Vous souhaitez vous lancer dans un projet de certification ISO 27001 mais vous ne savez pas comment démarrer le projet dans votre entreprise ? Vous vous sentez perdus face à l’immensité de la tâche ? Nous allons voir dans cet article les premières actions que vous pouvez mener dès le départ, avant même de répondre aux exigences de la norme.
Cadrer le projet de certification ISO 27001
Vous savez que vous voulez mettre en place la certification ISO 27001.Vous avez acheté les textes des normes.Et Vous les avez lus. Maintenant, comment commencez vous ? Comment démarrer un projet de certification ISO 27001 ?
1 – Prévoir les coûts
La première étape est d’avoir conscience, de prévoir et de planifier dans sa trésorerie le coût financier d’un tel projet de certification. Il est nécessaire de distinguer deux types des coûts : le coût interne (de la mise en oeuvre) et le coût externe de la certification :
le coût interne s’estime selon la maturité et la complexité de votre entreprise. Il faut prendre en compte les coûts liés au temps passé par vos équipes sur le projet de certification et les outils et mesures que vous allez déployer pour apporter une réponse aux exigences de la norme ISO 27001. C’est dans cette phase que faire appel à un consultant externe peut vous aider à structurer votre démarche de certification en gagnant du temps et vous garantir de ne pas tomber dans une « sur-documentation » pour passer la certification.
le coût externe est calculé par l’organisme certificateur en fonction du périmètre à certifier de votre entreprise, de la taille de votre entreprise pour déterminer un temps d’audit qui sera facturé.
Le retour sur investissement des démarches de certification est très positif pour les entreprises en terme d’organisation et de développement commercial
S’engager dans une démarche de certification ISO 27001 demande de l’investissement et une vraie volonté provenant de la direction. Il faut en moyenne compter une année pour se faire certifier ISO 27001. Il n’y a jamais de bon moment pour entamer cette démarche, vous n’aurez jamais toutes les conditions réunies pour « être prêt » à commencer. Alors, un conseil, lancez-vous !
Le soutien de la direction est primordiale ainsi que son implication dans les décisions et la communication
La première étape : Diagnostic de l’entreprise
Une fois les contours du projet définis, vous pouvez commencer à entamer une première phase de diagnostic : aller à la rencontre de vos équipes et écouter vos clients.
1 – Faire un premier recensement ?
Vous pouvez commencer par faire un premier recensement des outils utilisés par toutes vos équipes, des documents qui existent concernant les différents process de l’entreprise. Ce recensement vous fera une base sur laquelle vous pourrez vous appuyer pour vos prochaines actions.
2 – Aller sur le terrain
Ensuite, vous pouvez aller sur le terrain pour rencontrer vos équipes ou échanger avec vos clients sur la sécurité ! Cela va vous permettre de compléter votre premier état des lieux de ce qui existe déjà (en termes de process, d’organisation de travail) et de connaitre les problématiques actuelles et les attentes en matière de sécurité de l’information.
3 – Mobiliser les compétences en interne
Ensuite, il est essentiel de déterminer les rôles de chacun dans le projet de certification. Qui sera chef de projet certification en interne ; c’est-à-dire responsable du suivi des actions ? Qui sera RSSI ; responsable de la mise en œuvre de la sécurité et du contrôle ? Comment les équipes devront-elles travailler ensemble sur ce projet ?
4 – Faire appel à un consultant externe
Vous voulez tout de suite commencer ce projet sur des bonnes bases et suivre la bonne direction pour vous faire certifier ? Faites appel à un consultant externe qui pourra vous conseiller au mieux sur votre démarche. Cela vous permettra d’avoir un regard extérieur sur votre projet, de mieux organiser votre démarche et du coup de gagner du temps ! Ce n’est pas négligeable… Chez Feel Agile, nous souhaitons construire avec vous des fondations solides pour que votre certification soit une vraie démarche d’amélioration de votre entreprise.
Pour diagnostiquer la sécurité dans l’entreprise vous pouvez vous appuyer sur la norme de bonnes pratiques ISO 27002
En dernier lieu, vous pouvez également créer votre documentation (avoir le réflexe de documenter vos process ou procédures). En partant de votre premier état des lieux, vous verrez déjà des manques à combler, des process non décrits, des documents non actualisés,… Le but ici est de documenter toute votre action en matière de sécurité de l’information.
Ce sera toujours utile et pourra servir de base pour vos actions futures !
Une fois que vous avez effectué toutes ces étapes, vous êtes plus que prêts à vous lancer entièrement dans la démarche de certification ! Feel Agile vous accompagne tout au long de votre action, du diagnostic à la certification.
Nous avons abordé quelques éléments clés pour répondre à la question « Comment démarrer un projet de certification ISO 27001 ». Si vous souhaitez en savoir plus sur notre accompagnement, contactez-nous ! Nous serons ravis de répondre à vos questions !
Contactez-nous
Des projets ? Des questions ? N'hésitez pas à nous contacter !
Rencontre avec notre CEO, Thomas De Mota, qui va vous faire redécouvrir la démarche de certification !
La démarche de la certification est souvent abordée comme une mise en règle documentaire contraignante des normes pour répondre à une exigence client. Comment pouvons nous l’aborder d’une autre manière ?
Vous souhaitez vous lancer dans une démarche de certification ISO 27001, mais vous ne savez pas comment vous y prendre ? Vous vous imaginez peut-être devoir produire une montagne de documents et répondre à une liste incalculable d’exigences ?
Et si vous l’envisagiez d’une autre manière ?
C’est tout à fait vrai qu’il y a de la documentation à produire. Les règles de sécurité ainsi que les politiques de sécurité sont à établir. Les procédures doivent également être définies dans des documents formels. C’est la réalité, mais il faut savoir que c’est juste un aspect de la démarche de certification. Essayons plutôt de l’envisager sous un autre angle, celui de l’innovation.
L’innovation ? Nous pouvons innover quand nous lançons notre démarche de certification ISO 27001 ?
Tout à fait ! C’est notre manière de faire chez Feel Agile.
Innover c’est créer des marges de manœuvre sur la façon dont nous allons mettre en place la norme ISO 27001 et la sécurité.
Pour pouvoir innover, il faut donc déjà bien connaitre la norme et le texte. On parle ici de la norme ISO 27001, mais aussi de toutes les normes d’accompagnement (ISO 27002, ISO 27003,…) Ce sont des normes qui vont traiter de points particuliers de la mise en œuvre de la 27001. C’est donc très important de les connaître en profondeur afin de trouver et de comprendre la marge de manœuvre possible. En connaissant ce socle minimal des exigences, nous ne nous mettons pas de barrières trop importantes pour innover. L’auditeur ne peut pas vous rajouter des exigences qui ne sont pas définies dans la norme.
Pour innover, il faut connaitre à la perfection les normes pour connaitre nos marges de manœuvre
Comment cela se traduit concrètement, un exemple ?
Prenons l’exemple de la Revue de Direction. Auparavant, nous faisions la Revue de direction de façon semestrielle ou annuelle. Nous y passions en revue les incidents, tous les sujets de sécurité.
Quand une entreprise est mature sur ces sujets, cela fonctionne très bien. Mais quand on met en place les choses, c’est mieux de tenir des Revues de Direction mensuelles. Cela permet d’ancrer la Revue dans les pratiques plus facilement. Certains consultants diraient qu’on “n’a pas le droit “ et que “ce n’est pas du jeu” mais si justement, on a le droit ! Tant qu’on remplit l’exigence minimale de passer tous les sujets de sécurité une fois par an, on a tous les droits de l’adapter à notre convenance.
Par exemple, nous pouvons revoir les incidents au mois de janvier et les risques au mois d’août. Nous ne sommes pas obligés de traiter tous les sujets en même temps. C’est d’ailleurs ce que je conseille, pour pouvoir intégrer les sujets plus régulièrement et que ce soit à jour tout le temps. Cet exemple est parlant et nous pouvons le décliner sur toutes les exigences de l’ISO 27001.
Faire des revues de direction courtes, participatives tous les mois
Qui peut adopter cette démarche ?
Cette manière d’aborder la certification s’adresse beaucoup aux entreprises à l’esprit agile. C’est vraiment appliqué l’esprit « agile » à la sécurité. Nous avançons par petits bouts régulièrement, nous découpons tout, plutôt que de tout construire d’un coup en faisant quelque chose de trop compliqué.
Est-ce que les entreprises qui n’ont pas ce fonctionnement agile peuvent tout de même mettre en place cette démarche pour leur certification ?
