Cinq raisons de certifier son organisation ISO 27001

White paper 3 : Gestion des systèmes d’information
Cinq raisons de certifier son organisation
ISO 27001
Mathieu Briol
Ayant toujours travaillé dans le monde du conseil en entreprise, il est actif
depuis plus de 10 ans dans les domaines liés aux télécommunications, à la
gestion des risques de sécurité de l’information, la conformité des systèmes
d’information et la continuité d’activités. Ses expériences métier couvrent
les secteurs de la finance, des soins de santé, de l’industrie technologique
et le secteur public.
Fin 2008, il a participé avec deux associés à la création de Mielabelo, un
cabinet de conseil belge, actif notamment dans les domaines de la gestion
des risques, de la conformité et de la sécurité des systèmes d’information.
Introduction
De nos jours, nombreuses sont les organisations qui ont fait le choix de se certifier ISO9001. La certification
ISO14001 se généralise également de plus en plus. Cependant, la proportion d’organisations désirant s’approprier
la norme ISO27001 en vue d’une certification demeure comparativement assez faible. D’où vient cette relative
‘impopularité’ de l’ISO27001 ? Quels bénéfices peuvent-elles pourtant en retirer?
Une référence normative essentielle
La norme ISO27001 s’est imposée depuis plusieurs années comme la norme de référence en matière
de sécurité de l’information. A tort ou à raison ? Objectivement, cette norme, ainsi que les différents
documents qui l’accompagnent (ISO27002, etc), a permis de structurer les efforts en matière
de sécurité de l’information, en instaurant la primauté de la gestion de risques dans la réflexion
liée à la sélection des mesures de sécurité. La nouvelle version 2013 des 2 documents fondateurs
(ISO27001/2) a simplifié le processus de conformité et le schéma de contrôle, le rendant plus lisible
pour des novices de la sécurité de l’information et des systèmes de gestion. Aujourd’hui donc, plus
d’excuse possible !
La sécurité, oui ; La conformité, peut-être (ou est-ce l’inverse ?)
Cette faible popularité signifie-t-elle que les organisations belges sont mal sécurisées ? A priori, il y
a lieu de constater que toute une série d’organisations n’a pas besoin d’un processus de certification
pour mettre en place les mesures de sécurité adéquates. De par leur domaine d’activité, elles sont
d’ores et déjà soumises à de fortes contraintes réglementaires qui les poussent à investir dans
la sécurisation de leur système d’information. S’agit-il pour autant d’un système de gestion de la
sécurité de l’information ? À proprement parler, non, même si la régularité des contrôles externes
(audits réglementaires indépendants ou pas) peut leur imposer à terme de rentrer dans cette logique
d’amélioration continue. À n’en pas douter, les 2 problématiques (sécurité et conformité) apparaissent
interconnectées. Pour autant, sécurité n’est pas conformité et inversement.
Malheureusement, tout comme la mise en place d’un système de gestion ISO9001 ne permet pas de
garantir à 100% la qualité d’un processus, la norme ISO27001 n’est pas une solution miracle à tous les
problèmes de sécurité. Sa mise en place garantit simplement l’implémentation et le fonctionnement
d’un système de gestion de la sécurité de l’information, qui va permettre à l’organisation, sur le
1
périmètre identifié, de rentrer dans un cercle vertueux d’amélioration continue en la matière. La
certification garantit qu’un organisme externe vient régulièrement contrôler le système de gestion.
En conclusion, ce n’est pas parce que l’organisation met en place ISO27001 qu’elle peut oublier sa
sécurité ou se dire ‘sécurisée’ à 100%.
Cinq raisons de lancer un projet de certification ISO27001
Il apparaît certain que la mise en place d’un programme de sécurité de l’information doit trouver ses
fondements dans la protection du patrimoine informationnel métier de l’organisation. Quels bénéfices
les organisations peuvent-elles y trouver, de manière à justifier les coûts non-négligeables liés à
l’obtention et à la maintenance de la certification ISO27001?
1.
Se différencier et créer un avantage compétitif
Dans le contexte d’un marché où peu de vos concurrents
ont fait l’effort d’investir dans ce type de certification, il y a
fort à parier que le précieux sésame se transformera bientôt
en une arme commerciale redoutable. En effet, bien utilisé,
l’argument pourra vous aider à marquer des points par
rapport à vos compétiteurs. Vous pourrez mettre en avant
l’importance accordée à la sécurité de vos informations et
de celles de vos clients.
2.
