jQuery(function($){ $('.logo_container a').attr('href','https://feelagile.com'); });

I – Choisir un prestataire 

Dans cette deuxième partie, nous allons discuter des différentes catégories d’entreprise vous pouvez rencontrer ou des différents dispositifs d’accompagnement existants. 

Vous n’avez pas consulté la première partie de cet article ? Cliquez ici !

Le choix des consultants indépendants 

Dans les faits le choix d’un consultant indépendant non adossé à un réseau n’est pas le choix idéal. 
Opter pour un consultant indépendant ou une petite société pour accompagner un projet de certification ISO 27001 peut présenter certains inconvénients. Bien que l’expertise individualisée et l’approche personnalisée soient des avantages, les entreprises pourraient se heurter à des limites en termes de ressources et de disponibilité. Un consultant indépendant, gérant simultanément plusieurs clients, pourrait ne pas être en mesure d’offrir la réactivité et l’attention continues que requiert ce projet.

De plus, si l’expertise du consultant est étendue mais peu profonde, il pourrait ne pas posséder des connaissances spécialisées nécessaires pour des cas de figure complexes ou spécifiques à un secteur d’activité (juridiques ou en cybersécurité). Il y a également le risque qu’un seul consultant ne dispose pas d’un réseau de contacts étendu pour soutenir le projet. Contrairement aux cabinets de conseil qui peuvent offrir une équipe multidisciplinaire et un accès à un éventail plus large de compétences et d’expériences. Enfin, la continuité du service peut être menacée si le consultant tombe malade ou décide de changer de carrière.  

De plus la question des couts est contre intuitive car à prestation égale le consultant indépendant va être plus cher et surtout sans engagement. Nous avons constaté que certains projets dépassez les 60/80 K € sans apporter de réels résultats. 

La société de formation 

Le choix d’un cabinet de formation qui fait uniquement de la formation pour un accompagnement ISO 27001 peut présenter certains inconvénients qui méritent une réflexion approfondie. Un cabinet de formation peut se concentrer principalement sur les aspects théoriques de la norme ISO 27001. Ainsi il pourra offrir une compréhension robuste des principes et des exigences. Mais pourra parfois manquer de l’expérience concrète de la mise en œuvre pratique nécessaire à une véritable intégration de la norme au sein des processus de l’entreprise. Cette lacune peut conduire à un fossé entre la théorie apprise et les applications pratiques, compliquant la phase d’implémentation. De plus, les cabinets de formation peuvent parfois adopter une approche standardisée. Cette approche ne tient pas compte des particularités et des besoins spécifiques de chaque entreprise. En conséquence cela peut s’avérer moins efficace pour des organisations ayant des exigences uniques.

La formation en groupe dispensée par ces cabinets peut également diluer l’attention individualisée qu’un consultant dédié pourrait offrir. Enfin, les coûts associés à l’embauche d’un cabinet de formation pour l’accompagnement peuvent être significativement plus élevés. Notamment lorsque des sessions de formation supplémentaires sont nécessaires pour couvrir tous les aspects de la norme et sa mise en application. Il est donc essentiel de s’assurer que le cabinet choisi offre un équilibre entre formation théorique et support pratique adapté aux réalités opérationnelles de l’entreprise. 

La société d’accompagnement 

Opter pour un cabinet d’accompagnement spécialisé en ISO 27001 qui propose à la fois formation et soutien opérationnel représente un choix stratégique riche en avantages. L’un des principaux bénéfices réside dans l’approche intégrée offerte par ces cabinets, qui allie la transmission des connaissances théoriques essentielles à un accompagnement pratique personnalisé. Ce modèle permet aux entreprises de non seulement comprendre les exigences de la norme ISO 27001, mais aussi de savoir comment les mettre en œuvre de manière concrète et efficace au sein de leurs opérations quotidiennes.

