SlideShare una empresa de Scribd logo

Cinq raisons de certifier son organisation ISO 27001

Mielabelo
Mielabelo

De nos jours, nombreuses sont les organisations qui ont fait le choix de se certifier ISO9001. La certification ISO14001 se généralise également de plus en plus. Cependant, la proportion d’organisations désirant s’approprier la norme ISO27001 en vue d’une certification demeure comparativement assez faible. D’où vient cette relative ‘impopularité’ de l’ISO27001 ? Quels bénéfices peuvent-elles pourtant en retirer?

Servicios
1 de 3
Descargar para leer sin conexión
1 White paper 3 : Gestion des systèmes d’information Mathieu Briol Ayant toujours travaillé dans le monde du conseil en entreprise, il est actif depuis plus de 10 ans dans les domaines liés aux télécommunications, à la gestion des risques de sécurité de l’information, la conformité des systèmes d’information et la continuité d’activités. Ses expériences métier couvrent les secteurs de la finance, des soins de santé, de l’industrie technologique et le secteur public. Fin 2008, il a participé avec deux associés à la création de Mielabelo, un cabinet de conseil belge, actif notamment dans les domaines de la gestion des risques, de la conformité et de la sécurité des systèmes d’information. Une référence normative essentielle La norme ISO27001 s’est imposée depuis plusieurs années comme la norme de référence en matière de sécurité de l’information. A tort ou à raison ? Objectivement, cette norme, ainsi que les différents documents qui l’accompagnent (ISO27002, etc), a permis de structurer les efforts en matière de sécurité de l’information, en instaurant la primauté de la gestion de risques dans la réflexion liée à la sélection des mesures de sécurité. La nouvelle version 2013 des 2 documents fondateurs (ISO27001/2) a simplifié le processus de conformité et le schéma de contrôle, le rendant plus lisible pour des novices de la sécurité de l’information et des systèmes de gestion. Aujourd’hui donc, plus d’excuse possible ! La sécurité, oui ; La conformité, peut-être (ou est-ce l’inverse ?) Cette faible popularité signifie-t-elle que les organisations belges sont mal sécurisées ? A priori, il y a lieu de constater que toute une série d’organisations n’a pas besoin d’un processus de certification pour mettre en place les mesures de sécurité adéquates. De par leur domaine d’activité, elles sont d’ores et déjà soumises à de fortes contraintes réglementaires qui les poussent à investir dans la sécurisation de leur système d’information. S’agit-il pour autant d’un système de gestion de la sécurité de l’information ? À proprement parler, non, même si la régularité des contrôles externes (audits réglementaires indépendants ou pas) peut leur imposer à terme de rentrer dans cette logique d’amélioration continue. À n’en pas douter, les 2 problématiques (sécurité et conformité) apparaissent interconnectées. Pour autant, sécurité n’est pas conformité et inversement. Malheureusement, tout comme la mise en place d’un système de gestion ISO9001 ne permet pas de garantir à 100% la qualité d’un processus, la norme ISO27001 n’est pas une solution miracle à tous les problèmes de sécurité. Sa mise en place garantit simplement l’implémentation et le fonctionnement d’un système de gestion de la sécurité de l’information, qui va permettre à l’organisation, sur le Cinq raisons de certifier son organisation ISO 27001 De nos jours, nombreuses sont les organisations qui ont fait le choix de se certifier ISO9001. La certification ISO14001 se généralise également de plus en plus. Cependant, la proportion d’organisations désirant s’approprier la norme ISO27001 en vue d’une certification demeure comparativement assez faible. D’où vient cette relative ‘impopularité’ de l’ISO27001 ? Quels bénéfices peuvent-elles pourtant en retirer? Introduction
2 périmètre identifié, de rentrer dans un cercle vertueux d’amélioration continue en la matière. La certification garantit qu’un organisme externe vient régulièrement contrôler le système de gestion. En conclusion, ce n’est pas parce que l’organisation met en place ISO27001 qu’elle peut oublier sa sécurité ou se dire ‘sécurisée’ à 100%. Cinq raisons de lancer un projet de certification ISO27001 Il apparaît certain que la mise en place d’un programme de sécurité de l’information doit trouver ses fondements dans la protection du patrimoine informationnel métier de l’organisation. Quels bénéfices les organisations peuvent-elles y trouver, de manière à justifier les coûts non-négligeables liés à l’obtention et à la maintenance de la certification ISO27001? 1. Se différencier et créer un avantage compétitif Dans le contexte d’un marché où peu de vos concurrents ont fait l’effort d’investir dans ce type de certification, il y a fort à parier que le précieux sésame se transformera bientôt en une arme commerciale redoutable. En effet, bien utilisé, l’argument pourra vous aider à marquer des points par rapport à vos compétiteurs. Vous pourrez mettre en avant l’importance accordée à la sécurité de vos informations et de celles de vos clients. 