CERTIFICATION ISO 27001

Sécuriser l’information et les services sensibles

Pour obtenir la certification ISO 27001 vous devez répondre aux exigences de la norme et intégrer les contrôles opérationnels de la norme ISO 27002.

Nous avons décrit ci dessous les exigences de l’ISO 27001, les principes de la 27002 et le processus de certification.

Si vous voulez tout savoir sur la certification 27001, cette page est faite pour vous.

Comprendre les exigences de la norme ISO 27001 en sécurité de l'information

La norme ISO 27001 est une norme internationale sur le management de la sécurité de l’information.

Elle définie un système de management de la sécurité de l’information (SMSI) à mettre en place dans l’entreprise.

Le SMSI est l’organisation (processus, responsabilités, actions…) que l’entreprise doit mettre en place pour améliorer la sécurité de l’information.

Cette norme présente les exigences en matière d’organisation (système de management) pour s’assurer que la sécurité de l’information est bien maîtrisée :

  • La gouvernance liée à la sécurité de l’information et la stratégie,
  • Les processus nécessaires à la maîtrise de la sécurité de l’information,
  • Les méthodes pour analyser les risques et en rendre compte,
  • Les processus de mesure, de suivi et d’amélioration de la sécurité,
  • Les responsabilités liées à la sécurité de l’information.

L’entreprise peut obtenir la certification ISO 27001 délivrée par un organisme indépendant qui certifie la conformité du  SMSI de l’entreprise. 

Mettre sous contrôle la sécurité et les services à travers la maîtrise de 4 paramètres

  • Assurer la disponibilité des informations et des services
  • Sécuriser l’intégrité des données critiques
  • Garantir la confidentialité des données sensibles ou des données clients
  • Assurer la disponibilité et la conformité des preuves légales et autres
ISO 27001 Une norme pour tous les secteurs d'activité

La norme iso 27001 est une norme pour l’ensemble de l’entreprise et non pas uniquement pour les systèmes d’information. Il s’agit bien de la sécurité de l’information et pas de l’informatique.

Toute entreprise est potentiellement concernée par cette norme. La certification ISO 27001 correspond à une volonté de monté son niveau de qualité de service via la sécurité.

En fonction de ses clients, de son contexte concurrentiel, l’entreprise aura plus ou moins d’intérêt à mettre en oeuvre cette norme et aller jusqu’à la certification.

Plus le service est sensible, critique plus cette certification aura d’intérêt.

Exigences clés à implémenter

Vous trouverez ci-dessous les principales exigences de la norme ISO 27001 détaillées.

Chapitre 4 - Contexte de l'organisation
  • Comprendre les enjeux de l’entreprise, la stratégie générale et les impacts en matière de sécurité
  • Analyser les attentes des parties intéressées en matière de sécurité
  • Déterminer précisément le domaine d’application du SMSI
Chapitre 5 - Leadership
  • S’assurer du leadership : le SMSI doit être porté par la direction
  • Définir précisément les rôles et responsabilités
  • Etablir des orientations en matière de sécurité de l’information
  • Rédiger la Politique de Sécurité des Systèmes d’Information
Chapitre 6 : Planification

Comment je planifie mon organisation sécurité et la priorisation des actions en matière de sécurité ? La mise en oeuvre de mon plan d’actions débute par une analyse des risques et un recensement exhaustif des actions sécurité en cours.

  • Analyser les risques de sécurité de l’information
  • Identifier des bonnes pratiques en matière de sécurité de l’information
  • Traiter les risques de sécurité de l’information
  • Etablir les objectifs de sécurité
Chapitre 7 : Support
  • Gérer les compétences en matière de sécurité et sécuriser les compétences clés
  • Former et sensibiliser à la sécurité de l’information
  • Identifier clairement les ressources nécessaires pour mener à bien les projets et actions de sécurité de l’information et les fournir
  • Définir un plan de communication en matière de sécurité
  • Mettre en place une gestion documentaire
Chapitre 8 : Fonctionnement

La sécurité doit être suivie par des contrôles mis en oeuvre régulièrement et une surveillance du risque :

  • Organiser le contrôle de la sécurité
  • Suivre les actions et traiter les risques
Chapitre 9 : Evaluation des performances

L’évaluation des résultats en matière de sécurité de l’information par le recueil d’indicateurs et la réalisation d’audits. La revue de direction qui permet de faire le point avec la direction sur les résultats et les décisions à prendre.

  • Mettre en place des indicateurs pour surveiller la sécurité et améliorer
  • Réaliser des audits internes du SMSI et des processus
  • Réaliser des revues de direction
Chapitre 10 : Amélioration

La mise en place d’un système d’amélioration via la traitement des non-conformités. L’amélioration continue est une démarche globale à laquelle chaque chapitre contribue :

  • Identifier et traiter les non-conformités
  • Engager une démarche d’amélioration continue

Découvrir notre offre de formation ou d’accompagnement pour mieux comprendre la norme, les certifications et obtenir des certifications individuelles et mettre en oeuvre votre démarche.

Mettre en place le code de pratiques ISO 27002

La certification ISO 27001 demande la mise en place de contrôles opérationnels en matiére de sécurité.

Les bonnes pratiques en sécurité de l'information

La certification ISO 27001 passe par la mise en place d’objectifs de sécurité choisi parmi un ensemble de bonnes pratiques issues de la norme ISO 27002 code de bonnes pratiques en sécurité de l’information :

  • Organisation de la sécurité
  • Sécurité des ressources humaines
  • Gestion des accès
  • Protection physique
  • Exploitation
  • Gestion des incidents

Contrôles mesures opérationnelles à mettre en place

Le processus de certification

Une fois votre organisation en place et que vous vous êtes assuré que votre système fonctionne. Vous devez demander à un organisme accrédité de vous certifier.

  • Déposer le dossier auprès de l’organisme certificateur (6 à 8 mois avant la certification)
  • L’organisme réalise une journée de pré-audit pour prendre connaissance du SMSI et vérifier l’auditabilité,
  • L’organisme réalise l’audit de certification qui dure entre 3 et 10 jours la première année
  • Le rapport est étudié en commission (compter environ 1 mois)
  • L’organisme donne sa réponse sur la certification 1 mois après (favorable ou avec non-conformité),
  • Chaque année, une fois le certificat obtenu pour 3 ans, l’entreprise est auditée lors d’un audit dit de suivi (partiel),
  • A la fin d’un cycle de trois ans, un audit complet, dit de renouvellement doit être réalisé.

Nos accompagnements

Nous accompagnons nos clients afin de sécuriser l’obtention de leur certification par différents forfaits d’accompagnement, d’assistance ou d’audits.

Notre offre de formation

Nous proposons un parcours de formation intra et inter en sécurité de l’information et certification 27001 éligible au CPF.