jQuery(function($){ $('.logo_container a').attr('href','https://feelagile.com'); });
Comment démarrer un projet de certification ISO 27001 ?

Comment démarrer un projet de certification ISO 27001 ?

Vous souhaitez vous lancer dans un projet de certification ISO 27001 mais vous ne savez pas comment démarrer le projet dans votre entreprise ? Vous vous sentez perdus face à l’immensité de la tâche ? Nous allons voir dans cet article les premières actions que vous pouvez mener dès le départ, avant même de répondre aux exigences de la norme.

Cadrer le projet de certification ISO 27001

Vous savez que vous voulez mettre en place la certification ISO 27001. Vous avez acheté les textes des normes. Et Vous les avez lus. Maintenant, comment commencez vous ? Comment démarrer un projet de certification ISO 27001 ?

1 – Prévoir les coûts

La première étape est d’avoir conscience, de prévoir et de planifier dans sa trésorerie le coût financier d’un tel projet de certification. Il est nécessaire de distinguer deux types des coûts : le coût interne (de la mise en oeuvre) et le coût externe de la certification :

  • le coût interne s’estime selon la maturité et la complexité de votre entreprise. Il faut prendre en compte les coûts liés au temps passé par vos équipes sur le projet de certification et les outils et mesures que vous allez déployer pour apporter une réponse aux exigences de la norme ISO 27001. C’est dans cette phase que faire appel à un consultant externe peut vous aider à structurer votre démarche de certification en gagnant du temps et vous garantir de ne pas tomber dans une « sur-documentation » pour passer la certification.
  • le coût externe est calculé par l’organisme certificateur en fonction du périmètre à certifier de votre entreprise, de la taille de votre entreprise pour déterminer un temps d’audit qui sera facturé.

Le retour sur investissement des démarches de certification est très positif pour les entreprises en terme d’organisation et de développement commercial

En savoir plus sur les coûts de la certification

2 – Avoir une démarche volontaire et impliquée

S’engager dans une démarche de certification ISO 27001 demande de l’investissement et une vraie volonté provenant de la direction. Il faut en moyenne compter une année pour se faire certifier ISO 27001. Il n’y a jamais de bon moment pour entamer cette démarche, vous n’aurez jamais toutes les conditions réunies pour « être prêt » à commencer. Alors, un conseil, lancez-vous !

Le soutien de la direction est primordiale ainsi que son implication dans les décisions et la communication

La première étape : Diagnostic de l’entreprise

Une fois les contours du projet définis, vous pouvez commencer à entamer une première phase de diagnostic : aller à la rencontre de vos équipes et écouter vos clients.

1 – Faire un premier recensement ?

Vous pouvez commencer par faire un premier recensement des outils utilisés par toutes vos équipes, des documents qui existent concernant les différents process de l’entreprise. Ce recensement vous fera une base sur laquelle vous pourrez vous appuyer pour vos prochaines actions.

2 – Aller sur le terrain

Ensuite, vous pouvez aller sur le terrain pour rencontrer vos équipes ou échanger avec vos clients sur la sécurité ! Cela va vous permettre de compléter votre premier état des lieux de ce qui existe déjà (en termes de process, d’organisation de travail) et de connaitre les problématiques actuelles et les attentes en matière de sécurité de l’information.

3 – Mobiliser les compétences en interne

Ensuite, il est essentiel de déterminer les rôles de chacun dans le projet de certification. Qui sera chef de projet certification en interne ; c’est-à-dire responsable du suivi des actions ? Qui sera RSSI ; responsable de la mise en œuvre de la sécurité et du contrôle ? Comment les équipes devront-elles travailler ensemble sur ce projet ?

4 – Faire appel à un consultant externe

Vous voulez tout de suite commencer ce projet sur des bonnes bases et suivre la bonne direction pour vous faire certifier ? Faites appel à un consultant externe qui pourra vous conseiller au mieux sur votre démarche. Cela vous permettra d’avoir un regard extérieur sur votre projet, de mieux organiser votre démarche et du coup de gagner du temps ! Ce n’est pas négligeable… Chez Feel Agile, nous souhaitons construire avec vous des fondations solides pour que votre certification soit une vraie démarche d’amélioration de votre entreprise.

Pour diagnostiquer la sécurité dans l’entreprise vous pouvez vous appuyer sur la norme de bonnes pratiques ISO 27002

Obtenir l’ISO 27002 code de bonnes pratiques en sécurité de l’information

Commencer à documenter

En dernier lieu,  vous pouvez également créer votre documentation (avoir le réflexe de documenter vos process ou procédures). En partant de votre premier état des lieux, vous verrez déjà des manques à combler, des process non décrits, des documents non actualisés,… Le but ici est de documenter toute votre action en matière de sécurité de l’information.

Ce sera toujours utile et pourra servir de base pour vos actions futures !

Une fois que vous avez effectué toutes ces étapes, vous êtes plus que prêts à vous lancer entièrement dans la démarche de certification ! Feel Agile vous accompagne tout au long de votre action, du diagnostic à la certification.

Nous avons abordé quelques éléments clés pour répondre à la question « Comment démarrer un projet de certification ISO 27001 ». Si vous souhaitez en savoir plus sur notre accompagnement, contactez-nous ! Nous serons ravis de répondre à vos questions !

Contactez-nous

Des projets ? Des questions ? N'hésitez pas à nous contacter !


Comment innover dans l’approche de la certification ISO 27001 ?

Comment innover dans l’approche de la certification ISO 27001 ?

Rencontre avec notre CEO, Thomas De Mota, qui va vous faire redécouvrir la démarche de certification !

La démarche de la certification est souvent abordée comme une mise en règle documentaire contraignante des normes pour répondre à une exigence client. Comment pouvons nous l’aborder d’une autre manière ?

Vous souhaitez vous lancer dans une démarche de certification ISO 27001, mais vous ne savez pas comment vous y prendre ? Vous vous imaginez peut-être devoir produire une montagne de documents et répondre à une liste incalculable d’exigences ?

Et si vous l’envisagiez d’une autre manière ?

C’est tout à fait vrai qu’il y a de la documentation à produire. Les règles de sécurité ainsi que les politiques de sécurité sont à établir. Les procédures doivent également être définies dans des documents formels. C’est la réalité, mais il faut savoir que c’est juste un aspect de la démarche de certification. Essayons plutôt de l’envisager sous un autre angle, celui de l’innovation.

L’innovation ? Nous pouvons innover quand nous lançons notre démarche de certification ISO 27001 ?

Tout à fait ! C’est notre manière de faire chez Feel Agile.

Innover c’est créer des marges de manœuvre sur la façon dont nous allons mettre en place la norme ISO 27001 et la sécurité.

Pour pouvoir innover, il faut donc déjà bien connaitre la norme et le texte. On parle ici de la norme ISO 27001, mais aussi de toutes les normes d’accompagnement (ISO 27002, ISO 27003,…) Ce sont des normes qui vont traiter de points particuliers de la mise en œuvre de la 27001. C’est donc très important de les connaître en profondeur afin de trouver et de comprendre la marge de manœuvre possible. En connaissant ce socle minimal des exigences, nous ne nous mettons pas de barrières trop importantes pour innover. L’auditeur ne peut pas vous rajouter des exigences qui ne sont pas définies dans la norme.

Pour innover, il faut connaitre à la perfection les normes pour connaitre nos marges de manœuvre

Comment cela se traduit concrètement, un exemple ?

Prenons l’exemple de la Revue de Direction. Auparavant, nous faisions la Revue de direction de façon semestrielle ou annuelle. Nous y passions en revue les incidents, tous les sujets de sécurité.

Quand une entreprise est mature sur ces sujets, cela fonctionne très bien. Mais quand on met en place les choses, c’est mieux de tenir des Revues de Direction mensuelles. Cela permet d’ancrer la Revue dans les pratiques plus facilement. Certains consultants diraient qu’on “n’a pas le droit “ et que  “ce n’est pas du jeu” mais si justement, on a le droit ! Tant qu’on remplit l’exigence minimale de passer tous les sujets de sécurité une fois par an, on a tous les droits de l’adapter à notre convenance.

Par exemple, nous pouvons revoir les incidents au mois de janvier et les risques au mois d’août. Nous ne sommes pas obligés de traiter tous les sujets en même temps. C’est d’ailleurs ce que je conseille, pour pouvoir intégrer les sujets plus régulièrement et que ce soit à jour tout le temps. Cet exemple est parlant et nous pouvons le décliner sur toutes les exigences de l’ISO 27001.

Faire des revues de direction courtes, participatives tous les mois

Qui peut adopter cette démarche ?

Cette manière d’aborder la certification s’adresse beaucoup aux entreprises à l’esprit agile. C’est vraiment appliqué l’esprit « agile » à la sécurité.  Nous avançons par petits bouts régulièrement, nous découpons tout, plutôt que de tout construire d’un coup en faisant quelque chose de trop compliqué.

Est-ce que les entreprises qui n’ont pas ce fonctionnement agile peuvent tout de même mettre en place cette démarche pour leur certification ?

Oui complètement. C’est tout à fait indépendant des méthodes officielles. On l’applique directement à l’organisation. Ce qui peux amener l’entreprise à évoluer dans sa façon de se structurer.

Cependant, c’est plus complexe sur les grands projets informatiques pour intégrer la sécurité car il y a souvent un historique qui est difficile à reprendre. Avec la norme ISO 27001, on parle vraiment de la sécurité dans sa globalité.

Quels sont les points importants dans cette démarche de certification ISO 27001 ?

Je pense que pour innover, la présence de la direction dans les décisions prises est essentielle.

Si vous voulez aller vite et être efficace sur la sécurité, vous pouvez aussi investir dans des petites formations de sensibilisation. Il existe aujourd’hui des outils très intéressants qui vous permettront d’automatiser vos campagnes de sensibilisation (comme Lucy Security).

Les outils qui vont également automatiser vos processus de sécurité sont également un investissement indispensable.

Rien ne remplace des sensibilisations présentielles, avec un dialogue direct avec les opérationnels

D’autre part, partir du terrain est autre élément important. Il faut construire des démarches de sécurité sur ce qu’il y a déjà en place. Bien connaître le terrain et ne pas calquer un système tout fait, c’est primordial ! Le système est ainsi construit de façon progressive et avec les équipes.

