ISO 27001: Guide de mise en œuvre complet en 10 étapes
SharePartager

ISO 27001: Guide de mise en œuvre complet en 10 étapes

Publié dans 19 de June de 2023

La protection de l’information est un sujet d’une importance capitale pour le monde interconnecté et mondialisé dans lequel nous vivons aujourd’hui. Toute l’infrastructure numérique de la société moderne, y compris les entreprises, le commerce international et les médias sociaux, dépend de technologies et de services qui doivent être protégés. Parmi les menaces, on peut citer les invasions, les accès non autorisés, la perte de données, etc. La gestion de la sécurité de l’information est encore plus difficile, car elle implique une diversité de variables, telles que les politiques, les procédures, les processus, les mesures de contrôle et les applications, qui doivent être gérées de manière stratégique et intelligente.

La gestion de la sécurité de l’information est essentielle pour protéger les entreprises et la société de menaces potentiellement dévastatrices. Il est essentiel que les organisations évaluent les risques encourus, en tenant compte de l’impact potentiel des incidents de sécurité et en adoptant une approche intelligente et appropriée de l’évaluation des risques.

La famille de normes ISO 27000 aide les organisations à assurer la sécurité de leurs actifs informationnels. ISO/IEC 27001 est la norme la plus connue de cette famille et définit les exigences relatives au système de gestion de la sécurité de l’information (SGSI).

Mise en œuvre

La mise en œuvre d’un système de gestion nécessite un certain niveau de documentation : politiques, procédures, instructions de travail détaillées, etc. La norme ISO 27001 n’est pas différente à cet égard : une documentation formelle est en effet nécessaire.  La norme ISO 27001 n’est pas différente à cet égard : une documentation formelle est en effet nécessaire. Toutefois, elle présente un schéma légèrement inhabituel en ce sens qu’elle contient une liste de contrôles qu’une organisation doit prendre en considération dans le cadre de sa mise en œuvre, un contrôle étant une méthode permettant de faire face aux risques.

C’est probablement pour cette raison qu’une question très fréquente se pose : “Dois-je commencer par rédiger la documentation ou par mettre en œuvre les contrôles ? La réponse n’est “ni l’un ni l’autre”.  La norme elle-même mentionne qu’un SGSI doit préserver la confidentialité, l’intégrité et la disponibilité des informations en appliquant un processus de GESTION DES RISQUES. Par conséquent, rédiger la documentation ou appliquer des contrôles pour traiter les risques AVANT de les identifier et de les classer revient à outrepasser l’ordre des choses.

La mise en œuvre d’un système de gestion de la sécurité de l’information conforme à la norme ISO 27001 peut s’avérer difficile. Pour vous faciliter la tâche, vous trouverez ci-dessous un guide en 10 étapes sur la manière de mettre en œuvre la norme ISO 27001 dans votre entreprise. De l’adhésion de la direction à la mise en œuvre, en passant par les activités de contrôle et d’amélioration.

Étape 1 : Mise en place d’une équipe de mise en œuvre

Votre première tâche consiste à désigner un chef de projet chargé de superviser la mise en œuvre du SGSI. Il doit avoir une connaissance approfondie de la sécurité de l’information, ainsi que l’autorité nécessaire pour diriger une équipe et donner des ordres aux gestionnaires.

Qui, au sein de votre organisation, supervisera le processus, fixera les attentes et gérera les étapes ? Comment obtiendrez-vous l’adhésion de la direction de votre entreprise ? Allez-vous faire appel à un consultant ISO 27001 pour vous aider tout au long du processus ?

Une fois l’équipe constituée, elle doit élaborer un plan de projet et définir certaines réponses :

  • Quels sont les objectifs à atteindre ?
  • Combien de temps cela prendra-t-il ?
  • Combien cela va-t-il coûter ?
  • Le projet est-il soutenu par la direction ?

L’apprentissage de la norme ISO 27001 et de ses 93 contrôles est un élément fondamental de ce processus.

Étape 2 : Définir le champ d’application de votre SGSI

Chaque entreprise est unique et héberge différents types de données. Avant d’élaborer votre SGSI, vous devez déterminer exactement le type d’informations que vous devez protéger. Cela implique d’identifier les endroits où les informations sont stockées : dans des fichiers physiques ou numériques et dans des systèmes ou appareils portables. Définir correctement votre champ d’application est une partie essentielle de votre projet de mise en œuvre du SGSI.

