Quand on évoque la sécurité de l’information, on fait souvent référence à la norme ISO 27001. Mais, en fait, de quoi s’agit-il vraiment? Qu’est-ce donc que cette norme? Qui cela concerne? En quoi consiste une certification ISO 27001? J’ai choisi cette approche ludique du guide sous forme d’un abécédaire pour répondre à toutes ces questions. Je vous laisse donc découvrir en vous amusant notre guide ISO 27001 de A jusqu’à Z. Et j’attends, comme toujours, vos commentaires.
Audit
La norme exige deux types d’audit du SMSI. Un audit interne doit être réalisé au minimum entre deux audits externes. Suite à cet audit interne, des recommandations d’amélioration et/ou de correction de non-conformité doivent être proposées et suivies d’un plan d’action effectivement mis en oeuvre. Les résultats d’un audit interne doivent donc aboutir à l’identification des non-conformités et des actions correctives ou préventives associées. La norme ISO27001 répertorie les exigences en matière d’activité et d’enregistrement relatives aux actions correctives et préventives.
Les audit externes ont pour objectif de vérifier de façon indépendante la conformité du SMSI aux exigences de la norme. Un audit de certification est ainsi réalisé de façon initiale en vue de la certification. Il doit ensuite être renouvelé tous les trois ans afin de renouveler la certification. En outre, chaque année, entre deux audits externes de certification, un audit annuel de surveillance doit être effectué par l’organisme de certification.
Business (Continuité)
La continuité des affaires est une des exigences de la norme ISO 27001. Cette exigence est décrite en détail à l’annexe A.17.1 et A.17.2.
L’Annexe A.17.1 concerne la continuité de la sécurité de l’information. L’objectif des deux contrôles de sécurité associés est que la continuité de la sécurité de l’information soit intégrée aux systèmes de management de la continuité des opérations de l’organisation. C’est une partie importante du système de gestion de la sécurité de l’information (SMSI) pour obtenir la certification ISO 27001.
L’Annexe A.17.2 concerne les redondances. L’objectif de ce contrôle est d’assurer la disponibilité des installations de traitement de l’information en cas de catastrophe.
Certification
La certification de votre SMSI selon ISO/IEC 27001 est une possibilité. Mais il ne s’agit pas une obligation. Certains utilisateurs décident de mettre en œuvre la norme simplement pour les avantages directs que procurent les meilleures pratiques. D’autres font le choix de la certification pour prouver à leurs clients qu’ils suivent les recommandations de la norme. L’ISO ne fournit pas de services de certification. La certification est toujours délivrée par un organisme indépendant accrédité. Elle est alors accordée pour une durée de 3 ans.
Direction (Revue de)
Pour que le SMSI soit efficace et reste à jour et adapté à ses besoins, ISO27001 requiert deux évaluations régulières:
- La direction doit examiner le SMSI à intervalles planifiés. Cette revue doit inclure l’évaluation des possibilités d’amélioration et de la nécessité de modifier le SMSI. Cela inclut la politique de sécurité et les objectifs de sécurité. La revue de la Direction doit également accorder une attention particulière aux actions correctives ou préventives antérieures et à leur efficacité. Elle doit intervenir au minimum une fois entre deux audits de surveillance annuels.
- Audits internes périodiques au moins une fois entre deux audits de surveillance annuels.
Les résultats des revues et des audits doivent être documentés. En outre, les enregistrements relatifs aux revues de direction et aux audits doivent être conservés.
Engagement de la Direction
L’équipe de direction et de management d’une organisation joue un rôle important dans le succès d’un SMSI.
La section Responsabilité du management de la norme ISO27001 stipule:
La direction doit s’engager à établir, mettre en œuvre, exploiter, surveiller, examiner, maintenir et améliorer le SMSI. L’engagement doit inclure des activités telles que s’assurer que les ressources appropriées sont disponibles pour travailler sur le SMSI et que tous les employés concernés par le SMSI disposent de la formation, de la sensibilisation et des compétences appropriées.
La Direction doit démontrer son engagement en établissant et en communicant :
- Une politique de sécurité de l’information. Elle peut se présenter comme document autonome ou une partie d’un manuel de sécurité général utilisé par une organisation
- Des objectifs et plans de sécurité de l’information. Là également il peut s’agir d’un document autonome ou d’une partie d’un manuel de sécurité général utilisé par une organisation
- Les rôles et responsabilités en matière de sécurité de l’information. Une liste des rôles liés à la sécurité de l’information doit être consignée dans les descriptions de postes de l’organisation. Elle doit également figurer dans le manuel de sécurité ou dans les descriptifs du SMSI.