Oui complètement. C’est tout à fait indépendant des méthodes officielles. On l’applique directement à l’organisation. Ce qui peux amener l’entreprise à évoluer dans sa façon de se structurer.
Cependant, c’est plus complexe sur les grands projets informatiques pour intégrer la sécurité car il y a souvent un historique qui est difficile à reprendre. Avec la norme ISO 27001, on parle vraiment de la sécurité dans sa globalité.
Quels sont les points importants dans cette démarche de certification ISO 27001 ?
Je pense que pour innover, la présence de la direction dans les décisions prises est essentielle.
Si vous voulez aller vite et être efficace sur la sécurité, vous pouvez aussi investir dans des petites formations de sensibilisation. Il existe aujourd’hui des outils très intéressants qui vous permettront d’automatiser vos campagnes de sensibilisation (comme Lucy Security).
Les outils qui vont également automatiser vos processus de sécurité sont également un investissement indispensable.
Rien ne remplace des sensibilisations présentielles, avec un dialogue direct avec les opérationnels
D’autre part, partir du terrain est autre élément important. Il faut construire des démarches de sécurité sur ce qu’il y a déjà en place. Bien connaître le terrain et ne pas calquer un système tout fait, c’est primordial ! Le système est ainsi construit de façon progressive et avec les équipes.
Ce qu’on préconise au début, c’est de faire des audits dès le commencement du projet. Les personnes sont ainsi préparées et sensibilisées très tôt. Au lieu de faire uniquement des audits blancs, on privilégie les démarches d’audits internes concrets et opérationnels. Cela permet de remonter les informations du terrain et de connaître l’existant parfaitement pour construire un système adapté.
Intégrer les audits flashs par sujet ou processus
Si nous voulons démarrer un projet de certification, comment pouvons-nous dès le début poser les bonnes bases ?
Le plus important c’est que la direction de l’entreprise soit impliquée. Elle doit l’être de façon très concrète en s’occupant des sujets de sécurité et des incidents, en demandant des comptes. Elle va également imposer des politiques de sécurité. En imposant les bases, les règles minimum en matière de sécurité, la direction montre son engagement fort dans la démarche. Mais attention, il faut qu’elle puisse assumer ces choix et les ressources liées au bon fonctionnement de cette politique !
Comment pouvons-nous nous assurer que la démarche mise en place corresponde à l’ADN de notre entreprise ?
La sécurité c’est valable pour toutes les entreprises ! La confiance au sein des entreprises est indispensable mais elle est insuffisante : on ne peut pas faire de sécurité sans contrôle. Pour autant, les notions de souplesse et d’adaptation sont présentes dans la sécurité. C’est ce qu’on appelle la sécurité opérationnelle : on tient compte de la réalité des personnes et de leur travail pour ne pas établir un système trop contraignant. Si c’est trop contraignant, le système et les règles vont être contournées… Le tout est donc de construire un château fort qui sera protégé par un système de contrôle intelligent.
Comment pouvons-nous continuer à être agiles après la certification ?
L’enjeu après la certification c’est de maintenir le système créé progressivement. Pour réussir cela, il faut maintenir la même philosophie, la même démarche, et l’effort dans la durée !
Est-ce que je peux retrouver cette vision chez tous les consultants en ISO 27001 ?
Il y a de nombreux consultants qui partagent cette vision et cette approche mais il faut vérifier lors du recrutement que dans les faits cette philosophie soit vraiment présente. Opter pour l’innovation dans la démarche ISO 27001 vous donnera des résultats en termes de sécurité et aussi de certification !
Dans un écosystème de plus en plus exigeant et règlementé, la cybersécurité est devenue un enjeu majeur pour les startups. Entre protection des données (RGPD) et conformité réglementaire (NIS, HDS, PDP), il est essentiel de comprendre les risques et de mettre en place des mesures adaptées pour assurer la pérennité et la croissance de votre entreprise. (En effet, nous pensons que la cyber n’est pas un frein, mais un accélérateur, on vous explique pourquoi)
Dans cet article, nous aborderons les enjeux, le contexte réglementaire, les actions minimales à mettre en place, l’importance des certifications et de la documentation, ainsi que les bénéfices attendus de ces démarches.
Les startups, en raison de leur taille et de leur rapidité d’innovation, n’ont pas toujours prévu les mesures de sécurité et peuvent être la cible privilégiée des cybercriminels.
Une cyberattaque peut avoir des conséquences désastreuses pour une jeune entreprise : vol de propriété intellectuelle, perte de confiance des clients, interruption de service ou encore sanctions financières. Face à ces risques, il est crucial d’adopter une approche proactive et maîtrisée en matière de cybersécurité.
Mais les enjeux liés à la cybersécurité vont bien au-delà de la simple protection des données.
Les grands groupes et NIS 2
En effet, elles doivent également répondre aux exigences de leurs partenaires, notamment les grands groupes, qui peuvent leur demander de remplir des questionnaires de sécurité très détaillés pour s’assurer de leur conformité. D’ailleurs, concernant ces grands groupes, la règlementation NIS 2 et son application entrainera l’obligation de certification ISO 27001 pour des 100aines de startups et sous-traitants.
Ensuite, une bonne gestion de la cybersécurité est un élément rassurant pour les investisseurs potentiels. Ces derniers cherchent à minimiser les risques et préfèrent donc investir dans des entreprises ayant mis en place des mesures de sécurité solides et conformes aux réglementations en vigueur.
Le graal étant l’obtention de la certification ISO 27001 en sécurité de l’information. Nos clients témoignent d’un avantage concurrentiel majeur suite à l’obtention de la certification.
Ainsi, une approche proactive en matière de cybersécurité contribue non seulement à protéger l’entreprise contre les cyberattaques, mais aussi à renforcer sa crédibilité auprès des partenaires et investisseurs.
Les actions clés à mettre en place pour sécuriser sa Startup ?
Vous voulez convaincre des clients ?
Si vous voulez convaincre des clients de vous suivre, vous devez vous sécuriser.
Pour assurer une protection optimale, voici quelques mesures de base à mettre en place au sein de votre startup :
Sensibilisation du personnel : former les collaborateurs aux bonnes pratiques en matière de cybersécurité est essentiel pour prévenir les incidents.
Mise à jour régulière des logiciels : les correctifs de sécurité doivent être appliqués dès leur publication pour réduire les failles potentielles.
Utilisation d’outils de sécurité : un antivirus, un pare-feu et des solutions de chiffrement des données sont indispensables.
Gestion des accès : limitez les permissions et mettez en place une politique de mots de passe robuste. A minima, faites des outils de suivi des entrées et sorties, suivi des différents accès aux solutions SaaS…
Assurez des sauvegardes régulières : Il est important de sauvegarder les données de votre entreprise régulièrement pour éviter toute perte de données.
Activer la vérification en deux étapes dès que c’est possible
La cyber pas si simple pour où démarrer ?
Bien entendu, ces quelques actions et mesures, vous les connaissez déjà Mais vous avez certainement du mal à :
Prioriser les mesures
À y voir clair sur ce qui est mis en place
À suivre et être sûr que les mesures restent bien en place,
À prouver ce que vous faites
C’est pour cela que l’on va plutôt vous conseiller à adopter une démarche structurée.
Établir vos enjeux et le contexte règlementaire
Lister vos actifs importants (données personnelles, données clients ..)
Analyser vos risques (Mesures en place, risques, Mesures à mettre en place)
Définir votre plan d’actions
Piloter
Contrôler via des contrôles de sécurité, audits ou tests d’intrusion
Instaurer des contrôles automatiques et des revues
S’améliorer (j’aime bien ce point)
L’importance des certifications et pourquoi pas l’ISO 27001 ?
Oh, mais cela ressemble à notre démarche 27001 ?
Si vous en êtes là, vous devez franchir le pas et passer la certification ISO 27001
La certification ISO 27001 est connue pour être une certification difficile, mais c’est faux !!!
Elle demande de la structure, de la méthode et surtout de l’Expérience. Chez Feel Agile, nous avons accompagné des 10 aines de Startup, il faut suivre une méthode claire et assurer un tryptique sacré :
Un chef de projet qui pilote les actions
une sensibilisation
une vraie compétence dans la mise en place
L’ISO 27001 est un gage de sécurité pour les clients et les partenaires. Elle atteste du respect des meilleures pratiques et des normes internationales. (L’ISO 27001, est une norme de management de la sécurité de l’information qui permet d’instaurer un Système de Management de la Sécurité de l’Information (SMSI) et de garantir la protection des données de l’entreprise et de ses clients.)