Si votre champ d’application est trop restreint, vous risquez de laisser des informations exposées, mettant ainsi en péril la sécurité de votre organisation. Mais si votre champ d’application est trop large, le SGSI deviendra trop complexe à gérer. Pour certaines entreprises, le champ d’application comprend l’ensemble de l’organisation. Pour d’autres, il n’englobe qu’un département ou un système spécifique, et ce n’est pas grave, la norme le permet. Quelques considérations à garder à l’esprit à ce stade :

  • Les questions internes et externes définies à la clause 4.1.
  • Toutes les exigences définies à la clause 4.2. Les interfaces et les dépendances entre ce qui se passe dans le champ d’application et l’environnement externe.

Étape 3 : Cartographier et identifier les risques

Une évaluation formelle des risques est une exigence de conformité à la norme. Cela signifie que les données, l’analyse et les résultats de votre évaluation des risques doivent être documentés.

La norme ISO 27001 fait en fait partie d’une “famille” de normes, la série ISO 27000. La norme ISO 27005 fournit des lignes directrices pour la gestion des risques liés à la sécurité de l’information. Elle propose deux approches pour identifier et évaluer les risques :

  • Approche basée sur des scénarios : les risques sont identifiés en considérant les événements et notés en évaluant leurs conséquences. En d’autres termes, vous essayez d’imaginer tout ce qui pourrait mal tourner (événements) et de déterminer l’impact (conséquences) que cela aurait sur la confidentialité, l’intégrité et la disponibilité des informations dans votre champ d’application.
  • Approche fondée sur les menaces et la vulnérabilité des actifs : les risques sont identifiés en utilisant l’inventaire des actifs comme point de départ. Pour chaque catégorie d’actifs (p. ex. ordinateurs portables, serveurs, réseaux), les menaces (vol, erreur humaine, logiciels malveillants, etc.) sont prises en compte et notées en conséquence.

Étape 4 : Établir un processus de gestion des risques

Maintenant que vous avez identifié les risques, vous devez décider de la manière dont votre organisation y répondra. Quels sont les risques que vous êtes prêt à tolérer et quels sont ceux que vous devez traiter ? Tous les risques, contrôles et méthodes d’atténuation doivent être clairement définis et mis à jour dans la politique de sécurité. Cela permet aux organisations de fournir des orientations claires à leurs parties prenantes et de créer un cadre stratégique qui sert de base à la sécurité de l’information.

Lors d’un audit ultérieur, l’auditeur voudra examiner les décisions que vous avez prises par rapport à chaque risque identifié lors de votre cartographie. Vous devrez également produire une déclaration d’applicabilité et un plan de traitement des risques dans le cadre de vos preuves d’audit.

La déclaration d’applicabilité résume et explique quels contrôles et politiques de la norme ISO 27001 sont pertinents pour votre organisation. Ce document est l’une des premières choses que l’auditeur examinera lors de son audit de certification.

Le plan de traitement des risques est un autre document essentiel pour la certification ISO 27001. Il indique comment votre organisation répondra aux menaces identifiées au cours du processus d’évaluation des risques.

En ce qui concerne les risques, vous pouvez prendre l’une des quatre mesures suivantes :

  • Modifier le risque en mettant en place des contrôles qui réduisent la probabilité de sa survenance.
  • Éviter le risque en prévenant les circonstances dans lesquelles il pourrait se produire.
  • Partager le risque avec un tiers (c’est-à-dire confier les efforts de sécurité à une autre entreprise, souscrire une assurance, etc.)
  • Accepter le risque parce que le coût de sa résolution est supérieur au dommage potentiel.

Vous mettrez ensuite en œuvre des contrôles en réponse aux risques identifiés. Vos politiques doivent établir et appliquer les meilleures pratiques en matière de sécurité, par exemple en demandant aux employés d’utiliser l’authentification multifactorielle et de verrouiller les appareils chaque fois qu’ils quittent leur poste de travail.