- Annonce ou communication à l’organisation de l’importance de respecter la politique de sécurité de l’information.
- Ressources suffisantes pour gérer, développer, mettre en œuvre et maintenir le SMSI
Formation et Sensibilisation
Des ressources adéquates (personnes, temps, budgets) doivent être allouées au fonctionnement du système de management de la sécurité de l’information (SMSI) et à tous les contrôles de sécurité. En outre, le personnel qui doit travailler au sein du Système de Management de l’Information (le conserver et conserver sa documentation et mettre en œuvre ses contrôles) doit recevoir une formation appropriée.
Le succès du programme de formation doit être surveillé pour assurer son efficacité. Par conséquent, en plus du programme de formation, vous devez également définir un plan pour déterminer l’efficacité de la formation.
La norme exige donc que vous mainteniez :
- Une liste des employés qui travailleront sur le SMSI
- Toutes les procédures du SMSI utilisées pour identifier le type de formation nécessaire et les membres du personnel ou les parties intéressées nécessitant une formation
- Un accord du management concernant l’allocation des ressources et les plans de formation
Une documentation spécifique pour la formation n’est pas requise explicitement dans la norme. Cependant, vous devez prouver que la planification des ressources et la formation ont bien eu lieu. Vous devez donc disposer d’une documentation indiquant qui a reçu la formation et quelle formation il a reçue.
Gouvernance
La gouvernance de la sécurité de l’information est le système par lequel une organisation dirige et contrôle la sécurité de l’information. Elle décrit également le processus d’établissement et de maintenance d’un cadre garantissant l’alignement de la stratégie de sécurité de l’information sur les objectifs business de l’organisation. Elle doit, de plus, être compatible avec les lois et réglementations en vigueur, via le respect des politiques et des contrôles internes, et définir les responsabilités, le tout dans un environnement sécurisé. Il s’agit d’un sous-ensemble de la gouvernance d’entreprise, axée spécifiquement sur la sécurité de l’information.
L’engagement de la direction (voir lettre « E ») en matière de sécurité de l’information est l’aspect le plus important de la gestion efficace des risques pour la sécurité des actifs informationnels d’une organisation, également appelé obligation de diligence de la direction.
C’est le Conseil d’Administration qui doit piloter les activités de gouvernance de la sécurité de l’information avec la haute direction et le personnel clé désigné dont, en particulier le CISO. Ces activités doivent être entreprises de manière cohérente avec la gestion des risques et les plans stratégiques, les exigences de conformité, la structure organisationnelle, la culture et les politiques de gestion de l’organisation. Un aspect clé de la gouvernance de la sécurité est la nécessité de définir les droits de décision et la responsabilité.
Humaines (Ressources)
Le rôle des ressources humaines est essentiel lorsqu’il s’agit de la sécurité de l’information d’une organisation. C’est pourquoi ISO27001 comporte une clause consacrée à tous les aspects relatifs aux ressources humaines.
Elle décrit les contrôles possibles de la sécurité des informations. Elle inclut également des instructions essentielles pour la mise en œuvre dans chacune de ses sections relatives au cycle de vie professionnelle, fournissant des conseils sur les activités préalables à l’embauche, pendant la durée d’emploi et postérieures à l’emploi.
Phase de pré-embauche
La section pré-embauche couvre des domaines tels que la vérification des antécédents ou la sélection et les contrats / conditions.
À titre d’exemple, dans les instructions pas à pas sur la sélection des candidats, ISO 27001 inclut des informations sur la manière de définir les critères et les limitations à utiliser pour les contrôles et le traitement de données personnelles telles que des informations financières personnelles. La norme explique également comment identifier au mieux les personnes habilitées à effectuer de tels contrôles.
Pendant la période d’emploi
Au cours de l’emploi, tous les membres du personnel ont une obligation de diligence envers les actifs informationnels de l’organisation. On s’attend généralement à ce que le service informatique s’occupe de la sécurité. Mais, en fait, la DSI ne s’occupe que de la sécurité informatique. La portée des actifs informationnels d’une organisation est beaucoup plus large. Et elle est soumise à un nombre de risques beaucoup plus élevé que celui auquel on peut raisonnablement s’attendre.