L’ISO 27001 coûte cher ?
Faux et archi faux !!!!
Au-delà du classique « c’est un investissement », chez Feel Agile, nous nous sommes faits un point d’honneur à démocratiser la cybersécurité. Une Startup de moins de 10 collaborateurs peut mettre en place et obtenir la certification à moins de 10 K€ avec inclus la certification sur 3 ans. (Le 25 mai, on vous explique comment)
Feel Agile, l’acteur cyber des Startups et entreprises agiles !
Nous sommes fiers et reconnaissants d’avoir pu accompagner des dizaines de Startups ces deux dernières années dans les certifications ISO 27001, HDS, 9001 …
Nous avons préparé pour vous quelques retours d’expérience de nos Startup préférées :
ODROA – (certifié HDS) spécialisée dans l’analyse et la gestion de données dites sensibles comme les données de santé.
Nous assistons ces dernières années à une multiplication des cyberattaques contre les entreprises. Selon l’ANSSI, leur nombre a quadruplé de 2019 à 2021 ! Les conséquences peuvent être terribles pour les entreprises. Atteinte à la notoriété et l’image de l’entreprise, perte d’exploitation engendrée par la mise à l’arrêt des systèmes informatiques, chantage financier des pirates, préjudice commercial… Les entreprises se dotent donc de systèmes de sécurité très performants qui se révèlent… inopérants. 90% des incidents de sécurité informatique auraient pour origine l’erreur humaine (étude IBM) ! Alors comment faire en sorte de réduire ces risques et d’impliquer tous ses collaborateurs dans la cybersécurité ?
I – La cybersécurité, l’affaire de tous
1 – Deux visions s’opposent
On entend souvent dire qu’en matière de cybersécurité, le problème se trouve “entre la chaise et le clavier”. Le nombre important d’incidents de sécurité informatique liés à une erreur humaine semble confirmer cette déclaration. Mais est-ce vraiment le cas ? Ne faudrait-il pas changer de perspective ?
Et considérer les collaborateurs comme un moyen de protection qui n’est pas encore assez exploité ? Plutôt qu’un problème ?
Dans les entreprises, il y a souvent deux visions qui s’opposent.
D’un côté, les experts en sécurité informatique. Ils reprochent aux utilisateurs de ne pas respecter les principes de base de la sécurité et se sentent obligés d’augmenter constamment le niveau de sécurité des outils. Et d’un autre côté, les utilisateurs qui pensent que les experts ne prennent pas assez en compte leur réalité opérationnelle.
Ces utilisateurs peuvent se retrouver confrontés à des menaces dont ils ne soupçonnent même pas l’existence… Ce qui va rendre ainsi le système d’information vulnérable sans qu’ils en soient conscients…
Ces deux visions s’affrontent souvent et pourtant les deux camps veulent la même chose : une entreprise protégée.
2 – Changer de perspective
Il est donc important de mettre fin à ce décalage entre ces deux visions. La cybersécurité, c’est l’affaire de tous : de la Direction du Système d’Information, à la direction en passant par les collaborateurs.
On ne peut plus mettre de côté ces derniers dans la construction de la politique de sécurité de l’entreprise. Ils doivent faire partie intégrante de la sécurité et être considérés plutôt comme un nouveau levier d’amélioration plutôt qu’un frein inévitable !
Cela demande un véritable changement de perspective : ne plus considérer l’humain comme le maillon faible de sa chaîne de sécurité mais vouloir le transformer en maillon fort.
Car on le sait, la vigilance et la capacité d’action des équipes sont essentielles pour maintenir la sécurité toute entière de l’organisation !
L’une des clés qui vous permettra de changer de perspective est la mise en place de la démarche de certification ISO 27001. Chez Feel Agile, nous vous proposons de vous accompagner dans cette démarche et de vous aider à mettre en place des actions qui réconcilieront les deux visions de vos équipes pour avancer vers le même objectif : la sécurisation de votre entreprise.
3 – Les collaborateurs doivent se sentir responsables aussi de la sécurité
Qu’on le veuille ou non, chaque collaborateur est un maillon de la chaîne de sécurité. Chaque personne est donc un acteur essentiel de la politique de cybersécurité de l’entreprise. C’est à ce niveau que la prise de conscience doit s’opérer.
Les collaborateurs ne doivent pas se sentir sous pression de suivre telle ou telle règle de sécurité (souvent vues comme des contraintes) sans qu’ils en comprennent le sens. La DSI ne doit pas chercher à “faire peur” et à “contraindre” les utilisateurs mais plutôt à les impliquer davantage pour les responsabiliser. En considérant l’utilisateur comme un composant essentiel de la performance de la chaîne de sécurité, le message sera beaucoup plus adapté et pris en compte par les équipes.
Chez Feel Agile, nous oeuvrons dans ce sens en proposant une solution aux entreprises pour responsabiliser leurs collaborateurs : notre outil SMSI. Grâce à l’automatisation de votre système de management en SAAS, vous pourrez faire participer toute l’entreprise à la démarche de certification. Feedbacks, rappels, suivi en temps réel, documentation,… : tout est fait pour organiser votre démarche et faciliter votre certification.
Retrouvez tous nos webinaires à venir en cliquant sur ce lien!
II – Créer une prise de conscience par la sensibilisation à la cybersécurité
Quand on entend sensibilisation à la sécurité, on a tous en tête la charte informatique et une séance de formation donnée par des experts de la sécurité, mais il faut amener la réflexion et l’action à un autre niveau. Pour changer la perspective des équipes et leurs rôles plus qu’important au sein de la chaîne de sécurité de l’entreprise, il est nécessaire de créer une véritable prise de conscience au sein de l’entreprise.
1 – Donner du sens aux mesures de sécurité
Ainsi pour toute action de communication, formation, sensibilisation, il ne suffit pas de délivrer simplement des indications ou des consignes. Il est indispensable de leur donner du sens. Pourquoi cette consigne est-elle nécessaire ? Qu’est-ce que ça pourrait engendrer si elle n’était pas suivie ? Quels en sont les risques inhérents ? Quel exemple peut-on donner pour faire prendre conscience des répercussions ?
C’est en comprenant les enjeux et les risques encourus que vos équipes seront plus intéressées par le sujet de la sécurité. Ils appliqueront avec beaucoup plus de conviction ces mesures quand ils comprendront concrètement leur rôle à jouer dans la stratégie de cyberdéfense de leur entreprise.
2 – Apprendre en continu
Pour que toutes les équipes puissent jouer leur rôle de “gardien” dans la sécurité de l’organisation, il est indispensable de les former régulièrement. En les initiant aux bonnes pratiques à adopter, les collaborateurs pourront analyser la situation rapidement et avoir les bons réflexes pour réagir.
Il ne s’agit pas seulement de les former une fois (notamment à chaque nouvelle arrivée dans la structure) mais plutôt d’établir une stratégie de sensibilisation dans le temps. Les équipes retiendront beaucoup plus facilement les informations délivrées petit à petit et de façon répétées qu’une grande journée de formation qui ne sera pas suivie d’autres actions par la suite.
Le format de e-learning est ainsi une solution intéressante en terme d’interactivité et de rythme de sensibilisation.
Pour que la formation soit un véritable levier de sécurité de votre entreprise, Feel Agile propose un abonnement à des formations à distance et des événements réguliers en fonction des besoins de vos collaborateurs et de leur niveau de maturité sur les enjeux de sécurité. Nous proposons par exemple un e-learning sur la certification ISO 27001 pour former à la partie organisationnelle, les processus et les procédures, ou encore une solution de formation des développeurs à la sécurité OWASP.
Une autre piste à creuser pour sensibiliser les équipes à la cybersécurité, c’est d’allier la pratique à la théorie. Pourquoi ne pas réaliser des simulations pour mettre les collaborateurs en condition réelles et les entrainer à réagir de la bonne manière ? Ils pourront ainsi mettre en pratique ce qu’ils ont appris pendant les sessions de formation et acquérir de véritables automatismes : quoi faire, qui prévenir, quel process appliquer ?
Les tests réguliers (test d’intrustion, phishing,…) ou tests de connaissances sont également un bon moyen d’améliorer l’intégration des automatismes, des réflexes à adopter en cas de cyberattaque. Cela permettra également d’évaluerles connaissances de vos équipes et de les entretenir dans le temps.
