Nous vous apportons des éléments simples et pragmatiques pour vous lancer et réussir sereinement votre certification ISO 27001
Le but de cet article est de vous apporter les clés pour mettre en place de façon intelligente votre certification, avec des approches efficaces et adaptées aux PME.
En général, les certifications sont connues pour être des démarches longues, difficiles, et n’ont donc pas forcément bonne réputation. Mais nous allons voir comment en faire des outils au service de l’entreprise et comment mener ces démarches intelligemment.
Voici nos 5 piliers fondamentaux pour réussir votre projet de certification !
1er pilier : privilégiez l’approche concrète, toujours.
Fuyez les approches théoriques !
Cette première action est impérative. Vous ne pensez pas à faire construire votre maison par quelqu’un qui n’a jamais fait cela.
Cherchez une approche qui vous guide vraiment sur ce qu’il faut mettre en place et non une approche théorique.
Recrutez des personnes avec une vraie expertise, ou faites appel à des professionnels qui ont plusieurs projets à leur actif. Interrogez les consultants sur comment ils vont s’y prendre et comparez les approches.
Chez Feel Agile, notre but est de vous apprendre « comment mettre en place les normes », pratiquement et concrètement ! Et de ne pas vous transmettre seulement un document PDF bien fourni.
2ème pilier : partez de votre existant.
Mettre de côté toutes les approches qui sont trop documentaires, qui vont calquer une organisation, des procédures ou des politiques de sécurité déjà rédigées qui ne colleront pas forcément à la structure de votre entreprise.
Il ne faut pas oublier que l’entreprise est certifiée sur le long terme avec des audits de contrôle tous les ans. C’est donc très important de mettre en place des systèmes pérennes.
Il faut donc une approche faite sur mesure, et vraiment partir de démarches qui comprennent votre organisation ainsi que d’un diagnostic bien établi.
L’intérêt est de comprendre ce que vous faites afin de mener des actions utiles et cohérentes par rapport à votre objectif de certification.
Du vécu : « J’ai une procédure de 25 pages sur la continuité d’activité que je n’ai jamais utilisé »
Retrouvez notre vidéo dédiée :
3ème pilier : entourez-vous d’une équipe pluridisciplinaire.
Il est important pour ce troisième pilier que vous soyez entouré non pas seulement d’experts, mais surtout d’une équipe pluridisciplinaire :
- Chef de projet
- Expert norme ISO 27001
- Expert sécurité
- RH, juridique
- …
Ce projet est une aventure collective !
Cette équipe vous donnera les clés pour comprendre les exigences et le vocabulaire de la norme. C’est la bonne manière d’être guidé.
L’important pour réussir c’est de ne pas faire les choses tout seul. Vous avez besoin d’experts pour vous encadrer sur la partie normative, mais également des chefs de projet dynamiques et réactifs. Ce sont eux qui vont réellement faire avancer le projet en communiquant avec vous, en vous formant.
Il ne faut pas s’appuyer uniquement sur un expert sécurité ou un expert dans la norme car ils vont souvent introduire des biais importants :
- Soit des mesures de sécurité surdimensionnées
- Soit faire de la sur qualité, c’est-à-dire avoir des exigences trop importante vis-à-vis du référentiel
L’ISO 27001 est un outil que l’entreprise doit s’approprier et ce n’est pas l’auditeur qui a la vérité absolue.
4ème pilier : ne pas viser la perfection en matière de normalisation.
Il faut prendre conscience que cela ne sera pas forcément « parfait » lors du premier audit. La certification est un processus d’amélioration continue.
L’objectif est de vous mettre en accord avec l’auditeur sur le bon niveau de sécurité et de conformité à obtenir lors de la première étape de la certification. Cherchez la cohérence entre l’analyse des risques, les mesures de sécurité et le contexte de l’entreprise (règlementaire ou contractuel)
Dans la démarche, cherchez vraiment à renforcer la sécurité et la qualité pour vos clients. Cela sera réellement utile par la suite. La certification est votre outil pour aller dans ce sens.
Les entreprises qui cherchent à faire plaisir à l’auditeur ou à faire un système parfait ne vont jamais être satisfaite par leur système 27001. Il est important de faire les choses par nécessité et non pas pour faire plaisir à la norme.
Accepter l’imperfection face à l’auditeur c’est assurer un système utile.
5ème pilier : ne pas être dépendant.
L’objectif de l’entreprise, c’est aussi qu’elle soit autonome. Vous devez absolument maîtriser la compréhension des normes et des exigences en interne, et au moins une personne doit se rendre maître de ces exigences !
Il faut à la fois apprendre à discuter avec l’auditeur sur le fond, mais aussi à cadrer l’auditeur sur son rôle. Comme son nom l’indique, il doit auditer, et non pas conseiller ou chercher ce qu’il connait.
Ceci est très important car les auditeurs n’ont pas forcément d’expérience concrète des systèmes et ont tendance à mal appréhender le « comment l’entreprise réponds à la norme » pour aller chercher « ce qu’ils veulent trouver ».
Vous avez maintenant les clés de la réussite !
En suivant ces piliers, vous réussirez votre projet de certification à coup sûr.
Mettez en place des éléments simples et pragmatiques, vous permettant de répondre aux exigences de vos clients ou bien aux différentes exigences réglementations existantes.
Feel Agile est une entreprise dont la vocation est de faciliter la mise en place des certifications et notamment des certifications du numérique. Nous accompagnons principalement les certifications ISO 27001, HDS et 9001, et sommes également acteur de la cyber sécurité dans le cadre de nos accompagnement 27001 et sur les normes de sécurité.
Notre métier est de faciliter l’adoption et le déploiement des certifications tout en agilité !
Il n’y a plus qu’à se lancer !
Vous en voulez encore ? Découvrez notre FAQ dédiée sur notre site et sur Youtube :
FAQ norme ISO 27001 – Feel Agile
FAQ ISO 27001 : 2mn pour comprendre l’ISO 27001 !
Contactez-nous
Des projets ? Des questions ? N'hésitez pas à nous contacter !