On admet qu’environ 80% des violations de données ont pour cause des personnes plutôt que des défaillances techniques. Cela peut venir par exemple de personnel utilisant des clés USB pour transporter des données alors qu’il ne devrait pas.
Période post-emploi
La période post-emploi présente de gros risques pour la sécurité de l’information des organisations. Elles peuvent être la cible de malveillance, de vol ou d’atteinte à la réputation. Toutes les organisations ne sont pas confrontées au même niveau de menace pour la perte de données protégées. Mais la justice punit ce type d’infractions avec des amendes pouvant atteindre 500 000 €. De graves violations des données ont ainsi conduit certaines entreprises à fermer.
ISO27002 fournit des indications claires sur les politiques et procédures appropriées pour le processus de résiliation. Elles incluent des conseils sur la manière dont le personnel doit restituer les actifs. On y retrouve également des conseils sur la meilleure façon de supprimer leurs droits d’accès. ISO 27002 propose également des directives claires sur la manière de mettre en œuvre de telles politiques.
ISO 27002
L’ISO/CEI 27002 est code de bonnes pratiques pour le management de la sécurité de l’information. Ces pratiques de gestion aideront votre organisation à renforcer la confiance dans ses activités inter-organisationnelles et à mettre en place un ensemble approprié de mesures, y compris les politiques, les processus, les structures organisationnelles et les fonctions logicielles et matérielles. Ce cadre de bonnes pratiques est un document générique pouvant servir de référence pour la sélection des mesures dans le cadre du processus de mise en œuvre du système de management de la sécurité de l’information. L’ISO/IEC 27002 est destinée à être utilisée par tous types d’organisations, les secteurs public comme privé, les entreprises commerciales et celle à but non lucratif ainsi que toute autre organisation confrontée à des risques de sécurité de l’information.
On n’audits jamais une organisation dans le cadre de sa certification sur les mesures préconisées par ISO 27002.
Justification Business
Un des écueils rencontrés lors de la mise en oeuvre de la norme ISO 27001 est l’insuffisance de ressources. Celle-ci résulte souvent de l’incapacité de la direction à saisir l’ampleur des risques liés à la sécurité de l’information.
Un projet SMSI ISO 27001 couronné de succès repose sur un engagement et un soutien de la direction. Ainsi, votre projet obtiendra les ressources financières et humaines dont il a besoin. Et le système de management de l’information sera en alignement sur les objectifs stratégiques de votre organisation.
La réalisation d’un cas d’affaires (business case) est essentielle pour influencer les décideurs. Si vous avez besoin d’une approbation budgétaire pour investir dans la sécurité de l’information, il est judicieux d’en produire un.
KPI (Key Performance Indicators)
La surveillance, la mesure, l’analyse et l’évaluation du SMSI sont une exigence d’ISO 27001: 2013. Selon la norme, l’organisation doit mesurer les processus du SMSI pour s’assurer que la gestion de la sécurité est efficace.
L’organisation doit d’abord déterminer quelles mesures surveiller afin de fournir des informations en retour sur la performance du système. Au niveau du contrôle, on peut facilement définir ces mesures. Par exemple, l’organisation peut souhaiter surveiller les niveaux d’incident de sécurité et l’effet des contrôles sur ceux-ci, ou le nombre de vulnérabilités ouvertes / fermées, et déterminer si le contrôle prend en charge une correction efficace de ceux-ci.
On peut considérer les mesures décrites ci-dessus comme des indicateurs de performance clés ou des indicateurs de performance clés (KPI) pour les contrôles. Celles-ci sont distinctes de la performance du système – même si les deux sont liées. La clause 9.1 traite de la mesure des processus ISO 27001 pour assurer le fonctionnement efficace du système, de la même manière que les contrôles. Voici des exemples de ces KPIs:
- Nombre d’objectifs stratégiques de l’entreprise soutenus par des objectifs de sécurité de l’information
- Pourcentage de services aux entreprises couverts par le processus d’évaluation des risques
- Nombre de nouvelles menaces et vulnérabilités par rapport aux évaluations de risques précédentes
- Nombre de rôles et de responsabilités de sécurité définis par rapport à avant la mise en place du SMSI
- Evolution du nombre de problèmes de non-conformité par rapport à avant la mise en œuvre du SMSI.
Lois et Réglementations
L’annexe A.18.1 concerne le respect des exigences légales et contractuelles. L’objectif est d’éviter les violations des obligations légales, statutaires, réglementaires ou contractuelles relatives à la sécurité de l’information et des exigences de sécurité. C’est une partie importante du système de gestion de la sécurité de l’information (SMSI).
