Certification ISO 27001 – SMSI

Le certification ISO 27001 est la certification basée sur le norme ISO 27001. Celle-ci se nomme  » Technologies de l’information – Techniques de sécurité – Systèmes de gestion de sécurité de l’information – Exigences « . C’est une certification internationale en lien avec la sécurité de l’information. Ainsi elle concerne l’ensemble des données conservées au sein des systèmes informatiques ou d’information. Le système de management des SI se nomme aussi SMSI. Les systèmes de management de la Sécurité de l’information a pour objectif d’assurer un gestion optimale des risques liés à la sécurité informatique.

Notre cabinet de conseil en certification peut vous assister dans le déploiement de votre démarche de sécurité de l’information. Nous pouvons vous accompagner lors de la certification initiale ISO 27001. Aussi nous pouvons intervenir auprès d’une entreprise déjà certifiée ISO 27001 pour réaliser par exemple un audit interne du SMSI. Nos experts en système de management peuvent intervenir pour des systèmes intégrés avec plusieurs normes ISO. Pour une ou plusieurs normes ou certifications ISO, nous pouvons vous conseiller et vous assister dans le déploiement, mise à jour, … des référentiels. Aussi déployer une certification ISO 27001, permet de mettre en place les principes attendus par le RGDP. Aussi il s’agira d’une protection supplémentaire vis à vis du risque juridique.

Nos experts IT et ISO 27001 vous répondent

Contactez nous afin d’étudier la faisabilité de votre projet de certification ISO 27001. Aussi nous pouvons vous accompagner sur l’organisation de votre système d’informations et de votre parc informatique

Qu’est ce que la certification ISO 27001 ?

De plus, l’information est aujourd’hui un élément essentiel de l’entreprise. Il est nécessaire de bien la maitriser et la préserver. Aussi il faut garantir que ce bien précieux puisse être conservée en sécurité. C’est l’objet de la certification ISO 27001. Ainsi il faut prendre en compte la sécurité des accès. Il peut s’agir par exemple des accès internes, des accès distants, ou des accès physiques. L’intérêt d’un certification ISO 27001, permet aussi de se prémunir d’un accès externe non souhaité : hack, piratage, virus, cryptage, ransomware, … L’identification des risques est un point important du SMSI. De surcroît, il faut préserver l’intégrité des données et informations que vous stockez. À ce niveau c’est la sécurité du stockage qui est à prendre en compte : sérénité des données, récupération, préservation en cas de destruction, lieux et pays de stockage, …

Comment se faire accompagner pour sa certification ISO 27001 ?

Certification QSE est un cabinet de conseil en certifications. En effet, nous intervenons auprès d’entreprises ou de collectivités pour la mise en place d’un Système de Management de la Sécurité de l’Information. Ainsi nous aidons nos clients pour obtenir la certification ISO 27001 dans les meilleures conditions. De plus, nos consultants sont des experts de cette norme mais aussi d’autres référentiels. Aussi nous proposons des accompagnements permettant d’intégrer la certification ISO 27001 au cœur de votre entreprise. Par exemple, nous prenons en compte le ou les autres Systèmes de management. Il peut s’agir d’un Système de Management de la Qualité. Premièrement, nous pouvons déployer la norme ISO 27001 avec des normes déjà existantes. Entre autre il y a l’ISO 9001, l’ISO 140001, ou l’ISO 45001 … Deuxièmement, nous proposons du conseil pour des entreprises ou collectivités n’ayant aucun système de management ou aucune certification. Ainsi le SMSI sera la première certification.

Nous recommandons la certification ISO 27001 à nos clients lorsqu’ils disposent d’actifs liés à leur SI. Ainsi il peut s’agir de données personnelles, données financières, propriété intellectuelle, R&D, innovation, … Il faut noter que de nombreux acteurs de ces secteurs présentent la certification ISO 27001 de leur(s) sous-traitant(s). Il s’agit par exemple de leur hébergeur ou prestataire informatique. Cela ne présente aucune garantie quant à leur infrastructure et leur organisation.

De la disponibilité et de l’écoute

Nos spécialistes vous conseillent en amont de votre projet. Ils vous aident à construire et adapter l’accompagnement ou la formation à vos besoins et attentes.

Des experts QSE à votre service

En fonction de votre besoin et des compétences nécessaires, nous sélectionnons le profil du consultant le plus adapté au sein de notre équipe.

Un consultant dédié à la mission

Chaque mission est unique. C’est pourquoi un consultant ou auditeur est dédié à la mission. Il n’y a pas de changement en cours d’accompagnement.