2. Gérer ses risques de manière systématique et inspirer la confiance chez ses partenaires L’obtention d’une certification peut revêtir un intérêt à la fois purement sécuritaire (la mise en place d’un système de gestion de la sécurité), mais également constituer un signal d’engagement vers les différentes parties prenantes. La certification ISO 27001 d’une organisation délivre un message fort en direction de ses partenaires, qu’ils soient des clients, des prospects, des employés, des citoyens ou des fournisseurs, contribuant ainsi à créer une relation de confiance. Elle montre que l’organisation a mis en place des processus efficaces de gestion de la sécurité de l’information et que sa direction considère la sécurité de l’information comme une thématique importante, prise au sérieux et à laquelle des moyens humains et financiers sont alloués. 3. Répondre à un besoin ou une exigence de vos clients De nos jours, la sécurité de l’information est devenue un sujet régulier de l’actualité. Si ce n’est déjà fait, vos clients et vos partenaires pourraient s’inquiéter du traitement que vous réservez aux informations qu’ils vous confient. Ils peuvent même vous y obliger ! Tout comme la certification ISO9001 exigée dans certains marchés publics a connu une popularité grandissante depuis quelques années, ISO27001 pourrait se généraliser dans le panel des exigences des acheteurs publics ou privés. Qualité, sécurité et environnement forment
3 un triptyque complémentaire. À ce titre, il y a lieu de mettre en avant la complémentarité entre vos systèmes de gestion. Certains processus peuvent être mis en commun afin de rendre ces activités plus efficaces. Autant en profiter pour rajouter de la cohérence et créer des synergies internes ! 4. Réduire les coûts de gestion de la sécurité La norme ISO27001 instaure le rôle central de la gestion des risques dans l’exercice de sélection des mesures de sécurité. Gérer ses risques de sécurité, c’est tout d’abord les identifier, les évaluer de manière répétable et répétée, décider du traitement à y apporter (éventuellement en accepter certains) et sélectionner des mesures de sécurité en adéquation avec l’ampleur des risques identifiés. Autrement dit, par sa structure et les réflexes qu’elle promeut, la norme ISO27001 vous aidera à sécuriser de manière raisonnable et raisonnée vos informations et à ne pas surinvestir inutilement dans la protection de votre information. En parallèle, pour des organismes soumis à de fortes contraintes réglementaires ou contractuelles, et donc à des audits internes et externes, la certification permettra de simplifier les efforts de préparation et de structurer les discussions. 5. Motiver et rassurer ses collaborateurs Protection de la vie privée, mesures de contrôle et de surveillance de l’outil informatique sur le lieu de travail,… autant de sujets qui peuvent amener à des situations inconfortables dans les relations entretenues avec votre personnel et vos sous-traitants. Ces éléments sont des thématiques adressées globalement par la norme ISO27001. La certification apparaît comme un jalon important qui permettra à l’organisation de se jauger sur ces thématiques grâce à l’intervention d’auditeurs indépendants. De manière générale, les efforts liés à une certification organisationnelle représentent également une opportunité de fédérer les forces vives de l’organisation et d’impliquer les collaborateurs vers l’atteinte d’objectifs clairs et positifs pour tous. Mais à condition de concevoir cette initiative comme un projet global supporté par le management et non comme une volonté de certains membres de l’organisation! Sensibiliser et communiquer efficacement sont donc deux clés de voûte de la démarche. Conclusion À n’en point douter, toute organisation peut trouver son intérêt à la certification ISO27001! Même si les efforts à mettre en œuvre peuvent s’avérer conséquents (tout dépend de la maturité de l’organisation en matière de sécurité de l’information), il ne faut pas oublier l’origine même des systèmes de gestion: faire rentrer l’organisation dans un cercle vertueux d’amélioration continue en matière de sécurité de l’information. Avec un peu de retard mais tout comme dans le domaine de la qualité (ISO9001), la sécurité de l’information et la certification ISO27001 arrivent peu à peu à maturité et doivent s’envisager au-delà de l’aspect purement ‘marketing’ pour véritablement permettre d’engranger des résultats significatifs. Première étape indispensable pour ce faire : réaliser une analyse d’écarts (gap analysis) objective et indépendante entre la situation actuelle et les requis de la certification. En fonction du périmètre organisationnel et technique observé, cette escale indispensable permettra de poser les jalons d’une feuille de route pragmatique vers la certification ISO27001.

