Certification de sécurité de l'information ISO 27001 par une femme avec un ordinateur portable dans une salle de serveurs

Certification ISO 27001

Votre demande


La sécurité de l'information avec un système

Le thème de la sécurité de l'information devient de plus en plus urgent pour les entreprises dans le cadre de la transformation numérique. En l'absence de mesures de sécurité suffisantes, il existe un risque de perte et de vol de données par des pirates informatiques, d'interruption des activités en raison d'attaques via le web ou d'utilisation abusive des données. Un système de gestion de la sécurité de l'information (SGSI) conforme à la norme ISO 27001 constitue une option pour une approche structurée.

Les avantages d'une certification ISO 27001 ne se limitent pas à l'intérieur de l'organisation, elle renforce également la confiance des clients potentiels.

Une sécurité des données et des informations démontrable

La sécurité de l'information comme élément de la culture d'entreprise

Mise en œuvre efficace d'un processus de gestion des risques

Amélioration continue du niveau de sécurité de vos informations

Business10.png

Qu'est-ce que la norme ISO 27001?

ISO/IEC 27001 est la norme internationale pour la mise en œuvre d'un système de gestion de la sécurité de l'information. La norme se concentre sur la mise en œuvre des meilleures pratiques en matière de sécurité des informations. Cela s'applique aux données critiques pour l'entreprise, aux données personnelles et à toutes les données que vous traitez pour vos clients.  Aujourd'hui, la sécurité des données doit être considérée comme un élément stratégique important.

L'information nous entoure partout et fait partie de chaque processus. Parfois, ces informations sont anodines, mais trop souvent, elles sont critiques et confidentielles. Pour faire cette distinction importante pour votre organisation, il est nécessaire de classer les informations. En fait, les mesures techniques et organisationnelles d'un système de gestion de la sécurité de l'information (SGSI) selon la norme ISO/IEC 27001 sont basées sur cette classification.

Un SGSI crée le cadre pour la protection des données opérationnelles et leur confidentialité. Votre organisation est mieux armée contre les éventuelles cyberattaques grâce à la mise en œuvre des 93 points de contrôle de l'annexe A de la norme ISO 27001. Dans ce contexte, la certification ISO 27001 envoie un signal fort au marché : à savoir qu'une évaluation externe indépendante confirme l'efficacité de votre SMSI.

Afficher plus
Montrer moins
SEO19.png

À qui s'adresse la certification ISO 27001?

La norme ISMS ISO 27001 est applicable dans le monde entier. Elle fournit aux entreprises de toutes tailles et de tous secteurs un cadre pour la planification, la mise en œuvre et la surveillance de leur sécurité informatique. Les exigences sont applicables et s'appliquent aux entreprises privées et publiques, ainsi qu'aux organisations à but non lucratif.

En Europe, par exemple, les entreprises appartenant à un secteur d'infrastructures critiques (NIS) et dépassant un certain seuil doivent démontrer comment elles assurent la sécurité de leurs informations. Les secteurs des NEI comprennent l'énergie, l'eau, la santé, la finance et l'assurance, l'alimentation, les transports et la circulation, les technologies de l'information et les télécommunications. La preuve de la mise en œuvre peut être fournie par des audits de sécurité, des tests ou des certifications. À cette fin, des normes reconnues telles que la norme ISO 27001 peuvent servir de base aux audits.

Afficher plus
Montrer moins
Business11.png

En quoi la norme ISO 27001 est-elle utile pour mon entreprise ?

La mise en œuvre d'un SMSI conforme à la norme ISO/IEC 27001 est une décision stratégique pour votre entreprise. Le respect des exigences de la norme doit s'adapter à la situation spécifique de l'entreprise. La mise en œuvre dans l'entreprise dépend des besoins et des objectifs, des exigences de sécurité et des processus organisationnels, ainsi que de la taille et de la structure de l'entreprise.

Outre la partie des exigences axée sur le système de gestion (chapitres 4 à 10), la norme ISO contient une liste complète de 35 objectifs (contrôles) avec 93 mesures techniques et organisationnelles concrètes, divisées en quatre domaines. Ces domaines sont les mesures organisationnelles, les mesures axées sur les personnes, les mesures physiques et les mesures techniques. 

Il est prouvé que l'alignement cohérent des processus d'entreprise sur la norme ISO 27001 entraîne un certain nombre d'avantages:

  • Amélioration continue du niveau de sécurité de l'information
  • Réduction des cyberrisques existants
  • Respect des exigences de conformité
  • Sensibilisation accrue des employés
  • Une plus grande confiance des clients dans la sécurité de vos données
  • Moins de temps passé à remplir de longs questionnaires

Les audits internes et les revues de direction avec la participation de la direction générale sont les leviers internes pour y parvenir.