Un consultant de proximité de votre société

Nous attachons une grande importance à la proximité avec nos clients. Nos experts sont basés au plus près de vous. Nos consultants sont présents dans les plus grandes métropoles.

Qu’est ce que la certification ISO 27001 ?

Depuis plusieurs années la sécurité des données est devenue une forte préoccupation. Ainsi il devient primordiale de garantir la préservation des données de son entreprise. Aussi, depuis quelques années, il devient obligatoire de garantir la sécurité des données détenues pour des ressortissants européens. En effet, il s’agit d’un Règlement Européen plus connu sous le nom de RGPD : Règlement Général sur la Protection des Données Personnelles.

De plus, il devient important de mettre en place une politique de gestion des risques informatiques. Celle permet de garantir la gagner la confiance des clients et ou de ses fournisseurs. De plus, cela s’inscrit dans les enjeux du 21ème siècle : la donnée au cœur de l’entreprise. C’est pourquoi la norme ISO 27001, « Technologies de l’information – Techniques de sécurité – Systèmes de gestion de sécurité de l’information – Exigences » s’inscrit parfaitement dans ce contexte.

Qu’est ce que la norme ISO 27001 ?

La certification ISO 27001 est basée sur la norme du même nom. Elle est édité et mise à jour l’organisation internationale de normalisation. C’est un organisme international non gouvernemental. Il est indépendant et se compose de 164 pays membres. Ainsi la norme ISO 27001 est un référentiel de certification international. De plus, ce référentiel est commun à plus de 160 Pays du monde.

La norme ISO/IEC 27001 est la plus connue des normes liées à la sécurité des systèmes d’informations. Cette famille de normes en contient plus de 12. Les autres normes de cette famille :

• ISO/IEC 27000 : Techniques de sécurité – Systèmes de management de la sécurité de l’information – Vue d’ensemble et vocabulaire
• ISO27002 : Code de bonne pratique pour le management de la sécurité de l’information
• ISO 27003 : Lignes directrices
• ISO27004 : Surveillance, mesurage, analyse et évaluation
• ISO27005 : Gestion des risques liés à la sécurité de l’information
• ISO27006 : Exigences pour les organismes procédant à l’audit et à la certification des systèmes de management de la sécurité de l’information
• ISO27007 : Lignes directrices pour l’audit des systèmes de management de la sécurité de l’information
• ISO 27008 : Lignes directrices pour les auditeurs des contrôles de sécurité de l’information
• ISO 27010 : Gestion de la sécurité de l’information des communications intersectorielles et inter-organisationnelles
• ISO27011 : Code de bonne pratique pour les contrôles de la sécurité de l’information fondés sur l’ISO/IEC 27002 pour les organismes de télécommunications
• ISO27799 : Santé
• …

Enfin, l’ISO27001 déploie un système de management comme la norme ISO 9001 par exemple.

Quel est l’objectif de la norme ?

L’objectif principal de cette norme est de protéger les données sensibles. Ainsi celles-ci se retrouve dans la norme comme des informations. C’est pourquoi le norme ISO27001 permet de garantir à vos clients la confidentialité des données. Aussi il s’agit de garantir l’intégrité des données ou informations.

Quel est le contenu de la norme ?

L’ISO 27001 comprend de nombreuses exigences communes avec les normes plus connues. Par exemple, elle partage avec l’ISO 9001, 14001 … les exigences suivantes :

• L’approche processus (pour un Système de Management de la Sécurité de l’Information)
• La compréhension des exigences internes et externes
• Les parties intéressées pertinentes et leur(s) exigence(s)
• Une politique de la sécurité de l’information
• La définition d’objectifs de sécurité de l’information
• La promotion de l’amélioration : dont les actions correctives et préventives
• L’évaluation de la performance : audits internes, suivi, analyse de la performance …

Quels sont les avantages de la norme ?

Le principal avantage de la certification ISO27001 est l’amélioration sensible de la sécurité de vos systèmes d’information. Ainsi, il ne s’agit plus de protéger les infrastructures exposées à l’externe. En effet, la norme rend obligatoire la protection des SI via les utilisateurs, les mesures de sécurité physique et la gouvernance.

Aussi la mise en place d’un SMSI permet d’intégrer la gouvernance au cœur des problématiques informatiques. De plus tous les acteurs de la société deviennent responsable vis à vis de leurs pratiques. Avec l’arrivée du RGPD en 2018, la certification vient renforcer la conformité et mettre en avant les pratiques internes.