Recomendados

Sécurité vs Continuité -rev2-
Sécurité vs Continuité -rev2-Sécurité vs Continuité -rev2-
Sécurité vs Continuité -rev2-Bertrand Milot, CRMP, CRISC, CISM, PCSM, C|Ciso
 
Sécurité & Continuité
Sécurité & ContinuitéSécurité & Continuité
Sécurité & ContinuitéBertrand Milot, CRMP, CRISC, CISM, PCSM, C|Ciso
 
Sécurité Positive : L'élévation par la Responsabilité Sociétale
Sécurité Positive : L'élévation par la Responsabilité SociétaleSécurité Positive : L'élévation par la Responsabilité Sociétale
Sécurité Positive : L'élévation par la Responsabilité SociétaleThierry Pertus
 
Université AFCDP des CIL 2016 : Denis Virole anime l’atelier « L’homologation...
Université AFCDP des CIL 2016 : Denis Virole anime l’atelier « L’homologation...Université AFCDP des CIL 2016 : Denis Virole anime l’atelier « L’homologation...
Université AFCDP des CIL 2016 : Denis Virole anime l’atelier « L’homologation...Thierry RAMARD
 
Rational France - Livre blanc - La securite qui compte
Rational France - Livre blanc - La securite qui compteRational France - Livre blanc - La securite qui compte
Rational France - Livre blanc - La securite qui compteRational_France
 
Ageris software 2016
Ageris software 2016Ageris software 2016
Ageris software 2016Thierry RAMARD
 
RSI face aux autres départements (ISO 27002)
RSI face aux autres départements (ISO 27002)RSI face aux autres départements (ISO 27002)
RSI face aux autres départements (ISO 27002)Prof. Jacques Folon (Ph.D)
 
L'entreprise face à ses enjeux et risques numériques
L'entreprise face à ses enjeux et risques numériquesL'entreprise face à ses enjeux et risques numériques
L'entreprise face à ses enjeux et risques numériquesAntoine Vigneron
 

Recomendados

Sécurité vs Continuité -rev2-
Sécurité vs Continuité -rev2-Sécurité vs Continuité -rev2-
Sécurité vs Continuité -rev2-Bertrand Milot, CRMP, CRISC, CISM, PCSM, C|Ciso
 
Sécurité & Continuité
Sécurité & ContinuitéSécurité & Continuité
Sécurité & ContinuitéBertrand Milot, CRMP, CRISC, CISM, PCSM, C|Ciso
 
Sécurité Positive : L'élévation par la Responsabilité Sociétale
Sécurité Positive : L'élévation par la Responsabilité SociétaleSécurité Positive : L'élévation par la Responsabilité Sociétale
Sécurité Positive : L'élévation par la Responsabilité SociétaleThierry Pertus
 
Université AFCDP des CIL 2016 : Denis Virole anime l’atelier « L’homologation...
Université AFCDP des CIL 2016 : Denis Virole anime l’atelier « L’homologation...Université AFCDP des CIL 2016 : Denis Virole anime l’atelier « L’homologation...
Université AFCDP des CIL 2016 : Denis Virole anime l’atelier « L’homologation...Thierry RAMARD
 
Rational France - Livre blanc - La securite qui compte
Rational France - Livre blanc - La securite qui compteRational France - Livre blanc - La securite qui compte
Rational France - Livre blanc - La securite qui compteRational_France
 
Ageris software 2016
Ageris software 2016Ageris software 2016
Ageris software 2016Thierry RAMARD
 
RSI face aux autres départements (ISO 27002)
RSI face aux autres départements (ISO 27002)RSI face aux autres départements (ISO 27002)
RSI face aux autres départements (ISO 27002)Prof. Jacques Folon (Ph.D)
 
L'entreprise face à ses enjeux et risques numériques
L'entreprise face à ses enjeux et risques numériquesL'entreprise face à ses enjeux et risques numériques
L'entreprise face à ses enjeux et risques numériquesAntoine Vigneron
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SIDIALLO Boubacar
 
Comment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By DesignComment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By DesignThierry RAMARD
 
Vivre au quotidien avec Solvabilité 2
Vivre au quotidien avec Solvabilité 2Vivre au quotidien avec Solvabilité 2
Vivre au quotidien avec Solvabilité 2Tuillet Risk & Management
 
ISO 27001
ISO 27001ISO 27001
ISO 27001Philippe CELLIER
 
Ageris training 2016
Ageris training 2016Ageris training 2016
Ageris training 2016Thierry RAMARD
 
Le « Security by Design » et ses multiples facettes
Le « Security by Design » et ses multiples facettesLe « Security by Design » et ses multiples facettes
Le « Security by Design » et ses multiples facettesThierry Pertus
 
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...polenumerique33
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001lancedafric.org
 
PECB Webinaire: Certification ISO 27001, mythes et réalités
PECB Webinaire: Certification ISO 27001, mythes et réalitésPECB Webinaire: Certification ISO 27001, mythes et réalités
PECB Webinaire: Certification ISO 27001, mythes et réalitésPECB
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Intellectus services and consulting
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssiGaudefroy Ariane
 
ISO 27002 COLLABORATION RSI ET AUTRES DEPARTEMENTS
ISO 27002 COLLABORATION RSI ET AUTRES DEPARTEMENTSISO 27002 COLLABORATION RSI ET AUTRES DEPARTEMENTS
ISO 27002 COLLABORATION RSI ET AUTRES DEPARTEMENTSProf. Jacques Folon (Ph.D)
 
