La technique de combat ISO 27001

La technique de combat ISO 27001

ISO 27001 Épisode 2  – Démarche ? Des marches

Elevator pitch : ce terme fait rêver d’ascension verticale… 

Popularisé par Guy Kawasaki, ancien d’Apple, l’elevatorest un argumentaire bref comme un trajet en ascenseur. 

Bruce Lee, dans son dernier film, a pris l’escalier. Ça ne l’a pas empêché de remporter tous ses combats.

Marchons donc dans ses pas avec l’épisode 2 de « la technique de combat ISO 27001».

GRAVIR LA TOUR DU CONTRÔLE

Ce fameux survêtement jaune (pour ceux qui suivent), c’était d’abord la tenue de combat qu’arborait Bruce Lee dans «Le Jeu de la Mort».

Un bon titre pour illustrer la gestion d’entreprise à l’ère des cyberattaques (avec des coûts qui mettent KO les plus fragiles).

Le scénario du Jeu de la Mort était plus encourageant : pour atteindre le chef mafieux qui attaque sa famille, Bruce Lee devait monter au sommet d’une pagode dans laquelle chaque étage était gardé par un combattant redoutable. Que le meilleur gagne.

Quand vient votre tour d’être confronté au danger, sécuriser les informations essentielles de votre activité au moyen de la méthode ISO 27001, plutôt que se contenter d’une gestion erratique et confuse, présente de multiples avantages, que je vais résumer en 4 étages points:

1)     Pragmatisme : faites ce que vous voulez, et faites-le vraiment

Chaque entreprise a ses propres priorités et enjeux. L’ISO 27001 propose à la Direction de déterminer librement  les mesures de protection qui conviennent à son contexte.

Il s’agit encore une fois de se concentrer sur ce qui est essentiel à son activité, pas d’atteindre un absolu.

Dans cette optique de pragmatisme, je dis toujours que ce qui compte pour que votre SMSI soit un atout dans votre jeu, c’est ce qui est vécu, effectivement pratiqué par vos équipes, pas un joli classeur rempli de procédures écrites déconnectées de votre réalité quotidienne.

Moi, j’aime prendre exemple sur Bruce Lee : vraiment agile, il s’adapte parfaitement au contexte de chaque combat.

2)   Clarification : en interne et vis-à-vis de l’extérieur

Utiliser l’ISO 27001 vous aide à y voir clair :

  • dans vos priorités,  
  • dans votre exposition aux risques, 
  • dans les responsabilités de chacun 

…et vous conduit efficacement vers la détermination des objectifs facteurs de succès.

Pour le dirigeant d’entreprise, c’est un excellent moyen de disposer d’indicateurs et d’éléments de pilotage, grâce à la logique d’audits récurrents et à la mobilisation des équipes.

Vis-à-vis de vos fournisseurs et clients, la certification montre que l’entreprise a pris conscience des risques pesant sur ses informations, et qu’elle a un plan de protection actif et évolutif. 

Parce que vous ne savez jamais ce qui vous attend au prochain étage…

La méthode d’ascension constante

3)    Atout marketing : la différenciation en mode Dragon

L’ISO 27001 vous positionne en tant qu’entreprise qui sait évoluer constamment, c’est-à-dire la mieux placée pour accéder à de nouveaux marchés.

Outre le gain en termes d’image, qui est évident, cela assure vos clients que leurs exigences seront prises en compte.

Dans la phase de vente, une entreprise qui peut attester du respect de bonnes pratiques qui vont au-delà de la réglementation se singularise : cela crédibilise votre proposition commerciale.

N’oubliez pas non plus qu’à l’international (et pas qu’à Hong Kong) certains pays sont très avancés dans l’adoption de l’ISO. Pour construire des partenariats avec des grands groupes, c’est évidemment décisif. 

4)     Prêt à parer tous les coups

Le progrès continu est dans l’ADN de l’ISO. Gardez à l’esprit que la certification ne vous est accordée qu’à la condition que vous intégriez les nouveaux défis. Le cycle de certification est de 3 ans, et de toute façon vous inspecterez continuellement votre propre activité.

Ainsi le SMSI est un outil idéal pour découvrir au plus vite les non-conformités et y réagir avant qu’elles ne portent préjudice à votre activité.