Cela peut être plus facile à dire qu’à faire. C’est ici que vous devez mettre en œuvre tous les documents et technologies et, par conséquent, modifier les processus de sécurité de votre entreprise. Il s’agit généralement de la tâche la plus difficile de votre projet, car elle implique d’imposer un nouveau comportement à votre organisation. Souvent, de nouvelles politiques et procédures sont requises (ce qui signifie que le changement est nécessaire) et les gens résistent généralement au changement – c’est pourquoi la tâche suivante (formation et sensibilisation) est cruciale pour éviter ce risque.

Étape 5 : Mise en œuvre de programmes de formation et de sensibilisation

Si vous voulez que votre personnel mette en œuvre toutes les nouvelles politiques et procédures, vous devez d’abord leur expliquer pourquoi elles sont nécessaires et les former pour qu’elles fonctionnent comme prévu. En outre, la norme ISO 27001 exige que tous les employés soient formés à la sécurité de l’information. Cela permet de s’assurer que tous les membres de l’organisation comprennent l’importance de la sécurité des données et leur rôle dans l’obtention et le maintien de la conformité.

Il est essentiel que la formation soit attestée.

Étape 6 : Documenter et collecter des preuves

C’est à ce stade que la norme ISO 27001 devient une routine quotidienne dans votre organisation. Le mot clé est ici : “enregistrements”. Pour obtenir la certification, vous devez prouver à votre auditeur que vous avez mis en place des politiques et des contrôles efficaces et qu’ils fonctionnent comme l’exige la norme.

Outre l’audit, les enregistrements devraient vous aider en premier lieu – en les utilisant, vous pouvez contrôler ce qui se passe. Vous saurez ainsi avec certitude que toutes les personnes impliquées dans le SGSI s’acquittent de leurs tâches comme il se doit.

Étape 7 : Réaliser des audits internes

C’est ici que les objectifs de vos contrôles et votre méthode de mesure se rejoignent – vous devez vérifier que les résultats que vous obtenez correspondent à ce que vous avez défini dans vos objectifs. Si ce n’est pas le cas, vous saurez que quelque chose ne va pas et vous devrez prendre des mesures correctives et/ou préventives pour résoudre le problème.

Étape 8 : Contrôler et mesurer le SGSI

Que se passe-t-il dans votre SGSI ? Combien d’incidents avez-vous et de quel type ? Toutes les procédures sont-elles exécutées correctement ?

L’audit interne périodique est obligatoire à des fins de surveillance et d’examen. Il consiste à tester les contrôles et à identifier les lacunes afin de mettre en place des contrôles correctifs et préventifs.

Pour être efficace, le SGSI doit être revu par la direction générale à des intervalles planifiés et périodiques. Cette révision doit permettre d’évaluer les changements/améliorations apportés aux politiques, aux procédures, aux contrôles et aux décisions prises par le personnel. Cette étape importante du processus est la revue de la gestion du projet. Les résultats des audits et des examens périodiques doivent être documentés et conservés.

Étape 9 : Préparation de l’audit de certification

Pour que l’organisation soit certifiée, il est essentiel qu’elle effectue un cycle complet d’audits internes, de revues de direction et d’activités dans le cadre du processus PDCA et qu’elle conserve des preuves des actions et des décisions prises à la suite de ces revues et de ces audits. La direction du SGSI doit revoir au moins une fois par an les évaluations des risques, la RTP, la SOA, les politiques et les procédures.

L’audit de certification initial est divisé en deux phases, la phase 1 et la phase 2. La phase 1 est essentiellement un audit documentaire destiné à vérifier si le système de gestion peut faire l’objet d’un audit de certification de phase 2, et c’est au cours de cette phase que le plan d’audit de la phase 2 est préparé. La phase 2 est un audit au cours duquel toutes les techniques sont appliquées : vérification documentaire, entretiens, évaluation des processus, évaluation des infrastructures, etc. Cette phase comporte le plus grand nombre de jours d’audit et, par conséquent, le plus grand échantillon du cycle de certification.

Étape 10 : Maintenir l’amélioration continue

La sécurité n’est pas une destination, mais un voyage. Vous avez peut-être déjà fait l’objet d’un audit et d’une certification, mais il est important de continuer à surveiller, à ajuster et à améliorer votre SGSI. Au fur et à mesure que votre entreprise évolue et que de nouveaux risques apparaissent, vous devrez rechercher les possibilités d’améliorer les processus et les contrôles existants.