Hapsis - La Sécurité Numérique à la Carte
Hapsis - La Sécurité Numérique à la CarteHapsis - La Sécurité Numérique à la Carte
Hapsis - La Sécurité Numérique à la CarteHapsis
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'informationFranck Franchin
 
Cobit
CobitCobit
Cobitmoussadiom
 
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]Sébastien Rabaud
 
Gestion des actifs : meilleures pratiques
Gestion des actifs : meilleures pratiquesGestion des actifs : meilleures pratiques
Gestion des actifs : meilleures pratiquesAtger Nicolas
 
Ageris privacy 2016
Ageris privacy 2016Ageris privacy 2016
Ageris privacy 2016Thierry RAMARD
 
Le modèle cobit
Le modèle cobitLe modèle cobit
Le modèle cobitYoussef Bensafi
 
Guide hygiene informatique Anssi
Guide hygiene informatique AnssiGuide hygiene informatique Anssi
Guide hygiene informatique AnssiAgathe Mercante
 
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...polenumerique33
 
Guide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptxGuide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptxTech4nulls
 

Más contenido relacionado

La actualidad más candente

Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SIDIALLO Boubacar
 
Comment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By DesignComment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By DesignThierry RAMARD
 
Le « Security by Design » et ses multiples facettes
Le « Security by Design » et ses multiples facettesLe « Security by Design » et ses multiples facettes
Le « Security by Design » et ses multiples facettesThierry Pertus
 
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...polenumerique33
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001lancedafric.org
 
PECB Webinaire: Certification ISO 27001, mythes et réalités
PECB Webinaire: Certification ISO 27001, mythes et réalitésPECB Webinaire: Certification ISO 27001, mythes et réalités
PECB Webinaire: Certification ISO 27001, mythes et réalitésPECB
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssiGaudefroy Ariane
 
ISO 27002 COLLABORATION RSI ET AUTRES DEPARTEMENTS
ISO 27002 COLLABORATION RSI ET AUTRES DEPARTEMENTSISO 27002 COLLABORATION RSI ET AUTRES DEPARTEMENTS
ISO 27002 COLLABORATION RSI ET AUTRES DEPARTEMENTSProf. Jacques Folon (Ph.D)
 
Hapsis - La Sécurité Numérique à la Carte
Hapsis - La Sécurité Numérique à la CarteHapsis - La Sécurité Numérique à la Carte
Hapsis - La Sécurité Numérique à la CarteHapsis
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'informationFranck Franchin
 
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]Sébastien Rabaud
 
Gestion des actifs : meilleures pratiques
Gestion des actifs : meilleures pratiquesGestion des actifs : meilleures pratiques
Gestion des actifs : meilleures pratiquesAtger Nicolas
 
Guide hygiene informatique Anssi
Guide hygiene informatique AnssiGuide hygiene informatique Anssi
Guide hygiene informatique AnssiAgathe Mercante
 

La actualidad más candente (20)

Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SI
 
Comment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By DesignComment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By Design
 
Vivre au quotidien avec Solvabilité 2
Vivre au quotidien avec Solvabilité 2Vivre au quotidien avec Solvabilité 2
Vivre au quotidien avec Solvabilité 2
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Ageris training 2016
Ageris training 2016Ageris training 2016
Ageris training 2016
 
Le « Security by Design » et ses multiples facettes
Le « Security by Design » et ses multiples facettesLe « Security by Design » et ses multiples facettes
Le « Security by Design » et ses multiples facettes
 
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
 
PECB Webinaire: Certification ISO 27001, mythes et réalités
PECB Webinaire: Certification ISO 27001, mythes et réalitésPECB Webinaire: Certification ISO 27001, mythes et réalités
PECB Webinaire: Certification ISO 27001, mythes et réalités
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssi
 
ISO 27002 COLLABORATION RSI ET AUTRES DEPARTEMENTS
ISO 27002 COLLABORATION RSI ET AUTRES DEPARTEMENTSISO 27002 COLLABORATION RSI ET AUTRES DEPARTEMENTS
ISO 27002 COLLABORATION RSI ET AUTRES DEPARTEMENTS
 
Hapsis - La Sécurité Numérique à la Carte
Hapsis - La Sécurité Numérique à la CarteHapsis - La Sécurité Numérique à la Carte
Hapsis - La Sécurité Numérique à la Carte
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
 
Cobit
CobitCobit
Cobit
 
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
 
Gestion des actifs : meilleures pratiques
Gestion des actifs : meilleures pratiquesGestion des actifs : meilleures pratiques
Gestion des actifs : meilleures pratiques
 
Ageris privacy 2016
Ageris privacy 2016Ageris privacy 2016
Ageris privacy 2016
 
Le modèle cobit
Le modèle cobitLe modèle cobit
Le modèle cobit
 
Guide hygiene informatique Anssi
Guide hygiene informatique AnssiGuide hygiene informatique Anssi
Guide hygiene informatique Anssi
 