En pratique, les entreprises qui adoptent cette démarche s ’aperçoive qu’en intégrant le niveau d’exigence de leur client ou prospect le plus exigeant, elles se dotent d’un niveau de performance qui bénéficient à l’ensemble de leurs activités.

…Je laisse le dernier mot à Bruce Lee, qui a dit :

« Il n’y a pas de limites. Il y a des niveaux, mais tu ne dois pas en rester là, il faut aller au-delà. […] 

Un homme doit toujours dépasser son niveau.»

(The Art of Expressing the Human Body)

À suivre au prochain étage,
Thomas
(qui pousse le cri qui tue en tapant ses billets de blog)

Contactez-nous

Des projets ? Des questions ? N'hésitez pas à nous contacter !


ISO 27001 : vous allez trouver la voie

ISO 27001 : vous allez trouver la voie

Passer à l’action en sécurité

Vous connaissez l’histoire de la blonde qui agite le gros orteil ? 

Vous la connaissez probablement… Dans une scène mémorable de Kill Bill, on voit Uma Thurman se livrer à une séance de rééducation, par la seule force mentale, de ses pieds paralysés. 

En fait, son truc de «vas-y, bouge ton orteil !», c’est de l’imagerie motrice, une technique bien connue des préparateurs sportifs… mais un peu moins en vogue chez les dirigeants d’entreprise français.

Les neurosciences ont montré que l’action effectuée et la représentation mentale de cette action activent les mêmes canaux. C’est bien commode pour les sportifs, qui peuvent fortifier leur technique sans aller à la salle. 

L’ennui, c’est que dans le monde des affaires, penser (même très fort) à une action n’équivaut pas à agir. Même si la paperasse vous pèse, ça ne muscle pas votre performance. 

Et le pire, c’est que même agir ne suffit pas toujours ! Il faut souvent rendre compte de son action.

L’ISO 27001 fournit une technique de combat ultime pour les blondes qui se bougent l’orteil, les brunes, les poivre-et-sel, et même pour les porteurs de sourcils blancs.

L’ISO 27001 : Discipline et Self-Défense

Sœur cadette de la célèbre ISO 9001 (plus d’1 million de certificats délivrés en France), l’ISO 27001 est une norme internationale de sécurité des systèmes d’information.

Une norme ? C’est un ensemble de bonnes pratiques codifiées. À la différence des lois, qui s’imposent à toutes les entreprises, la norme est un groupe de règles qu’on adopte librement, dans le but d’améliorer le fonctionnement de son entreprise au-delà du minimum.

L’ISO 27001, en clair, explique ce qu’est un bon Système de Management de la Sécurité de l’Information (SMSI). C’est un guide fiable pour établir un SMSI qui profite continuellement à l’entreprise.

Si vous êtes familier de l’ISO 9001 ou d’une autre norme, vous retrouverez ici la même logique, qu’on peut résumer en 5 étapes :

1.    On commence par un diagnostic : il y a toujours un existant, même si on n’en a jamais fait le recensement précis. Ainsi, personne ne commence de zéro. Je suis sûr que vous êtes au moins ceinture jaune.

2.    On définit la politique de sécurité : c’est un bon brainstorming qui a l’énorme avantage de clarifier la stratégie, et avoir une stratégie claire est vraiment indispensable.

3.    Ensuite, à l’aide d’une méthodologie (j’utilise souvent EBIOS, la nouvelle version est top), on identifie les risques… et, bien évidemment, on les évalue

Exemple amusant : au cours d’une interview donnée à Kaspersky Lab, Alain Juillet, ancien de la DGSE, admet qu’on peut toujours faire de l’espionnage économique en faisant les poubelles des entreprises, mais qu’au temps des destructeurs de documents et surtout quand il est tellement facile de s’introduire à distance dans le serveur, il ne faut pas se faire d’illusions…

4.    Mettre en place des mesures de sécurité : la norme ISO 27001 fournit tous les repères nécessaires. Ensuite c’est à vous de déterminer les actions concrètes qui vont vous faire progresser.

Par exemple, ça concerne les contrôles d’accès, la sécurité des communications, les relations avec les fournisseurs…

5.    Quand on est prêt, on peut obtenir la certification, qui atteste aux yeux de tous que l’entreprise se saisit réellement des préoccupations de sécurité de l’information, et qu’elle les traite beaucoup mieux que ses concurrents.