La norme exige 5 contrôles de sécurité :
- A.18.1.1 Identification de la législation applicable et des exigences contractuelles.
- A.18.1.2 Droits de propriété intellectuelle
- A.18.1.3 Protection des enregistrements
- A.18.1.4 Confidentialité et protection des informations personnellement identifiables
- A.18.1.5 Réglementation des contrôles cryptographiques
Mesures de sécurité
L’annexe A de l’ISO 27001 est probablement l’annexe la plus célèbre de toutes les normes ISO. En effet, elle constitue un outil essentiel pour la gestion de la sécurité. Elle se compose d’une liste de 114 mesures de sécurité (ou de contrôles). Elles sont nécessaires pour améliorer la sécurité des informations. Ces 114 mesures de sécurité se répartissent en 14 sections :
- A.5 Stratégies de sécurité des informations.
- A.6 Organisation de la sécurité de l’information.
- A.7 Sécurité des ressources humaines . Voir lettre « H ».
- A.8 Gestion des actifs.
- A.9 Contrôle d’accès.
- A.10 Cryptographie.
- A.11 Sécurité physique et environnementale.
- A.12 Sécurité opérationnelle.
- A.13 Sécurité des communications.
- A.14 Acquisition, développement et maintenance du système.
- A.15 Relations avec les fournisseurs.
- A.16 Gestion des incidents de sécurité des informations.
- A.17 Aspects de la sécurité de l’information liés à la gestion de la continuité des activités. Voir lettre « B ».
- A.18 Conformité. Voir la lettre « L ».
Non-conformité
Une non-conformité se définit comme la non-satisfaction d’une exigence. Une non-conformité est décelée lors d’un audit. Les auditeurs identifient deux catégories de non-conformités :
- Non-conformité mineure. Cette non-conformité n’affecte pas l’efficacité globale du SMSI et la capacité de l’organisation à atteindre ses objectifs de sécurité de l’information. Il s’agit plutôt d’une insuffisance ou d’une faiblesse. Les exemples incluent une revue de sauvegarde manquante, un document sans le contrôle de version approprié, un mot de passe unique qui s’est avéré faible, etc.
- Non-conformité majeure. Cette non-conformité affecte l’efficacité globale du SMSI et la capacité de l’organisation à atteindre ses objectifs de sécurité de l’information. Les exemples incluent l’absence d’audits internes, une évaluation des risques non documentées, l’absence de politique de sécurité de l’information, etc.
La norme elle-même ne fournit aucune classification. Les organismes de certification utilisent le classement par non-conformité pour évaluer le niveau de conformité et le communiquer à l’entreprise auditée.
Orientation Stratégique
ISO 27001 exige la compréhension du contexte « organisationnel ». C’est à dire le besoin de démontrer une compréhension des questions internes et externes ayant un impact sur l’activité. Ces clauses sont étroitement liées au « leadership », qui veut que le système de management ne soit pas géré de loin par la direction mais rattaché à l’orientation stratégique de l’entreprise. Cela signifie que l’entreprise doit efficacement aligner ses processus. La politique et les objectifs établis pour le système de management doivent être compatibles avec l’orientation stratégique et le contexte de l’organisation.
Politiques de Sécurité
Une politique de sécurité de l’information est la pierre angulaire d’un SMSI. Elle doit refléter les objectifs de l’organisation et la stratégie de management convenue pour la protection des actifs informationnels clés. Pour être utile et donner le pouvoir d’exécuter le reste du SMSI, elle doit également faire l’objet d’un accord formel avec la direction.
L’essence d’une bonne politique de sécurité de l’information s’appuie sur les bonnes pratiques suivantes :
- Gardez-la aussi courte que possible
- Assurez-vous qu’elle soit pertinent pour son public
- Alignez-la sur les besoins de l’entreprise
- Alignez-là sur les lois et réglementations dans lesquels vous évoluez.
- Ne la marginalisez pas en visant simplement à « cocher une case ». La politique doit apporter de la valeur aux employés et aux résultats et comportements globaux que vous souhaitez promouvoir.
- Partagez-la avec toutes vos parties prenantes clés, internes et externes
Une politique est une déclaration de haut niveau de la position de l’organisation sur le sujet choisi (le «pourquoi»). Il ne faut pas la confondre avec le manuel de procédures qui traite du «comment» adopter la politique. Les procédures sont souvent des documents beaucoup plus longs s’ils décrivent des processus complexes à suivre.
