Les audits internes
• L’audit de certification ISO 27001

11/ Gestion des non-conformités

L’un des objectifs d’une démarche liée à la sécurité de l’information est de recueillir les non-conformités afin d’assurer que des problèmes qui ont eu lieu ne se reproduisent plus.

Pour répondre à cette exigence, vous devrez décrire une procédure qui explique comment traiter les non-conformités. Il en va de même pour les améliorations.

Ces procédures seront d’une grande aide pour les collaborateurs métier, pas toujours formés à la sécurité de l’information : cela les incitera à déclarer les problèmes et à être force de proposition.

12/ Évaluation des compétences

Comme dans la plupart des certifications ISO, il faut évaluer les compétences des collaborateurs et identifier leurs connaissances. Cela permettra d’assurer la bonne réalisation des processus.

En utilisant une matrice comme celle ci-dessous, vous pouvez facilement distinguer les compétences de chaque collaborateur et identifier les éventuels écarts.

Si des compétences manquent, il faudra alors former les collaborateurs concernés, les encadrer, recruter ou encore sous-traiter. Ces informations devront être suivies et documentées.

13/ Audits internes ISO 27001

Les audits internes permettent de contrôler tout ce qui a été mis en place pour la certification ISO 27001.

Dans ce cadre, des collaborateurs devront être formés à l’audit interne. Ils devront établir un plan d’audit afin d’identifier les postes, activités et rôles qui seront audités. Ensuite, les auditeurs devront réaliser des interviews des collaborateurs afin de vérifier le bon fonctionnement des activités. Ils pourront recueillir des suggestions d’amélioration ou des incidents qui auraient pu se produire.

Le résultat de ces audits internes devra être transmis à la Direction afin de prendre les mesures nécessaires. Il est important de conserver ces rapports d’audits qui serviront de preuves lors de l’audit de certification interne.

14/ Revue de direction

Au moins une fois par an, la Direction devra organiser une revue du SMSI afin de s’assurer qu’il est toujours adapté, approprié et efficace.

Lors de ces réunions, il sera important d’aborder les sujets suivants :

• L’avancement des actions décidées lors des revues précédentes
• Les informations sur la performance en matière de sécurité de l’information : non-conformités et améliorations, indicateurs, audits internes, ressources allouées au SMSI ou encore les objectifs
• L’efficacité des actions mises en place par rapport aux risques et opportunités
• Les axes d’amélioration

15/ Gestion des améliorations

Lors des précédentes étapes, des améliorations ont pu être identifiées. Il faut maintenant les formaliser et mettre en place des actions adaptées. Vous pourrez en amont créer une procédure et un dispositif de gestion des améliorations.

16/ Audit de certification ISO 27001

Après tout ce travail, vient enfin la concrétisation du projet : la certification ISO 27001. Avec un logiciel ISO 27001 tel qu’Optimiso Suite, l’auditeur aura accès à tous les éléments de votre SMSI en quelques clics. Il pourra par exemple voir une carte des processus, des tableaux de bord pour suivre les contrôles, l’inventaire des actifs ou encore ce qui a été mis en place pour chaque exigence de la norme.

L’audit de certification ISO 27001 se déroule en 2 grandes phases, aussi appelées stages.

Stage 1 : Cette phase peut aussi être appelée « pré-audit de certification ». L’auditeur rencontre le responsable du projet SMSI et la Direction pour s’assurer que toute la documentation est présente afin de donner son accord pour passer au stage 2 de l’audit. Après cette première étape, vous recevrez le plan d’audit.

Stage 2 : Il s’agit maintenant du réel audit de certification. Conformément au plan d’audit, l’auditeur va rencontrer le responsable SMSI, la Direction ainsi que quelques collaborateurs afin de vérifier les éléments suivants :

• L’engagement de la Direction
• Le respect des exigences ISO 27001
• Le fonctionnement de l’amélioration continue
• La mise en place d’une approche risques
• L’implication des collaborateurs dans le SMSI

Après l’audit, l’auditeur communiquera sa position sur la décision de certification et partagera les écarts éventuellement identifiés. Il recommandera ensuite votre entreprise à l’organisme de certification. Quelques semaines plus tard, vous recevrez le rapport d’audit et votre certificat.