Évidemment il ne s’agit pas d’un acquis définitif. Cela montre que votre entreprise a la bonne méthode pour traiter le risque lié à l’information, de manière dynamique et évolutive.

Devenir ceinture noire en sécurité

Vous l’aurez compris, si elle est un art martial utile à toutes les entreprises qui se soucient de la sécurité de leurs informations, l’ISO 27001 compte dans ses rangs une majorité de ceintures noires qui viennent du même dojo : high-tech, digital, et secteurs sensibles apparentés.

Je vous cite quelques exemples :

-un cabinet de conseil international très branché digital, Wavestone

Niji(ça fait Budo, non ? c’est en Bretagne), un spécialiste de la transformation numérique

SELP, un producteur de cartes sécurisées genre carte bleue (basé vers Angoulême)

– UC GROUP (12/14), spécialiste de la transformation digitale

L’ISO 27001 n’est pas une transmission secrète réservée à l’élite de la sécurité informatique. C’est une démarche qui s’adresse à des entreprises qui sont souvent à la pointe de l’innovation, mais chez lesquelles la sécurité de l’information est un point faible qui peut les envoyer au tapis.

Avec l’ISO 27001 il s’agit avant tout d’une méthode, une démarche d’organisation, qui doit vous permettre de sécuriser les informations essentielles de votre activité.

On pense évidemment à la protection des données contre le vol, la perte, on pense aux sinistres, mais on pense moins à des aspects comme la disponibilité de l’information par exemple.

Alors, vous êtes plutôt Kill Bill, électrisé par les opportunités et les dangers, un peu sur le fil du katana en ce début d’année 2019 ?

Venez la semaine prochaine découvrir la suite dans le BILLET 2 (leu reutour !), qui récapitulera les points forts de la méthode de combat 27001.

…venez aussi si vous vous sentez plutôt Kung-Fu Panda.

Thomas,
(qui a fait une salutation martiale en quittant cette page)

Contactez-nous

Des projets ? Des questions ? N'hésitez pas à nous contacter !


Mettre en place une certification ISO 9001 ou 27001. Quels sont les pièges à éviter ?

Mettre en place une certification ISO 9001 ou 27001. Quels sont les pièges à éviter ?

COMBIEN COÛTE UNE CERTIFICATION ISO, QUELS SONT LES PIÈGES À ÉVITER, COMMENT S’Y PRENDRE ?..

Vous êtes décidé à obtenir votre certification : tout ce qu’il faut savoir avant de se lancer…

Vous êtes décidé à initier une démarche de certification ISO 9001 ou 27001.

Vos clients ou vos prospects vous demandent d’être certifié. Votre dirigeant souhaite structurer les processus et améliorer la dynamique managériale pour une meilleur prise en compte des clients, un meilleur fonctionnement interne …

C’est une situation assez classique rencontrée par beaucoup de PME / ETI de tous secteurs.

Dès lors un certain nombre de questions se posent :

  1. Combien de temps dure un projet et est-ce que c’est compliqué ?
  2. Est-ce que les bénéfices attendus sont bien au RDV ?
  3. Qui va me donner la certification et comment cela se déroule ? Quels sont les critères à vérifier pour le choix du certificateur ?
  4. Combien cela coûte à l’entreprise tous les ans ?
  5. Comment on doit s’y prendre, y a t-il des étapes à respecter ?
  6. Quels sont les 4 pires erreurs commises lors des démarches de certification  ?
  7. Ai-je besoin d’un responsable qualité et responsable sécurité  ?
  8. Comment choisir mon consultant en cas d’accompagnement ?

J’essayerai de répondre à ces questions en quelques lignes et de façon précise.

N’hésitez pas à nous poser vos questions par mail ou à l’aide du chat en ligne…

1 – Combien de temps dure un projet et est-ce que c’est compliqué ?

Un projet de certification prend entre 8 et 18 mois. La mise en place du système de management (process, organisation) dure au minimum 6 mois. L’étape de certification dure 3 mois minimum. Ce délais de 2 mois comprend un audit préalable, l’audit sur site minimum 3 jours, l’étude du dossier et la réponse à l’entreprise auditée.

