1. Le cycle de certification
Le cycle de certification et l’obtention de votre certification 27001 ne sont que le début de votre progression en sécurité de l’information. Vous allez pouvoir apprendre à gérer la sécurité de l’information ainsi que votre SMSI sur le long terme, puisque la certification repose entre autres sur l’amélioration continue.
Un audit de suivi ou de surveillance aura lieu annuellement. Ainsi, le même auditeur viendra dans chacune de ces années du cycle.
C’est un excellent moyen pour les auditeurs de découvrir et de vérifier vos activités et de mieux connaître votre entreprise.
Le moment du 1er audit est d’une importance primordiale. Les prochaines seront plus des révisions partielles.
Ils se concentreront principalement sur les incohérences et les sensibilités trouvées lors des audits précédents et doivent donc être vigilants dans le traitement des résultats d’une année à l’autre
Une des erreurs la plus fréquente va être l’absence d’action une fois qu’une entreprise est certifiée. C’est pour cela que cette notion d’amélioration qui est importante.
Lors des audits de surveillance, les écarts et non-conformité repérés lors de l’audit initiale vont être inspectés.
Ainsi, si jamais les non-conformités mineures ne sont pas traitées, elles vont être qualifiées de majeure l’année suivante. Cela risque de bloquer la certification au cours du cycle.
En rappel, l’auditeur lui vous donnera un simple avis favorable ou non lors de la fin de l’audit. C’est une commission qui va ensuite analyser le dossier et l’avis du tuteur, et statuera définitivement sur la certification.
Il faut compter environ un mois avant d’obtenir la certification définitive.
Ainsi, la mise en place du SMSI à une durée d’environ 6 mois/ 1 an en fonction de la société.
2. Interpréter un rapport d’audit
Passons aux écarts. L’audit à une durée variable et va dépendre du nombre du collaborateur qui maintiennent le SMSI.
A l’issu de cet audit, un rapport sera transmis. Il contiendra les écarts majeurs, mineurs, les points sensibles, les pistes de progrès ainsi que les points fort.
Pour décrire ces 5 constats d’audit, les écarts majeurs sont des non-satisfactions d’une exigence du référentiel qui touche à l’organisation, l’application et la normalisation du SMSI. Ceci entrain un risque très important pour le SMSI.
Ensuite, les conformités mineures elles caractérisent la non-satisfaction de l’exigence du référentiel, mais n’entrainent pas de risque important de non-respect. La non-satisfaction d’une exigence ne compromet pas l’efficacité ou l’amélioration du SMSI dans le cadre d’une conformité mineure.
Les points sensibles sont des éléments du SMISI sur lesquels les preuves d’audits montrent que l’organisme est conforme, mais risque de ne plus atteindre les exigences du référentiel à court ou moyen terme.
Les pistes de progrès sont les voyant identifiés sur lesquels l’organisme peut progresser. Cela correspond au terme d’opportunité d’amélioration. Cette piste de progrès donne à l’organisme client la possibilité de soit dépasser les exigences de référentiel d’audit, soit d’améliorer la performance de cet élément du smsi, sans dépasser les exigences du référentiel.
Et les points forts eux sont les éléments du smsi sur lesquels votre organisme dépasse les exigences du référentiel, ou se distingue par une pratique ou méthode performante.
Ainsi, pour obtenir ce certificat, il est indispensable que vous ne possédiez aucune non-conformité majeure.
Si vous en avez, vous allez avoir trois mois pour corriger. Par la suite, un audit sera replanifier pour vérifier les corrections, avant de passer à la certification.
Pareil pour les non-conformités mineures. Il vous faudra les traiter pour l’audit de surveillance qui aura lieu l’année suivante, avant qu’elles ne deviennent des non-conformités majeures.
Pour définir un écart, c’est simplement la différence par rapport aux critères d’audit. Pour les constater, l’auditeur va se baser sur l’observation objective entre les attentes de la norme et ce qui est réalisé dans votre SMSI.
3. Processus d’accompagnement
Venons maintenant au processus d’accompagnement que nous proposons !
Cette formation se fera en 6 étapes durant 1 année environ.
Pour commencer la première sera de définir le contexte. Nous définirons le périmètre, les enjeux et les acteurs extérieurs qui ont des attentes en matière de sécurité sur votre projet.
Cette première étape d’un mois est importante car c’est celle qui va conditionner les étapes suivantes.
Deuxième étape, l’analyse des risques. Nous définirons la liste des risques qui peuvent impacter le SMSI. Elle prendra 1 mois également.
Ensuite troisième étape, la déclaration d’applicabilité. C’est un document que nous allons rédiger, en parcourant la liste des 114 mesures de l’annexe de la norme ISO 27001, afin de déterminer si celle-ci peuvent impacter le SMSI.
On va vérifier pour chaque mesure si elle est applicable ou non au périmètre comme nous aurons identifié lors de la première étape. Ensuite nous mesurons l’écart entre ce qui est fais par l’organisation, et les attentes de la mesure.
Ainsi, nous aurons établie le plan d’action définitif à conduire avant la certification.
En ayant définit un plan d’action, traité les écarts et exigences, nous pouvons commencer la quatrième étape, concernant le suivi de projet. Cette gestion de projet s’agira justement de suivre la mise en œuvre de ces actions, de s’assurer au fur et à mesure du projet qu’elles sont correctement mises en place.
Nous suivrons et assurerons une cohérence entre les actions, la rédaction des documents, et l’évolution des traitements de risque.
Une fois les écarts traités, nous passons à l’étape de la préparation a la certification où nous effectuerons des mises en situations, et verrons comment répondre aux questions d’un auditeur.
L’auditeur s’adaptera à votre entreprise, mais il vous faudra au moins une personne qui maitrise bien le processus, l’audit et la norme.
Enfin pour la dernière étape, elle concerne l’audit blanc qui aura lieu avant votre passage de certification. Il consiste à effectuer une mise en situation et d’identifier les risques peut être mal corrigés.
Nous avons conçu une vidéo sur notre chaine You Tube pour une explication plus détaillé !
Contactez-nous
Des projets ? Des questions ? N'hésitez pas à nous contacter !
