La sécurité de l'information avec un système

Le thème de la "sécurité de l'information" devient de plus en plus urgent pour les entreprises dans le cadre de la transformation numérique. En l'absence de mesures de sécurité suffisantes, il existe un risque de perte et de vol de données par des pirates informatiques, d'interruption des activités en raison d'attaques via le web ou d'utilisation abusive des données. Un système de gestion de la sécurité de l'information (SGSI) conforme à la norme ISO 27001 constitue une option pour une approche structurée.

Une sécurité des données et des informations démontrable

Sécurité faisant partie de la culture d'entreprise

Mise en œuvre efficace d'un processus de gestion des risques

Amélioration continue de votre niveau de sécurité

Business10.png
Loading...

Qu'est-ce que la norme ISO 27001 ?

ISO/IEC 27001 est la principale norme internationale pour la mise en œuvre d'un système de gestion holistique de la sécurité de l'information. Elle se concentre sur l'identification, l'évaluation et la gestion des risques liés aux processus de traitement de l'information. La sécurité des informations confidentielles est soulignée comme un élément stratégique important.

L'information nous entoure partout et fait partie de chaque processus. Elle peut parfois être sans importance, mais trop souvent elle est critique et confidentielle. Afin d'établir cette distinction importante pour votre organisation, il est nécessaire de classifier les informations. En effet, les mesures de protection d'un système de gestion de la sécurité de l'information (SGSI) selon la norme ISO/IEC 27001 sont basées sur cette classification.

Un SGSI crée le cadre de la protection des données opérationnelles et de leur confidentialité. Dans le même temps, cette norme mondialement reconnue garantit la disponibilité des systèmes informatiques impliqués dans les processus de l'entreprise. Dans ce contexte, la certification ISO 27001 envoie un signal fort au marché : à savoir, une évaluation externe indépendante et une confirmation de l'efficacité de votre SMSI.

Avec la norme EN ISO/IEC 27001:2017-06, une version coordonnée par le Comité européen de normalisation (CEN) a été publiée. Elle combine les deux corrections (corrigenda) Cor 1:2014 et Cor 2:2015. Les changements associés à la correction comprennent uniquement une description améliorée des exigences associées, mais pas de nouvelles exigences supplémentaires. Les certificats selon la version ISO/IEC 27001:2013 conservent donc leur validité.

Afficher plus
Montrer moins
SEO19.png
Loading...

À qui s'adresse la certification ISO 27001 ?

La norme ISMS ISO 27001 s'applique dans le monde entier. Elle fournit aux entreprises de toutes tailles et de tous secteurs un cadre pour la planification, la mise en œuvre et la surveillance de leur sécurité de l'information. Les exigences sont applicables et s'appliquent aux entreprises privées et publiques ainsi qu'aux organisations à but non lucratif.

En Allemagne, par exemple, les entreprises qui appartiennent à un secteur d'infrastructure critique (KRITIS) et qui dépassent un certain seuil doivent fournir des preuves de la manière dont elles assurent la sécurité de leurs informations. Les secteurs KRITIS comprennent l'énergie, l'eau, la santé, les finances et les assurances, l'alimentation, les transports et la circulation, les technologies de l'information et les télécommunications. La preuve correspondante de la mise en œuvre peut être fournie par des audits, des tests ou des certifications de sécurité. À cette fin, on peut utiliser comme base d'audit soit des normes reconnues telles que la norme ISO 27001, soit des normes de sécurité spécifiques au secteur et reconnues par l'Office fédéral allemand de la sécurité de l'information (BSI).

Afficher plus
Montrer moins
Business11.png
Loading...

En quoi la norme ISO 27001 est-elle utile pour mon entreprise ?

L'introduction d'un SMSI conforme à la norme ISO/IEC 27001 est une décision stratégique pour votre entreprise. Le respect des exigences délibérément générales de la norme doit refléter la situation spécifique de l'entreprise. La mise en œuvre dans l'entreprise dépend des besoins et des objectifs, des exigences de sécurité et des processus organisationnels, ainsi que de la taille et de la structure de l'entreprise.