Dans l’idéal, la politique doit être brève (une dizaine de mages maximum) et précise en ce qui concerne les responsabilités de l’utilisateur vis-à-vis des informations qu’il recueille, utilise, accède ou traite. Elle se décline en sous-politiques et procédures pertinentes pour les domaines dans lesquels l’utilisateur opère.
Qualité
Si vous possédez déjà une certification de système de gestion de la qualité / ISO9001, certains des éléments que vous avez mis en œuvre pour votre organisation sont également utilisables pour votre système de management de la sécurité des informations, à savoir:
- Fixer les objectifs de l’organisation et vérifier s’ils ont été atteints. Les deux normes utilisent le même mécanisme, de sorte que la direction sera à l’aise avec une telle planification systématique.
- Revue de direction. Les principes de la revue de direction sont les mêmes .
- Gestion des documents. Les procédures utilisées pour la gestion des documents sont réutilisables avec des ajustements mineurs.
- Audit interne. Le SMQ et le SMQI peuvent utiliser les mêmes procédures, bien que vous puissiez utiliser des personnes différentes.
- Actions correctives et préventives. Les procédures utilisées pour le système de management de la qualité peuvent être utilisées aux mêmes fins dans le SMSI.
- Gestion des ressources humaines. Le même cycle de planification, de formation et d’évaluation des ressources humaines est utilisable pour les deux systèmes de management.
Par conséquent, si vous avez déjà mis en œuvre ISO 9001, vous aurez plus de facilité à mettre en œuvre ISO27001. Vous pourrez ainsi économiser jusqu’à 30% du temps. En outre, vous disposerez d’audits de certification moins chers. En effet, les organismes de certification proposent ce que l’on appelle des «audits intégrés». Cela signifie qu’ils effectueront un même audit ISO 9001 et ISO 27001. Ils vous factureront donc des frais moindres par rapport aux audits séparés.
Risques
Pour se conformer à la norme ISO27001, une organisation doit définir une méthodologie d’évaluation des risques pour les risques liés à la sécurité de l’information. Elle doit identifier les critères d’acceptation des risques et les niveaux de risque acceptables, puis élaborer un plan de traitement des risques pour ramener tous les risques identifiés à un niveau acceptable. La méthode doit être fiable et cohérente. Toutefois l’auditeur n’auditera pas le détail de la méthode appliquée. ISO 27005 vous propose une approche de gestion des risques de sécurité de l’information cohérente avec ISO 27001.
L’évaluation des risques
Identifiez tous les actifs de l’organisation liés à la sécurité de l’information et établissez un registre des actifs.
Identifiez les combinaisons de menaces et de vulnérabilités liées à l’actif, puis identifiez les impacts que des pertes de confidentialité, d’intégrité et de disponibilité peuvent avoir sur l’actif à l’aide d’un rapport d’évaluation du risque des actifs.
Les impacts prennent en compte les obligations commerciales, légales ou contractuelles de l’entreprise.
L’évaluation examine ensuite la probabilité que la défaillance de sécurité se produise en combinant la fréquence de la menace et la probabilité de réussite.
Une combinaison de l’impact et de la probabilité de la défaillance de sécurité fournit un niveau de risque qu’on peut classer dans trois catégories :
- Faible. Aucune action immédiate requise, bien que des améliorations puissent être apportées aux processus / technologies permettant de réduire davantage l’impact de la défaillance de sécurité.
- Moyen. Inclusion requise dans l’examen de la gestion du SGSI avec les actions identifiées si nécessaire et l’inclusion dans le plan de traitement des risques.
- Elevé. Doit figurer dans le plan de traitement du risque pour les actions positives visant à réduire le risque.
Traitement des risques
La sélection de l’option de traitement du risque la plus appropriée implique un équilibre entre les coûts et les efforts de mise en œuvre et les avantages dérivés, en ce qui concerne les exigences légales, réglementaires et autres, telles que la responsabilité sociale et la protection de l’environnement. Les décisions doivent également prendre en compte les risques qui peuvent justifier un traitement des risques qui ne soit pas justifiable pour des raisons économiques, par exemple ainsi que les risques graves (conséquences négatives importantes) mais rares (faibles probabilités).