C’est pourquoi lors de nos accompagnements, nous proposons de réaliser des sessions de sensibilisation à distance ou sur site avec des expériences ludiques. Cette approche « gamifiée » de la cybersécurité permet aux équipes de s’impliquer, de se tester et d’intégrer des automatismes pour trouver une solution ensemble en cas de cyberattaque.
La chaine YouTube de la certification CYBER :La Chaine Feel Agile pour vous former gratuitement
III – Mettre en place une communication interne
Nous l’avons vu, pour contribuer à la responsabilisation des collaborateurs à la sécurité de leur entreprise, il est important de communiquer. D’une part pour les faire changer de perspective et leur faire prendre conscience de leur rôle essentiel dans la chaîne de sécurité. D’autre part, pour qu’ils soient à même de détecter les comportements suspects ou adopter une grande prudence dans les informations qu’ils délivrent.
1 – S’adapter aux différents interlocuteurs
Un des enjeux pour une bonne communication, c’est de s’adresser à la bonne cible. Chaque personne ne va pas forcément être réceptif au même type de message. Ainsi, quand on va sensibiliser à la cybersécurité, il est essentiel d’adapter son message et le niveau d’expertise à son interlocuteur. Si les communications sont beaucoup trop complexes, les collaborateurs ne se sentiront absolument pas concernés et délaisseront ces enjeux. Au contraire, si les communications sont pédagogiques, accessibles à tous, il sera plus facile de les prendre en compte. Il est également possible de satisfaire leur curiosité et les inciter à aller plus loin avec la mise à disposition de ressources complémentaires.
2 – Communiquer dans les deux sens
La communication ne va pas que dans un sens. Délivrer des informations sans vraiment se pencher sur ce qu’en pensent les équipes est une erreur que vous pouvez aisément rectifier.
On demande souvent aux collaborateurs d’écouter des conseils ou des consignes mais l’inverse est rarement vrai. Alors que les équipes ont souvent beaucoup à dire. Des anecdotes sur leur expérience personnelle, des questions qu’ils se posent, des pistes d’amélioration qui pourraient être prises en compte… C’est en les écoutant et comprenant comment ils fonctionnent au quotidien que la DSI pourra mieux cibler ses communications et ses formations. Elle pourra adapter son message en fonction des pratiques concrètes des collaborateurs.
3 – Cultiver une culture de la sécurité dans l’entreprise
En adoptant une communication qui soit adaptée à l’interlocuteur, pédagogique et surtout positive (on arrête les messages anxiogènes et culpabilisants), vous allez créer une véritable dynamique au sein de l’entreprise pour constituer une culture de la sécurité.
Portée par la direction, cette culture de la sécurité renforcera le dispositif prévu par la DSI pour contrer les cybermenaces. Les collaborateurs, autonomes et actifs, qui auront accéder à un degré de maturité numérique élevé, deviendront ainsi un élément décisif du système de défense de leur organisation !
IV – Notre solution CyberAgile
Ainsi la réponse aux cybermenaces ne peut pas être uniquement technologique. Nous le voyons bien, lorsque l’on parle de cybersécurité, il est plus que nécessaire de prendre en compte le « facteur humain ». Nous approfondissons d’ailleurs cette notion dans cet autre article. En permettant aux collaborateurs, aux utilisateurs finaux de faire partie de la solution et non plus du problème, l’entreprise va bâtir une culture de la sécurité essentielle pour se prémunir des attaques.
Chez Feel Agile, nous sommes convaincus de l’importance d’une politique de sensibilisation ciblée, maitrisée et planifiée. C’est pourquoi nous avons choisi d’accorder une grande place dans nos accompagnements à la sensibilisation des vos équipes avec la mise au point d’une solution globale et complète: CyberAgile.
Cet outil de sensibilisation et de simulation d’attaque est la réponse idéale pour former, impliquer et tester vos collaborateurs.
Vous pourrez ainsi :
– sensibiliser vos équipes sur un large panel de sujets liés à la sécurité de l’information : hameçonnage, RGPD, bonnes pratiques de gestion des mots de passe,…
– évaluer les connaissances de vos collaborateurs
– simuler des attaques pour évaluer la mise en application des mesures de sécurité
– utiliser la bibliothèque de plus de 300 supports liés à la cybersécurité
– organiser et piloter vos campagnes de sensibilisation
Si vous souhaitez en savoir plus sur cette solution, contactez-nous !
J’espère que cet article vous aura apporté quelques idées de solutions.
V – Webinaire sur la sensibilisation des collaborateurs
Très prochainement nous allons réaliser un webinaire sur le thème « Faites de l’humain votre première ligne de cyber défense en cybersécurité ». Pour vous inscrire suivez les liens ci-dessous :
Notre webinar vous serez utile concernant la réussite de votre certification, il aura pour objectif de vous faire comprendre correctement l’audit et le cycle de certification 27001, de vous conseiller au maximum pour vous préparer avant l’audit, éviter les erreurs et vous donner les pistes pour après votre audit.
Qu’est-ce qu’un audit ?
Il est important dans un premier temps de bien comprendre ce qu’est un audit :
Dans ces audits de certification, l’idée de l’auditeur est de vérifier votre SMSI, c’est-à-dire si vos politiques et vos procédures obligatoires sont bien en place.
Cet auditeur va vraiment venir chercher les conformités par rapport à la norme, et non un niveau de sécurité ou même une façon de faire. En fait, ils vont vérifier si vous avez mis en place les bonnes mesures de sécurité pour réduire les risques importants de votre société.
Parmi le travail que vous allez effectuer sur la période d’une année pour la préparation de votre SMSI, l’audit sera tout simplement votre examen final. Ainsi il vous permettra de vérifier vos compétences !
Le cycle de certification
Après avoir déterminé l’audit de certification, passons au cycle de certification. Ce cycle a une durée de 3 ans. Il est divisé en plusieurs parties, c’est-à-dire que chaque année va correspondre à un audit différent.
La première année, l’audit «initial». Elle se découpe en deux étapes.
La première va être tout simplement la rencontre avec l’auditeur. Le but de cet audit sera de vérifier la conformité de la documentation en fonction de ses critères.
Si tout se passe bien, vous aurez le feu vert pour continuer l’audit. Ainsi, lors de la deuxième étape votre SMSI aura la capacité de vous proposer un plan d’audit qui vous présentera chaque audit à effectuer, avec tel personne à tel horaire.
Ceci se passe durant 3 à 5 semaine, entre l’audit de l’étape 1 et celui de l’étape 2.
Dans celui de la première étape, l’auditeur vous rendra un rapport avec chaque point à améliorer par la suite, avant d’avoir des écarts durant la deuxième étape. Il est important de les corriger puisque l’auditeur va revenir sur ces sujets afin de vérifier que vous avez mis en place des actions pour améliorer votre SMSI.
Le vrai audit commencera avec la réunion d’ouverture. Cette réunion consiste pour l’auditeur de vous expliquer la démarche d’audit.
Uns fois l’audit passé, l’auditeur va donc émettre un rapport avec tous les constats qu’il a pu identifier lors des jours d’audit, ainsi qu’une recommandation. C’est là que vous allez devoir précisez quelles actions vous allez faire au niveau des différents constats que l’auditeur à identifier.
Ce rapport est ensuite envoyé à la commission des certifications qui va valider les rapports et émettre ou non le certificat !
Ne pas avoir son certificat ?
Nous avons un classement des constats d’audit avec différents niveaux, en commençant par les non-conformités majeures.
Ces conformités sont le non-respect d’une exigence de l’ISO 27001, règlementaire ou contractuelle. Le non-respect d’une exigence remet en cause la capacité du SMSI à atteindre le résultat attendu.
Ensuite, nous avons les points sensibles. Ce sont des sujets qu’il faut traiter afin qu’ils ne deviennent non conformité mineur.
Il est impossible d’avoir le certificat si vous possédez une de ses conformités. Lors d’un audit, l’auditeur l’inscrivera dans les rapports. L’auditeur aura donc un autre audit de planifier environ 3 mois après pour vérifier que les écarts majeurs identifiés sont corrigés. Après avoir fait ce deuxième audit, il reviendra vous donner la certification.
Dans un cycle de certification, vous allez avoir les mêmes audits sur les trois années. Une fois le cycle finalisé, vous recommencez sans refaire la première étape.
Concernant la durée, le premier audit dure entre 3 et 5 jours environ, et les autres eux environs 2 jours.
Se préparer AVANT l’audit ?
La première chose que nous recommandons est de faire un audit blanc. Ces audits sont similaires au vrai audit de certification. Ils permettent de voir une vue d’ensemble et de vous entrainer.