Similar a Cinq raisons de certifier son organisation ISO 27001

L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...polenumerique33
 
Guide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptxGuide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptxTech4nulls
 
Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiques
Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiquesSécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiques
Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiquesElodie Heitz
 
presentation iso 27001 EXIGNECE ET gouvernace
presentation iso 27001 EXIGNECE ET gouvernacepresentation iso 27001 EXIGNECE ET gouvernace
presentation iso 27001 EXIGNECE ET gouvernacessuserc72852
 
Cobitf formation-cobit-foundation-et-la-gouvernance-des-si
Cobitf formation-cobit-foundation-et-la-gouvernance-des-siCobitf formation-cobit-foundation-et-la-gouvernance-des-si
Cobitf formation-cobit-foundation-et-la-gouvernance-des-siCERTyou Formation
 
Cobf formation-cobit-foundation-et-la-gouvernance-des-si
Cobf formation-cobit-foundation-et-la-gouvernance-des-siCobf formation-cobit-foundation-et-la-gouvernance-des-si
Cobf formation-cobit-foundation-et-la-gouvernance-des-siCERTyou Formation
 
Articles pour Portail lE - Copie
Articles pour Portail lE - CopieArticles pour Portail lE - Copie
Articles pour Portail lE - CopieBenoît Maille
 
ACPR enquête sur la sécurité des systèmes informatiques des assureurs
ACPR enquête sur la sécurité des systèmes informatiques des assureursACPR enquête sur la sécurité des systèmes informatiques des assureurs
ACPR enquête sur la sécurité des systèmes informatiques des assureursLéo Guittet
 
Semago Presentation French
Semago Presentation FrenchSemago Presentation French
Semago Presentation FrenchDidier Barella
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxJean-Michel Razafindrabe
 
Les certifications QHSE
Les certifications QHSELes certifications QHSE
Les certifications QHSENeedeo
 
Is27001 li formation-iso-iec-27001-lead-implementer
Is27001 li formation-iso-iec-27001-lead-implementerIs27001 li formation-iso-iec-27001-lead-implementer
Is27001 li formation-iso-iec-27001-lead-implementerCERTyou Formation
 
Diagnostic smi pme mpi maroc
Diagnostic smi pme mpi marocDiagnostic smi pme mpi maroc
Diagnostic smi pme mpi marocAsmaa Obadi
 
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...polenumerique33
 
Repenser votre stratégie de cybersécurité
Repenser votre stratégie de cybersécuritéRepenser votre stratégie de cybersécurité
Repenser votre stratégie de cybersécuritéNaully Nicolas
 

Similar a Cinq raisons de certifier son organisation ISO 27001 (20)

L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...
 
Guide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptxGuide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptx
 
Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiques
Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiquesSécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiques
Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiques
 
Iso27001
Iso27001 Iso27001
Iso27001
 
presentation iso 27001 EXIGNECE ET gouvernace
presentation iso 27001 EXIGNECE ET gouvernacepresentation iso 27001 EXIGNECE ET gouvernace
presentation iso 27001 EXIGNECE ET gouvernace
 
Cobitf formation-cobit-foundation-et-la-gouvernance-des-si
Cobitf formation-cobit-foundation-et-la-gouvernance-des-siCobitf formation-cobit-foundation-et-la-gouvernance-des-si
Cobitf formation-cobit-foundation-et-la-gouvernance-des-si
 
Cobf formation-cobit-foundation-et-la-gouvernance-des-si
Cobf formation-cobit-foundation-et-la-gouvernance-des-siCobf formation-cobit-foundation-et-la-gouvernance-des-si
Cobf formation-cobit-foundation-et-la-gouvernance-des-si
 
Mehari
MehariMehari
Mehari
 
Articles pour Portail lE - Copie
Articles pour Portail lE - CopieArticles pour Portail lE - Copie
Articles pour Portail lE - Copie
 
ACPR enquête sur la sécurité des systèmes informatiques des assureurs
ACPR enquête sur la sécurité des systèmes informatiques des assureursACPR enquête sur la sécurité des systèmes informatiques des assureurs
ACPR enquête sur la sécurité des systèmes informatiques des assureurs
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdf
 
Semago Presentation French
Semago Presentation FrenchSemago Presentation French
Semago Presentation French
 
Mehari
MehariMehari
Mehari
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
 
Chap2 gouvernance des SI.pptx
Chap2 gouvernance des SI.pptxChap2 gouvernance des SI.pptx
Chap2 gouvernance des SI.pptx
 
Les certifications QHSE
Les certifications QHSELes certifications QHSE
Les certifications QHSE
 
Is27001 li formation-iso-iec-27001-lead-implementer
Is27001 li formation-iso-iec-27001-lead-implementerIs27001 li formation-iso-iec-27001-lead-implementer
Is27001 li formation-iso-iec-27001-lead-implementer
 
Diagnostic smi pme mpi maroc
Diagnostic smi pme mpi marocDiagnostic smi pme mpi maroc
Diagnostic smi pme mpi maroc
 