Ce qu’on préconise au début, c’est de faire des audits dès le commencement du projet. Les personnes sont ainsi préparées et sensibilisées très tôt. Au lieu de faire uniquement des audits blancs, on privilégie les démarches d’audits internes concrets et opérationnels. Cela permet de remonter les informations du terrain et de connaître l’existant parfaitement pour construire un système adapté.

Intégrer les audits flashs par sujet ou processus

Si nous voulons démarrer un projet de certification, comment pouvons-nous dès le début poser les bonnes bases ?

Le plus important c’est que la direction de l’entreprise soit impliquée. Elle doit l’être de façon très concrète en s’occupant des sujets de sécurité et des incidents, en demandant des comptes. Elle va également imposer des politiques de sécurité. En imposant les bases, les règles minimum en matière de sécurité, la direction montre son engagement fort dans la démarche. Mais attention, il faut qu’elle puisse assumer ces choix et les ressources liées au bon fonctionnement de cette politique !

Comment pouvons-nous nous assurer que la démarche mise en place corresponde à l’ADN de notre entreprise ?

La sécurité c’est valable pour toutes les entreprises ! La confiance au sein des entreprises est indispensable mais elle est insuffisante : on ne peut pas faire de sécurité sans contrôle. Pour autant, les notions de souplesse et d’adaptation sont présentes dans la sécurité. C’est ce qu’on appelle la sécurité opérationnelle : on tient compte de la réalité des personnes et de leur travail pour ne pas établir un système trop contraignant. Si c’est trop contraignant, le système et les règles vont être contournées… Le tout est donc de construire un château fort qui sera protégé par un système de contrôle intelligent.

Comment pouvons-nous continuer à être agiles après la certification ?

L’enjeu après la certification c’est de maintenir le système créé progressivement. Pour réussir cela, il faut maintenir la même philosophie, la même démarche, et l’effort dans la durée !

Est-ce que je peux retrouver cette vision chez tous les consultants en ISO 27001 ?

Il y a de nombreux consultants qui partagent cette vision et cette approche mais il faut vérifier lors du recrutement que dans les faits cette philosophie soit vraiment présente. Opter pour l’innovation dans la démarche ISO 27001 vous donnera des résultats en termes de sécurité et aussi de certification !

Si vous souhaitez en savoir plus sur notre accompagnement à la certification, retrouvez toutes les informations ici et sur notre FAQ.

N’hésitez pas à nous contacter pour toute question.

Contactez-nous

Des projets ? Des questions ? N'hésitez pas à nous contacter !


Comment choisir le bon prestataire pour un accompagnement ISO 27001 ? – Partie 2

Comment choisir le bon prestataire pour un accompagnement ISO 27001 ? – Partie 2

I – Choisir un prestataire 

Dans cette deuxième partie, nous allons discuter des différentes catégories d’entreprise vous pouvez rencontrer ou des différents dispositifs d’accompagnement existants. 

Vous n’avez pas consulté la première partie de cet article ? Cliquez ici !

Le choix des consultants indépendants 

Dans les faits le choix d’un consultant indépendant non adossé à un réseau n’est pas le choix idéal. 
Opter pour un consultant indépendant ou une petite société pour accompagner un projet de certification ISO 27001 peut présenter certains inconvénients. Bien que l’expertise individualisée et l’approche personnalisée soient des avantages, les entreprises pourraient se heurter à des limites en termes de ressources et de disponibilité. Un consultant indépendant, gérant simultanément plusieurs clients, pourrait ne pas être en mesure d’offrir la réactivité et l’attention continues que requiert ce projet.

De plus, si l’expertise du consultant est étendue mais peu profonde, il pourrait ne pas posséder des connaissances spécialisées nécessaires pour des cas de figure complexes ou spécifiques à un secteur d’activité (juridiques ou en cybersécurité). Il y a également le risque qu’un seul consultant ne dispose pas d’un réseau de contacts étendu pour soutenir le projet. Contrairement aux cabinets de conseil qui peuvent offrir une équipe multidisciplinaire et un accès à un éventail plus large de compétences et d’expériences. Enfin, la continuité du service peut être menacée si le consultant tombe malade ou décide de changer de carrière.  

De plus la question des couts est contre intuitive car à prestation égale le consultant indépendant va être plus cher et surtout sans engagement. Nous avons constaté que certains projets dépassez les 60/80 K € sans apporter de réels résultats. 

La société de formation 

Le choix d’un cabinet de formation qui fait uniquement de la formation pour un accompagnement ISO 27001 peut présenter certains inconvénients qui méritent une réflexion approfondie. Un cabinet de formation peut se concentrer principalement sur les aspects théoriques de la norme ISO 27001. Ainsi il pourra offrir une compréhension robuste des principes et des exigences. Mais pourra parfois manquer de l’expérience concrète de la mise en œuvre pratique nécessaire à une véritable intégration de la norme au sein des processus de l’entreprise. Cette lacune peut conduire à un fossé entre la théorie apprise et les applications pratiques, compliquant la phase d’implémentation. De plus, les cabinets de formation peuvent parfois adopter une approche standardisée. Cette approche ne tient pas compte des particularités et des besoins spécifiques de chaque entreprise. En conséquence cela peut s’avérer moins efficace pour des organisations ayant des exigences uniques.

La formation en groupe dispensée par ces cabinets peut également diluer l’attention individualisée qu’un consultant dédié pourrait offrir. Enfin, les coûts associés à l’embauche d’un cabinet de formation pour l’accompagnement peuvent être significativement plus élevés. Notamment lorsque des sessions de formation supplémentaires sont nécessaires pour couvrir tous les aspects de la norme et sa mise en application. Il est donc essentiel de s’assurer que le cabinet choisi offre un équilibre entre formation théorique et support pratique adapté aux réalités opérationnelles de l’entreprise. 

La société d’accompagnement 

Opter pour un cabinet d’accompagnement spécialisé en ISO 27001 qui propose à la fois formation et soutien opérationnel représente un choix stratégique riche en avantages. L’un des principaux bénéfices réside dans l’approche intégrée offerte par ces cabinets, qui allie la transmission des connaissances théoriques essentielles à un accompagnement pratique personnalisé. Ce modèle permet aux entreprises de non seulement comprendre les exigences de la norme ISO 27001, mais aussi de savoir comment les mettre en œuvre de manière concrète et efficace au sein de leurs opérations quotidiennes.

Un cabinet d’accompagnement offre généralement l’expertise d’une équipe multidisciplinaire qui peut apporter une diversité de perspectives et de compétences, enrichissant ainsi le processus d’implémentation et augmentant les chances d’une certification réussie. De plus, l’assistance opérationnelle continue garantit que les pratiques de sécurité des informations sont non seulement conformes aux standards internationaux, mais aussi adaptées et évolutives en fonction des innovations. Enfin, l’investissement dans un cabinet d’accompagnement peut s’avérer économiquement avantageux sur le long terme, en évitant les erreurs coûteuses et en optimisant les processus internes, ce qui conduit à une amélioration de la gestion des risques et une meilleure résilience organisationnelle

L’externalisation 

L’externalisation de la mise en place de la norme ISO 27001, incluant la formation et l’accompagnement opérationnel via une solution logicielle, présente plusieurs avantages stratégiques pour une entreprise. Tout d’abord, cela permet d’accéder à une expertise spécialisée et à des ressources technologiques avancées sans les coûts et les engagements à long terme associés à l’embauche en interne. Les fournisseurs de services externalisés offrent des programmes de formation sur mesure qui peuvent être adaptés aux besoins spécifiques de l’entreprise, garantissant ainsi que le personnel comprend les exigences de la norme et sait comment les appliquer efficacement.

De plus, l’utilisation d’une solution logicielle dédiée facilite le suivi, la gestion et l’amélioration continue des processus de sécurité de l’information, rendant la conformité à l’ISO 27001 plus accessible et moins sujette aux erreurs humaines. Ce type de service offre également une flexibilité accrue, permettant aux entreprises de s’adapter rapidement aux évolutions de la norme ou à de nouvelles exigences réglementaires. Enfin, l’externalisation à travers une solution logicielle peut fournir une plateforme centralisée pour documenter, gérer et rapporter les mesures de sécurité, ce qui simplifie l’audit et la certification tout en offrant une vue d’ensemble cohérente de la posture de sécurité de l’organisation. 

II – Critères de Sélection d’un Prestataire

 Expertise et expérience : Importance de l’expérience dans des projets similaires. 

Il faut tout d’abord comprendre ce que veut dire être compétent en matière d’ISO 27001, voici les éléments clés de comparaison qui sont issus de centaines de projets conduits en ISO 27001. 

Le nombre de projets accompagnés 

Il vous faut une société qui a accompagné de nombreuses certifications depuis peu d’années. Car les certifications d’aujourd’hui on bien évoluée depuis 3 ans. Les normes et règlementations ont évoluées, les exigences des certificateurs ont changés. Il n’est pas rare que certains prestataires restent ancrés sur des pratiques dépassées ou des exigences dépassées. 

L’actualisation des connaissances 

La sécurité et la règlementation nécessite une mise à jour constante il faut donc choisir un prestataire disposant des connaissances en organisation, documentation cybersécurité mais aussi juridique

De plus ce prestataire devra être en mesure de vous proposer un service de veille en cybersécurité. 

L’expertise en norme et certification 

Ces projets nécessitent fréquemment une expertise globale en normes de sécurité et de qualité, en processus de certification. Cette expertise en certification va vous permettre de bien maîtriser le résultat final en matière de certification. 

L’expertise en cybersécurité 

C’est un critère souvent oublié dans les choix des prestataires. Certaines société pense avoir les compétences requises pour implémenter les actions de sécurité ou ont déjà un partenaire dans ce domaine. 

Pourquoi est-ce important d’avoir un cabinet expert en cybersécurité 

Cela permet d’avoir des conseils sur les solutions les plus simples et économiques à mettre en place pour être sécurisé au plus haut niveau. Ainsi que de permettre de vérifier les solutions technologiques mises en place par vos partenaires actuels et d’avoir un regard extérieur et impartial. 

L’expertise juridique  

Il faut également que votre société d’accompagnement dispose des compétences nécessaires juridiques pour vous conseiller sur les aspects de réglementaire contractuel lié au RGPD ou lié à la réglementation en sécurité de l’information. 

