Beaucoup d’entreprise du monde numérique ont besoin de mettre en place des certification ISO (ISO 9001, ISO 27001, ISO 20000) ou des certification en sécurité de l’information (Certification HDS, SecNumCloud).

C’est pour nous l’occasion de faire le point sur les différentes certifications existantes, leurs différences, leurs avantages pour votre entreprise mais aussi les conditions de leur mise en œuvre :

  • Quels sont les bénéfices d’obtenir la certification ISO 270001 ?
  • En quoi consiste la mise en place et l’obtention d’une certification ISO 27001 ?
  • Qu’est-ce que la certification Hébergeur de Données de Santé (HDS) ? Qui est concerné par cette certification ?
  • Quels sont les liens entre le RGPD et l’ISO 27001 ?
  • Combien de temps prend la mise en œuvre de ces différentes certifications ? Quelles en sont la complexité et le coût ?
  • Quelles sont les différences entre cybersécurité et certification ISO 27001 ?
  • Anecdote de situation à risque qui aurait pu être évitée avec l’obtention de certifications

Retrouvez toutes les infos sur l’ISO 27001 dans notre FAQ 27001

Quels sont les bénéfices d’obtenir la certification ISO 27001 ?

Il y en a quatre importants :

  • Le premier bénéfice est une montée en sécurité pour l’entreprise, concernant les services proposés aux clients.
  • Le second bénéfice est de réduire les risques d’exposition à la cybercriminalité ou même à la perte de données d’information.
  • Le troisième bénéfice est une amélioration de l’organisation des processus et une clarification des responsabilités de l’entreprise. Les certifications, notamment l’ISO 27001 amènent à structurer les processus métiers, les processus d’organisation, permettant ainsi d’améliorer le fonctionnement de l’entreprise.
  • Enfin, le quatrième bénéfice est un avantage concurrentiel par rapport à d’autres entreprises concurrentes qui ne seront pas certifiées ISO 27001.

En quoi consiste la mise en place et l’obtention d’une certification ISO 27001 ?

L’obtention de la certification ISO 27001 demande de répondre aux exigences de la norme. Dans les exigences de ce référentiel, il faut mettre en place un Système de Management de Sécurité de l’Information. C’est-à-dire les processus, l’organisation, les responsabilités qui permettent au quotidien d’intégrer et de gérer la sécurité de l’information et de concourir à son amélioration continue.

Dans la mise en œuvre, on distingue généralement quatre phases :

  • une première phase de cadrage et d’analyse des risques afin de bien identifier le périmètre retenu pour la certification
  • une deuxième phase pour l’implémentation et la mise en œuvre des processus, la définition et la formalisation de ces processus.
  • une troisième phase de vérification, de contrôle, d’audit et de revue par la direction du bon fonctionnement du système et de ses résultats.
  • Et enfin, la quatrième et dernière phase de préparation de la certification et de passage en examen de certification.

Vous obtenez une certification ISO pour trois ans, c’est le cycle de certification. Elle est délivrée par un organisme certificateur, qui est lui-même accrédité par le COFRAC en France. Pendant ces trois ans, il y aura des audits de surveillance chaque année avant de recommencer un nouveau cycle de trois ans.

Qu’est-ce que la certification Hébergeur de Données de Santé (HDS) ? Qui est concerné par cette certification ?

La certification Hébergeur de Données de Santé (HDS) est une certification qui est conçue pour protéger les données personnelles de santé qui sont émises par du personnel médical. Tous les acteurs qui hébergent ces données ou infogèrent le système d’information de santé sont concernés par cette certification. Nous distinguons deux catégories de certification HDS : les certifications des hébergeurs d’infrastructures, les Data Centers, et les certifications des hébergeurs info-géreurs qui gèrent le SI de santé.

Plus d’info sur la certification HDS

Quels sont les liens entre le RGPD et l’ISO 27001 ?

Le RGPD, c’est une démarche obligatoire pour l’entreprise. C’est-à-dire que c’est une réglementation qui vise à protéger et à garantir la confidentialité des données personnelles. Elle est donc applicable à tout type d’entreprise française et européenne.