Un cabinet d’accompagnement offre généralement l’expertise d’une équipe multidisciplinaire qui peut apporter une diversité de perspectives et de compétences, enrichissant ainsi le processus d’implémentation et augmentant les chances d’une certification réussie. De plus, l’assistance opérationnelle continue garantit que les pratiques de sécurité des informations sont non seulement conformes aux standards internationaux, mais aussi adaptées et évolutives en fonction des innovations. Enfin, l’investissement dans un cabinet d’accompagnement peut s’avérer économiquement avantageux sur le long terme, en évitant les erreurs coûteuses et en optimisant les processus internes, ce qui conduit à une amélioration de la gestion des risques et une meilleure résilience organisationnelle

L’externalisation 

L’externalisation de la mise en place de la norme ISO 27001, incluant la formation et l’accompagnement opérationnel via une solution logicielle, présente plusieurs avantages stratégiques pour une entreprise. Tout d’abord, cela permet d’accéder à une expertise spécialisée et à des ressources technologiques avancées sans les coûts et les engagements à long terme associés à l’embauche en interne. Les fournisseurs de services externalisés offrent des programmes de formation sur mesure qui peuvent être adaptés aux besoins spécifiques de l’entreprise, garantissant ainsi que le personnel comprend les exigences de la norme et sait comment les appliquer efficacement.

De plus, l’utilisation d’une solution logicielle dédiée facilite le suivi, la gestion et l’amélioration continue des processus de sécurité de l’information, rendant la conformité à l’ISO 27001 plus accessible et moins sujette aux erreurs humaines. Ce type de service offre également une flexibilité accrue, permettant aux entreprises de s’adapter rapidement aux évolutions de la norme ou à de nouvelles exigences réglementaires. Enfin, l’externalisation à travers une solution logicielle peut fournir une plateforme centralisée pour documenter, gérer et rapporter les mesures de sécurité, ce qui simplifie l’audit et la certification tout en offrant une vue d’ensemble cohérente de la posture de sécurité de l’organisation. 

II – Critères de Sélection d’un Prestataire

 Expertise et expérience : Importance de l’expérience dans des projets similaires. 

Il faut tout d’abord comprendre ce que veut dire être compétent en matière d’ISO 27001, voici les éléments clés de comparaison qui sont issus de centaines de projets conduits en ISO 27001. 

Le nombre de projets accompagnés 

Il vous faut une société qui a accompagné de nombreuses certifications depuis peu d’années. Car les certifications d’aujourd’hui on bien évoluée depuis 3 ans. Les normes et règlementations ont évoluées, les exigences des certificateurs ont changés. Il n’est pas rare que certains prestataires restent ancrés sur des pratiques dépassées ou des exigences dépassées. 

L’actualisation des connaissances 

La sécurité et la règlementation nécessite une mise à jour constante il faut donc choisir un prestataire disposant des connaissances en organisation, documentation cybersécurité mais aussi juridique

De plus ce prestataire devra être en mesure de vous proposer un service de veille en cybersécurité. 

L’expertise en norme et certification 

Ces projets nécessitent fréquemment une expertise globale en normes de sécurité et de qualité, en processus de certification. Cette expertise en certification va vous permettre de bien maîtriser le résultat final en matière de certification. 

L’expertise en cybersécurité 

C’est un critère souvent oublié dans les choix des prestataires. Certaines société pense avoir les compétences requises pour implémenter les actions de sécurité ou ont déjà un partenaire dans ce domaine. 

Pourquoi est-ce important d’avoir un cabinet expert en cybersécurité 

Cela permet d’avoir des conseils sur les solutions les plus simples et économiques à mettre en place pour être sécurisé au plus haut niveau. Ainsi que de permettre de vérifier les solutions technologiques mises en place par vos partenaires actuels et d’avoir un regard extérieur et impartial. 

L’expertise juridique  

Il faut également que votre société d’accompagnement dispose des compétences nécessaires juridiques pour vous conseiller sur les aspects de réglementaire contractuel lié au RGPD ou lié à la réglementation en sécurité de l’information. 