L’idéal est de le faire avec une société extérieure, afin qu’ils puissent vous auditer en vous donnant un rapport complet.
Informer aux autres
Ensuite, il est important d’informer l’ensemble des collaborateurs de l’importance de cet audit pour leur société, et les risques de ne pas obtenir la certification.
Il est aussi important d’informer les dates d’audit, afin que vos collaborateurs respectent les règles que vous avez définies, au niveau de la sécurité.
Visionnez notre vidéo sur You Tube !
Contactez-nous
Des projets ? Des questions ? N'hésitez pas à nous contacter !
Le cycle de certification et l’obtention de votre certification 27001 ne sont que le début de votre progression en sécurité de l’information. Vous allez pouvoir apprendre à gérer la sécurité de l’information ainsi que votre SMSI sur le long terme, puisque la certification repose entre autres sur l’amélioration continue.
Un audit de suivi ou de surveillance aura lieu annuellement. Ainsi, le même auditeur viendra dans chacune de ces années du cycle.
C’est un excellent moyen pour les auditeurs de découvrir et de vérifier vos activités et de mieux connaître votre entreprise.
Le moment du 1er audit est d’une importance primordiale. Les prochaines seront plus des révisions partielles.
Ils se concentreront principalement sur les incohérences et les sensibilités trouvées lors des audits précédents et doivent donc être vigilants dans le traitement des résultats d’une année à l’autre
Une des erreurs la plus fréquente va être l’absence d’action une fois qu’une entreprise est certifiée. C’est pour cela que cette notion d’amélioration qui est importante.
Lors des audits de surveillance, les écarts et non-conformité repérés lors de l’audit initiale vont être inspectés.
Ainsi, si jamais les non-conformités mineures ne sont pas traitées, elles vont être qualifiées de majeure l’année suivante. Cela risque de bloquer la certification au cours du cycle.
En rappel, l’auditeur lui vous donnera un simple avis favorable ou non lors de la fin de l’audit. C’est une commission qui va ensuite analyser le dossier et l’avis du tuteur, et statuera définitivement sur la certification.
Il faut compter environ un mois avant d’obtenir la certification définitive.
Ainsi, la mise en place du SMSI à une durée d’environ 6 mois/ 1 an en fonction de la société.
2. Interpréter un rapport d’audit
Passons aux écarts. L’audit à une durée variable et va dépendre du nombre du collaborateur qui maintiennent le SMSI.
A l’issu de cet audit, un rapport sera transmis. Il contiendra les écarts majeurs, mineurs, les points sensibles, les pistes de progrès ainsi que les points fort.
Pour décrire ces 5 constats d’audit, les écarts majeurs sont des non-satisfactions d’une exigence du référentiel qui touche à l’organisation, l’application et la normalisation du SMSI. Ceci entrain un risque très important pour le SMSI.
Ensuite, les conformités mineures elles caractérisent la non-satisfaction de l’exigence du référentiel, mais n’entrainent pas de risque important de non-respect. La non-satisfaction d’une exigence ne compromet pas l’efficacité ou l’amélioration du SMSI dans le cadre d’une conformité mineure.
Les points sensibles sont des éléments du SMISI sur lesquels les preuves d’audits montrent que l’organisme est conforme, mais risque de ne plus atteindre les exigences du référentiel à court ou moyen terme.
Les pistes de progrès sont les voyant identifiés sur lesquels l’organisme peut progresser. Cela correspond au terme d’opportunité d’amélioration. Cette piste de progrès donne à l’organisme client la possibilité de soit dépasser les exigences de référentiel d’audit, soit d’améliorer la performance de cet élément du smsi, sans dépasser les exigences du référentiel.
Et les points forts eux sont les éléments du smsi sur lesquels votre organisme dépasse les exigences du référentiel, ou se distingue par une pratique ou méthode performante.
Ainsi, pour obtenir ce certificat, il est indispensable que vous ne possédiez aucune non-conformité majeure.
Si vous en avez, vous allez avoir trois mois pour corriger. Par la suite, un audit sera replanifier pour vérifier les corrections, avant de passer à la certification.
Pareil pour les non-conformités mineures. Il vous faudra les traiter pour l’audit de surveillance qui aura lieu l’année suivante, avant qu’elles ne deviennent des non-conformités majeures.
Pour définir un écart, c’est simplement la différence par rapport aux critères d’audit. Pour les constater, l’auditeur va se baser sur l’observation objective entre les attentes de la norme et ce qui est réalisé dans votre SMSI.
3. Processus d’accompagnement
Venons maintenant au processus d’accompagnement que nous proposons !
Cette formation se fera en 6 étapes durant 1 année environ.
Pour commencer la première sera de définir le contexte. Nous définirons le périmètre, les enjeux et les acteurs extérieurs qui ont des attentes en matière de sécurité sur votre projet.
Cette première étape d’un mois est importante car c’est celle qui va conditionner les étapes suivantes.
Deuxième étape, l’analyse des risques. Nous définirons la liste des risques qui peuvent impacter le SMSI. Elle prendra 1 mois également.
Ensuite troisième étape, la déclaration d’applicabilité. C’est un document que nous allons rédiger, en parcourant la liste des 114 mesures de l’annexe de la norme ISO 27001, afin de déterminer si celle-ci peuvent impacter le SMSI.
On va vérifier pour chaque mesure si elle est applicable ou non au périmètre comme nous aurons identifié lors de la première étape. Ensuite nous mesurons l’écart entre ce qui est fais par l’organisation, et les attentes de la mesure.
Ainsi, nous aurons établie le plan d’action définitif à conduire avant la certification.
En ayant définit un plan d’action, traité les écarts et exigences, nous pouvons commencer la quatrième étape, concernant le suivi de projet. Cette gestion de projet s’agira justement de suivre la mise en œuvre de ces actions, de s’assurer au fur et à mesure du projet qu’elles sont correctement mises en place.
Nous suivrons et assurerons une cohérence entre les actions, la rédaction des documents, et l’évolution des traitements de risque.
Une fois les écarts traités, nous passons à l’étape de la préparation a la certification où nous effectuerons des mises en situations, et verrons comment répondre aux questions d’un auditeur.
L’auditeur s’adaptera à votre entreprise, mais il vous faudra au moins une personne qui maitrise bien le processus, l’audit et la norme.
Enfin pour la dernière étape, elle concerne l’audit blanc qui aura lieu avant votre passage de certification. Il consiste à effectuer une mise en situation et d’identifier les risques peut être mal corrigés.
Nous avons conçu une vidéo sur notre chaine You Tube pour une explication plus détaillé !
Contactez-nous
Des projets ? Des questions ? N'hésitez pas à nous contacter !
Un pentest ou test d’intrusion consiste à se mettre à la place d’un attaquant malveillant (appelé cyber criminels ou pirates selon leur valeur). Ainsi cela permet de stimuler leur comportement sur un périmètre défini par l’entreprise attaquée.
C’est ce qui va permettre de corriger de potentielles vulnérabilités que ce soit au niveau de l’infrastructure ou des logiciels en interne ou en externe.
On va utiliser les mêmes méthodes et outils qu’un acteur malveillant, afin de compromettre le système cible de l’entreprise et de voir jusqu’où on peut aller dans le système d’information. La seule différence est que nous le faisons dans un cadre légal via un contrat. Celui-ci définir le périmètre et la cible à attaquer, ainsi que les autorisations et restrictions à ne pas faire.
Y a-t-il plusieurs types de pentest ?
Il existe 2 types de pentest : interne et externe, ainsi que 3 méthodes : black box, white box et grey box.
Le pentest Interne consiste à ce que les attaquants soient dans vos locaux, afin de cibler l’infrastructure interne.
On peut donc se mettre à la place d’un salarié malveillant qui souhaiterait se venger.
Ainsi, le pentest externe lui consiste à pentester un site web ou une infrastructure (VPS). Il sera accessible depuis internet et pourra donc être attaqué depuis l’autre bout du monde.
En ce qui concerne les méthodes, elles peuvent s’appliquées à ces deux types de pentest. Les voici :
Pour la Black box, vous ne donnez aucun accès. C’est une attaque réalisée au plus proche des pirates où l’on ne connait rien du fonctionnement interne.
Il est possible de réaliser cette méthode sans en informer les équipes chargées de détecter les attaques. Afin de les mettre en confrontation direct et de constater leur proactivité.