Pour conclure, la réduction des coûts associés au SI est important. Les bonnes pratiques à tous les niveaux et la formation viennent réduire les dépenses associées à la sécurité et au incidents. La montée en compétences des personnels permet de réduire directement les coûts. Enfin, la mise en place d’un prévention des risques liées au SMSI un un véritable atout marketing.

Qu’est ce que l’annexe A ?

La norme ISO 27001 dispose d’une annexe à prendre en compte afin de déployer la certification ISO 27001. Cette annexe A est un recueil de mesures à mettre en place. Il y a 14 Catégories au sein de cette Annexe A de l’ISO27001 :

• A.5 : Stratégies de sécurité des informations
• A.6 : Organisation de la sécurité de l’information
• A.7 : Sécurité des ressources humaines
• A.8 : Gestion des actifs
• A.9 : Contrôle d’accès
• A.10 : Cryptographie
• A.11 : Sécurité physique et environnementale
• A.12 : Sécurité opérationnelle
• A.13 : Sécurité des communications
• A.14 : Acquisition, développement et maintenance du système
• A.15 : Relations avec les fournisseurs
• A.16 : Gestion des incidents de sécurité des informations
• A.17 : Aspects de la sécurité de l’information liés à la gestion de la continuité des activités
• A.18 : Conformité

Ainsi l’annexe A regroupe 114 mesures de sécurité au sein des 14 catégories. De plus il faut noter que ces contrôles sont obligatoires. L’annexe A a une importance particulière contrairement aux autres annexes de normes.

Comment obtenir la certification ISO 27001 ?

Pour rappel la certification sur le référentiel ISO 27001 est volontaire. Il ne s’agit pas d’une obligation règlementaire. Ainsi les entreprises certifiées peuvent démontrer leur très haut niveau d’exigences sur leur SI. En effet, la norme et ses 114 contrôles à réaliser sont en lien avec la sécurité de l’information.

Ainsi pour obtenir la certification il est nécessaire de réaliser un audit initial. Cet audit s’appelle aussi audit tierce partie. L’audit de certification est mené par un organisme certificateur accrédité pour la norme ISO 27001. Cet audit a un cout lié à sa durée. Il est généralement de 3 à 5 jours sur site. C’est à l’issu de celui-ci que l’entreprise est certifiée ou non. L’auditeur émettra un avis en fin d’audit à destination du comité de certification.

Afin d’obtenir la certification ISO 27001, il ne faut pas qu’une non-conformité majeure soit détectée. En effet, dans ce cas l’auditeur ne pourra émettre un avis favorable pour délivrer l’ISO 27001. C’est pourquoi une bonne préparation de l’audit est importante. Nos consultants sont là pour vous y aider. Enfin, il ne faut pas non plus que de trop nombreuses non-conformités mineures soient identifiées. Dans ce cas cela correspond à une NC majeure.

Quelle est la définition d’un non-conformité ?

Une non-conformité se définit comme la non-satisfaction d’une exigence. Dans notre cas il s’agirait d’une exigence du référentiel ISO27001. La NC mineure n’affectera pas la performance globale du système de management de la sécurité de l’information. C’est un point faible de votre système. Par exemple, il peut y avoir : une revue de sauvegarde absente, un document sans contrôle de version, un mot de passe qui s’avérerait faible, …

Comment mettre en place la certification ISO 27001 ?

Le déploiement d’une norme ISO est un processus systématique. Il doit s’anticiper et se préparer en amont de son lancement. En effet, il y a une première phase de préparation du déploiement pour par exemple : impliquer les acteurs de la direction, préparation l’engagement de la direction, identifier les axes stratégiques. D’autre part, il faut communiquer sur le lancement de la démarche de certification.

Ensuite, il y a une étape nommée approche processus qui permet d’identifier ses processus internes. Aussi il est nécessaire de bien connaitre le ou les processus externalisés. Également il s’agit de bien comprendre l’organisation actuelle. De plus, il s’agit de viser un nouvelle organisation en lien avec les différentes exigences qui peuvent être parfois nouvelles.

Enfin, il s’agit de débuter le déploiement du Système de management de la sécurité de l’information. Ainsi nos équipes et vos personnels mettent en place les exigences normatives. Cela se déroule sous forme de groupe de travail. Il s’agit de faire participer le maximum de collaborateurs. Ainsi il est plus facile d’obtenir l’adhésion des collaborateurs.

Nos experts en ISO27001 participent au pilotage de la démarche avec le référent interne. Il est aussi en relation avec la direction et les différents manager impliqués. De plus ils s’assurent du bon avancement de la démarche.

Qu’est ce que le SMSI ?