Vous pourrez trouver plus d’informations sur notre site le Club Cyber en matière de sécurité de l’information et réglementation. Nous avons notamment un dossier spécialisé sur la réglementation en cybersécurité dans notre rubrique abonnement VIP du Club Cyber

L’intervenant principal (le chef de projet ou accompagnateur) 

Il y a des domaines qui induise parfois en erreur. Le choix de l’intervenant fait partie des erreurs les plus courantes, l’expérience est importante ainsi que les connaissances associées mais il faut avant tout une personne dotée de sens pédagogique et de capacité d’accompagnement au changement. Le profil type expert avec 20 ans d’expérience aura les qualités de parler comme une encyclopédie mais ne permettra pas forcement de vous accompagner correctement. Bien entendu cet intervenant pourra bénéficier de l’aide d’un support interne en terme d’expertise (Cyber ou juridique principalement).

La méthode 

Les méthodes utilisées sont d’une importance cruciale, même si vous ne pouvez pas en juger facilement, une bonne méthode vous aidera à réussir le projet et une méthode complexe vous entrainera dans un projet à rallonge. Faites confiance à votre perception lorsque les prestataires vous présentent la méthode : Est-elle claire ? Est-elle simple ? demander à plusieurs interlocuteurs au sein de la société pour voir s’il y a les mêmes informations. Est-ce une méthode basée sur des principes en phase avec votre culture ? 

Les outils et solutions

Un projet sans outil et solution va vous obliger à utiliser des outils bureautiques comme Excel et Word ou à passer énormément de temps à développer votre propre solution. 

D’expérience nous n’avons pas vu de société qui avait réellement réussi à mettre en place une solution par elle-même pour suivre un système de management. Il est donc important de s’appuyer sur un logiciel du marché. Les coûts des logiciels réellement à jour et utile ne dépasse pas 5000€ annuels. Mais ce sont des logiciels assez structurés afin de pouvoir maintenir dans le temps votre système de management, de bénéficier des balles de bases de connaissances inclues et à jour, ainsi que de la possibilité d’automatiser votre système de management et donc de gagner du temps chaque année dans la mise en place d’actions de sécurité le maintien.

Les biais individuels

Comme dans tout choix de solutions on pouvait avoir des biens individuels qui sont liés à vos précédentes expériences ou à des expériences de partenaires. Il était important de prendre du recul afin de ne pas rester sur des a priori ou des fausses croyances. 

Parmi ces fausses croyances on peut trouver par exemple : 

  • une certification ISO rate cette vue là ce n’est que de la documentation 
  • une prestation d’accompagnement sera forcément plus chère qu’un consultant indépendant 
  • si je veux quelque chose de sur-mesure il faut forcément tout refaire pour moi 
  • … 

Je ne peux vous recommander que de comparer les différentes approches et de rester ouvert aux arguments les plus factuels. 

Les certifications

Les certifications dont doit disposer l’entreprise sont de 3 types : 

  • les certifications individuelles des consultants, 
  • Les certifications de type ISO ISO 27001 notamment (ce qui peut démontrer que le prestataire applique les mêmes principes que ce qu’il préconise). 
  • d’autres qualifications techniques peuvent exister en matière de sécurité informatique 

III – Considérations Financières 

Le budget global d’un projet ISO 27001 juste pour les achats externes et d’environ 50 000 € minimum. Pour des sociétés qui n’ont pas ce budget il faut envisager une démarche un petit peu différente qu’un accompagnement. Vous pouvez contacter nos services si vous voulez plus d’informations concernant ce sujet spécifique : Solution Stellar

Si vous voulez comprendre les coûts des accompagnements nous avons fait une FAQ et des vidéos sur ce sujet.

Le cout est toujours composé du temps passé en interne, du temps et des coûts d’accompagnement, des couts de maintien, des couts de solutions de sécurité et du cout de certification. 

Il faut savoir que si vous êtes bien accompagné par une société cela va faire baisser bien entendu vos coûts internes, mais également vos coûts de maintien et vos coûts de certification. 

De plus certaines sociétés comme Feel Agile peuvent vous accompagner au montage de dossiers de subventions et vous guidez dans la meilleure stratégie pour construire votre projet financièrement. 

Optimiser les coûts sur la sécurité 

Le fait d’être bien conseillé sur la partie sécurité technique peut vous amener à faire des économies conséquentes. Notamment par le choix de solutions les plus adaptées à votre contexte en matière de cybersécurité. 

Les postes sur lesquels il est possible de faire des économies sont : 

  • les systèmes de type soc externalisé ou les EDR 
  • les systèmes de peine test ou d’audit de sécurité 
  • le système de phishing ou de tests de collaborateurs ou de sensibilisation 

Dans ces différents éléments si vous êtes bien conseillé vous pourrez avoir les systèmes les plus optimiser parfois avec des solutions open source. 

Le choix d’une solution de gestion de votre certification ISO 27001 

Pourquoi choisir un logiciel de gestion de votre SMSI. Ce logiciel va avoir un coût si vous êtes entre autour de 5000€ annuel. Mais va permettre de gagner énormément de temps dans la mise en place et dans le maintien pour vous de votre certification.  

Si vous souhaitez une démonstration de notre solution partenaire vous pouvez contacter les équipes STELLAR.

Le coût de l’audit interne 

Vous êtes dans l’obligation pour la norme ISO 27001 de faire des audits internes complets la première année et des audits internes chaque année pour le la surveillance. 

Il est important de faire des audits internes assez complets et assez détaillés afin d’avoir un vrai et c’est dans les mêmes conditions que la certification mais avec plus d’exhaustivité afin de vous garantir la réussite d’un projet. 

Ainsi il est important d’avoir une certaine durée et donc un certain coût pour les audits internes. 

Le choix de l’organisme de certification 

Les prix peuvent varier de phase de façon significative, il est donc important de bien vous faire conseiller par votre organisme accompagnateur. De plus il est important de comprendre que le rôle de l’organisme de certification est uniquement de vérifier la mise en place d’un système. Il ne peut donc pas être juge et parti et vous accompagner ou vous former. Méfiez vous donc des sociétés de certification qui ne respectent pas ce minimum de déontologie, ce n’est généralement pas bon signe.  

De plus, ils peuvent avoir des biais importants car ils ne font pas de maintien ou d’accompagnement réel mais une vision uniquement sur la finalité du projet et pas la vie interne de l’entreprise. 

La gestion du partenaire de certification représente aussi un temps important donc n’hésitez pas à poser la question à votre partenaire si sa prestation inclut cette gestion de l’organisme de certification et le montage des dossiers. Dans les accompagnements proposés par notre société toutes les actions nécessaires à la certification sont incluses dans l’accompagnement. 

IV – les Propositions et les Devis 

Bien entendu les propositions et les devis doivent être claires et détaillées. Ceci dit ce n’est pas parce que un prestataire fournit une présentation avec une cinquantaine de pages que c’est un bon signe. 

Il s’agit encore une fois d’accompagnement où il faut privilégier les capacités pédagogiques donc la clarté la simplicité des documents de produits plutôt que le poids de la documentation. 

Privilégiez les présentations synthétique mais qui présente l’ensemble des critères précis de l’accompagnement et le contenu des prestations qui vont être réalisées. 

Les sociétés qui laissent planer un flou sur les livrables sont à exclure comme celle qui ne sont pas capables de vous indiquer un forfait précis de coût d’une prestation. 

En effet une société qui maîtrise bien l’accompagnement ISO 27001 et tout à fait capable de vous dire précisément l’étendue de son travail d’accompagnement pour atteindre un résultat avec une entreprise. 

Les sociétés qui ne s’engagent pas sur un forfait soit en fait des sociétés qui n’ont pas réfléchi au processus d’accompagnement et qui n’ont pas vraiment d’approche méthodique en termes d’accompagnement au changement. 

V – Communication et Support 

Conclusion 

  • Récapitulation de ces deux parties sur « Comment choisir le bon prestataire pour un accompagnement ISO 27001 ?« 

Contactez-nous

Des projets ? Des questions ? N'hésitez pas à nous contacter !


Comment choisir le bon prestataire pour un accompagnement ISO 27001 ? – Partie 2

Comment choisir le bon prestataire pour un accompagnement ISO 27001 ?- Partie 1

Cet article vise à fournir un guide complet pour choisir votre prestataire pour les entreprises cherchant à obtenir la certification ISO 27001. 

Pourquoi avoir rédiger ce guide ? 

Cet article vise à guider les CEO et CTO dans leur projet ISO 27001. 

Nous avons vu tellement de société manquer leur projet en partant seul ou en choisissant la mauvaise solution par manque de compréhension de ce qu’est l’ISO 27001 que nous avons voulu éclairer les entreprises qui se lancent dans le domaine. 

Comment avons-nous rédigé ce guide ? 

Nous avons rédigé ce guide en nous basant sur des dizaines de retours d’expérience d’entreprise que nous avons accompagnés mais également qui sont venus à nous après un projet en certification ISO 27001 dans lequel ils avaient eu énormément de difficultés. Nous avons donc compilé les éléments qui font un projet réussi mais à ce si ceux qu’il faut éviter de faire pour réussir son projet. 

Qui est Feel Agile ? 

Feel Agile est le leader français en matière de certification en cybersécurité et notamment en ISO 27001. Notre société dispose d’un grand nombre de retours d’expérience concernant les certifications ISO 27001 mais également d’une grande réflexion sur les innovations à mettre en œuvre pour rester agile tout en mettant en place ce type de certification et en structurant vos processus. 

I – Quelques brefs rappels sur l’ISO 27001 

Si vous connaissez déjà bien l’ISO 27001 et que vous avez conscience de la complexité du projet vous pouvez passer cette première partie. 

1 – L’ISO 27001 un Must Have en cybersécurité 

L’ISO 27001, devenue un must have en matière de sécurité de l’information, revêt une importance capitale dans les relations commerciales en France. 

Cette norme fournit un cadre rigoureux pour gérer et protéger les informations d’entreprise et des clients, garantissant ainsi l’intégrité, la confidentialité et la disponibilité des données essentielles.  

En instaurant des processus standardisés et une culture de la sécurité au sein des organisations, l’ISO 27001 aide non seulement à prévenir les violations de données, mais renforce également la confiance des clients et des partenaires.  

Dans un monde où la sécurité des données est un critère de plus en plus crucial pour les entreprises de toutes tailles, la certification ISO 27001 devient un atout majeur, attestant de l’engagement d’une organisation envers la sécurité de haut niveau. 