La mise en œuvre des mesures de l'annexe A de la norme est particulièrement précieuse pour la pratique. Outre la section des exigences orientées vers le système de management (chapitres 4 à 10), la norme ISO contient une liste exhaustive de 35 cibles de mesures (contrôles) avec 114 mesures concrètes pour une grande variété d'aspects de la sécurité à travers 14 chapitres de l'annexe A. Les mesures doivent être mises en œuvre dans le cadre du système de management. Ces mesures doivent être mises en œuvre dans le cadre du système de management, dans la mesure où elles sont pertinentes pour votre entreprise.

Il est prouvé que l'alignement cohérent des processus de l'entreprise sur la norme ISO 27001 apporte un certain nombre d'avantages :

  • Amélioration continue du niveau de sécurité
  • Réduction des risques existants
  • Respect des exigences de conformité
  • Sensibilisation accrue des employés
  • Augmentation de la satisfaction des clients

Les audits internes et les revues de direction avec la participation de la direction générale sont les leviers internes pour y parvenir.

D'autres aspects positifs sont que les parties intéressées, telles que les autorités de surveillance, les compagnies d'assurance, les banques, les entreprises partenaires, développent un niveau de confiance plus élevé dans votre entreprise. En effet, un système de gestion certifié indique que votre organisation traite les risques de manière structurée et souscrit à l'amélioration continue (CIP), ce qui la rend plus résistante aux influences indésirables.

La norme internationale ISO/IEC 27001 peut également être mise en œuvre, exploitée et certifiée indépendamment d'autres systèmes de management tels que l'ISO 9001 (management de la qualité) ou l'ISO 14001 (management environnemental).

Afficher plus
Montrer moins
Business36.png
Loading...

Qui est autorisé à effectuer la certification selon la norme ISO 27001 ?

Pour pouvoir certifier un système de gestion de la sécurité de l'information, l'organisme de certification doit être accrédité selon les normes ISO/IEC 17021 et ISO/IEC 27006. La norme ISO/IEC 17021 régit les sujets liés à l'évaluation de la conformité, en particulier les exigences relatives aux organismes d'inspection qui auditent et certifient les systèmes de gestion.

En outre, ISO/IEC 27006 définit des exigences strictes auxquelles les organismes de certification doivent se conformer afin de certifier un SMSI selon ISO 27001.

Ces exigences comprennent

  • La preuve d'un effort d'audit spécifié
  • Des exigences relatives à la qualification des auditeurs

DQS est accrédité par l'organisme national d'accréditation allemand DakkS (Deutsche Akkreditierungsstelle GmbH) et est donc autorisé à effectuer des audits et des certifications selon la norme ISO 27001.

Quel que soit le secteur dans lequel votre entreprise opère, vous pouvez compter sur l'expertise distinctive des auditeurs de DQS. Ils ont de nombreuses années d'expérience dans l'évaluation des systèmes de gestion de la sécurité de l'information dans divers secteurs.

Afficher plus
Montrer moins
Business28.png
Loading...

Comment fonctionne la certification ISO 27001 ?

Une fois que toutes les exigences de la norme ISO 27001 ont été mises en œuvre, vous pouvez faire certifier votre système de gestion. Vous passerez par un processus de certification en plusieurs étapes chez DQS. Si un système de gestion certifié est déjà établi dans l'entreprise, le processus peut être raccourci.

Lors de la première étape, nous discutons de votre entreprise et des objectifs de la certification ISO 27001. Sur cette base, vous recevrez une offre détaillée adaptée aux besoins individuels de votre entreprise.

Une réunion de planification du projet peut être utile pour les projets de grande envergure, par exemple pour mieux coordonner les calendriers et la réalisation des audits avec plusieurs sites ou divisions. Le pré-audit vous offre la possibilité d'identifier à l'avance les points forts et le potentiel d'amélioration de votre système de gestion. Ces deux services sont facultatifs.