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
 
Repenser votre stratégie de cybersécurité
Repenser votre stratégie de cybersécuritéRepenser votre stratégie de cybersécurité
Repenser votre stratégie de cybersécurité
 

Más de Mielabelo

La conduite du changement, un projet en soi qui n’en est pas seulement un
La conduite du changement, un projet en soi qui n’en est pas seulement unLa conduite du changement, un projet en soi qui n’en est pas seulement un
La conduite du changement, un projet en soi qui n’en est pas seulement unMielabelo
 
Animer son Programme Strategique Transversal
Animer son Programme Strategique TransversalAnimer son Programme Strategique Transversal
Animer son Programme Strategique TransversalMielabelo
 
Mielabelo : corporate presentation
Mielabelo : corporate presentationMielabelo : corporate presentation
Mielabelo : corporate presentationMielabelo
 
Business case : analyse post Kanban au Grand Hôpital de Charleroi
Business case : analyse post Kanban au Grand Hôpital de CharleroiBusiness case : analyse post Kanban au Grand Hôpital de Charleroi
Business case : analyse post Kanban au Grand Hôpital de CharleroiMielabelo
 
Business case : Optimisation du fonctionnement de l’entrepôt de Catalent S.A.
Business case : Optimisation du fonctionnement de l’entrepôt de Catalent S.A.Business case : Optimisation du fonctionnement de l’entrepôt de Catalent S.A.
Business case : Optimisation du fonctionnement de l’entrepôt de Catalent S.A.Mielabelo
 
« Smart City », les services à l’usager au bout des doigts!
« Smart City », les services à l’usager au bout des doigts!« Smart City », les services à l’usager au bout des doigts!
« Smart City », les services à l’usager au bout des doigts!Mielabelo
 
Business case : Optimisation de la chaîne logistique pour le CHU Ambroise Paré
Business case : Optimisation de la chaîne logistique pour le CHU Ambroise ParéBusiness case : Optimisation de la chaîne logistique pour le CHU Ambroise Paré
Business case : Optimisation de la chaîne logistique pour le CHU Ambroise ParéMielabelo
 
Business case : L’amélioration du fonctionnement du département IT de l’AFSCA
Business case : L’amélioration du fonctionnement du département IT de l’AFSCABusiness case : L’amélioration du fonctionnement du département IT de l’AFSCA
Business case : L’amélioration du fonctionnement du département IT de l’AFSCAMielabelo
 
Aligner son organisation IT sur la création de valeurs pour le client
Aligner son organisation IT sur la création de valeurs pour le clientAligner son organisation IT sur la création de valeurs pour le client
Aligner son organisation IT sur la création de valeurs pour le clientMielabelo
 
Getting a Federal ICT department to listen to the Voice of its Customers
Getting a Federal ICT department to listen to the Voice of its CustomersGetting a Federal ICT department to listen to the Voice of its Customers
Getting a Federal ICT department to listen to the Voice of its CustomersMielabelo
 
Les services administratifs publics: en route vers l’excellence!
Les services administratifs publics: en route vers l’excellence!Les services administratifs publics: en route vers l’excellence!
Les services administratifs publics: en route vers l’excellence!Mielabelo
 

Más de Mielabelo (11)

La conduite du changement, un projet en soi qui n’en est pas seulement un
La conduite du changement, un projet en soi qui n’en est pas seulement unLa conduite du changement, un projet en soi qui n’en est pas seulement un
La conduite du changement, un projet en soi qui n’en est pas seulement un
 
Animer son Programme Strategique Transversal
Animer son Programme Strategique TransversalAnimer son Programme Strategique Transversal
Animer son Programme Strategique Transversal
 
Mielabelo : corporate presentation
Mielabelo : corporate presentationMielabelo : corporate presentation
Mielabelo : corporate presentation
 
Business case : analyse post Kanban au Grand Hôpital de Charleroi
Business case : analyse post Kanban au Grand Hôpital de CharleroiBusiness case : analyse post Kanban au Grand Hôpital de Charleroi
Business case : analyse post Kanban au Grand Hôpital de Charleroi
 
Business case : Optimisation du fonctionnement de l’entrepôt de Catalent S.A.
Business case : Optimisation du fonctionnement de l’entrepôt de Catalent S.A.Business case : Optimisation du fonctionnement de l’entrepôt de Catalent S.A.
Business case : Optimisation du fonctionnement de l’entrepôt de Catalent S.A.
 
« Smart City », les services à l’usager au bout des doigts!
« Smart City », les services à l’usager au bout des doigts!« Smart City », les services à l’usager au bout des doigts!
« Smart City », les services à l’usager au bout des doigts!
 