On vous explique pourquoi l’ISO 27001 devient un MUST HAVE en 2024 :

Le ROI d’une démarche ISO 27001 : 

  • Gain en commerce et croissance de 20 à 50 % de CA 
  • Une image commerciale améliorée 
  • Un avantage concurrentiel 
  • Une meilleure organisation 
  • Une montée en gamme 
  • L’amélioration continue 

2 – Pourquoi est-ce important de choisir un bon prestataire pour réussir sa démarche ISO 27001 ? 

Choisir le bon prestataire pour un accompagnement à la certification ISO 27001 est une démarche stratégique au-delà du seul projet de certification. Tenter de naviguer seul à travers le maquis complexe des exigences de la norme et des règlementations en sécurité (NIS 2, RGPD) peut s’avérer non seulement ardu mais risqué.  

En effet le cout d’un projet raté peut chiffrer en centaines de millier d’euros pour une PME.  

Un prestataire qualifié va vous apporter une expertise dans des domaines larges (juridique en SI, techniques en cybersécurité et organisationnel) et des expériences significatives, éléments indispensables pour éviter les erreurs coûteuses et garantir la conformité sur le long terme 

Il vous apporte également des conseils personnalisés et des solutions de cybersécurité simples et éprouvées pour réussir la certification.  

Ce partenariat permet de mettre en place un SMSI (Système de Management de la Sécurité) qui sera maintenable dans le temps. 

En somme, le choix d’un bon prestataire transforme un processus potentiellement complexe et risqué en un chemin structuré et maîtrisé vers l’amélioration continue de sécurité de l’information. 

Réussir à coup sûr sa certification ISO 27001 !

II – Bien comprendre l’ISO 27001 pour engager la démarche 

1 – La vraie certification ISO 27001

La certification ISO 27001 n’est pas simplement un ensemble documentaire ni une série d’exigence auquel il faut répondre les unes après les autres. 

C’est la mise en place d’un Système de sécurité de l’information, de cybersécurité et de gestion des données personnelles qui implique trois éléments clés : 

  • Une conformité règlementaire 
  • Un système de management technique et organisationnel 
  • Une cybersécurité technique 

Les causes majeures des échecs (soit qu’ils durent plus de 12 mois, soit qu’ils amènent à un échec avec un nombre d’écart important) sont une incompréhension sur ce qu’est la certification ISO 27001 et un mauvais choix de prestataire. 

Pour les dirigeants d’entreprise, tels que les CTO et CEO, comprendre l’importance de cette norme est la première étape cruciale vers une démarche proactive de sécurisation de leurs systèmes d’information. 

Mal construire son SMSI, est comme mal organiser son entreprise, cela ne se termine pas forcément bien. 

Consulter notre FAQ

2 – Les avantages d’une certification réussie pour une entreprise

Que veut dire réussir sa certification ? 

C’est certainement une question que vous devez vous poser en interne avant de démarrer le projet. 

Je vous apporte quelques pistes de réflexion : 

  • Une certification réussie, c’est d’abord une certification sans écarts majeurs donc la nécessité d’être bien conseillé. 
  • Ensuite c’est une certification qui sera facile à maintenir car vous devrez passer des audits de surveillance annuels.  
  • C’est une démarche qui engage et motive les collaborateurs 
  • C’est une démarche qui structure l’entreprise sans alourdir les processus 
  • Une démarche qui diminue réellement les risques cyber ou règlementaire 

À vous également de définir vos objectifs à la fois en termes de résultat mais aussi de déroulement de projet. 

Pour aller plus loin vous pouvez consulter nos deux ressources vidéo :  Les pires erreurs en matière de certifications ISO 27001.

Quels sont les éléments critiques de l’ISO 27001 ?

  1. La conformité règlementaire 
  2. La cybersécurité technique 
  3. La documentation de sécurité et les process 
  4. Le process de certification 

        3 – Avant de démarrer  ? 

        Les bonnes questions à se poser 
        Comprendre ou vous en êtes en matière de sécurité de l’information et de conformité ISO est une étape fondamentale avant de se lancer dans le processus de certification ISO 27001.  

        À ce stade vous avez deux options : 

        • Réaliser un autodiagnostic, avec notre outil, vous pouvez également nous contacter pour avoir un échange sur le résultat gratuitement de votre autodiagnostic 
        • Réaliser un Gap Analysis plus complet  

        Le Gap Analysis une évaluation complète de l’état actuel de la sécurité de l’information de votre entreprise. Cela implique de réaliser des échanges pour identifier les vulnérabilités, risques, les processus déjà en place et les écarts par rapport au standard ISO 27001. Cette analyse approfondie permet d’identifier un plan d’actions clair de ce qu’il faut mettre en place et d’établir vos besoins réels d’accompagnement et conseil. Vous serez également formés lors de ces accompagnements. 

        Ces Gap Analysis permettent de définir clairement les objectifs de la certification : 

        • Le Périmètre de la certification 
        • Les délais réalistes 
        • Le Cout de la démarche 
        • Les Subventions disponibles pour le diagnostic 

        Faire intervenir un expert dès le début du projet permet de partir dans la bonne direction. 

        III – Définir vos attentes et critères 

        Vous avez déterminé un périmètre de certification, un budget prévisionnel et avez conscience que c’est un projet qui va vous mobiliser entre 6 mois à 12 mois

        Votre diagnostic vous a donné les indications quant à la maturité de votre système. 

        Pour définir vos attentes en termes d’accompagnement, voici quelques conseils concernant le fond des accompagnements. 

        La conduite du projet 

        Quel que soit la taille du projet la conduite du projet est un éléments clé de la démarche. Pour réussir le projet il vous faudra un planning et des indicateurs pour suivre la mise en conformité et l’état de la documentation et des actions. C’est la conduite du projet associé à la bonne expertise qui va vous permettre d’atteindre vos objectifs de certification. 

        La formation théorique 

        La formation théorique en ISO 27001 (même si celle -ci est importante) est clairement insuffisante et parfois même contreproductive. Certains prestataires vont proposer des quantités importantes de formation mais cela ne permet pas d’avancer concrètement sur le projet et de plus mobilise les collaborateurs. De plus ces formations sont souvent théoriques et mise en oeuvre par des sociétés qui ne font pas réellement de projet de certification. (Parfois même ces formations se transforment en lecture de norme) 

        Nous recommandons l’acquisition de bonnes formations en E-learning qui délivre un bon contenu de formation disponible à n’importe quel moment. Pour plus d’information vous pouvez consulter notre plateforme de formation en ligne : Cybakademy.com 

        Si vous faites quand même appel à des formations assurez vous de l’expérience réelle des formateurs, de l’adaptation à votre contexte et de la délivrance d’une véritable méthode. 

        L’accompagnement 

        L’accompagnement, avec la conduite de projet, fait partie des indispensable, des aides dont vous allez avoir besoin. C’est le cœur des prestations, il faut choisir une personne qui a de vraie qualité pédagogique, une méthode et de nombreuses expériences de mise en place. 

        L’audit interne de fin de projet 

        Nous recommandons le choix d’un interlocuteur certifié à minima ISO 27001 lead Auditor mais cette certification n’est pas suffisante. Nous pensons d’un audit blanc complet n’est pas suffisant en fin de projet, car celui -ci repose sur un échantillonnage. Ainsi, nous privilégions des approches d’audits couplé à des check-list pour être exhaustif. 

        L’appui à la certification 

        L’appui à la certification consiste en l’aide au choix des certificateurs, le montage du dossier de certification et la préparation des audits de certification

        Vous devez donc choisir des sociétés qui connaissent parfaitement le type de société

        Conclusion

        Pour conclure cette première partie, il est important de se rappeler des notions de la norme ISO 27001. Ces notions permettent de bien comprendre cette norme mais aussi de déterminer vos attentes sur votre projet ISO 27001. Sans ces notions, il est difficile de savoir comment choisir un bon prestataire pour effectuer un accompagnement ISO 27001 jusqu’à la certification.

        Dans la deuxième partie nous verrons plus en détails le choix du prestataire en fonction des entreprises et de leurs expériences . Nous allons ensuite passer en revue les différents critères de sélection d’un prestataire pour finaliser le choix d’un bon prestataire.

        Contactez-nous

        Des projets ? Des questions ? N'hésitez pas à nous contacter !


        La cybersécurité, moteur de la croissance des Startups

        La cybersécurité, moteur de la croissance des Startups

        Dans un écosystème de plus en plus exigeant et règlementé, la cybersécurité est devenue un enjeu majeur pour les startups. Entre protection des données (RGPD) et conformité réglementaire (NIS, HDS, PDP), il est essentiel de comprendre les risques et de mettre en place des mesures adaptées pour assurer la pérennité et la croissance de votre entreprise. (En effet, nous pensons que la cyber n’est pas un frein, mais un accélérateur, on vous explique pourquoi)

        Dans cet article, nous aborderons les enjeux, le contexte réglementaire, les actions minimales à mettre en place, l’importance des certifications et de la documentation, ainsi que les bénéfices attendus de ces démarches.

        Enfin, nous vous inviterons à un événement Feel Agile : Startup, PME : Comment préparer son plan cybersécurité ?

        Quels sont les enjeux pour les startups ?

        Aller vite ou sécurisé ?

        Les startups, en raison de leur taille et de leur rapidité d’innovation, n’ont pas toujours prévu les mesures de sécurité et peuvent être la cible privilégiée des cybercriminels.

        Une cyberattaque peut avoir des conséquences désastreuses pour une jeune entreprise : vol de propriété intellectuelle, perte de confiance des clients, interruption de service ou encore sanctions financières. Face à ces risques, il est crucial d’adopter une approche proactive et maîtrisée en matière de cybersécurité.

        Mais les enjeux liés à la cybersécurité vont bien au-delà de la simple protection des données.

        Les grands groupes et NIS 2

        En effet, elles doivent également répondre aux exigences de leurs partenaires, notamment les grands groupes, qui peuvent leur demander de remplir des questionnaires de sécurité très détaillés pour s’assurer de leur conformité. D’ailleurs, concernant ces grands groupes, la règlementation NIS 2 et son application entrainera l’obligation de certification ISO 27001 pour des 100aines de startups et sous-traitants.

        (Vous trouverez à ce sujet une vidéo au sujet de l’état des lieux règlementation + certification)

        27001, le booster de croissance !