Système de Management de la Sécurité de l’Information (SMSI)
Vous trouverez ci-dessous une liste de la documentation obligatoire requise par la norme:
- Portée (Clause 4.3)
- Politique de sécurité de l’information (clause 5.2 e)
- Processus d’évaluation des risques pour la sécurité de l’information (Clause 6.1.2)
- Processus de traitement des risques de sécurité de l’information (Clause 6.1.3)
- Déclaration d’applicabilité (Clause 6.1.3)
- Objectifs de sécurité de l’information (article 6.2)
- Preuve de compétence (clause 7.2)
- Que «déterminé par l’organisation comme étant nécessaire à l’efficacité du système de gestion de la sécurité de l’information» (Clause 7.5.1 b)
- La mesure nécessaire pour s’assurer que les processus requis pour la planification et le contrôle opérationnels ont été réalisés comme prévu (Clause 8.1)
- Résultats des évaluations des risques liés à la sécurité de l’information (article 8.2)
- Résultats du traitement des risques liés à la sécurité de l’information (clause 8.3)
- Preuve de la surveillance de la performance de la sécurité de l’information et des résultats de mesure (clause 9.1)
- Programme (s) d’audit interne et résultats de l’audit (clause 9.2 g)
- Preuve des résultats des revues de direction (Clause 9.3)
- Preuve de la nature des non-conformités et des actions ultérieures prises, ainsi que des résultats de toute action corrective (Clause 10.1)
Traitement des non-conformités
Toute non-conformité découverte et identifiée lors d’un audit interne doit donner lieu à un plan d’action corrective. Ce plan doit être réaliste, mis en oeuvre, suivi et documenté. Les audits de surveillance ont notamment pour objectif de s’assurer que toutes les non conformités identifiées sont bien sous contrôle et qu’un plan d’action corrective est mis en oeuvre.
Utilisateurs
ISO 27001 reconnaît que, même si les défenses technologiques sont essentielles, leur utilisation sera limitée si le personnel ne comprend pas ses responsabilités en matière de sécurité des informations. Après tout, la technologie ne vous aidera pas si un employé communique son mot de passe écrit à qui que ce soit ou égare un périphérique amovible.
La Norme impose donc aux organisations de traiter les problèmes de sécurité de l’information au niveau des employés de manière régulière et approfondie. Elle doit organiser des séances récurrentes de sensibilisation pour tous les utilisateurs sur les responsabilités de chacun en matière de sécurité. La sécurité de l’information est l’affaire de tous dans l’entreprise et ne doit pas être la seule responsabilité des personnes impliquées dans le SMSI.
Vie Privée
Plusieurs exigences ISO27001 vous aideront à vous mettre en conformité avec GDPR (RGPD). Par exemple, la procédure d‘évaluation des risques, une partie essentielle du standard est similaire avec l‘évaluation de l‘impact sur la protection des données, nécessaire pour la conformité avec GDPR. En outre, ISO27001 guide les organisations vers l‘implémentation d‘une politique de protection des données.
Pour en savoir plus sur la relation entre ISO 27001 et le RGPD, je vous invite à relire mon précédent article : SMSI certifié ISO 27001 vs conformité RGPD.
Workforce
La force de travail (employés et consultants) sont le noeud de la réussite du fonctionnement de votre SMSI. N’oubliez jamais de les former et de les sensibiliser sur le fait que la sécurité est l’affaire de tous dans une organisation. Et cela va du niveau le plus haut dans l’entreprise jusqu’au niveau le plus bas.
eXemples de mise en oeuvre
Les exemples de mise en oeuvre d’un SMSI certifié ISO 27001 sont nombreux et concernent tous les domaines de l’économie, tant dans le secteur privé que public.
Y aller ou pas?
La certification de votre SMSI à la norme ISO 27001 ne répond à aucune obligation légale. C’est l’affaire de chaque organisation de décider si cette certification est cohérente avec sa stratégie business. Si la certification ISO 27001 ne soutient pas vos objectifs stratégiques, alors il ne faut pas essayer de l’obtenir. La préparation à la certification représente un volume de travail énorme et un très gros investissement. Par conséquent un business case doit toujours être réalisé avant d’entamer la démarche. Il doit être approuvé au plus haut niveau de l’entreprise.
Zéro non-conformité
L’objectif « zéro non-conformité » pour obtenir la certification est un mythe. La certification de votre SMSI peut vous être accordée même s’il existe des non-conformités mineures dès lors qu’un plan d’action corrective a bien été défini, planifié et mis en oeuvre. C’est l’organisme de certification qui en évalue le sérieux et la crédibilité et pourra décider d’accorder ou non la certification.