Autre aspect positif : les parties prenantes telles que les organismes de réglementation, les compagnies d'assurance, les banques et les entreprises partenaires accordent une plus grande confiance à votre entreprise. Après tout, un système de gestion certifié indique que votre organisation traite les risques de manière structurée et s'efforce de s'améliorer continuellement (CIP) dans le domaine de la sécurité de l'information.

 

Afficher plus
Montrer moins
Business12.png

Le lien entre la législation et l'ISO 27001

Dans le monde numérique d'aujourd'hui, la sécurité des informations joue un rôle crucial dans la protection des données personnelles. Diverses législations ont été élaborées pour obliger les organisations à prendre des mesures techniques et organisationnelles pour protéger ces données :

GDPR
La législation la plus importante de ces dernières années était sans aucun doute la législation GDPR. Cette disposition prévoit explicitement l'obligation, tant pour le responsable du traitement que pour le sous-traitant, de prendre les mesures techniques et organisationnelles nécessaires pour assurer la protection des données à caractère personnel traitées. Pour l'Europe, il s'agissait du premier pas vers une politique de cybersécurité et de sécurité des données plus présente. Une certification ISO 27001 constitue une bonne base pour la sécurité de l'information requise.

NIS
La législation des NEI qui impose un niveau minimum de sécurité aux exploitants d'infrastructures critiques dans les secteurs de l'énergie, de l'eau, de la santé, de la finance et des assurances, de l'alimentation, du transport et de la circulation, des technologies de l'information et des télécommunications. Ici, la norme ISO 27001 est utilisée, complétée par des exigences spécifiques au secteur. 

NIS-2
Alors que la NIS se concentrait sur les organismes publics nationaux, la NIS-2 est allée plus loin en exigeant des entreprises privées qu'elles mettent également en œuvre un niveau minimal de cybersécurité. Dans ce contexte, la norme ISO 27001 constitue une base idéale pour assurer la sécurité des informations de manière structurelle.

Digital Services Act
L'ASD vise à renforcer le marché en ligne en créant des conditions de concurrence équitables pour les services numériques et en protégeant les droits des utilisateurs. L'ASD vise à rendre le marché en ligne plus transparent et à faire en sorte que les services et plateformes numériques assument la responsabilité du contenu qu'ils fournissent.

Dans le contexte de l'ASD, une organisation offrant des services numériques peut utiliser la norme ISO 27001 comme ligne directrice pour la mise en œuvre d'un SMSI et la gestion des risques liés à la sécurité de l'information. L'AVD fixe les exigences relatives aux responsabilités des services et plateformes numériques en ce qui concerne la sécurité des données personnelles et le respect des lois et règlements en matière de sécurité de l'information. Si une organisation répond aux exigences de la norme ISO 27001, elle peut aider à assumer ces responsabilités.

Afficher plus
Montrer moins
Business6.png

Quelle est la durée de validité d'un certificat ISO 27001?

Un certificat ISO 27001 est valable pendant 3 ans. Au cours de ces 3 années, vous avez un audit initial l'année 1 et un audit périodique les années 2 et 3. La quatrième année, il y a ensuite un audit de recertification et un nouveau cycle de trois ans commence.

Une loupe sur les personnes habilitées à effectuer la certification

Qui est autorisé à effectuer la certification selon la norme ISO 27001 ?

Pour pouvoir certifier un système de gestion de la sécurité de l'information, l'organisme de certification doit être accrédité selon les normes ISO/IEC 17021 et ISO/IEC 27006. La norme ISO/IEC 17021 régit les sujets liés à l'évaluation de la conformité, en particulier les exigences relatives aux organismes d'inspection qui auditent et certifient les systèmes de gestion.

En outre, ISO/IEC 27006 définit des exigences strictes auxquelles les organismes de certification doivent se conformer afin de certifier un SMSI selon ISO 27001.

Ces exigences comprennent

  • La preuve d'un effort d'audit spécifié
  • Des exigences relatives à la qualification des auditeurs

DQS est accrédité par l'organisme national d'accréditation allemand DakkS (Deutsche Akkreditierungsstelle GmbH) et est donc autorisé à effectuer des audits et des certifications selon la norme ISO 27001.

Quel que soit le secteur dans lequel votre entreprise opère, vous pouvez compter sur l'expertise distinctive des auditeurs de DQS. Ils ont de nombreuses années d'expérience dans l'évaluation des systèmes de gestion de la sécurité de l'information dans divers secteurs.

Afficher plus
Montrer moins
Business28.png

Comment fonctionne la certification ISO 27001 ?

Une fois que toutes les exigences de la norme ISO 27001 ont été mises en œuvre, vous pouvez faire certifier votre système de gestion. Vous passerez par un processus de certification en plusieurs étapes chez DQS. Si un système de gestion certifié est déjà établi dans l'entreprise, le processus peut être raccourci.