        Ensuite, une bonne gestion de la cybersécurité est un élément rassurant pour les investisseurs potentiels. Ces derniers cherchent à minimiser les risques et préfèrent donc investir dans des entreprises ayant mis en place des mesures de sécurité solides et conformes aux réglementations en vigueur.

        Le graal étant l’obtention de la certification ISO 27001 en sécurité de l’information. Nos clients témoignent d’un avantage concurrentiel majeur suite à l’obtention de la certification.

        Ainsi, une approche proactive en matière de cybersécurité contribue non seulement à protéger l’entreprise contre les cyberattaques, mais aussi à renforcer sa crédibilité auprès des partenaires et investisseurs.

        Les actions clés à mettre en place pour sécuriser sa Startup ?

        Vous voulez convaincre des clients ?

        Si vous voulez convaincre des clients de vous suivre, vous devez vous sécuriser.

        Pour assurer une protection optimale, voici quelques mesures de base à mettre en place au sein de votre startup :

        • Sensibilisation du personnel : former les collaborateurs aux bonnes pratiques en matière de cybersécurité est essentiel pour prévenir les incidents.
        • Mise à jour régulière des logiciels : les correctifs de sécurité doivent être appliqués dès leur publication pour réduire les failles potentielles.
        • Utilisation d’outils de sécurité : un antivirus, un pare-feu et des solutions de chiffrement des données sont indispensables.
        • Gestion des accès : limitez les permissions et mettez en place une politique de mots de passe robuste. A minima, faites des outils de suivi des entrées et sorties, suivi des différents accès aux solutions SaaS…
        • Assurez des sauvegardes régulières : Il est important de sauvegarder les données de votre entreprise régulièrement pour éviter toute perte de données.
        • Activer la vérification en deux étapes dès que c’est possible

        La cyber pas si simple pour où démarrer ?

        Bien entendu, ces quelques actions et mesures, vous les connaissez déjà Mais vous avez certainement du mal à :

        • Prioriser les mesures
        • À y voir clair sur ce qui est mis en place
        • À suivre et être sûr que les mesures restent bien en place,
        • À prouver ce que vous faites

        C’est pour cela que l’on va plutôt vous conseiller à adopter une démarche structurée.

        1. Établir vos enjeux et le contexte règlementaire
        2. Lister vos actifs importants (données personnelles, données clients ..)
        3. Analyser vos risques (Mesures en place, risques, Mesures à mettre en place)
        4. Définir votre plan d’actions
        5. Piloter
        6. Contrôler via des contrôles de sécurité, audits ou tests d’intrusion
        7. Instaurer des contrôles automatiques et des revues
        8. S’améliorer (j’aime bien ce point)

        L’importance des certifications et pourquoi pas l’ISO 27001 ?

        Oh, mais cela ressemble à notre démarche 27001 ?

        Si vous en êtes là, vous devez franchir le pas et passer la certification ISO 27001

        La certification ISO 27001 est connue pour être une certification difficile, mais c’est faux !!!

        Elle demande de la structure, de la méthode et surtout de l’Expérience. Chez Feel Agile, nous avons accompagné des 10 aines de Startup, il faut suivre une méthode claire et assurer un tryptique sacré :

        • Un chef de projet qui pilote les actions
        • une sensibilisation
        • une vraie compétence dans la mise en place

        L’ISO 27001 est un gage de sécurité pour les clients et les partenaires. Elle atteste du respect des meilleures pratiques et des normes internationales. (L’ISO 27001, est une norme de management de la sécurité de l’information qui permet d’instaurer un Système de Management de la Sécurité de l’Information (SMSI) et de garantir la protection des données de l’entreprise et de ses clients.)

        L’ISO 27001 coûte cher ?

        Faux et archi faux !!!!

        Au-delà du classique « c’est un investissement », chez Feel Agile, nous nous sommes faits un point d’honneur à démocratiser la cybersécurité. Une Startup de moins de 10 collaborateurs peut mettre en place et obtenir la certification à moins de 10 K€ avec inclus la certification sur 3 ans. (Le 25 mai, on vous explique comment)

        Feel Agile, l’acteur cyber des Startups et entreprises agiles !

        Nous sommes fiers et reconnaissants d’avoir pu accompagner des dizaines de Startups ces deux dernières années dans les certifications ISO 27001, HDS, 9001 …

        Nous avons préparé pour vous quelques retours d’expérience de nos Startup préférées :

        ODROA – (certifié HDS) spécialisée dans l’analyse et la gestion de données dites sensibles comme les données de santé.

        Retour d’expérience du dirigeant, Partick PAYSAN, sur sa démarche HDS

        PHOENIX FLEET EXPERT, (certifié ISO 27001) – solution spécialiste de la gestion de flotte.

        Retour d’expérience de Nadège GOUSSAULT, Directrice Administrative et Financière

        VERYSWING – (Certifié ISO 27001) – Solution SaaS pour l’entreprise

        Retour d’expérience de Nicolas SAILLET, Dirigeant

        TOUS NOS WEBINARS en replay

        Accédez à tous nos REPLAY WEBINARS sur les certifications

        Contactez-nous

        Des projets ? Des questions ? N'hésitez pas à nous contacter !


        Responsabiliser les collaborateurs à la cybersécurité

        Responsabiliser les collaborateurs à la cybersécurité

        Nous assistons ces dernières années à une multiplication des cyberattaques contre les entreprises.  Selon l’ANSSI, leur nombre a quadruplé de 2019 à 2021 !  Les conséquences peuvent être terribles pour les entreprises. Atteinte à la notoriété et l’image de l’entreprise, perte d’exploitation engendrée par la mise à l’arrêt des systèmes informatiques, chantage financier des pirates, préjudice commercial…  Les entreprises se dotent donc de systèmes de sécurité très performants qui se révèlent… inopérants. 90% des incidents de sécurité informatique auraient pour origine l’erreur humaine (étude IBM) ! Alors comment faire en sorte de réduire ces risques et d’impliquer tous ses collaborateurs dans la cybersécurité ?

        I – La cybersécurité, l’affaire de tous 

        1 – Deux visions s’opposent 

        On entend souvent dire qu’en matière de cybersécurité, le problème se trouve “entre la chaise et le clavier”. Le nombre important d’incidents de sécurité informatique liés à une erreur humaine semble confirmer cette déclaration. Mais est-ce vraiment le cas ? Ne faudrait-il pas changer de perspective

        Et considérer les collaborateurs comme un moyen de protection qui n’est pas encore assez exploité ? Plutôt qu’un problème ? 

        Dans les entreprises, il y a souvent deux visions qui s’opposent. 

        D’un côté, les experts en sécurité informatique. Ils reprochent aux utilisateurs de ne pas respecter les principes de base de la sécurité et se sentent obligés d’augmenter constamment le niveau de sécurité des outils. Et d’un autre côté, les utilisateurs qui pensent que les experts ne prennent pas assez en compte leur réalité opérationnelle.  

        Ces utilisateurs peuvent se retrouver confrontés à des menaces dont ils ne soupçonnent même pas l’existence… Ce qui va rendre ainsi le système d’information vulnérable sans qu’ils en soient conscients… 

        Ces deux visions s’affrontent souvent et pourtant les deux camps veulent la même chose : une entreprise protégée. 

        2 – Changer de perspective 

        Il est donc important de mettre fin à ce décalage entre ces deux visions. La cybersécurité, c’est l’affaire de tous : de la Direction du Système d’Information, à la direction en passant par les collaborateurs.  

        On ne peut plus mettre de côté ces derniers dans la construction de la politique de sécurité de l’entreprise. Ils doivent faire partie intégrante de la sécurité et être considérés plutôt comme un nouveau levier d’amélioration plutôt qu’un frein inévitable ! 

        Cela demande un véritable changement de perspective : ne plus considérer l’humain comme le maillon faible de sa chaîne de sécurité mais vouloir le transformer en maillon fort. 

        Car on le sait, la vigilance et la capacité d’action des équipes sont essentielles pour maintenir la sécurité toute entière de l’organisation ! 

        L’une des clés qui vous permettra de changer de perspective est la mise en place de la démarche de certification ISO 27001. Chez Feel Agile, nous vous proposons de vous accompagner dans cette démarche et de vous aider à mettre en place des actions qui réconcilieront les deux visions de vos équipes pour avancer vers le même objectif : la sécurisation de votre entreprise.  

        3 – Les collaborateurs doivent se sentir responsables aussi de la sécurité 

        Qu’on le veuille ou non, chaque collaborateur est un maillon de la chaîne de sécurité. Chaque personne est donc un acteur essentiel de la politique de cybersécurité de l’entreprise. C’est à ce niveau que la prise de conscience doit s’opérer. 

        Les collaborateurs ne doivent pas se sentir sous pression de suivre telle ou telle règle de sécurité (souvent vues comme des contraintes) sans qu’ils en comprennent le sens. La DSI ne doit pas chercher à “faire peur” et à “contraindre” les utilisateurs mais plutôt à les impliquer davantage pour les responsabiliser. En considérant l’utilisateur comme un composant essentiel de la performance de la chaîne de sécurité, le message sera beaucoup plus adapté et pris en compte par les équipes. 

        Chez Feel Agile, nous oeuvrons dans ce sens en proposant une solution aux entreprises pour responsabiliser leurs collaborateurs : notre outil SMSI. Grâce à l’automatisation de votre système de management en SAAS, vous pourrez faire participer toute l’entreprise à la démarche de certification. Feedbacks, rappels, suivi en temps réel, documentation,… : tout est fait pour organiser votre démarche et faciliter votre certification. 

        Retrouvez tous nos webinaires à venir en cliquant sur ce lien !

        II – Créer une prise de conscience par la sensibilisation à la cybersécurité 

        Quand on entend sensibilisation à la sécurité, on a tous en tête la charte informatique et une séance de formation donnée par des experts de la sécurité, mais il faut amener la réflexion et l’action à un autre niveau. Pour changer la perspective des équipes et leurs rôles plus qu’important au sein de la chaîne de sécurité de l’entreprise, il est nécessaire de créer une véritable prise de conscience au sein de l’entreprise. 

        1 – Donner du sens aux mesures de sécurité 

        Ainsi pour toute action de communication, formation, sensibilisation, il ne suffit pas de délivrer simplement des indications ou des consignes. Il est indispensable de leur donner du sens. Pourquoi cette consigne est-elle nécessaire ? Qu’est-ce que ça pourrait engendrer si elle n’était pas suivie ? Quels en sont les risques inhérents ? Quel exemple peut-on donner pour faire prendre conscience des répercussions ? 