Ensuite, la White box, vous donnez tous les accès aux pentesters. Avec, ils vont avoir un regard neuf sur votre système d’information et vont pouvoir détecter éventuellement toutes les vulnérabilités sur le périmètre cible.
Celle ci est plus poussée que la méthode black box. Elle permet de révéler certaines failles qui ne sont pas forcément visible lors du black box mais peuvent se révéler tout aussi compromettantes. Et contrairement à elle, c’est une méthode plus complète collaboration avec les équipes chargées du système d’information.
Et enfin la Grey box, où là vous ne donnez qu’une partie des informations, qui lui permettront de gagner du temps dès le départ.
Le pentester aura donc accès à certaines informations comme un compte utilisateur, sur un site web ou un compte utilisateur sur PC de votre société, par exemple.
A partir de là, il va pouvoir commencer à se mettre à la place d’un salarié malveillant et voir jusqu’à quelles fins il peut faire des choses critiques dans le système d’information.
À quoi ça sert ?
L’objectif est de trouver des vulnérabilités sur les produits ou l’infrastructure de votre entreprise pour éviter que des vrais pirates les trouvent avant nous et ne cassent votre système.
Nous allons donc vérifier ce que l’on peut récupérer dans votre système d’information et jusqu’où on peut naviguer dans le système, voire carrément prendre complètement le contrôle de votre infrastructure.
Evidemment, l’objectif final est de fournir un livrable qui va révéler les différentes problématiques trouvées pendant le pentest.
Nous vous dévoilerons les méthodes et outils utilisés, et proposerons un plan de remédiation à apporter à votre système d’information et bien sûr vous féliciteront sur les bonnes pratiques que vous avez adoptées !
Quels types de systèmes à pentester ?
Tout système peut être piraté. Sites web, infrastructures, réseaux informatiques, logiciels, téléphones, serrures etc…
Le pentester doit donc trouver des vulnérabilités avant les vrais pirates qui pourrait engendrer de gros problèmes aux sociétés.
Quelles sont les différentes phases d’un pentest ?
La première étape passe par le pré engagement. Forcément, un contrat doit être signer avec l’employeur (définir périmètres, autorisations & restrictions pendant le pentest qui seront respecter).
Deuxième étape, la collecte de renseignement. C’est-à-dire plus précisément la recherche d’informations sur les périmètres cibles, les technologies que vous utilisez, les comptes utilisateurs et la structure de l’entreprise afin de trouver des techniques d’attaques et des points d’entrée.
L’énumération des services est une étape vraiment importante, que ce soit un réseau ou sur un serveur, puisqu’il permet d’identifier les différentes portes d’entrées pour un attaquant.
Ensuite vient l’étape d’exploitation. Il faut tenter d’exploiter les différentes vulnérabilités trouvées dans la phase précédente, afin de compromettre la machine.
Par exemple, depuis un site web, on peut essayer d’avoir un Shell sur la machine. Ensuite c’est comme si nous étions en black box mais à distance, puisqu’il est potentiellement possible d’accéder à votre réseau depuis l’extérieur si le site est hébergé dans votre infrastructure.
Enfin, nous passons aux livrables. Cette étape est la plus importante et la plus longue à réaliser. Elle nécessite toutes les traces des tests qui ont été effectués pendant les pentest.
L’idée est de tout mettre au propre pour que le rapport de pentest soit lisible.
De là, vous allez avoir une synthèse managériale qui répertorie les différentes vulnérabilités trouvées en vulgarisant au maximum pour des personnes non techniques, et une autre synthèse plus détaillée pour des ingénieurs ou des techniciens avec des annexes.
Pour une explication plus détaillé, nous vous laissons découvrir notre vidéo dédiée ci dessous !
Pourquoi est-ce important de réaliser des pentest ?
Aujourd’hui tout se digitalise. On est passé à “l’ère du tout numérique”, où les appels, SMS, emails, chats… tout est donnée !
Plus il y a d’information à gérer, plus le périmètre d’attaque est grand. Cela donne donc plus de chance qu’il y ait une faille.
Les défenseurs dans les entreprises doivent penser à tout. Ils doivent trouver toutes les failles possibles que les pirates pourraient exploiter, et surtout sécuriser le système sur plusieurs couches différentes. Les pirates seront bloqués le plus rapidement possible.
Typiquement, bloquer sa session par un mot de passe, c’est très bien.
Mais si l’utilisateur n’est pas sensibilisé aux risques, un pirate peut compromettre son PC en détournant son attention.
Par exemple, en laissant trainer une clé USB contenant un malware avec une étiquette écrit “perso” ou “confidentiel”, cela laissera passer la curiosité de l’utilisateur qui la branchera sur son PC.
Le pirate aura un accès total sur la machine. À moins de mettre en place des sécurités à plusieurs niveaux.
Plus la surface d’attaque augmente, plus le risque est grand et plus il y a de failles.
C’est pour cela que la réalisation de pentest est très importante aussi bien en interne qu’en externe.
Plus de 70% des attaques proviennent de l’intérieur d’une entreprise ! Un salarié qui veut se venger ou nuire à sa société n’arrive plus souvent qu’on ne le pense.
Contactez-nous
Des projets ? Des questions ? N'hésitez pas à nous contacter !
L’ISO 9001: Le management de la qualité regroupe l’ensemble des pratiques de l’entreprise visant à satisfaire les clients et fournir des produits correspondants à leurs attentes.
Se certifier 9001 permet aussi de conquérir de nouveaux marchés, d’améliorer la performance des processus de votre entreprise, de son fonctionnement et de son organisation globale. On cherche à améliorer la productivité !
Voyons ensemble 5 points importants à connaître pour maîtriser le concept de la qualité !
1. l’ISO 9001
Lorsque qu’une entreprise souhaite se certifier 9001, elle doit évidemment être conforme à ses exigences.
Les exigences correspondant simplement aux besoins et aux attentes, souvent obligatoire à mettre en place dans une démarche de certification.
Cette norme à une structure assez particulière, souvent dite « HLS » (high level structure), c’est-à-dire qu’elle a la même configuration que d’autre référentiel, notamment que la sécurité (ISO 45001), l’environnement (ISO 14001), ou encore un autre référentiel auquel nous travaillons au quotidien chez Feel Agile, l’ISO 27001 qui correspond au référentiel du management de la sécurité du système d’information.
Ainsi lorsque l’on met en place un référentiel ISO 9001, on peut également réaliser la même démarche sur d’autre système de management, puisque la structure est la même !
L’ISO 9001 se base sur l’amélioration continue et s’inscrit directement dans un cycle PDCA. Ce cycle consiste tout d’abord à planifier votre système de management, le mettre en place, puis vérifier que votre mise en place est bien conforme et répond aux exigences du référentiel.
Si ce n’est pas conforme, vous mettez en place simplement d’autres actions d’améliorations, en recommençant ce cycle !
2. Les 7 principes de l’ISO 9001
Cette certification met en avant 7 principes importants de la qualité.
L’orientation client ; où l’entreprise se donne d’abord comme priorité la satisfaction client.
Leadership ; qui est la responsabilité de la direction, et l’implication dans la certification.
L’implication du personnel ; les collaborateurs ont vraiment conscience de leurs impacts dans le système de management, et sont impliqués au maximum dans cette gestion pour éviter tout conséquence.
Approche processus ; permet une optimisation de l’organisation et de la performance, grâce aux processus des organismes.
S’améliorer ; un principe logique mais fondamental, un chapitre entier est dédié à ce sujet (chapitre 10)
La prise de décision ; une décision est importante que lorsqu’elle est prise à partir de faits réels et de preuves, au lieu de manière subjective
Le management des relations des parties intéressées ; ces parties sont des personnes ayant un impact sur l’entreprise, et l’organisme va devoir gérer les relations pour obtenir une performance durable.
3. La certification ISO 9001, comment ça se passe ?
Comme de nombreuses certifications, celle-ci est valable 3 ans, c’est-à-dire qu’il sera nécessaire de la renouveler au bout de ce cycle.
L’idée et l’objectif lors de la phase de préparation est de gagner en maturité, et d’être conforme aux exigences de la norme.
Pour la certification en elle-même, la démarche est dans un premier temps de demander des dates et devis à différents organisme afin de choisir ce qui vous convient le mieux.
Votre date étant fixée, vous réalisez votre audit auprès de votre auditeur qui vous donnera un premier avis. Ces appréciations remontent au comité de certification afin de les approuver définitivement.