Gérer ses risques de manière systématique et inspirer la confiance chez ses
partenaires
L’obtention d’une certification peut revêtir un intérêt à la
fois purement sécuritaire (la mise en place d’un système de
gestion de la sécurité), mais également constituer un signal
d’engagement vers les différentes parties prenantes.
La certification ISO 27001 d’une organisation délivre un
message fort en direction de ses partenaires, qu’ils soient
des clients, des prospects, des employés, des citoyens ou
des fournisseurs, contribuant ainsi à créer une relation de
confiance. Elle montre que l’organisation a mis en place des
processus efficaces de gestion de la sécurité de l’information et que sa direction considère la sécurité
de l’information comme une thématique importante, prise au sérieux et à laquelle des moyens
humains et financiers sont alloués.
3.
Répondre à un besoin ou une exigence de vos clients
De nos jours, la sécurité de l’information est devenue un
sujet régulier de l’actualité. Si ce n’est déjà fait, vos clients et
vos partenaires pourraient s’inquiéter du traitement que vous
réservez aux informations qu’ils vous confient. Ils peuvent
même vous y obliger ! Tout comme la certification ISO9001
exigée dans certains marchés publics a connu une popularité
grandissante depuis quelques années, ISO27001 pourrait
se généraliser dans le panel des exigences des acheteurs
publics ou privés. Qualité, sécurité et environnement forment
2
un triptyque complémentaire. À ce titre, il y a lieu de mettre en avant la complémentarité entre vos
systèmes de gestion. Certains processus peuvent être mis en commun afin de rendre ces activités plus
efficaces. Autant en profiter pour rajouter de la cohérence et créer des synergies internes !
4.
Réduire les coûts de gestion de la sécurité
La norme ISO27001 instaure le rôle central de la gestion des risques dans
l’exercice de sélection des mesures de sécurité. Gérer ses risques de sécurité,
c’est tout d’abord les identifier, les évaluer de manière répétable et répétée,
décider du traitement à y apporter (éventuellement en accepter certains)
et sélectionner des mesures de sécurité en adéquation avec l’ampleur des
risques identifiés. Autrement dit, par sa structure et les réflexes qu’elle
promeut, la norme ISO27001 vous aidera à sécuriser de manière raisonnable
et raisonnée vos informations et à ne pas surinvestir inutilement dans la
protection de votre information. En parallèle, pour des organismes soumis à
de fortes contraintes réglementaires ou contractuelles, et donc à des audits
internes et externes, la certification permettra de simplifier les efforts de
préparation et de structurer les discussions.
5.
Motiver et rassurer ses collaborateurs
Protection de la vie privée, mesures de contrôle et de
surveillance de l’outil informatique sur le lieu de travail,…
autant de sujets qui peuvent amener à des situations
inconfortables dans les relations entretenues avec votre
personnel et vos sous-traitants. Ces éléments sont des
thématiques adressées globalement par la norme ISO27001.
La certification apparaît comme un jalon important qui
permettra à l’organisation de se jauger sur ces thématiques
grâce à l’intervention d’auditeurs indépendants. De manière
générale, les efforts liés à une certification organisationnelle représentent également une opportunité
de fédérer les forces vives de l’organisation et d’impliquer les collaborateurs vers l’atteinte d’objectifs
clairs et positifs pour tous. Mais à condition de concevoir cette initiative comme un projet global
supporté par le management et non comme une volonté de certains membres de l’organisation!
Sensibiliser et communiquer efficacement sont donc deux clés de voûte de la démarche.
Conclusion
À n’en point douter, toute organisation peut trouver son intérêt à la certification ISO27001! Même si les
efforts à mettre en œuvre peuvent s’avérer conséquents (tout dépend de la maturité de l’organisation
en matière de sécurité de l’information), il ne faut pas oublier l’origine même des systèmes de gestion:
faire rentrer l’organisation dans un cercle vertueux d’amélioration continue en matière de sécurité
de l’information. Avec un peu de retard mais tout comme dans le domaine de la qualité (ISO9001),
la sécurité de l’information et la certification ISO27001 arrivent peu à peu à maturité et doivent
s’envisager au-delà de l’aspect purement ‘marketing’ pour véritablement permettre d’engranger des
résultats significatifs.
Première étape indispensable pour ce faire : réaliser une analyse d’écarts (gap analysis) objective
et indépendante entre la situation actuelle et les requis de la certification. En fonction du périmètre
organisationnel et technique observé, cette escale indispensable permettra de poser les jalons d’une
feuille de route pragmatique vers la certification ISO27001.
3