Comment rater sa certification ISO 27001 ?
Des erreurs courantes peuvent amener à des blocages, des échecs, des incompréhensions. Voici notre retour d’expérience après 10 ans dans le métier.
Que vous soyez en préparation, en cours de projet, ou en simple recherche d’informations, ces points sont essentiels à avoir en tête pour réussir sans accro sa certification ISO 27001.
Notre objectif est de vous guider sur les bonnes pratiques à adopter !
Comment ne pas rater son audit de certification ?
Comment maitriser les couts et organiser son projet ?
Cet article est également disponible en vidéo sur notre chaine YouTube !
Découvrez les 9 pires erreurs à ne pas commettre dans un projet de certification ISO 27001 !
1ère erreur : démarrer sans expérience.
Cette certification en tant que projet d’envergure nécessite un minimum d’expérience. Il est préférable et nécessaire de s’y préparer, de s’informer sur la norme et la sécurité.
L’idéal est de faire appel à des sociétés qui ont une véritable expérience, et qui mettent à votre disposition une équipe pluridisciplinaire, ayant vraiment mise en place des systèmes. Il est important de vous informer auprès de personnes ayant des dizaines de projets à leurs actifs et qui connaissent l’ISO 27001 et la certification.
L’objectif est de gagner du temps, grâce à un accompagnement clé en main.
2ème erreur : répondre exigence par exigence
Commençons par rappeler comment est structuré la norme ISO 27001. Nous avons 2 parties dans ce référentiel :
- La première qui traite du système de management, de l’organisation générale en matière de sécurité.
- Et la deuxième qui liste les mesures de sécurité, appelé Annexe A.
Pour ces deux parties, il faut éviter de traiter les conformités exigence par exigence.
Cela veut dire qu’il ne faut pas mettre en place un dispositif à chaque fois qu’il y a une exigence, mais plutôt essayer de répondre par une action globale. C’est bien un système que l’on met en place, un ensemble de process et une organisation cohérente.
Ainsi, lorsqu’on parle d’organisation cohérente, nous sous-entendons :
- Des rôles à responsabilités
- Les processus à respecter
- Les politiques de sécurité
- Des dispositifs de contrôle de vérification
- Des structures de pilotage
Il est important de comprendre ce que demande la norme en termes d’organisation, et de mettre en place un système léger, agile et simple.
En essayant de répondre à chaque exigence de façon précise, vous allez avoir un système vraiment lourd et rigide. Tandis qu’avec un système bien conçu et intelligent vous pouvez répondre à plusieurs exigences de la norme en même temps.
Le but est de mettre en place un système pertinent, et ensuite de le mettre en relation avec des exigences.
On va donc ensuite vérifier si cela est bien conforme au référentiel, et avoir des démarches plus dans le sens inverse.
C’est donc valable pour la première partie du référentiel (comprenant l’analyse des risques, les audits internes…) et pour l’Annexe A. Cette dernière comprenant des mesures techniques et/ou organisationnelles, c’est aussi un système reliant risques et mesures de sécurité
Tout l’art de cette démarche consiste à mettre en place un système cohérent d’organisation et de sécurité opérationnelle pour ensuite vérifier que l’on répond bien aux exigences de la norme ou du moins celles pertinentes pour votre entreprise.
3ème erreur : utiliser une base documentaire provenant d’internet.
S’informer et s’inspirer de base documentaire provenant d’internet est un mauvais réflexe. Cela peut porter préjudice à votre démarche, conduire à la rédaction d’éléments inutiles avec bien trop de détails sur les mesures de sécurité.
Il faut d’abord vous poser des questions concernant les vrais besoins, avant de rédiger.
Concernant les bases documentaires qui peuvent être utilisés durant les projets, se seront la plupart du temps des modèles non adaptés aux projets 27000. Ces derniers seront bien trop rédigés et complexes, plus verbeux que réellement concrets.
Posez-vous les bonnes questions suivant vos besoins en matière de documentation et d’information.
Attention à la multiplication des documents !
4ème erreur : une méthode d’analyse trop complexe.
Il est bien plus intéressant pour vous lors de votre phase de mise en place au niveau de démarrage, de choisir une méthode simple, sur mesure et basées sur l’ISO 27005 pour vous orienter.
Une méthode trop complexe représente des approches de spécialistes de l’analyse de risques, certes compétentes et fiables, mais ça restera une perte de temps pour vous. Ce type de méthode ne sera pas un véritable avantage dans une première analyse de surface.
L’objet est de vous transmettre les informations permettant de choisir la meilleure méthode pour vous orienter. Et ne pas oublier que pour ce genre d’analyse il faut privilégier une connaissance du métier et des risques.
5ème erreur : Faire une DDA trop rapide
La Déclaration d’applicabilité (DDA) est un document qui va préciser comment vous avez appliqué les mesures de sécurité préconisées par l’ISO 27001, si et seulement si vous en faites un outil performant !
