La certification ISO/IEC 27001, une certification orientée business ?

La certification ISO/IEC 27001 est une norme aujourd’hui reconnue dans le monde en matière de sécurité de l’information. Sylvie Gauthier, Directrice satisfaction client et performance de Prosodie-Capgemini, revient sur ce projet ambitieux.

En quelques mots, qu’est-ce que la norme ISO/IEC 27001 et quels sont ses impacts pour une entreprise ?

La norme ISO27001 a pour objectif de mettre en place un Système de Management de la Sécurité du Système d’information (SMSI).

La certification ISO 27001 est reconnue pour son degré d’exigence notamment à l’international où elle est désormais nécessaire pour répondre à certains appels d’offres. Elle garantit la bonne gestion et la mesure des systèmes assurant la sécurité de l’information tant sur le plan organisationnel que technique.

Pour une entreprise, se faire certifier ISO 27001, dépend de son niveau de maturité par rapport à sa démarche sécurité. La certification nécessite la mise en place de nombreux outils de contrôle et de mesure. Si l’entreprise ne dispose pas de ces outils en interne, l’investissement financier sera conséquent. Autre point essentiel, l’entreprise doit mettre en place une organisation humaine spécifique et prévoir de dédier des ressources à la sécurité du SI. Des référents sont ainsi nommés et de nouveaux postes créés comme celui de Continuity Manager qui aura la responsabilité de garantir la continuité des processus les plus critiques quelles que soient les circonstances.

Quel process a été mis en place pour obtenir et maintenir cette certification ?

Pour obtenir et maintenir cette certification tous les ans, Prosodie-Capgemini a formé une équipe projet impliquée, motivée et forte de différentes expertises. Par exemple, au sein de l’équipe projet, nous trouvons le RSSI, des experts de l’ingénierie des infrastructures, des data centers, des Vulnerability Managers, des représentants de l’exploitation, du support technique, de la DRH et de la direction générale. Une fois constituée, cette équipe projet prend point par point toutes les normes exigées par la certification et se charge de les faire appliquer. Les différents comités de pilotage servent à prendre les décisions d’amélioration avec la direction technique, porteuse de la politique et des objectifs de sécurité.

ISO

Quels sont les compléments de cette certification ?

La certification ISO 27001 définit la mise en place et le suivi des processus. D’autres agréments complémentaires assurent la sécurité des services métiers comme par exemple le PCI-DSS (Payment Card Industry Data Security Standard) pour améliorer la sécurité physique et logique des systèmes d’information en demandant aux acteurs de respecter des bonnes pratiques de sécurité.

Ou bien encore des agréments sectoriels comme HDS (Hébergeur de Données de Santé à caractère personnel) pour assurer la confidentialité des informations liées aux patients.

Ceci étant pour une entreprise avoir un système d’information certifié selon la norme ISO 27001 donne un niveau d’assurance et prouve que la sécurité est gérée de façon structurée et organisée dans une approche à long terme.

Sylvie, quels conseils donneriez-vous à une entreprise ?

Prosodie-Capgemini a choisi la combinaison des certifications ISO 9001, 20000-1 et 27001 pour répondre aux attentes fortes de ses clients en matière de sécurité, mais avant de se lancer, toute entreprise doit se poser la question de la pertinence de ces agréments et de ces certifications par rapport à sa stratégie et aux attentes de son marché.