Vous pourrez trouver plus d’informations sur notre site le Club Cyber en matière de sécurité de l’information et réglementation. Nous avons notamment un dossier spécialisé sur la réglementation en cybersécurité dans notre rubrique abonnement VIP du Club Cyber

L’intervenant principal (le chef de projet ou accompagnateur) 

Il y a des domaines qui induise parfois en erreur. Le choix de l’intervenant fait partie des erreurs les plus courantes, l’expérience est importante ainsi que les connaissances associées mais il faut avant tout une personne dotée de sens pédagogique et de capacité d’accompagnement au changement. Le profil type expert avec 20 ans d’expérience aura les qualités de parler comme une encyclopédie mais ne permettra pas forcement de vous accompagner correctement. Bien entendu cet intervenant pourra bénéficier de l’aide d’un support interne en terme d’expertise (Cyber ou juridique principalement).

La méthode 

Les méthodes utilisées sont d’une importance cruciale, même si vous ne pouvez pas en juger facilement, une bonne méthode vous aidera à réussir le projet et une méthode complexe vous entrainera dans un projet à rallonge. Faites confiance à votre perception lorsque les prestataires vous présentent la méthode : Est-elle claire ? Est-elle simple ? demander à plusieurs interlocuteurs au sein de la société pour voir s’il y a les mêmes informations. Est-ce une méthode basée sur des principes en phase avec votre culture ? 

Les outils et solutions

Un projet sans outil et solution va vous obliger à utiliser des outils bureautiques comme Excel et Word ou à passer énormément de temps à développer votre propre solution. 

D’expérience nous n’avons pas vu de société qui avait réellement réussi à mettre en place une solution par elle-même pour suivre un système de management. Il est donc important de s’appuyer sur un logiciel du marché. Les coûts des logiciels réellement à jour et utile ne dépasse pas 5000€ annuels. Mais ce sont des logiciels assez structurés afin de pouvoir maintenir dans le temps votre système de management, de bénéficier des balles de bases de connaissances inclues et à jour, ainsi que de la possibilité d’automatiser votre système de management et donc de gagner du temps chaque année dans la mise en place d’actions de sécurité le maintien.

Les biais individuels

Comme dans tout choix de solutions on pouvait avoir des biens individuels qui sont liés à vos précédentes expériences ou à des expériences de partenaires. Il était important de prendre du recul afin de ne pas rester sur des a priori ou des fausses croyances. 

Parmi ces fausses croyances on peut trouver par exemple : 

  • une certification ISO rate cette vue là ce n’est que de la documentation 
  • une prestation d’accompagnement sera forcément plus chère qu’un consultant indépendant 
  • si je veux quelque chose de sur-mesure il faut forcément tout refaire pour moi 
  • … 

Je ne peux vous recommander que de comparer les différentes approches et de rester ouvert aux arguments les plus factuels. 

Les certifications

Les certifications dont doit disposer l’entreprise sont de 3 types : 

  • les certifications individuelles des consultants, 
  • Les certifications de type ISO ISO 27001 notamment (ce qui peut démontrer que le prestataire applique les mêmes principes que ce qu’il préconise). 
  • d’autres qualifications techniques peuvent exister en matière de sécurité informatique 

III – Considérations Financières 

Le budget global d’un projet ISO 27001 juste pour les achats externes et d’environ 50 000 € minimum. Pour des sociétés qui n’ont pas ce budget il faut envisager une démarche un petit peu différente qu’un accompagnement. Vous pouvez contacter nos services si vous voulez plus d’informations concernant ce sujet spécifique : Solution Stellar

Si vous voulez comprendre les coûts des accompagnements nous avons fait une FAQ et des vidéos sur ce sujet.

Le cout est toujours composé du temps passé en interne, du temps et des coûts d’accompagnement, des couts de maintien, des couts de solutions de sécurité et du cout de certification. 

Il faut savoir que si vous êtes bien accompagné par une société cela va faire baisser bien entendu vos coûts internes, mais également vos coûts de maintien et vos coûts de certification. 

De plus certaines sociétés comme Feel Agile peuvent vous accompagner au montage de dossiers de subventions et vous guidez dans la meilleure stratégie pour construire votre projet financièrement. 

