Accompagnement et conseil vers la certification ISO 27001
Conseil pour intégrer un système de management de la sécurité de l'information en vue de sa certification ISO 27001
Engager un projet de certification ISO 27001 permet de lancer une démarche globale, structurée, concernant la sécurité des informations de votre entreprise :
- Identifier les informations et supports d’informations particulièrement sensibles ;
- Mener une analyse de risques ;
- Définir et implémenter des dispositions adaptées ;
- Elaborer un système de management intégré à l’organisation.
Nos consultants PME compatibles, par leur questionnement, facilitent la prise de recul et permettent de se concentrer sur l’essentiel (ne pas en faire trop, ni trop peu …)
Qu'est-ce que l'ISO 27001 ?
L’information est au cœur du fonctionnement des entreprises, qui les collectent, les traitent, les stockent, les transmettent. À ce titre, elle constitue un actif immatériel qui doit être sécurisé.
Toutes les informations ne se valent pas, cependant certaines sont sensibles, essentielles (données financières, documents de propriété intellectuelle, données relatives au personnel, …, ou informations confiées par des tiers), tant pour l’entreprise elle-même que pour ses clients, ses fournisseurs, ses partenaires ; ou pour des raisons réglementaires. Elles sont soumises à des menaces (erreur, perte, inondation, incendie, vol, falsification, …) et peuvent être vulnérables.
Afin de guider les entreprises dans une démarche visant à préserver la confidentialité, l’intégrité et la disponibilité de l’information, l’ISO (Organisation internationale de normalisation) a élaboré la norme ISO 27001 dont le but est de fournir des exigences en vue de l’établissement, de la mise en œuvre, de la tenue à jour et de l’amélioration continue d’un système de management de la sécurité de l’information.
L’état d’esprit n’est pas de créer un système organisationnel parallèle à celui qui existerait déjà, Il est de définir et implémenter des dispositions spécifiques traitant de la sécurité de l’information.
Le domaine d’application doit être précisé, il peut être restreint à un secteur traitant des actifs informationnels particulièrement sensibles ou importants.
Il s’agit dans un premier temps d’inventorier les actifs informationnels catégorisés en :
- Actifs primaires (les informations) ;
- Actifs secondaires (les supports d’informations – matériels, logiciels, réseaux, personnes, l’organisation, infrastructure des sites, …).
Sur cette base, identifier les menaces, mettre en évidence les vulnérabilités, estimer les impacts sur la sécurité de l’information, dans le cadre d’une analyse des risques menée par l’entreprise ; impacts susceptibles de compromettre leur confidentialité, leur intégrité, leur disponibilité.
Le référentiel ISO 27001, basé sur l’amélioration continue, adopte la même structure que l'ISO 9001, l’ISO 14001, l'ISO 45001, … applicable à toutes les organisations indépendamment de leur taille, du produit ou du service fourni ainsi que du secteur d'activité. Le système de management est ainsi défini en relation avec les principes généraux du P.D.C.A. :
- Plan (planifier ; politique en la matière, objectifs, moyens alloués, plan de progrès, …)
- Do (Réaliser ; mettre en œuvre, traiter et gérer les risques, …)
- Check (Vérifier ; indicateurs, audits, …)
- Act (décider ; agir pour améliorer)
Il doit être correctement dimensionné, adapté à l’entreprise, sur-mesure. Le déploiement du projet de certification ISO 27001 doit faciliter la mise en œuvre, au quotidien, des dispositions définies.
Nos consultants s’appuient sur le guide « expertise – état de l’art » proposé par l’annexe A de l’ISO 27001 – 93 mesures réparties sur 4 thématiques :
- Mesures physiques (7)
- Mesures concernant les personnes (6)
- Mesures technologiques (8)
- Mesures organisationnelles (5)
Pourquoi se certifier ISO 27001 ?
- Pour rassurer vos clients (capacité à préserver la confidentialité des données traitées ou confiées)
- Préserver la réputation de l’entreprise, se démarquer (aspects commerciaux)
- Diminuer les demandes d’information, les audits client
- Réduire le risque contractuel et financier
- D’une façon générale protéger vos informations sensibles
- Intégrer et actualiser les mesures prises conformément au RGPD (exigences réglementaires)
- Renforcer les mesures de protection
- … Et définir un plan de reprise en cas d’intrusion, de vol ou d’attaque réussie ; le but étant de rester pleinement opérationnel
- Mobiliser sur un projet fédérateur. Renforcer le sentiment d’appartenance et l’engagement de l’équipe ; améliorer l’attractivité de l’entreprise
Votre projet de certification ISO 27001 avec l'accompagnement et le conseil des consultants DEXTRAL
DEXTRAL – conseil, support, audit - capitalise son expérience de la mise en place de systèmes de management en PME depuis plus de 25 ans. Nous avons ainsi conçu une prestation spécifique pour les accompagner.
Il est crucial que cela permette à l’entreprise d’élaborer un système de management de la sécurité de l’information ISO 27001 sur-mesure, adapté à ses activités, à sa problématique ; les dispositions définies doivent correspondre aux possibilités réelles de l’organisation, il ne doit pas y avoir de surenchère en la matière (pratique quotidienne, investissements possibles en matière de cybersécurité, …).
Nos consultants ont développé une capacité d’animation et de questionnement qui facilite la prise de recul et la réflexion de leurs interlocuteurs en groupe de travail ; en visant la mise en œuvre de dispositions adaptées. Nous sommes soucieux d'aller à l'essentiel et de faire en sorte que les projets se déroulent conformément au planning de mission que nous suivons avec nos clients.
Ils sont indépendants de l’organisme certificateur qui donne un avis portant sur le niveau de maîtrise du management de la sécurité de l’information et statue sur la certification ISO 27001.