        C’est en comprenant les enjeux et les risques encourus que vos équipes seront plus intéressées par le sujet de la sécurité. Ils appliqueront avec beaucoup plus de conviction ces mesures quand ils comprendront concrètement leur rôle à jouer dans la stratégie de cyberdéfense de leur entreprise. 

        2 – Apprendre en continu 

        Pour que toutes les équipes puissent jouer leur rôle de “gardien” dans la sécurité de l’organisation, il est indispensable de les former régulièrement. En les initiant aux bonnes pratiques à adopter, les collaborateurs pourront analyser la situation rapidement et avoir les bons réflexes pour réagir

        Il ne s’agit pas seulement de les former une fois (notamment à chaque nouvelle arrivée dans la structure) mais plutôt d’établir une stratégie de sensibilisation dans le temps. Les équipes retiendront beaucoup plus facilement les informations délivrées petit à petit et de façon répétées qu’une grande journée de formation qui ne sera pas suivie d’autres actions par la suite. 

        Le format de e-learning est ainsi une solution intéressante en terme d’interactivité et de rythme de sensibilisation. 

        Pour que la formation soit un véritable levier de sécurité de votre entreprise, Feel Agile propose un abonnement à des formations à distance et des événements réguliers en fonction des besoins de vos collaborateurs et de leur niveau de maturité sur les enjeux de sécurité. Nous proposons par exemple un e-learning sur la certification ISO 27001 pour former à la partie organisationnelle, les processus et les procédures, ou encore une solution de formation des développeurs à la sécurité OWASP.

        Si vous souhaitez en savoir plus et connaître toutes nos offres, contactez-nous directement !  

        3 – Éveiller par la pratique 

        Une autre piste à creuser pour sensibiliser les équipes à la cybersécurité, c’est d’allier la pratique à la théorie. Pourquoi ne pas réaliser des simulations pour mettre les collaborateurs en condition réelles et les entrainer à réagir de la bonne manière ? Ils pourront ainsi mettre en pratique ce qu’ils ont appris pendant les sessions de formation et acquérir de véritables automatismes : quoi faire, qui prévenir, quel process appliquer ? 

        Les tests réguliers (test d’intrustion, phishing,…) ou tests de connaissances sont également un bon moyen d’améliorer l’intégration des automatismes, des réflexes à adopter en cas de cyberattaque. Cela permettra également d’évaluer les connaissances de vos équipes et de les entretenir dans le temps. 

        C’est pourquoi lors de nos accompagnements, nous proposons de réaliser des sessions de sensibilisation à distance ou sur site avec des expériences ludiques. Cette approche « gamifiée » de la cybersécurité permet aux équipes de s’impliquer, de se tester et d’intégrer des automatismes pour trouver une solution ensemble en cas de cyberattaque.  

        La chaine YouTube de la certification CYBER : La Chaine Feel Agile pour vous former gratuitement

        III – Mettre en place une communication interne 

        Nous l’avons vu, pour contribuer à la responsabilisation des collaborateurs à la sécurité de leur entreprise, il est important de communiquer. D’une part pour les faire changer de perspective et leur faire prendre conscience de leur rôle essentiel dans la chaîne de sécurité. D’autre part, pour qu’ils soient à même de détecter les comportements suspects ou adopter une grande prudence dans les informations qu’ils délivrent. 

        1 – S’adapter aux différents interlocuteurs 

        Un des enjeux pour une bonne communication, c’est de s’adresser à la bonne cible. Chaque personne ne va pas forcément être réceptif au même type de message. Ainsi, quand on va sensibiliser à la cybersécurité, il est essentiel d’adapter son message et le niveau d’expertise à son interlocuteur. Si les communications sont beaucoup trop complexes, les collaborateurs ne se sentiront absolument pas concernés et délaisseront ces enjeux. Au contraire, si les communications sont pédagogiques, accessibles à tous, il sera plus facile de les prendre en compte. Il est également possible de satisfaire leur curiosité et les inciter à aller plus loin avec la mise à disposition de ressources complémentaires. 

        2 – Communiquer dans les deux sens 

        La communication ne va pas que dans un sens. Délivrer des informations sans vraiment se pencher sur ce qu’en pensent les équipes est une erreur que vous pouvez aisément rectifier. 

        On demande souvent aux collaborateurs d’écouter des conseils ou des consignes mais l’inverse est rarement vrai. Alors que les équipes ont souvent beaucoup à dire. Des anecdotes sur leur expérience personnelle, des questions qu’ils se posent, des pistes d’amélioration qui pourraient être prises en compte… C’est en les écoutant et comprenant comment ils fonctionnent au quotidien que la DSI pourra mieux cibler ses communications et ses formations. Elle pourra adapter son message en fonction des pratiques concrètes des collaborateurs. 

        3 – Cultiver une culture de la sécurité dans l’entreprise 

        En adoptant une communication qui soit adaptée à l’interlocuteur, pédagogique et surtout positive (on arrête les messages anxiogènes et culpabilisants), vous allez créer une véritable dynamique au sein de l’entreprise pour constituer une culture de la sécurité. 

        Portée par la direction, cette culture de la sécurité renforcera le dispositif prévu par la DSI pour contrer les cybermenaces. Les collaborateurs, autonomes et actifs, qui auront accéder à un degré de maturité numérique élevé, deviendront ainsi un élément décisif du système de défense de leur organisation ! 



        IV – Notre solution CyberAgile 

        Ainsi la réponse aux cybermenaces ne peut pas être uniquement technologique. Nous le voyons bien, lorsque l’on parle de cybersécurité, il est plus que nécessaire de prendre en compte le « facteur humain ». Nous approfondissons d’ailleurs cette notion dans cet autre article. En permettant aux collaborateurs, aux utilisateurs finaux de faire partie de la solution et non plus du problème, l’entreprise va bâtir une culture de la sécurité essentielle pour se prémunir des attaques.  

        Chez Feel Agile, nous sommes convaincus de l’importance d’une politique de sensibilisation ciblée, maitrisée et planifiée. C’est pourquoi nous avons choisi d’accorder une grande place dans nos accompagnements à la sensibilisation des vos équipes avec la mise au point d’une solution globale et complète: CyberAgile.  

        Cet outil de sensibilisation et de simulation d’attaque est la réponse idéale pour former, impliquer et tester vos collaborateurs.  

        Vous pourrez ainsi :  

        – sensibiliser vos équipes sur un large panel de sujets liés à la sécurité de l’information : hameçonnage, RGPD, bonnes pratiques de gestion des mots de passe,… 

        – évaluer les connaissances de vos collaborateurs 

        – simuler des attaques pour évaluer la mise en application des mesures de sécurité 

        – utiliser la bibliothèque de plus de 300 supports liés à la cybersécurité 

        – organiser et piloter vos campagnes de sensibilisation  

        Si vous souhaitez en savoir plus sur cette solution, contactez-nous ! 

        J’espère que cet article vous aura apporté quelques idées de solutions.

         

        V – Webinaire sur la sensibilisation des collaborateurs

        Très prochainement nous allons réaliser un webinaire sur le thème « Faites de l’humain votre première ligne de cyber défense en cybersécurité ». Pour vous inscrire suivez les liens ci-dessous :

        « Sensibilisez et formez vos collaborateurs à la cybersécurité » : S’incrire au webinaire pour le Jeudi 27 oct. 2022 · 17:00 UTC+2

        https://feel-agile.webinargeek.com/ : Notre chaine des webinaires en certification cybersécurité !

        La chaine YouTube de la certification CYBER : La Chaine Feel Agile pour vous former gratuitement !

        Contactez-nous

        Des projets ? Des questions ? N'hésitez pas à nous contacter !


        Comment réussir son audit de certification ISO 27001 ? 

        Comment réussir son audit de certification ISO 27001 ? 

        Notre webinar vous serez utile concernant la réussite de votre certification, il aura pour objectif de vous faire comprendre correctement l’audit et le cycle de certification 27001, de vous conseiller au maximum pour vous préparer avant l’audit, éviter les erreurs et vous donner les pistes pour après votre audit.  

        Qu’est-ce qu’un audit ? 

        Il est important dans un premier temps de bien comprendre ce qu’est un audit :  

        Dans ces audits de certification, l’idée de l’auditeur est de vérifier votre SMSI, c’est-à-dire si vos politiques et vos procédures obligatoires sont bien en place.  

        Cet auditeur va vraiment venir chercher les conformités par rapport à la norme, et non un niveau de sécurité ou même une façon de faire. En fait, ils vont vérifier si vous avez mis en place les bonnes mesures de sécurité pour réduire les risques importants de votre société. 

        Parmi le travail que vous allez effectuer sur la période d’une année pour la préparation de votre SMSI, l’audit sera tout simplement votre examen final. Ainsi il vous permettra de vérifier vos compétences !   

        Le cycle de certification  

        Après avoir déterminé l’audit de certification, passons au cycle de certification. Ce cycle a une durée de 3 ans. Il est divisé en plusieurs parties, c’est-à-dire que chaque année va correspondre à un audit différent.  

        La première année, l’audit «initial». Elle se découpe en deux étapes.  

        La première va être tout simplement la rencontre avec l’auditeur. Le but de cet audit sera de vérifier la conformité de la documentation en fonction de ses critères.  

        Si tout se passe bien, vous aurez le feu vert pour continuer l’audit. Ainsi, lors de la deuxième étape votre SMSI aura la capacité de vous proposer un plan d’audit qui vous présentera chaque audit à effectuer, avec tel personne à tel horaire.  

        Ceci se passe durant 3 à 5 semaine, entre l’audit de l’étape 1 et celui de l’étape 2.  

        Dans celui de la première étape, l’auditeur vous rendra un rapport avec chaque point à améliorer par la suite, avant d’avoir des écarts durant la deuxième étape. Il est important de les corriger puisque l’auditeur va revenir sur ces sujets afin de vérifier que vous avez mis en place des actions pour améliorer votre SMSI.  

        Le vrai audit commencera avec la réunion d’ouverture. Cette réunion consiste pour l’auditeur de vous expliquer la démarche d’audit.  