La complexité dépend de la clarté de vue de la direction sur les objectifs à atteindre et de leur réalisme. Un projet devient complexe si on essaye de répondre point par point à la norme. Il faut plutôt essayer de construire un système qui répond à des problématiques opérationnelles.

Vouloir trop bien faire, ou suivre des approches trop qualiticiennes est à coup sur un moyen de se rajouter des difficultés.

Nos clients ont souvent l’impression de complexité au départ puis en milieu d’accompagnement cette sensation disparait et ils trouvent la démarche facile.

2 – Est-ce que les bénéfices attendus sont bien au RDV ?

Beaucoup d’acteurs du secteur vont vanter les certifications comme levier d’amélioration, moyen de mieux structurer les activités, d’améliorer la sécurité…

La certification repose sur une norme. Par principe les normes ont toujours 10 voire 15 ans de retard ; c’est le temps qu’il faut pour leur élaboration.

Pour progresser vous allez devoir emprunter votre chemin, innover, prendre des risques et couper avec des habitudes et cela ce n’est pas une norme qui va vous l’apporter.

La première règle pour vous assurer que les bénéfices seront au RDV c’est d’accepter vos difficultés et trouver des solutions pragmatiques. Le dirigeant a un rôle fondamental à jouer en comprenant comment, par son fonctionnement et son management, il peut créer un état d’esprit propice à l’amélioration.

3 – Qui va me donner la certification et comment cela se déroule ? Quels sont les critères à vérifier pour le choix du certificateur ?

Les organismes certificateurs doivent être préférentiellement choisis sur le site du COFRAC (rubrique “Rechercher un organisme accrédité”) car ils sont accrédités par un organisme français.

Parmi les organismes que nous recommandons : SOCOTEC certification, l’AFNOR pour leur réactivité et leur professionnalisme.

Il est important de comprendre que le certificateur est votre fournisseur et que même s’il certifie votre entreprise il doit respecter des règles et  un cahier des charges.

Le meilleur conseil en la matière est de garder le contrôle de votre système et vous mettre en capacité de défendre votre système et sa conformité à la norme. Choisissez un certificateur à l’écoute de vos besoins et qui a une approche constructive. Un certificateur n’a pas le droit de vous aider à mettre en place votre système pour ne pas être juge et partie.

4 – Combien cela coûte à l’entreprise sur 3 ans ?

Le coût de la certification est pour 3 ans de 7K€ euros pour une PME de 10 personnes à 15/20 K€ pour une entreprise de 200 personnes. Ce coût correspond à un audit initial de 3 à 10 jours et 2 audits de suivis de 2 à 7 jours ainsi que la réalisation des rapports.

5 – Comment doit-on s’y prendre, y a t-il des étapes à respecter ?

Pour faire simple,  voici les quelques étapes à respecter :

  • Le diagnostic initial est très important afin d’identifier ce qui est déjà en place, d’identifier les manques par rapport à la norme et commencer à sensibiliser les équipes,
  • Le travail avec la direction pour cadrer le projet, comprendre les enjeux, la stratégie et définir les objectifs,
  • Travailler avec les managers pour les aider à incorporer la culture opérationelle,
  • Sensibiliser les équipes aux principes du management de la sécurité et la qualité,
  • Un système de management repose sur des rôles clairs. Il faut expliquer clairement comment chacun  peut contribuer à l’amélioration,
  • Préparer les équipes à l’audit pour qu’elles soient prêtes à expliquer et justifier leurs méthodes et leur système de management.

6 – Quelles sont les 4 pires erreurs commises lors des démarches de certification ?

Quelles sont les 4 pires erreurs commises lors des démarches de certification ISO 9001 et 27001 ?

  • La sur-qualité : faire un système de management pour l’auditeur qui va décourager les collaborateurs,
  • Un système redondant et trop de processus : la réponse aux exigences de la norme point par point. Ce n’est pas de la règlementation !
  • Mettre en place un système pour le responsable qualité qui veut être sur d’être certifié. Le système est fait pout le client.
  • Mettre en place un système documentaire en croyant que c’est le système de management : un système de management ce n’est pas des documents !!!