Lors de la première étape, nous discutons de votre entreprise et des objectifs de la certification ISO 27001. Sur cette base, vous recevrez une offre détaillée adaptée aux besoins individuels de votre entreprise.

Une réunion de planification du projet peut être utile pour les projets de grande envergure, par exemple pour mieux coordonner les calendriers et la réalisation des audits avec plusieurs sites ou divisions. Le pré-audit vous offre la possibilité d'identifier à l'avance les points forts et le potentiel d'amélioration de votre système de gestion. Ces deux services sont facultatifs.

L'audit de certification commence par l'analyse et l'évaluation de votre SGSI (étape 1 de l'audit). Ici, votre auditeur détermine si votre système de gestion est suffisamment développé et prêt pour la certification. Dans l'étape suivante (audit du système, étape 2), votre auditeur évalue l'efficacité de tous les processus de gestion sur le site, en appliquant la norme ISO 27001. Le résultat de l'audit est présenté lors d'une réunion finale. Si nécessaire, des plans d'action sont convenus.

Après l'audit de certification, les résultats sont évalués par le comité de certification indépendant de DQS. Si toutes les exigences de la norme sont respectées, vous recevrez le certificat ISO 27001.

Après une certification réussie, les composants clés de votre SMSI sont ré-audités sur site au moins une fois par an pour garantir une amélioration continue.

Le certificat ISO 27001 est valable pour une durée maximale de trois ans. La recertification est effectuée en temps utile avant l'expiration du certificat pour garantir la conformité continue aux exigences de la norme applicable. En cas de conformité, un nouveau certificat est délivré.

Banking13.png

Quel est le coût de la certification ISO 27001 ?

Les quatre critères d'évaluation

Même si l'audit ISO 27001 doit être réalisé selon des spécifications structurées, le coût dépend de divers facteurs, tels que la complexité de votre organisation. Par conséquent, il ne peut y avoir d'offre unique pour une entreprise donnée.

Les coûts de la certification selon la norme ISO 27001 sont établis, entre autres, en fonction des quatre critères suivants :

1. La complexité de votre système de gestion de la sécurité de l'information

Les valeurs critiques (par exemple brevets, données personnelles, installations, processus) de votre entreprise sont prises en compte. Le coût de la certification est basé principalement sur les exigences en matière de sécurité de l'information et sur la mesure dans laquelle la confidentialité, l'intégrité et la disponibilité (VIV) des informations sont affectées.

2. L'activité principale de votre entreprise dans le cadre du SGSI

À ce stade, les risques associés à vos processus d'affaires en particulier jouent un rôle important dans la détermination de l'effort d'audit nécessaire. Les exigences légales sont prises en compte ainsi que les exigences complexes et individuelles des clients.

3. Les principales technologies et composantes utilisées dans votre SGSI

Au cours de l'audit, la technologie ainsi que les composants individuels de votre SGSI sont examinés. Il s'agit notamment des plateformes informatiques, des serveurs, des bases de données, des applications ainsi que des segments de réseau. La règle de base est la suivante : Plus la proportion de systèmes standard est élevée et plus la complexité de votre informatique est faible, moins l'effort sera important. Les coûts d'une certification ISO 27001 en dépendent également.

4 La proportion de développements internes dans votre SGSI

S'il n'y a pas de développement interne et que vous utilisez principalement des plateformes logicielles standardisées, l'effort d'une évaluation est moindre. Si votre SGSI est caractérisé par une utilisation intensive de logiciels développés en interne et si ces logiciels sont utilisés pour des secteurs d'activité centraux, l'effort de certification sera plus élevé.

Afin de pouvoir vous donner un aperçu des coûts d'une certification ISMS, nous avons besoin au préalable d'informations précises sur votre modèle d'entreprise et votre domaine d'application. Nous pourrons ainsi vous proposer une offre sur mesure.

Afficher plus
Montrer moins
Business2.png

Ce que vous pouvez attendre de nous

  • Plus de 35 ans d'expérience dans la certification de systèmes et de processus de gestion
  • Des auditeurs et des experts expérimentés dans le secteur, dotés de solides connaissances techniques
  • Des informations à valeur ajoutée sur votre entreprise
  • Des certificats reconnus au niveau international
  • Expertise et accréditations pour toutes les normes pertinentes
  • Soutien personnel et sans faille de nos spécialistes - au niveau régional, national et international
  • Offres individuelles avec des conditions contractuelles flexibles et sans frais cachés

Demande de devis

Votre interlocuteur local

"Nous serions heureux de vous soumettre une offre personnalisée pour la certification ISO 27001 de votre SMSI."

Votre demande

Vous avez des questions ?

Nous sommes là pour vous.
Contactez-nous