La norme 27001 se popularise finalement en France (plus de 200 certificats en 2018 d’après l’ISO) et permet la certification du Système de Management de la Sécurité des Informations (SMSI). Au-delà des entreprises impactées par les nouvelles exigences légales et règlementaires (RGPD, HDS..) elle s’impose comme une référence de bonnes pratiques indispensables en matière d’IT.
En vue d’une certification 27001, la question de l’intégration au système de management existant (Qualité/9001, Services/20000-1, Ethique/37001, Continuité/22301…) se pose donc régulièrement d’autant que les normes reprennent la même structure et les mêmes principes. De manière naturelle, la cartographie des processus intègrera les activités liées à la sécurité de l’information. En fonction du contexte, les processus existants reprendront de nouvelles exigences, mais un processus dédié à l’animation SSI peut être nécessaire dans d’autres cas.
Lorsqu’aucun système n’est déjà en place, il faudra être vigilant à ne pas tomber dans les écueils classiques : système documentaire trop lourd, mauvais pilotage de la performance du SMSI, analyse des risques mal structurée…
Les choses se compliquent en entrant dans le détail de la norme, car elle intègre 114 mesures minimales que l’entreprise doit obligatoirement prendre en compte. Ces mesures techniques peuvent parfois être lourdes à mettre en œuvre voire nécessiter des investissements…. un travail de plusieurs années, mais encore faut-il savoir où s’arrêter ! Même si la justification technique de ses mesures se comprend, il s’agit de savoir à partir de quand votre entreprise sera « certifiable » ? Faut-il un déploiement exhaustif des mesures avant de prétendre à la certification ? Comment planifier sereinement votre projet dans ce contexte ?
C’est autant de questions auxquelles nous avons des réponses. Contactez nous !