        Uns fois l’audit passé, l’auditeur va donc émettre un rapport avec tous les constats qu’il a pu identifier lors des jours d’audit, ainsi qu’une recommandation. C’est là que vous allez devoir précisez quelles actions vous allez faire au niveau des différents constats que l’auditeur à identifier. 

        Ce rapport est ensuite envoyé à la commission des certifications qui va valider les rapports et émettre ou non le certificat !    

        Ne pas avoir son certificat ? 

        Nous avons un classement des constats d’audit avec différents niveaux, en commençant par les non-conformités majeures.  

        Ces conformités sont le non-respect d’une exigence de l’ISO 27001, règlementaire ou contractuelle. Le non-respect d’une exigence remet en cause la capacité du SMSI à atteindre le résultat attendu.   

        Ensuite, nous avons les points sensibles. Ce sont des sujets qu’il faut traiter afin qu’ils ne deviennent non conformité mineur.   

        Il est impossible d’avoir le certificat si vous possédez une de ses conformités. Lors d’un audit, l’auditeur l’inscrivera dans les rapports. L’auditeur aura donc un autre audit de planifier environ 3 mois après pour vérifier que les écarts majeurs identifiés sont corrigés. Après avoir fait ce deuxième audit, il reviendra vous donner la certification.  

        Dans un cycle de certification, vous allez avoir les mêmes audits sur les trois années. Une fois le cycle finalisé, vous recommencez sans refaire la première étape. 

        Concernant la durée, le premier audit dure entre 3 et 5 jours environ, et les autres eux environs 2 jours.  

        Se préparer AVANT l’audit ?  

        La première chose que nous recommandons est de faire un audit blanc. Ces audits sont similaires au vrai audit de certification. Ils permettent de voir une vue d’ensemble et de vous entrainer.  

        L’idéal est de le faire avec une société extérieure, afin qu’ils puissent vous auditer en vous donnant un rapport complet.   

        Informer aux autres  

        Ensuite, il est important d’informer l’ensemble des collaborateurs de l’importance de cet audit pour leur société, et les risques de ne pas obtenir la certification.  

        Il est aussi important d’informer les dates d’audit, afin que vos collaborateurs respectent les règles que vous avez définies, au niveau de la sécurité.  

        Visionnez notre vidéo sur You Tube !

        Contactez-nous

        Des projets ? Des questions ? N'hésitez pas à nous contacter !


        Présentation du cycle de certification (E-learning)

        Présentation du cycle de certification (E-learning)

        1. Le cycle de certification

        Le cycle de certification et l’obtention de votre certification 27001 ne sont que le début de votre progression en sécurité de l’information. Vous allez pouvoir apprendre à gérer la sécurité de l’information ainsi que votre SMSI sur le long terme, puisque la certification repose entre autres sur l’amélioration continue.

        Un audit de suivi ou de surveillance aura lieu annuellement. Ainsi, le même auditeur viendra dans chacune de ces années du cycle.

        C’est un excellent moyen pour les auditeurs de découvrir et de vérifier vos activités et de mieux connaître votre entreprise.

        Le moment du 1er audit est d’une importance primordiale. Les prochaines seront plus des révisions partielles.

        Ils se concentreront principalement sur les incohérences et les sensibilités trouvées lors des audits précédents et doivent donc être vigilants dans le traitement des résultats d’une année à l’autre

        Une des erreurs la plus fréquente va être l’absence d’action une fois qu’une entreprise est certifiée. C’est pour cela que cette notion d’amélioration qui est importante.

        Lors des audits de surveillance, les écarts et non-conformité repérés lors de l’audit initiale vont être inspectés.  

        Ainsi, si jamais les non-conformités mineures ne sont pas traitées, elles vont être qualifiées de majeure l’année suivante. Cela risque de bloquer la certification au cours du cycle.

        En rappel, l’auditeur lui vous donnera un simple avis favorable ou non lors de la fin de l’audit. C’est une commission qui va ensuite analyser le dossier et l’avis du tuteur, et statuera définitivement sur la certification.

        Il faut compter environ un mois avant d’obtenir la certification définitive.

        Ainsi, la mise en place du SMSI à une durée d’environ 6 mois/ 1 an en fonction de la société.

        2. Interpréter un rapport d’audit

        Passons aux écarts. L’audit à une durée variable et va dépendre du nombre du collaborateur qui maintiennent le SMSI.

        A l’issu de cet audit, un rapport sera transmis. Il contiendra les écarts majeurs, mineurs, les points sensibles, les pistes de progrès ainsi que les points fort.

        Pour décrire ces 5 constats d’audit, les écarts majeurs sont des non-satisfactions d’une exigence du référentiel qui touche à l’organisation, l’application et la normalisation du SMSI. Ceci entrain un risque très important pour le SMSI.

        Ensuite, les conformités mineures elles caractérisent la non-satisfaction de l’exigence du référentiel, mais n’entrainent pas de risque important de non-respect. La non-satisfaction d’une exigence ne compromet pas l’efficacité ou l’amélioration du SMSI dans le cadre d’une conformité mineure.

        Les points sensibles sont des éléments du SMISI sur lesquels les preuves d’audits montrent que l’organisme est conforme, mais risque de ne plus atteindre les exigences du référentiel à court ou moyen terme.

        Les pistes de progrès sont les voyant identifiés sur lesquels l’organisme peut progresser. Cela correspond au terme d’opportunité d’amélioration. Cette piste de progrès donne à l’organisme client la possibilité de soit dépasser les exigences de référentiel d’audit, soit d’améliorer la performance de cet élément du smsi, sans dépasser les exigences du référentiel.

        Et les points forts eux sont les éléments du smsi sur lesquels votre organisme dépasse les exigences du référentiel, ou se distingue par une pratique ou méthode performante.

        Ainsi, pour obtenir ce certificat, il est indispensable que vous ne possédiez aucune non-conformité majeure.

        Si vous en avez, vous allez avoir trois mois pour corriger. Par la suite, un audit sera replanifier pour vérifier les corrections, avant de passer à la certification.

        Pareil pour les non-conformités mineures. Il vous faudra les traiter pour l’audit de surveillance qui aura lieu l’année suivante, avant qu’elles ne deviennent des non-conformités majeures.

        Pour définir un écart, c’est simplement la différence par rapport aux critères d’audit. Pour les constater, l’auditeur va se baser sur l’observation objective entre les attentes de la norme et ce qui est réalisé dans votre SMSI.

        3. Processus d’accompagnement

        Venons maintenant au processus d’accompagnement que nous proposons !

        Cette formation se fera en 6 étapes durant 1 année environ.

        Cycle de certification 6 étapes

        Pour commencer la première sera de définir le contexte. Nous définirons le périmètre, les enjeux et les acteurs extérieurs qui ont des attentes en matière de sécurité sur votre projet.

        Cette première étape d’un mois est importante car c’est celle qui va conditionner les étapes suivantes.

        Deuxième étape, l’analyse des risques. Nous définirons la liste des risques qui peuvent impacter le SMSI. Elle prendra 1 mois également.

        Ensuite troisième étape, la déclaration d’applicabilité. C’est un document que nous allons rédiger, en parcourant la liste des 114 mesures de l’annexe de la norme ISO 27001, afin de déterminer si celle-ci peuvent impacter le SMSI.

        On va vérifier pour chaque mesure si elle est applicable ou non au périmètre comme nous aurons identifié lors de la première étape. Ensuite nous mesurons l’écart entre ce qui est fais par l’organisation, et les attentes de la mesure.

        Ainsi, nous aurons établie le plan d’action définitif à conduire avant la certification.

        En ayant définit un plan d’action, traité les écarts et exigences, nous pouvons commencer la quatrième étape, concernant le suivi de projet. Cette gestion de projet s’agira justement de suivre la mise en œuvre de ces actions, de s’assurer au fur et à mesure du projet qu’elles sont correctement mises en place.

        Nous suivrons et assurerons une cohérence entre les actions, la rédaction des documents, et l’évolution des traitements de risque.

        Une fois les écarts traités, nous passons à l’étape de la préparation a la certification où nous effectuerons des mises en situations, et verrons comment répondre aux questions d’un auditeur.

        L’auditeur s’adaptera à votre entreprise, mais il vous faudra au moins une personne qui maitrise bien le processus, l’audit et la norme.

        Enfin pour la dernière étape, elle concerne l’audit blanc qui aura lieu avant votre passage de certification. Il consiste à effectuer une mise en situation et d’identifier les risques peut être mal corrigés.

        Nous avons conçu une vidéo sur notre chaine You Tube pour une explication plus détaillé !

        Cycle de certification

        Contactez-nous

        Des projets ? Des questions ? N'hésitez pas à nous contacter !


        5 questions sur le pentest

        5 questions sur le pentest

        Un pentest ou test d’intrusion consiste à se mettre à la place d’un attaquant malveillant (appelé cyber criminels ou pirates selon leur valeur). Ainsi cela permet de stimuler leur comportement sur un périmètre défini par l’entreprise attaquée.

        C’est ce qui va permettre de corriger de potentielles vulnérabilités que ce soit au niveau de l’infrastructure ou des logiciels en interne ou en externe.

        On va utiliser les mêmes méthodes et outils qu’un acteur malveillant, afin de compromettre le système cible de l’entreprise et de voir jusqu’où on peut aller dans le système d’information. La seule différence est que nous le faisons dans un cadre légal via un contrat. Celui-ci définir le périmètre et la cible à attaquer, ainsi que les autorisations et restrictions à ne pas faire.

        Y a-t-il plusieurs types de pentest ?

        Il existe 2 types de pentest : interne et externe, ainsi que 3 méthodes : black box, white box et grey box.

        Le pentest Interne consiste à ce que les attaquants soient dans vos locaux, afin de cibler l’infrastructure interne.

        On peut donc se mettre à la place d’un salarié malveillant qui souhaiterait se venger.

        Ainsi, le pentest externe lui consiste à pentester un site web ou une infrastructure (VPS). Il sera accessible depuis internet et pourra donc être attaqué depuis l’autre bout du monde.

        En ce qui concerne les méthodes, elles peuvent s’appliquées à ces deux types de pentest. Les voici :

        Pour la Black box, vous ne donnez aucun accès. C’est une attaque réalisée au plus proche des pirates où l’on ne connait rien du fonctionnement interne.

        Il est possible de réaliser cette méthode sans en informer les équipes chargées de détecter les attaques. Afin de les mettre en confrontation direct et de constater leur proactivité.