Optimiser les coûts sur la sécurité 

Le fait d’être bien conseillé sur la partie sécurité technique peut vous amener à faire des économies conséquentes. Notamment par le choix de solutions les plus adaptées à votre contexte en matière de cybersécurité. 

Les postes sur lesquels il est possible de faire des économies sont : 

  • les systèmes de type soc externalisé ou les EDR 
  • les systèmes de peine test ou d’audit de sécurité 
  • le système de phishing ou de tests de collaborateurs ou de sensibilisation 

Dans ces différents éléments si vous êtes bien conseillé vous pourrez avoir les systèmes les plus optimiser parfois avec des solutions open source. 

Le choix d’une solution de gestion de votre certification ISO 27001 

Pourquoi choisir un logiciel de gestion de votre SMSI. Ce logiciel va avoir un coût si vous êtes entre autour de 5000€ annuel. Mais va permettre de gagner énormément de temps dans la mise en place et dans le maintien pour vous de votre certification.  

Si vous souhaitez une démonstration de notre solution partenaire vous pouvez contacter les équipes STELLAR.

Le coût de l’audit interne 

Vous êtes dans l’obligation pour la norme ISO 27001 de faire des audits internes complets la première année et des audits internes chaque année pour le la surveillance. 

Il est important de faire des audits internes assez complets et assez détaillés afin d’avoir un vrai et c’est dans les mêmes conditions que la certification mais avec plus d’exhaustivité afin de vous garantir la réussite d’un projet. 

Ainsi il est important d’avoir une certaine durée et donc un certain coût pour les audits internes. 

Le choix de l’organisme de certification 

Les prix peuvent varier de phase de façon significative, il est donc important de bien vous faire conseiller par votre organisme accompagnateur. De plus il est important de comprendre que le rôle de l’organisme de certification est uniquement de vérifier la mise en place d’un système. Il ne peut donc pas être juge et parti et vous accompagner ou vous former. Méfiez vous donc des sociétés de certification qui ne respectent pas ce minimum de déontologie, ce n’est généralement pas bon signe.  

De plus, ils peuvent avoir des biais importants car ils ne font pas de maintien ou d’accompagnement réel mais une vision uniquement sur la finalité du projet et pas la vie interne de l’entreprise. 

La gestion du partenaire de certification représente aussi un temps important donc n’hésitez pas à poser la question à votre partenaire si sa prestation inclut cette gestion de l’organisme de certification et le montage des dossiers. Dans les accompagnements proposés par notre société toutes les actions nécessaires à la certification sont incluses dans l’accompagnement. 

IV – les Propositions et les Devis 

Bien entendu les propositions et les devis doivent être claires et détaillées. Ceci dit ce n’est pas parce que un prestataire fournit une présentation avec une cinquantaine de pages que c’est un bon signe. 

Il s’agit encore une fois d’accompagnement où il faut privilégier les capacités pédagogiques donc la clarté la simplicité des documents de produits plutôt que le poids de la documentation. 

Privilégiez les présentations synthétique mais qui présente l’ensemble des critères précis de l’accompagnement et le contenu des prestations qui vont être réalisées. 

Les sociétés qui laissent planer un flou sur les livrables sont à exclure comme celle qui ne sont pas capables de vous indiquer un forfait précis de coût d’une prestation. 

En effet une société qui maîtrise bien l’accompagnement ISO 27001 et tout à fait capable de vous dire précisément l’étendue de son travail d’accompagnement pour atteindre un résultat avec une entreprise. 

Les sociétés qui ne s’engagent pas sur un forfait soit en fait des sociétés qui n’ont pas réfléchi au processus d’accompagnement et qui n’ont pas vraiment d’approche méthodique en termes d’accompagnement au changement. 

V – Communication et Support 

Conclusion 

  • Récapitulation de ces deux parties sur « Comment choisir le bon prestataire pour un accompagnement ISO 27001 ?« 

Contactez-nous

Des projets ? Des questions ? N'hésitez pas à nous contacter !