Alors que la certification ISO 27001 est une démarche volontaire de l’entreprise qui veut améliorer en continu la sécurité de l’information. C’est une démarche que choisit de conduire l’entreprise. Dans le cadre d’une certification ISO 27001, l’étude de risques va être beaucoup plus large : on va comprendre et intégrer les risques liés aux données personnelles des clients et des salariés mais aussi d’autres problématiques de sécurité de l’information, la perte ou le vol de données. Un projet 27001 va comporter la nécessité de se mettre en conformité avec toutes les lois et règlements concernant la sécurité de l’information.

Combien de temps prend la mise en œuvre de ces différentes certifications ? Quelles en sont la complexité et le coût ?

Le temps de mise en œuvre de ces démarches et d’obtention de la certification va varier entre 12 et 24 mois pour une certification ISO 27001. Les coûts sont variables en fonction de la maturité de l’entreprise : il y a des coûts de mis en œuvre, de formation, d’accompagnement et de certification. Le coût peut être défini au démarrage du projet mais il est vraiment spécifique à toute entreprise, selon sa complexité et son nombre de salariés.  

Les facteurs clés de succès d’une démarche de certification sont en premier lieu l’implication de la direction et le fait que ce soit un vrai projet d’entreprise, la bonne appropriation des normes, de leur vocabulaire, et de leurs exigences. Dans le cadre de l’ISO 27001, il est essentiel de bien connaître les méthodes d’analyse des risques qui sont propres à la sécurité de l’information.

Lien vers la FAQ ISO 27001

Quelles sont les différences entre cybersécurité et certification ISO 27001 ?

Ce qu’on appelle cybersécurité, c’est la protection de l’entreprise contre la cybermenace. La menace dans un monde qui est connecté à internet avec plus en plus d’objets connectés et donc la possibilité par exemple de prendre à distance le contrôle d’une voiture ou d’une entreprise industrielle connectée.

La sécurité de l’information, elle, va être beaucoup plus large. Elle va poser toutes les questions de cybersécurité mais aussi d’ordre juridique, d’ordre fonctionnel pour garantir de façon générale la sécurité de l’information.

Avez-vous une anecdote de situation à risque qui aurait pu être évitée avec l’obtention de certifications ?

Les cas les plus courants que l’on rencontre dans les accompagnements en termes d’incidents en matière de sécurité, ce sont les ransomware, l’incapacité après pour l’entreprise d’accéder à ses données, la perte de données, des données mal sauvegardées que l’on ne peut plus récupérer ou les pertes de matériel sensible. Ce sont les incidents les plus courants, des types d’événements qui peuvent se produire en matière de sécurité de l’information. Généralement ce sont des incidents que l’on peut traiter dans le cadre de la certification ISO 27001 sur la première année. Parce que cela repose beaucoup sur des processus simples et sur une sensibilisation du personnel.

Aujourd’hui, la certification ISO 27001 pour les acteurs du numérique ou de l’information, est un outil incontournable, commercial, un outil pour structurer l’entreprise, pour s’améliorer et pour passer à un niveau de maturité beaucoup plus important en termes de qualité de service. C’est souvent vu, comme quelque de complexe, de difficile et de long. Il ne faut pas négliger cette complexité, elle existe, mais des méthodes aujourd’hui existent permettant une mise en place plus simple et agile, adaptées aux entreprises. 

Quelles sont les activités de Feel Agile ?

Feel Agile est spécialisé dans les accompagnements de certifications des entreprises du numérique.

Nous travaillons principalement avec les éditeurs de logiciel, les hébergeurs de données, les SSII, les sociétés de conseil ou des Data Centers. Ainsi, nous aidons les entreprises du numérique à acquérir des certifications.

Il y a deux grandes catégories de certification :

  • Les certifications qui touchent la sécurité de l’information : la certification ISO 27001, la certification SecNumCloud et les accompagnements sur le RGPD.
  • Les certifications sur la qualité de services, avec l’ISO 9001 qui s’applique à tout secteur d’activité, et la certification ISO 20000, qui est spécialisée pour les productions informatiques ou les services informatiques.

Si vous souhaitez approfondir certains sujets ou si vous avez des projets de certification, n’hésitez pas à nous contacter !

Contactez-nous

Des projets ? Des questions ? N'hésitez pas à nous contacter !