        Ensuite, la White box, vous donnez tous les accès aux pentesters. Avec, ils vont avoir un regard neuf sur votre système d’information et vont pouvoir détecter éventuellement toutes les vulnérabilités sur le périmètre cible.

        Celle ci est plus poussée que la méthode black box. Elle permet de révéler certaines failles qui ne sont pas forcément visible lors du black box mais peuvent se révéler tout aussi compromettantes. Et contrairement à elle, c’est une méthode plus complète collaboration avec les équipes chargées du système d’information.

        Et enfin la Grey box, où là vous ne donnez qu’une partie des informations, qui lui permettront de gagner du temps dès le départ.

        Le pentester aura donc accès à certaines informations comme un compte utilisateur, sur un site web ou un compte utilisateur sur PC de votre société, par exemple.

        A partir de là, il va pouvoir commencer à se mettre à la place d’un salarié malveillant et voir jusqu’à quelles fins il peut faire des choses critiques dans le système d’information.

        À quoi ça sert ?

        L’objectif est de trouver des vulnérabilités sur les produits ou l’infrastructure de votre entreprise pour éviter que des vrais pirates les trouvent avant nous et ne cassent votre système.

        Nous allons donc vérifier ce que l’on peut récupérer dans votre système d’information et jusqu’où on peut naviguer dans le système, voire carrément prendre complètement le contrôle de votre infrastructure.

        Evidemment, l’objectif final est de fournir un livrable qui va révéler les différentes problématiques trouvées pendant le pentest.

        Nous vous dévoilerons les méthodes et outils utilisés, et proposerons un plan de remédiation à apporter à votre système d’information et bien sûr vous féliciteront sur les bonnes pratiques que vous avez adoptées !

        Quels types de systèmes à pentester ?

        Tout système peut être piraté. Sites web, infrastructures, réseaux informatiques, logiciels, téléphones, serrures etc…

        Le pentester doit donc trouver des vulnérabilités avant les vrais pirates qui pourrait engendrer de gros problèmes aux sociétés.

        Quelles sont les différentes phases d’un pentest ?

        La première étape passe par le pré engagement. Forcément, un contrat doit être signer avec l’employeur (définir périmètres, autorisations & restrictions pendant le pentest qui seront respecter).

        Deuxième étape, la collecte de renseignement. C’est-à-dire plus précisément la recherche d’informations sur les périmètres cibles, les technologies que vous utilisez, les comptes utilisateurs et la structure de l’entreprise afin de trouver des techniques d’attaques et des points d’entrée.

        L’énumération des services est une étape vraiment importante, que ce soit un réseau ou sur un serveur, puisqu’il permet d’identifier les différentes portes d’entrées pour un attaquant.

        Ensuite vient l’étape d’exploitation. Il faut tenter d’exploiter les différentes vulnérabilités trouvées dans la phase précédente, afin de compromettre la machine.

        Par exemple, depuis un site web, on peut essayer d’avoir un Shell sur la machine. Ensuite c’est comme si nous étions en black box mais à distance, puisqu’il est potentiellement possible d’accéder à votre réseau depuis l’extérieur si le site est hébergé dans votre infrastructure.

        Enfin, nous passons aux livrables. Cette étape est la plus importante et la plus longue à réaliser. Elle nécessite toutes les traces des tests qui ont été effectués pendant les pentest.

        L’idée est de tout mettre au propre pour que le rapport de pentest soit lisible.

        De là, vous allez avoir une synthèse managériale qui répertorie les différentes vulnérabilités trouvées en vulgarisant au maximum pour des personnes non techniques, et une autre synthèse plus détaillée pour des ingénieurs ou des techniciens avec des annexes.

        Pour une explication plus détaillé, nous vous laissons découvrir notre vidéo dédiée ci dessous !

        Pentest anticiper les cyberattaques

        Pourquoi est-ce important de réaliser des pentest ?

        Aujourd’hui tout se digitalise. On est passé à “l’ère du tout numérique”, où les appels, SMS, emails, chats… tout est donnée !

        Plus il y a d’information à gérer, plus le périmètre d’attaque est grand. Cela donne donc plus de chance qu’il y ait une faille.

        Les défenseurs dans les entreprises doivent penser à tout. Ils doivent trouver toutes les failles possibles que les pirates pourraient exploiter, et surtout sécuriser le système sur plusieurs couches différentes. Les pirates seront bloqués le plus rapidement possible.

        Typiquement, bloquer sa session par un mot de passe, c’est très bien.

        Mais si l’utilisateur n’est pas sensibilisé aux risques, un pirate peut compromettre son PC en détournant son attention.

        Par exemple, en laissant trainer une clé USB contenant un malware avec une étiquette écrit “perso” ou “confidentiel”, cela laissera passer la curiosité de l’utilisateur qui la branchera sur son PC.

        Le pirate aura un accès total sur la machine. À moins de mettre en place des sécurités à plusieurs niveaux.

        Plus la surface d’attaque augmente, plus le risque est grand et plus il y a de failles.

        C’est pour cela que la réalisation de pentest est très importante aussi bien en interne qu’en externe.

        Plus de 70% des attaques proviennent de l’intérieur d’une entreprise ! Un salarié qui veut se venger ou nuire à sa société n’arrive plus souvent qu’on ne le pense.

        Contactez-nous

        Des projets ? Des questions ? N'hésitez pas à nous contacter !


        Comprendre l’ISO 9001, en 5 points !

        Comprendre l’ISO 9001, en 5 points !

        L’ISO 9001: Le management de la qualité regroupe l’ensemble des pratiques de l’entreprise visant à satisfaire les clients et fournir des produits correspondants à leurs attentes.

        Se certifier 9001 permet aussi de conquérir de nouveaux marchés, d’améliorer la performance des processus de votre entreprise, de son fonctionnement et de son organisation globale. On cherche à améliorer la productivité !

        Voyons ensemble 5 points importants à connaître pour maîtriser le concept de la qualité !

        1. l’ISO 9001

        Lorsque qu’une entreprise souhaite se certifier 9001, elle doit évidemment être conforme à ses exigences.

        Les exigences correspondant simplement aux besoins et aux attentes, souvent obligatoire à mettre en place dans une démarche de certification.

        Cette norme à une structure assez particulière, souvent dite « HLS » (high level structure), c’est-à-dire qu’elle a la même configuration que d’autre référentiel, notamment que la sécurité (ISO 45001), l’environnement (ISO 14001), ou encore un autre référentiel auquel nous travaillons au quotidien chez Feel Agile, l’ISO 27001 qui correspond au référentiel du management de la sécurité du système d’information.

        Si vous voulez jeter un petit coup d’œil 😉

        Accompagnement ISO 27001 – Feel Agile

        Ainsi lorsque l’on met en place un référentiel ISO 9001, on peut également réaliser la même démarche sur d’autre système de management, puisque la structure est la même !

        L’ISO 9001 se base sur l’amélioration continue et s’inscrit directement dans un cycle PDCA. Ce cycle consiste tout d’abord à planifier votre système de management, le mettre en place, puis vérifier que votre mise en place est bien conforme et répond aux exigences du référentiel.

        Si ce n’est pas conforme, vous mettez en place simplement d’autres actions d’améliorations, en recommençant ce cycle !

        2. Les 7 principes de l’ISO 9001  

        Cette certification met en avant 7 principes importants de la qualité.

        • L’orientation client ; où l’entreprise se donne d’abord comme priorité la satisfaction client.
        • Leadership ; qui est la responsabilité de la direction, et l’implication dans la certification.
        • L’implication du personnel ; les collaborateurs ont vraiment conscience de leurs impacts dans le système de management, et sont impliqués au maximum dans cette gestion pour éviter tout conséquence.
        • Approche processus ; permet une optimisation de l’organisation et de la performance, grâce aux processus des organismes.
        • S’améliorer ; un principe logique mais fondamental, un chapitre entier est dédié à ce sujet (chapitre 10)
        • La prise de décision ; une décision est importante que lorsqu’elle est prise à partir de faits réels et de preuves, au lieu de manière subjective
        • Le management des relations des parties intéressées ; ces parties sont des personnes ayant un impact sur l’entreprise, et l’organisme va devoir gérer les relations pour obtenir une performance durable.

        3. La certification ISO 9001, comment ça se passe ?

        Comme de nombreuses certifications, celle-ci est valable 3 ans, c’est-à-dire qu’il sera nécessaire de la renouveler au bout de ce cycle. 

        L’idée et l’objectif lors de la phase de préparation est de gagner en maturité, et d’être conforme aux exigences de la norme.

        Pour la certification en elle-même, la démarche est dans un premier temps de demander des dates et devis à différents organisme afin de choisir ce qui vous convient le mieux.

        Votre date étant fixée, vous réalisez votre audit auprès de votre auditeur qui vous donnera un premier avis. Ces appréciations remontent au comité de certification afin de les approuver définitivement.  

        Après l’obtention de votre certificat, durant votre cycle de 3 ans vous serez de nouveau auditez chaque année. Lors de ces audits de suivis, l’auditeur va analyser certains sujets qu’il n’avez pas forcément abordé précédemment, et vérifier si vos points sensibles repérés lors de votre audit initial ont bien été levés.

        Vous en voulez plus ? une vidéo dédiée vous explique tout de la meilleure façon possible !  

        certification ISO 9001

        4. Qui peut se certifier ?

        La qualité est applicable à absolument tout type d’entreprise. Une entreprise du numérique, du bâtiment, agroalimentaire, tout le monde peut entamer une démarche de certification !

        À savoir, l’ISO 9001 étant une norme reconnue à l’internationale, se certifier à celle-ci vous autorise à travailler en France avec des clients à l’étranger !

        5. Quels avantages apporte la certification ?

        Cette certification apporte plusieurs avantages. Tout d’abord, celle-ci vous permet de piloter au mieux vos activités afin d’évaluer leurs performances.

        Ainsi, vous améliorez vos produits et donc la satisfaction client.

        De plus, vous avancez avec un avantage concurrentiel. Votre entreprise n’étant pas la seule sur le marché, la certification installe une confiance auprès des clients. Elle vous apporte une certaine maturité en gage de qualité et de satisfaction client.

        Vous partez également avec une certaine notoriété auprès des collaborateur, puisque votre travail fourni au sein de l’entreprise sera forcément valorisé !

        Contactez-nous

        Des projets ? Des questions ? N'hésitez pas à nous contacter !