Business case : Optimisation de la chaîne logistique pour le CHU Ambroise Paré
Business case : Optimisation de la chaîne logistique pour le CHU Ambroise ParéBusiness case : Optimisation de la chaîne logistique pour le CHU Ambroise Paré
Business case : Optimisation de la chaîne logistique pour le CHU Ambroise Paré
 
Business case : L’amélioration du fonctionnement du département IT de l’AFSCA
Business case : L’amélioration du fonctionnement du département IT de l’AFSCABusiness case : L’amélioration du fonctionnement du département IT de l’AFSCA
Business case : L’amélioration du fonctionnement du département IT de l’AFSCA
 
Aligner son organisation IT sur la création de valeurs pour le client
Aligner son organisation IT sur la création de valeurs pour le clientAligner son organisation IT sur la création de valeurs pour le client
Aligner son organisation IT sur la création de valeurs pour le client
 
Getting a Federal ICT department to listen to the Voice of its Customers
Getting a Federal ICT department to listen to the Voice of its CustomersGetting a Federal ICT department to listen to the Voice of its Customers
Getting a Federal ICT department to listen to the Voice of its Customers
 
Les services administratifs publics: en route vers l’excellence!
Les services administratifs publics: en route vers l’excellence!Les services administratifs publics: en route vers l’excellence!
Les services administratifs publics: en route vers l’excellence!
 