Après l’obtention de votre certificat, durant votre cycle de 3 ans vous serez de nouveau auditez chaque année. Lors de ces audits de suivis, l’auditeur va analyser certains sujets qu’il n’avez pas forcément abordé précédemment, et vérifier si vos points sensibles repérés lors de votre audit initial ont bien été levés.
Vous en voulez plus ? une vidéo dédiée vous explique tout de la meilleure façon possible !
4. Qui peut se certifier ?
La qualité est applicable à absolument tout type d’entreprise. Une entreprise du numérique, du bâtiment, agroalimentaire, tout le monde peut entamer une démarche de certification !
À savoir, l’ISO 9001 étant une norme reconnue à l’internationale, se certifier à celle-ci vous autorise à travailler en France avec des clients à l’étranger !
5. Quels avantages apporte la certification ?
Cette certification apporte plusieurs avantages. Tout d’abord, celle-ci vous permet de piloter au mieux vos activités afin d’évaluer leurs performances.
Ainsi, vous améliorez vos produits et donc la satisfaction client.
De plus, vous avancez avec un avantage concurrentiel. Votre entreprise n’étant pas la seule sur le marché, la certification installe une confiance auprès des clients. Elle vous apporte une certaine maturité en gage de qualité et de satisfaction client.
Vous partez également avec une certaine notoriété auprès des collaborateur, puisque votre travail fourni au sein de l’entreprise sera forcément valorisé !
Contactez-nous
Des projets ? Des questions ? N'hésitez pas à nous contacter !
Depuis le 1er avril 2018, être certifié HDS est devenu obligatoire pour toute société souhaitant héberger des données de santé.
Cette certification a pour objectif de protéger les données des patients tout au long du cycle de vie de la production de ces données.
Il s’agit de l’application d’un référentiel qui permet de sécuriser l’hébergement et également la gestion des données.
Ce certificat a des enjeux importants découvrons-les dans la suite de cet article !
1. Les Avantages
Cette certification vous permet dans un premier temps d’éviter toutes sanctions pouvant mettre en danger votre société. Ces sanctions peuvent être vraiment importantes et impactantes pour votre entreprise, avec des montants très élevés.
En effet, tout hébergeur de données de santé a l’obligation de passer le certificat HDS. Et justement, le fait de le passer vous donne ce simple avantage d’être conforme aux lois ! Et donc d’être vu comme une entreprise fiable, de confiance.
De plus, se certifier c’est aussi améliorer la sécurité globale de l’entreprise, en garantissant la protection des données sensibles.
Être certifié est une façon de se démarquer de la concurrence et de démontrer son sérieux auprès des organismes de santé.
Un vrai avantage concurrentiel !
2. Les types de certification HDS
Il existe en effet 2 types de certification HDS. Les voici détaillées ci-dessous :
3. Êtes-vous concerné ?
L’HDS est utile à toutes entreprises se souciant de la sécurité des données de santé, et concerne principalement 3 différents acteurs : les patients, professionnels (médecins, hôpitaux, laboratoires…) et hébergeur de données de santés. Ce sont ces derniers qui doivent être certifiés.
De plus, cette certification est une couche supplémentaire à l’ISO 27001, Il faut donc d’abord être certifié ISO 27001 pour passer la certification HDS.
4. Quel est le prix du certificat HDS ?
Le prix d’une certification n’est pas fixe et dépend de plusieurs facteurs.
C’est pour cela que l’on vous conseille de chercher et de demander plusieurs devis aux organismes que vous aurez choisis.
Par conséquent, c’est la taille de votre entreprise ainsi que le nombre de jour à accorder à la démarche qui définira un prix.
Pour vous donner une idée, pour une PME de 20 à 50 collaborateurs il est nécessaire de prévoir un total de 10k € pour tout le cycle de la certification (en prenant compte le coût des éventuelles évolutions de l’accompagnement et des audits complémentaires).
5. Quelle est la démarche à suivre ?
Après avoir contacter l’organisme de certification, vous allez devoir répondre à un questionnaire qui précisera votre devis avec notamment le nombre de jour de venue de l’auditeur.
Ensuite il faudra vous décider afin de choisir l’auditeur avec lequel vous passerez votre certification.
Notre tips Feel Agile : demandez les CV des auditeurs😉
Le mieux est vraiment de s’y prendre à l’avance, car énormément de société cherche à se certifier également, ce qui entraine beaucoup de retard et une difficulté à trouver des auditeurs.
Ainsi, votre certification se déroulera en 2 phases. Pour la première, vous passez par la phase de vérification par votre auditeur, où il va analyser votre maîtrise des documents.
Si l’auditeur valide votre maîtrise, vous pouvez passer à la deuxième phase : audit au sujet des exigences du référentiel.
Une fois ces phases terminées et validées par l’auditeur, vous pouvez sortir de cet audit avec différents écarts.
Par exemple, des écarts majeurs, qu’il va falloir corriger pour pouvoir obtenir la certification ; des écarts mineurs, où là vous allez avoir une année avant l’audit de « surveillance » pour les corriger avant qu’ils ne deviennent des écarts majeurs l’année suivante ; et enfin vous avez aussi la possibilité de sortir avec des opportunités d’améliorations à prendre en compte pour améliorer votre cycle de la sécurité des données de santé.
Une fois cela terminé, vous avez accès à votre certification et attendrez un mois pour recevoir officiellement votre certificat !
Pour davantage d’information, voici notre vidéo dédié ci-dessous !
6. Pourquoi se faire accompagner ?
Sans connaissances, la compréhension de chaque exigence n’est pas très évidente.
Et justement, le rôle d’une société comme la nôtre est de vous accompagner jusqu’à la certification afin de gagner un maximum de temps et d’assurer la réussite votre projet, en s’adaptant à VOUS.
Ainsi, vous serez accompagné d’un chef de projet dédié qui connait la démarche. Nous avons des profils variés, pouvant s’adapter à votre situation en vous donnant des conseils et/ou en vous formant.
Pour vous accompagner, nous effectuons un accompagnement agile en trois étapes :
Diagnostic : définition de toutes les actions à mettre en place
– Analyse de la documentation en partant de votre existant,
– Planification des entretiens,
– Rapport très détaillé exigence par exigence fournit.
Suivi de projet : accompagnement et intervention d’experts pour comprendre comment mettre en place les actions définies précédemment
– Organisation de rendez-vous réguliers,
– Intervention des experts pour répondre au mieux à vos questions.
Audit blanc : vérification que vous êtes prêt et conforme à la certification HDS
– Plan d’audit à vérifier pour définir les différents sujets à traiter,
– Vérification de l’auditeur si vous êtes conforme aux exigences et prêt pour la certification.
Après l’audit, un point avec votre chef de projet est organisé afin de traiter et corriger les possibles écarts que l’auditeur aura identifiés, avant de passer de passer la certification.
Si ce type d’accompagnement peut vous convenir, rendez-vous sur notre page dédiée !
La déclaration d’applicabilité (DDA), c’est l’application des mesures de l’annexe A de la norme ISO 27001. Celle-ci comporte une liste détaillée d’objectifs et de mesures. Les utilisateurs de la Norme internationale sont donc invités à se reporter à l’Annexe A pour s’assurer qu’aucune mesure nécessaire n’a été négligée.
Qu’est ce que la déclaration d’applicabilité DDA ainsi que l’Annexe A ?
La Déclaration d’applicabilité, DDA contient l’ensemble de l’Annexe A. Il s’agit de 114 mesures répartis dans 14 Articles (A.05 à A.18) de l’annexe A de la norme ISO27001.
L’Annexe A peut être rédigé après avoir réalisé l’analyse des risques pesant sur le Système de Management de la Sécurité de l’Information, ainsi que le SMSI.
Avant de démarrer, il est important de définir quelques termes.
Une mesure est une proposition d’action à réaliser. En effet, dans le cas de l’annexe A, il s’agit de proposition d’actions à réaliser pour se protéger de risques pouvant peser sur le SMSI
Ainsi, certains de ces articles sont techniques, d’autres plus organisationnel.
Les 14 Articles de l’annexe A
A.5 : Politique de sécurité de l’information, traite des orientations générales de votre politique de sécurité de l’information
A.6 : Organisation de la sécurité de l’information. Elle traite de l’organisation interne et des règles d’utilisation des appareils mobiles sur site comme en télétravail.
A.7 : Sécurité des ressources humaines. Elleévoque la sécurité de l’information dans les processus de recrutement et sortie de collaborateur ainsi que les mesures à prendre durant la durée du contrat.