En effet, prendre la DDA telle qu’elle est, sans la spécialiser et l’adapter à l’entreprise ne vous permettra pas de comprendre l’utilité de l’exercice. Ça ne sera pas une non-conformité, mais manque de consistance.
Son but est de vérifier les oublis de mesures, dans une optique de mise en place d’un système de sécurité intelligent.
La DDA peut être un outil très efficace, mais seulement si elle est faite sur mesure, si tout est mis en place, et si les mesures sont vraiment adaptées.
6ème erreur : Viser la perfection
Evidemment, on a tendance à vouloir tout bien faire.
En réalité pour un projet d’entreprise aussi important qu’une démarche de certification, il faut dans un premier temps viser une organisation utile. Mettre en place des choses qui marchent, avant de penser à la perfection.
Même si vous visez le 0 écart en y mettant le temps et l’argents, vous allez vous retrouver avec une documentation non adaptée, pas réaliste, à vouloir au final tout changer au bout d’un an parce que vous vous retrouver avec un système beaucoup trop lourd.
De même viser l’excellence et un système parfaitement conforme à ce qu’attendent les auditeurs va surement les satisfaire, mais cela va surtout vous apporter un système qui vous bloque, complexe, sans avantage pour vous.
Au final le plus important, c’est le temps et l’utilité du projet. Vous avez besoin d’un système qui marche, efficace et avantageux pour l’entreprise.
De même, un bon auditeur sera là pour vous, pour vérifier si le système marche bien, si la sécurité est bien maîtrisée.
7ème erreur : Ne pas contester un écart infondé.
Il est important que vous maitrisiez la norme durant l’audit 27001, que ça soit clair pour vous.
Chaque auditeur n’a pas les mêmes compétences ou raisonnements. C’est pour cela que se former et maitriser cette norme vous permettra de pouvoir argumenter et de vous assurer que l’auditeur audite bien par rapport au référentiel.
Il ne faut pas se baser exclusivement sur ses connaissances ou expériences personnelles ! L’auditeur est là pour vérifier la mise en place du système pour répondre aux exigences du référentiel, et non pour vous conseiller, et faire de la théorie.
C’est bien en vous formant aux exigences que vous allez pouvoir argumenter, et vous assurez que l’auditeur vous audit bien par rapport au référentiel ISO 27001, et non pas par rapport à ses propres connaissances ou expériences.
Si vous ne vous formez pas, l’auditeur pourra prendre des libertés.
8ème erreur : y aller sans projet.
Ce qui est important ici, c’est ne pas définir des indicateurs précis sur l’avancement !
Il est nécessaire d’informer régulièrement la direction, puisqu’elle va jouer un rôle clé dans le projet notamment en arbitrant les décisions.
L’erreur suivante est de démarrer sans indicateur, sans projet, sans coordinateur.
Les certifications ISO 27001 sont souvent des projets assez longs, d’un an minimum.
Les acteurs directement concernés sont souvent une équipe de 4 ou 5 personnes.
Il faut régulièrement donner des informations à la direction, car elle joue un rôle clé pour arbitrer sur les risques. Mais il est surtout très important que la direction s’implique à comprendre les enjeux en matière de sécurité et les risques, le but étant qu’elle arbitre les mesures des sécurités qui doivent être mises en place, en comprenant bien leurs utilités.
Aussi, si elle se tient trop loin du projet, elle ne pourra pas le soutenir.
Se faire accompagner par un chef de projet dédié vous évitera cet écueil. Il fera le lien entre les différents acteurs et définira des indicateurs précis sur l’avancement, en plus de vous conduire dans la bonne direction !
L’accompagnement ISO également disponible en vidéo !
9ème erreur : mal estimer les coûts.
L’erreur suivante est de mal estimer les coûts, les charges, ou les conséquences.
Certaines entreprises se retrouvent avec plus de charges que ce qu’elles pensaient. C’est là que l’on peut déjà remarquer que celles-ci n’ont pas forcément été correctement accompagné. Cela se traduit par des organisations rigides avec de la sur documentation et/ou une négligence de l’accompagnement des collaborateurs et des différentes parties du projet.
Il faut vraiment avoir une approche pragmatique de l’estimation des coûts. Si on fait bien le projet, en réalité on construit un projet qui ne va pas demander de temps à faire vivre.
C’est justement ce que nous faisons chez Feel Agile.
Estimer les coûts du projet au niveau financier en termes d’accompagnement et de suivi, et estimer les charges internes de l’entreprise. Le but étant toujours de mettre en place des choses utiles pour l’entreprise.
Voici les quelques petits points à éviter lors de vos démarches.
Et même si pour certains cela peut n’être qu’un détail, ces changements et réflexions vont vraiment améliorer la construction de votre projet de certification !
Contactez-nous
Des projets ? Des questions ? N'hésitez pas à nous contacter !