Cinq raisons de certifier son organisation ISO 27001

  • 1. 1 White paper 3 : Gestion des systèmes d’information Mathieu Briol Ayant toujours travaillé dans le monde du conseil en entreprise, il est actif depuis plus de 10 ans dans les domaines liés aux télécommunications, à la gestion des risques de sécurité de l’information, la conformité des systèmes d’information et la continuité d’activités. Ses expériences métier couvrent les secteurs de la finance, des soins de santé, de l’industrie technologique et le secteur public. Fin 2008, il a participé avec deux associés à la création de Mielabelo, un cabinet de conseil belge, actif notamment dans les domaines de la gestion des risques, de la conformité et de la sécurité des systèmes d’information. Une référence normative essentielle La norme ISO27001 s’est imposée depuis plusieurs années comme la norme de référence en matière de sécurité de l’information. A tort ou à raison ? Objectivement, cette norme, ainsi que les différents documents qui l’accompagnent (ISO27002, etc), a permis de structurer les efforts en matière de sécurité de l’information, en instaurant la primauté de la gestion de risques dans la réflexion liée à la sélection des mesures de sécurité. La nouvelle version 2013 des 2 documents fondateurs (ISO27001/2) a simplifié le processus de conformité et le schéma de contrôle, le rendant plus lisible pour des novices de la sécurité de l’information et des systèmes de gestion. Aujourd’hui donc, plus d’excuse possible ! La sécurité, oui ; La conformité, peut-être (ou est-ce l’inverse ?) Cette faible popularité signifie-t-elle que les organisations belges sont mal sécurisées ? A priori, il y a lieu de constater que toute une série d’organisations n’a pas besoin d’un processus de certification pour mettre en place les mesures de sécurité adéquates. De par leur domaine d’activité, elles sont d’ores et déjà soumises à de fortes contraintes réglementaires qui les poussent à investir dans la sécurisation de leur système d’information. S’agit-il pour autant d’un système de gestion de la sécurité de l’information ? À proprement parler, non, même si la régularité des contrôles externes (audits réglementaires indépendants ou pas) peut leur imposer à terme de rentrer dans cette logique d’amélioration continue. À n’en pas douter, les 2 problématiques (sécurité et conformité) apparaissent interconnectées. Pour autant, sécurité n’est pas conformité et inversement. Malheureusement, tout comme la mise en place d’un système de gestion ISO9001 ne permet pas de garantir à 100% la qualité d’un processus, la norme ISO27001 n’est pas une solution miracle à tous les problèmes de sécurité. Sa mise en place garantit simplement l’implémentation et le fonctionnement d’un système de gestion de la sécurité de l’information, qui va permettre à l’organisation, sur le Cinq raisons de certifier son organisation ISO 27001 De nos jours, nombreuses sont les organisations qui ont fait le choix de se certifier ISO9001. La certification ISO14001 se généralise également de plus en plus. Cependant, la proportion d’organisations désirant s’approprier la norme ISO27001 en vue d’une certification demeure comparativement assez faible. D’où vient cette relative ‘impopularité’ de l’ISO27001 ? Quels bénéfices peuvent-elles pourtant en retirer? Introduction
  • 2. 2 périmètre identifié, de rentrer dans un cercle vertueux d’amélioration continue en la matière. La certification garantit qu’un organisme externe vient régulièrement contrôler le système de gestion. En conclusion, ce n’est pas parce que l’organisation met en place ISO27001 qu’elle peut oublier sa sécurité ou se dire ‘sécurisée’ à 100%. Cinq raisons de lancer un projet de certification ISO27001 Il apparaît certain que la mise en place d’un programme de sécurité de l’information doit trouver ses fondements dans la protection du patrimoine informationnel métier de l’organisation. Quels bénéfices les organisations peuvent-elles y trouver, de manière à justifier les coûts non-négligeables liés à l’obtention et à la maintenance de la certification ISO27001? 1. Se différencier et créer un avantage compétitif Dans le contexte d’un marché où peu de vos concurrents ont fait l’effort d’investir dans ce type de certification, il y a fort à parier que le précieux sésame se transformera bientôt en une arme commerciale redoutable. En effet, bien utilisé, l’argument pourra vous aider à marquer des points par rapport à vos compétiteurs. Vous pourrez mettre en avant l’importance accordée à la sécurité de vos informations et de celles de vos clients. 2. Gérer ses risques de manière systématique et inspirer la confiance chez ses partenaires L’obtention d’une certification peut revêtir un intérêt à la fois purement sécuritaire (la mise en place d’un système de gestion de la sécurité), mais également constituer un signal d’engagement vers les différentes parties prenantes. La certification ISO 27001 d’une organisation délivre un message fort en direction de ses partenaires, qu’ils soient des clients, des prospects, des employés, des citoyens ou des fournisseurs, contribuant ainsi à créer une relation de confiance. Elle montre que l’organisation a mis en place des processus efficaces de gestion de la sécurité de l’information et que sa direction considère la sécurité de l’information comme une thématique importante, prise au sérieux et à laquelle des moyens humains et financiers sont alloués. 3. Répondre à un besoin ou une exigence de vos clients De nos jours, la sécurité de l’information est devenue un sujet régulier de l’actualité. Si ce n’est déjà fait, vos clients et vos partenaires pourraient s’inquiéter du traitement que vous réservez aux informations qu’ils vous confient. Ils peuvent même vous y obliger ! Tout comme la certification ISO9001 exigée dans certains marchés publics a connu une popularité grandissante depuis quelques années, ISO27001 pourrait se généraliser dans le panel des exigences des acheteurs publics ou privés. Qualité, sécurité et environnement forment
  • 3. 3 un triptyque complémentaire. À ce titre, il y a lieu de mettre en avant la complémentarité entre vos systèmes de gestion. Certains processus peuvent être mis en commun afin de rendre ces activités plus efficaces. Autant en profiter pour rajouter de la cohérence et créer des synergies internes ! 4. Réduire les coûts de gestion de la sécurité La norme ISO27001 instaure le rôle central de la gestion des risques dans l’exercice de sélection des mesures de sécurité. Gérer ses risques de sécurité, c’est tout d’abord les identifier, les évaluer de manière répétable et répétée, décider du traitement à y apporter (éventuellement en accepter certains) et sélectionner des mesures de sécurité en adéquation avec l’ampleur des risques identifiés. Autrement dit, par sa structure et les réflexes qu’elle promeut, la norme ISO27001 vous aidera à sécuriser de manière raisonnable et raisonnée vos informations et à ne pas surinvestir inutilement dans la protection de votre information. En parallèle, pour des organismes soumis à de fortes contraintes réglementaires ou contractuelles, et donc à des audits internes et externes, la certification permettra de simplifier les efforts de préparation et de structurer les discussions. 5. Motiver et rassurer ses collaborateurs Protection de la vie privée, mesures de contrôle et de surveillance de l’outil informatique sur le lieu de travail,… autant de sujets qui peuvent amener à des situations inconfortables dans les relations entretenues avec votre personnel et vos sous-traitants. Ces éléments sont des thématiques adressées globalement par la norme ISO27001. La certification apparaît comme un jalon important qui permettra à l’organisation de se jauger sur ces thématiques grâce à l’intervention d’auditeurs indépendants. De manière générale, les efforts liés à une certification organisationnelle représentent également une opportunité de fédérer les forces vives de l’organisation et d’impliquer les collaborateurs vers l’atteinte d’objectifs clairs et positifs pour tous. Mais à condition de concevoir cette initiative comme un projet global supporté par le management et non comme une volonté de certains membres de l’organisation! Sensibiliser et communiquer efficacement sont donc deux clés de voûte de la démarche. Conclusion À n’en point douter, toute organisation peut trouver son intérêt à la certification ISO27001! Même si les efforts à mettre en œuvre peuvent s’avérer conséquents (tout dépend de la maturité de l’organisation en matière de sécurité de l’information), il ne faut pas oublier l’origine même des systèmes de gestion: faire rentrer l’organisation dans un cercle vertueux d’amélioration continue en matière de sécurité de l’information. Avec un peu de retard mais tout comme dans le domaine de la qualité (ISO9001), la sécurité de l’information et la certification ISO27001 arrivent peu à peu à maturité et doivent s’envisager au-delà de l’aspect purement ‘marketing’ pour véritablement permettre d’engranger des résultats significatifs. Première étape indispensable pour ce faire : réaliser une analyse d’écarts (gap analysis) objective et indépendante entre la situation actuelle et les requis de la certification. En fonction du périmètre organisationnel et technique observé, cette escale indispensable permettra de poser les jalons d’une feuille de route pragmatique vers la certification ISO27001.