Le SMSI est le système de management de la Sécurité Informatique. Tout comme le SMQ se déploie dans le cadre de la certification ISO 9001, le SMSI est mis en place en lien avec l’ISO 27001. Il s’agit de l’ensemble de la démarche mise en place. En effet, celle-ci et donc par conséquent le SMSI se compose en autre de :

• L’approche processus (cartographie, fiches processus, …)
• De la politique de sécurité
• D’une analyse des risques
• Des parties intéressées pertinentes
• Des mesures de sécurité
• De outils d’amélioration continue
• …

Comment obtenir la norme en pdf ?

La norme ISO 27001 est disponible en pdf. En effet, celle-ci peut être achetée et transmise en pdf. Ainsi vous pouvez détenir une copie pdf de la norme ISo 27001. En revanche, il n’est pas pas possible d’obtenir la norme ISO 27001 en pdf gratuitement. Le document contenant les exigences ISO 27001 n’est pas gratuit.

Il est à noter que nous pouvons offrir gratuitement et dans certaines conditions une version de la norme ISO 27001. Nous pouvons vous donner un exemplaire gratuit de la norme ISO 27001 dans le cadre d’accompagnement par nos consultants. NB : la mise à disposition gratuite se fait sous certaines conditions.

Quel est la prix de la certification ISO27001 ?

Le prix de la certification ISO 27001 varie selon différents critères. En effet, chaque entreprise a sa propre organisation, des tailles et activités opérationnelles différentes. Ainsi il n’est pas aisé de fournir un tarif global pour la certification.

La durée minimale de de l’accompagnement est à minima de 12 à 15 jours pour une organisation n’ayant aucune norme mise en place. Dans le cas d’un complément, par exemple avec l’ISO 9001, il est possible de réduire à la durée minimale de 12 jours.

Aussi, il faut augmenter la durée de l’accompagnement en fonction des activités de l’entreprise et de la criticité. De plus, le nombre de salariés et de site va augmenter la durée. d’accompagnement. Enfin si vous ne disposer pas de ressources internes formées à la Qualité ou à l’ISO 27001 il faudra ajouter la durée de formation. Pour conclure le tarif d’accompagnement est fonction de la durée et des sites à accompagner.

Audit tierce partie ou audit de certification ISO 27001

En revanche, concernant la certification ISO 27001 et l’audit tierce partie, il faut compter :

• Une base minimale de 2 jours d’audit (TPE de 10 à 15 personnes)
• Un complément de 1 à 2 journées en plus si vous avec des activités informatiques importantes (ERP, SI, développement, …)
• À cela peut s’ajouter une journée pour si vos effectifs sont inférieur à 50 salariés, 2 ou 3 jours si vous avec une centaine de salariés.
• Ensuite la durée variera peu elle peut aller jusqu’à 7 à 10 jours Homme avec deux auditeurs.

Enfin le cout d’une journée d’audit tierce partie est comprise entre 1200 € et 1700€.

Veuillez noter que nous ne sommes pas un organisme de certification accrédité par le COFRAC. En effet, nous sommes un cabinet de conseil qui permet d’intégrer une ou plusieurs normes ou labels pour être une entreprise certifiée ISO. Les organismes certificateurs sont par exemple : AFNOR Certification, Bureau veritas certification, SGS, … Aussi, ces organismes disposent d’une accréditation permettant de délivrer des certificats ISO.

Quels sont nos domaines d’intervention ?

Certification QSE vous accompagne sur de nombreux projets des domaines Qualité, Sécurité et Environnement. De même, nous intervenons pour réaliser des missions de conseil, d’audit ou de formation sur de nombreux domaines et normes. Nous pouvons intervenir au sein des régions ci-dessous ou des capitales régionales :

• Auvergne Rhône-Alpes
• Bourgogne Franche-Comté
• Bretagne
• Centre Val de Loire
• Corse
• Grand Est
• Hauts de France
• Ile de France
• Normandie
• Nouvelle Aquitaine
• Occitanie
• Pays de Loire
• Provence Alpes Côte d’Azur

• Belgique
• Luxembourg
• Suisse

De plus, nos consultants sont présents dans les principales agglomérations en France et en Belgique :

• Bordeaux
• Grenoble
• Lille
• Lyon
• Marseille
• Montpellier
• Nantes
• Nice
• Orléans
• Paris
• Rennes
• Rouen
• Strasbourg
• Toulon
• Toulouse
• Tours
• Bruxelles
• Gand
• Charleroi
• Liège

N’hésitez pas à nous contacter :

Nous pouvons aussi intervenir sur des thèmes différents de l’ISO 27001 :