L’essentiel est de trouver un point d’équilibre entre les différentes exigences :

  • Construire les processus nécessaires au client et aux collaborateurs pour devenir performants,
  • Répondre à minima aux exigences de la norme d’un point de vue formel.

7 – Ai-je besoin d’un responsable qualité et responsable sécurité  ? Comment dimensionner les ressources ?

Si on veut évaluer les ressources nécessaire dans un projet qualité il faut distinguer deux temps :

  • la mise en place du système de management
  • le suivi du système de management

Le besoin d’un Responsable à temps plein pour gérer le système de management peut être envisagé pour les entreprises supérieur à 150/200 collaborateurs.

Pour la mise en place, il faut à minima un chef de projet en interne pour mettre en place le système et ensuite assurer le suivi de la certification. Cette tâche peut représenter un 1/8 de temps sur les mois du projet si la personne est totalement opérationnelle.

Dimensionner les ressources dans la mise en oeuvre

Deux cas de figure se présente :

  • Vous démarrez dans ce sujet et n’avez pas d’expérience dans la mise en oeuvre.
  • Vous êtes accompagnés par une expertise.

Si vous êtes seul, vous allez devoir vous former, faire des recherches, le temps investit est très important et dépend bien entendu de chacun.

Si vous êtes accompagné par une société de conseil, vous allez avoir un intervenant une journée par mois et il faut compter environ la même disponibilité de votre côté.

Pour la mise en place, il faut à minima un chef de projet en interne pour mettre en place le système et ensuite assurer le suivi de la certification. Cette tâche peut représenter un à deux jours par mois du projet si la personne est totalement opérationnelle ou  accompagnée par une société externe.

Dimensionner les ressources dans le suivi

Notre calcul du dimensionnement des ressources nécessaires au fonctionnement du système de management ne comprend pas le temps nécessaire aux actions d’amélioration en qualité ou sécurité ou au traitement des réclamations sur le terrain. Il s’agit uniquement du système de management.

Avec de l’aide et un cadrage par une société externe il faut compter environ 1 jour par mois pour le coordinateur de la certification en interne.

Ce à quoi il faut rajouter le temps pris pour l’organisation et la réalisation des audits annuels.

8- Comment choisir mon consultant en cas d’accompagnement ?

Si vous êtes à l’aise pour mettre en place cette certification,  vous pouvez passer à la conclusion de notre article.

Sinon voici à notre avis et selon les retours clients les critères à évaluer :

  • Capacité à apporter une variété de modèles, d’exemples de mise en place de certification,
  • Connaissance du secteur,
  • Capacité à travailler sur le management (c’est pas de la littérature),
  • Expérience de Management en Qualité

Conclusion

Pour conclure j’attire votre attention que la mise en place d’un système de management n’est pas la mise en place d’un système documentaire.

Si vous mettez en place un manuel qualité, des procédures et attendez l’auditeur avec vos classeurs vous risquez d’être déçus :

  • il va très peu les regarder,
  • il va interroger les personnes sur la vraie vie de l’entreprise et voir que votre système est papier voir factice
  • dans 1 ans tout est à remettre à jour …

Un système de management c’est 3 choses essentielles :

  • Une stratégie claire et argumentée
  • Des objectifs déclinés à travers un système de processus, des responsabilités …
  • Des outils, méthodes qui soutiennent les processus : démarche d’amélioration, documentation, audit

Pour vous éclairer sur nos approches vous pouvez consulter les autres articles sur l’ISO ou nos pages sur les certifications :

– ISO 9001

– ISO 27001

Merci pour votre lecture et à bientôt

Contactez-nous

Des projets ? Des questions ? N'hésitez pas à nous contacter !


Comment mieux gérer l’information et les connaissances avec l’ISO 9001 : 2015 ?

Comment mieux gérer l’information et les connaissances avec l’ISO 9001 : 2015 ?

Je complète mon article  “ISO 9001 : 2015 Etes-vous prêt ? » en focalisant sur un élément essentiel du fonctionnement de nos entreprises : la gestion des connaissances.