La norme ISO 27001 exige des audits internes périodiques dans le cadre de cette surveillance continue. Les auditeurs internes examinent les processus et les politiques afin de déceler les faiblesses éventuelles et les domaines à améliorer avant un nouvel audit externe.

Quel est le coût de la mise en œuvre de la norme ISO 27001 ?

C’est généralement la première question que se posent les directeurs et les chefs d’entreprise. La réponse n’est pas immédiate et le coût total de la mise en œuvre dépendra de plusieurs facteurs :

  • La taille de votre entreprise, c’est-à-dire le nombre d’employés (vous ne devez calculer que les employés qui seront inclus dans le champ d’application de votre ISO 27001).
  • Le niveau de criticité de l’information (par exemple, l’information dans les banques est considérée comme plus critique et nécessite un niveau de protection plus élevé).
  • La technologie utilisée par l’organisation (par exemple, les centres de données ont tendance à avoir des coûts plus élevés en raison de la complexité de leurs systèmes).
  • Les exigences de la législation (en général, les secteurs financier et gouvernemental sont fortement réglementés en matière de sécurité de l’information).

À cela s’ajoutent tous les autres coûts qui peuvent survenir au cours de la mise en œuvre, tels que la formation et la documentation, les services de conseil, les nouvelles technologies et la certification.

Combien de temps faut-il pour mettre en œuvre la norme ISO 27001 ?

Combien de temps cela prendra-t-il ? C’est probablement la deuxième question après l’évaluation des coûts. La réponse n’est pas vraiment motivante – de nombreuses personnes pensent que la mise en œuvre ne prend que quelques semaines. Mais ce n’est pas du tout réaliste. La réalité va de quelques mois pour les petites entreprises à plus d’un an pour les grandes organisations.

Certes, il est toujours possible de produire des dizaines de documents en quelques jours en prétendant être conforme à la norme ISO 27001, mais ce n’est pas ce que signifie une véritable mise en œuvre de la norme avec l’intention réelle de produire des résultats – moins d’incidents, plus d’efficacité, une réduction des coûts, etc.

La durée et la complexité peuvent être considérablement réduites avec l’aide de consultants ou d’outils logiciels. Si vous essayez de le faire seul, sans aide, cela prendra certainement beaucoup plus de temps.

Comment SoftExpert peut-il vous aider ?

Avec SoftExpert, vous avez accès à la solution logicielle la plus complète et la plus avancée pour la gestion de la sécurité de l’information sur le marché. SoftExpert Excellence Suite vous aide à adhérer à la norme ISO/IEC 27001, en réduisant les coûts de conformité, en maximisant le succès, en augmentant la productivité et en réduisant les risques.

Avec la solution de SoftExpert, vous pouvez facilement répondre aux exigences de la norme ISO 27001, garantissant les trois piliers de la sécurité de l’information : Confidentialité, Intégrité et Disponibilité (CID). Elle vous aidera dans divers processus tels que la gestion des risques, les contrôles, les politiques de sécurité de l’information, les actifs, les incidents, les fournisseurs, les indicateurs de performance, les processus et autres. Cela renforcera l’efficacité organisationnelle de votre entreprise et réduira les reprises et les gaspillages.

Vous voulez en savoir plus sur notre solution ? Demandez une démonstration !

Quero solicitar uma demo

L'auteur
Camilla Christino

Camilla Christino

Camilla Christino est Business Analyst chez SoftExpert, diplômée en génie alimentaire à Instituto Mauá de Tecnologia. Elle possède une solide expérience dans le domaine de la qualité, dans les industries alimentaires, avec un accent sur le suivi et l'adaptation des processus d'audit interne et externe, la documentation du système de gestion de la qualité (ISO 9001, FSSC 22000, ISO / IEC 17025), le contrôle de la qualité, les affaires de Réglementation, GMP, HACCP et Food Chemical Codex (FCC). Elle est également certifiée en tant qu'auditeur de premier plan en ISO 9001: 2015.

Tu pourrais aussi aimer:

Logo SoftExpert Suite

La solution corporative la plus complète pour la gestion intégrée de l’excellence et de la conformité en entreprise