L'audit de certification commence par l'analyse et l'évaluation de votre SGSI (étape 1 de l'audit). Ici, votre auditeur détermine si votre système de gestion est suffisamment développé et prêt pour la certification. Dans l'étape suivante (audit du système, étape 2), votre auditeur évalue l'efficacité de tous les processus de gestion sur le site, en appliquant la norme ISO 27001. Le résultat de l'audit est présenté lors d'une réunion finale. Si nécessaire, des plans d'action sont convenus.

Après l'audit de certification, les résultats sont évalués par le comité de certification indépendant de DQS. Si toutes les exigences de la norme sont respectées, vous recevrez le certificat ISO 27001.

Après une certification réussie, les composants clés de votre SMSI sont ré-audités sur site au moins une fois par an pour garantir une amélioration continue.

Le certificat ISO 27001 est valable pour une durée maximale de trois ans. La recertification est effectuée en temps utile avant l'expiration du certificat pour garantir la conformité continue aux exigences de la norme applicable. En cas de conformité, un nouveau certificat est délivré.

Banking13.png
Loading...

Quel est le coût de la certification ISO 27001 ?

Les quatre critères d'évaluation

Même si l'audit ISO 27001 doit être réalisé selon des spécifications structurées, le coût dépend de divers facteurs, tels que la complexité de votre organisation. Par conséquent, il ne peut y avoir d'offre unique pour une entreprise donnée.

Les coûts de la certification selon la norme ISO 27001 sont établis, entre autres, en fonction des quatre critères suivants :

1. La complexité de votre système de gestion de la sécurité de l'information

Les valeurs critiques (par exemple brevets, données personnelles, installations, processus) de votre entreprise sont prises en compte. Le coût de la certification est basé principalement sur les exigences en matière de sécurité de l'information et sur la mesure dans laquelle la confidentialité, l'intégrité et la disponibilité (VIV) des informations sont affectées.

2. L'activité principale de votre entreprise dans le cadre du SGSI

À ce stade, les risques associés à vos processus d'affaires en particulier jouent un rôle important dans la détermination de l'effort d'audit nécessaire. Les exigences légales sont prises en compte ainsi que les exigences complexes et individuelles des clients.

3. Les principales technologies et composantes utilisées dans votre SGSI

Au cours de l'audit, la technologie ainsi que les composants individuels de votre SGSI sont examinés. Il s'agit notamment des plateformes informatiques, des serveurs, des bases de données, des applications ainsi que des segments de réseau. La règle de base est la suivante : Plus la proportion de systèmes standard est élevée et plus la complexité de votre informatique est faible, moins l'effort sera important. Les coûts d'une certification ISO 27001 en dépendent également.

4 La proportion de développements internes dans votre SGSI

S'il n'y a pas de développement interne et que vous utilisez principalement des plateformes logicielles standardisées, l'effort d'une évaluation est moindre. Si votre SGSI est caractérisé par une utilisation intensive de logiciels développés en interne et si ces logiciels sont utilisés pour des secteurs d'activité centraux, l'effort de certification sera plus élevé.

Afin de pouvoir vous donner un aperçu des coûts d'une certification ISMS, nous avons besoin au préalable d'informations précises sur votre modèle d'entreprise et votre domaine d'application. Nous pourrons ainsi vous proposer une offre sur mesure.

Afficher plus
Montrer moins
Business2.png
Loading...

Ce que vous pouvez attendre de nous

  • Plus de 35 ans d'expérience dans la certification de systèmes et de processus de gestion
  • Des auditeurs et des experts expérimentés dans le secteur, dotés de solides connaissances techniques
  • Des informations à valeur ajoutée sur votre entreprise
  • Des certificats reconnus au niveau international
  • Expertise et accréditations pour toutes les normes pertinentes
  • Soutien personnel et sans faille de nos spécialistes - au niveau régional, national et international
  • Offres individuelles avec des conditions contractuelles flexibles et sans frais cachés
Contact-middle-east-woman-shutterstock_1461128441.jpg
Loading...

Demande de devis

Votre interlocuteur local

"Nous serions heureux de vous soumettre une offre personnalisée pour la certification ISO 27001 de votre SMSI."