A.8 Gestion des actifs. Elletraite des responsabilités et des règles de manipulation liée aux actifs (l’ensemble des biens et information de la société) ainsi que de la manière de les classifier
A.9 Contrôle d’accès propose des mesures organisationnelles et technique pour mettre en place des accès à l’information protégés et adaptés
A.10 Cryptographie.L’article 10 cryptographie traite des mesures de cryptographie à mettre en place pour protéger vos communications, vos données sensibles. On y évoque également les clés de chiffrement
A.11 Sécurité physique et environnemental. Elle énonce les mesures visant à protéger les actifs physiques, le site des intrusions physique et des catastrophes naturelles
A.12 Sécurité liés à l’exploitation présente les mesures visant à protéger vos processus de production (c’est à dire une livraison de votre produit ou activité, avec la gestion des changements associés) contre les problèmes de sauvegardes, ou également les logiciels malveillants.
A.13 cloisonnement des réseaux traite la sécurité des réseaux et des transferts d’information
A.14Acquisition, développement et maintenance des systèmes d’information contient les mesures relatives à la protection des systèmes d’information ainsi qu’à la
A.15 Relation avec les fournisseurs traite des mesures visant à protéger les informations échanger ou transmises avec des fournisseurs dans le cadre de l’activité
A.16 Gestion des incidents liés à la sécurité de l’information évoque la mise en place d’un processus de gestion des incidents permettant d’identifier, traiter, également analyser les incidents en assurant leur traçabilité.
A.17 Aspects de la sécurité de l’information dans la gestion de la continuité de l’activité évoque le besoin de sécurité dans la continuité de l’activité
A.18 Conformité traite du besoin de s’assurer de la conformité de son SMSI avec l’ensemble des exigences contractuelles, réglementaire, ainsi concurrentielles auxquelles peut être soumise l’organisation
Les objectifs de la DDA
La déclaration d’applicabilité répond à 2 objectifs
Compléter l’analyse de risques avec des mesures de sécurité complémentaires et utiles pour réduire les risques.
Établir un niveau de mise en œuvre des mesures de référence pour garantir la sécurité du SMSI.
L’élaboration de la DDA intervient après la réalisation de l’analyse des risques. Une étape durant laquelle on détermine, identifie, évalue et détermine les risques les plus importants pour notre SMSI. Ensuite on pourra proposer des traitements visant à réduire ces risques.
Les traitements proposés peuvent être :
Des procédures permettant la maîtrise d’un processus
Des mesures techniques pour se protéger des risques cyber
Ainsi que des contrôles pour vérifier l’application des mesures de sécurité
Les mesures de l’annexe A sont donc des propositions de traitements supplémentaires pour réduire ces risques. La première étape de la DDA est de également déterminer l’application ou non d’une mesure.
Réaliser sa DDA
Pour chaque mesure de l’annexe A de la norme ISO 27001 on vient indiquer si la mesure est applicable ou non. Ainsi on pourra puis justifier la mise en œuvre ou l’exclusion.
Suite à l’analyse des risques, vous avez normalement identifié l’ensemble des risques portant sur votre SMSI et proposé ainsi des traitements pour réduire ces risques.
Les mesures de l’Annexe A (on parle aussi de “contrôle” en anglais) sont des propositions de mesure à appliquer pour réduire vos risques, en complément des mesures déjà identifié.
Pour chaque mesure, on commence par indiquer l’applicabilité ou non de la mesure en la justifiant.
Une mesure est applicable si elle nous permet de réduire l’un des risques du SMSI.
Une mesure est non applicable si elle ne nous permet pas de réduire un risque du SMSI, ou concerne un processus exclu du SMSI
Toute mesure figurant dans l’annexe A, qui ne contribue pas à réduire le risque ou qui est en dehors du périmètre de certification doit être exclu et une justification de cette exclusion doit être ainsi donnée. Il faut tout de même être très prudent dans les exclusions car les auditeurs n’aiment pas quand il y a trop d’exclusion. (le bon ratio doit être au-dessus de 100 mesures retenues)
Remplir la DDA
Pour compléter la DDA, on vient donc parcourir les 114 mesures de l’annexe A en appliquant le processus de décision suivant :
S’agit-il d’une nouvelle mesure qui est déjà en place ?
Si oui, l’ajouter dans les scénarios des risques concernées et réévaluer le risque.
S’agit-il d’une nouvelle mesure qui n’est pas en place ?
Cette mesure peut m’aider à réduire un ou plusieurs risques ?
Si oui, prendre en compte la mesure, pour cela définir les actions à mettre en place selon le niveau de risques. Ajouter ces actions dans le plan d’action du traitement de risques.
Si non, l’exclure dans la DDA et justifier l’exclusion.
Attention : Les actions à mettre en place pour prendre en compte une mesure vont dépendre du niveau de risque identifié. C’est à dire que chaque société va donc appliquer une même mesure mais les actions à mettre en place pour la conformité seront différentes selon les risques propres à la société. De plus, les mesures de l’annexe A ne sont pas exhaustives. C’est à dire que vous pouvez compléter la liste de mesures avec d’autres normes, référentielles ou mesures obligatoires à votre société par législation ou par des exigences contractuelles.
Visionnez notre superbe vidéo de notre chef de projet en cybersécurité
Exemple d’exclusion
Nous allons analyser la même mesure et le même risque dans le cas de 2 entreprises différentes :
A.11.2.2 Services généraux : Des mesures existent pour protéger le matériel des coupures de courant, réseaux et autres perturbations dues à une défaillance des services généraux.
Risque
Arrêt d’alimentation électrique de courte durée (1 jour) sur un site / bureau
Les deux entreprises sont :
Une société A qui a des Data Center et propose de service d’hébergement d’infrastructure physique avec infogérance
Une société B éditeur de logiciel qui soustraite le service d’hébergement à la société A. Et télétravaille de façon régulière pour l’ensemble des collaborateurs.
Pour la société A
La société A va donc devoir mettre en place des onduleurs et les tester régulièrement pour pouvoir justifier la conformité. Les risque d’une perte d’électricité dans le Data center est critique pour garantir la continuité du service.
Pour la société B
La société B en revanche n’a pas le même niveau de risque pour la perde de l’électricité dans ces locaux. Les mesures à mettre en place seront plus organisationnelles. Par exemple rentrer chez eux pour continuer à travailler à distance et surveiller annuellement le fournisseur pour vérifier qu’ils mettent bien en place les mesures de sécurité.
De plus, ce sont des exemples des actions à vous de définir les actions qui vont bien avec l’évaluation de vos risques.
Evolution de la Déclaration d’applicabilité
Version 2022
L’ancienne Annexe A correspondait aux mesures de l’ISO27002 de 2013, avec légères retouches en 2017.
En 2022 aura lieu un changement en profondeur :
Modification du nom : Sécurité de l’information, cybersécurité et protection de la vie privée Mesures de sécurité de l’information
11 nouvelles mesures
Réduction du nombre globale de mesure avec un passage de 114 à 93 mesures dû à des fusions de mesures
Passage de 14 à 4 thématiques
(A5) Mesures organisationnelles : 37 mesures
(A.6) Mesure des personnes : 8 mesures
(A.7) Mesures physiques : 14 mesures
(A.8) Mesures technologiques : 34 mesures
Pour conclure, la Déclaration d’applicabilité, DDA contient l’ensemble de l’Annexe A avec ses 114 mesures. Elle réponds à 2 objectifs. Dans un premier temps il faut donc compléter l’analyse de risques avec des mesures de sécurité complémentaires et utiles pour réduire les risques. Et dans un deuxième temps il faut aussi établir un niveau de mise en œuvre des mesures de référence pour garantir la sécurité du SMSI. Pour plus d’informations, accèder à notre page de contact.
Contactez-nous
Des projets ? Des questions ? N'hésitez pas à nous contacter !
We use cookies on our website to give you the most relevant experience by remembering your preferences and repeat visits. By clicking “Accept”, you consent to the use of ALL the cookies.
This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Necessary cookies are absolutely essential for the website to function properly. These cookies ensure basic functionalities and security features of the website, anonymously.
Cookie
Durée
Description
cookielawinfo-checbox-analytics
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional
11 months
The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy
11 months
The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
Functional cookies help to perform certain functionalities like sharing the content of the website on social media platforms, collect feedbacks, and other third-party features.
Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.
Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics the number of visitors, bounce rate, traffic source, etc.
Advertisement cookies are used to provide visitors with relevant ads and marketing campaigns. These cookies track visitors across websites and collect information to provide customized ads.