Après la certification

Félicitation, vous êtes désormais certifiés ISO 27001 ! C’est le début d’une nouvelle aventure pour maintenir à jour et améliorer votre Système de Management de la Sécurité de l’Information.

Il faudra régulièrement :

• Suivre la certification avec l’organisme de certification
• Gérer la documentation et s’assurer qu’elle est accessible et à jour
• Réévaluer les risques et les opportunités
• Suivre les indicateurs de la sécurité de l’information
• Réaliser les audits internes
• Réévaluer les compétences
• Réévaluer les fournisseurs
• Suivre les non-conformités
• Gérer les améliorations
• Communiquer vos démarches liées au SMSI en interne et à l’externe
• Organiser une revue de direction au moins une fois par an

La certification ISO 27001 est organisée par cycle de 3 ans. Après l’audit de certification, des audits de surveillance auront lieu chaque année (années 1 et 2) puis un audit de renouvellement tous les 3 ans.

En conclusion, ces 16 étapes structurent la mise en place d’un système de management de la sécurité de l’information et l’obtention d’une certification ISO 27001. Elles devraient vous permettre de tirer tous les avantages d’un SMSI utile à la fois aux collaborateurs et au management.

En résumé :

Qu’est-ce que la certification ISO 27001 ?

La certification ISO 27001 est une reconnaissance internationale qui permet aux entreprises de mettre en place un Système de Management de la Sécurité de l’Information (SMSI).

Elle prouve que l’entreprise a mis en place des moyens de maîtrise pour sécuriser les données sensibles et garantir leur confidentialité, leur intégrité et leur disponibilité.

En obtenant cette certification, une entreprise démontre son engagement envers la sécurité de l’information et renforce la confiance de ses clients et partenaires. Face à l’essor des cyber-risques ces dernières années, cette certification est exigée dans de nombreux domaines.

Quels sont les 4 principes de sécurité selon la norme ISO 27001 ?

Les 4 principes de sécurité selon la norme ISO 27001 sont :

1. La confidentialité : garantir que les informations ne sont accessibles qu’aux personnes autorisées.
2. L’intégrité : assurer que les données sont précises, complètes et protégées contre toute altération non autorisée.
3. La disponibilité : veiller à ce que les informations soient accessibles aux utilisateurs autorisés lorsque nécessaire.
4. L’authenticité : s’assurer que les utilisateurs sont bien qui ils prétendent être et que les données sont fiables et non altérées.

Pourquoi obtenir la certification ISO 27001 ?

Obtenir la certification ISO 27001 présente plusieurs avantages :

1. Protection des données : Assurer la sécurité et la confidentialité des données sensibles de l’entreprise et de ses clients.
2. Réduction des risques : Identifier et gérer efficacement les risques liés à la sécurité de l’information, ce qui permet de prévenir les incidents.
3. Renforcement de la confiance : Instaurer la confiance auprès des clients, des partenaires et des parties prenantes en démontrant l’engagement de l’entreprise envers la sécurité de l’information.
4. Amélioration de la réputation : Renforcer la réputation de l’entreprise en tant qu’entité fiable et responsable en matière de sécurité de l’information.
5. Optimisation des procédures : Mettre en place des procédures efficaces pour gérer la sécurité de l’information, ce qui peut conduire à une amélioration globale de la gestion des activités de l’entreprise.

Combien de temps faut-il pour obtenir la certification ISO 27001 ?

Le temps nécessaire pour obtenir la certification ISO 27001 dépend de plusieurs facteurs. Cela inclut la taille de l’entreprise, son niveau de préparation et de conformité, ainsi que la complexité de ses processus.
En moyenne, cela peut prendre plusieurs mois à un an, voire plus.
Une bonne gestion de projet, une implication totale des collaborateurs et de la direction sont essentiels pour assurer le succès du processus de certification.

Quelle est la durée d’un cycle de certification ISO 27001 ?

Une fois obtenue, la certification ISO 27001 est valide pendant 3 ans. Chaque année, un audit de surveillance sera organisé pour s’assurer que l’entreprise maintient la conformité aux normes ISO 27001.