Nous vivons une transformation majeure tant sur les plans sociétaux que technologiques, la gestion de l’information et des flux de connaissances n’a jamais été aussi importante. La norme ISO 9001 : 2015 met l’accent sur cette exigence de gestion des connaissances, nous avons essayé à travers cet article de donner des clés pour :

  • mieux gérer l’information dans l’entreprise
  • traiter les exigences liées au chapitre 7.1.6 – Connaissances organisationnelles (ISO 9001 : 2015)

Quels sont les bénéfices attendus d’une meilleur gestion de l’information ?

Avec un peu de méthode nous allons pouvoir réduire de nombreux dysfonctionnements liés à la gestion de l’information et de la connaissance  :

  • Vol d’innovation ou d’information,
  • Vol de données clients,
  • Données commerciales ou projets indisponibles,
  • Complexité des informations à disposition,
  • Informations non à jour,
  • Départ d’un collaborateur ayant des connaissances stratégiques,
  • Absence de capitalisation sur les connaissances métiers,

Une bonne gestion des connaissances permet aux entreprises de maîtriser ces différents effets par une approche de maîtrise des risques.

Tout d’abord qu’appelle-t-on connaissance organisationnelle dans la norme ISO 9001 ?

Connaissances, savoirs dont une entreprise a besoin pour fournir un service ou un produit. Cette connaissance se trouve dans des supports matériels (documents, applications, brevets,…) ou immatériels (savoirs détenus par les collaborateurs, mais aussi les partenaires de l’entreprise).

Quelles sont les exigences de l’ISO 9001 à prendre en compte ?

  • Déterminer les connaissances nécessaires à la mise en œuvre des processus et pour la conformité des produits (ne pas les laisser indéterminées, dans le flou).
  • Les tenir à jour (pas en décalage avec l’état de l’art)
  • Les mettre à disposition autant que nécessaire (aux personnes qui ont besoin de les utiliser)
  •  Déterminer comment acquérir des connaissances supplémentaires quand c’est nécessaire (pour faire face aux évolutions de la situation) et comment mettre à jour les connaissances détenues.

Avant tout il ne s’agit pas de créer un second système documentaire ; il s’agit de montrer que les connaissances sont gérées. Ce sont des exigences de bon sens… la norme exige des résultats et de la cohérence (Cette connaissance est-elle nécessaire ? Alors elle doit être gérée). L’organisme doit nommer des personnes responsables  :

• d’enrichir et maintenir ces connaissances à jour (benchmark, REX…)

• de les rendre accessible (ex : intranet)

Rappel des exigences du 7.1.6 Connaissances Organisationnelles

  1. Déterminer les connaissances nécessaires à la mise en oeuvre de ses processus et à l’obtention de la conformité des produits et des services.
  2. Ces connaissances doivent être tenues à jour et mises à disposition autant que nécessaire.
  3. Prendre en compte ses connaissances actuelles et déterminer comment il peut acquérir ou accéder à toutes connaissances supplémentaires nécessaires et aux mises à jour requises.

Comment maîtriser l’information dans l’entreprise et aller plus loin ?

Pour aller plus loin dans le traitement de ce thème nous pouvons nous appuyer sur deux démarches :

  • Les bonnes pratiques liées à la maîtrise des documents (chapitre 7.5 – Informations documentées – ISO 9001 : 2015) dont nous ferons un article prochainement,
  • Les méthodes liées à la sécurité de l’information ISO 27001 : 2013 dont un résumé de l’approche est expliquée ci-dessous.

La démarche d’analyse des risques appliquée aux données

Pour mettre sous contrôle les connaissances et données de l’entreprise, je recommande de partir des données stratégiques de l’entreprise. Cela permet d’aller plus loin que la norme ISO 9001 et d’améliorer en profondeur le contrôle et la maîtrise des données et informations :

  1. Identifier les données stratégiques de l’entreprise
  2. Identifier les besoins en matière de sécurité en fonction des processus opérationnels et des besoins clients
  3. Identifier et analyser les risques associés à ces données (les menaces, vulnérabilités associés)
  4. identifier ce qui est déjà en place et les solutions possibles pour amener ces risques à un niveau acceptable
  5. Mettre des objectifs et actions en place pour améliorer et maîtriser les connaissances

Pour aller plus loin je vous recommande de vous appuyer sur la série ISO 270xx des normes ISO sur la sécurité de l’information.

Contactez-nous

Des projets ? Des questions ? N'hésitez pas à nous contacter !