Qu'est-ce que la norme ISO 27001 ?
La norme ISO 27001 est une norme mondialement reconnue dans le domaine de la protection des données. Une entreprise qui obtient ce certificat démontre que son organisation, ses produits ou ses services répondent à un large éventail d'exigences dans le domaine du système de gestion de la sécurité de l'information (SGSI). Le certificat montre que l'organisation traite bien les données : données personnelles, données financières, propriété intellectuelle ou données de tiers en général. Pour obtenir un certificat ISO 27001, une entreprise doit se conformer à 114 contrôles (sous réserve d'exceptions qui ne s'appliquent pas à l'entreprise). Le respect de ces contrôles sera déterminé par un auditeur externe (SGS, Deloitte, KPMG, ...) qui délivrera le certificat si, après un audit, il apparaît que toutes les normes sont respectées.
Pourquoi ISO 27001?
Un certificat ISO 27001 est un label de qualité qui donne du charisme à votre organisation. Elle donne confiance aux prospects et aux clients quant à votre respect de la législation GDPR et à la manière dont votre organisation traite les données en général : une demande qui est plus que justifiée par les clients, les nouveaux clients et les gouvernements. On n'y arrive pas comme ça : c'est un processus long mais intéressant. Elle offre un poids pour les opportunités commerciales et fournit également de meilleures garanties internes pour la continuité des activités. Les entreprises certifiées ISO 27001 sont de facto fortement armées contre les fuites de données. Elle n'offre pas une protection à 100 %, mais elle garantit que la sécurité des données est au centre de l'attention de toute l'organisation.
La norme ISO 27001 ne certifie pas la perfection, mais l'excellence !
Malheureusement, la perfection n'existe pas. Vous pouvez toujours faire des efforts, toujours vous améliorer, mais même pour ceux qui ont une sécurité de 99,9 %, il y a toujours un risque de 0,1 %. Les risques seront toujours là, c'est pourquoi l'ISO n'exige pas la perfection. Un rapport sans commentaires est littéralement invisible lors d'un audit.
Les auditeurs établiront un rapport avec les non-conformités majeures ou mineures. En cas de non-conformité majeure, vous échouez. Il s'agit de changements fondamentaux que vous devez encore effectuer avant de pouvoir obtenir un certificat. Les non-conformités mineures sont souvent des cas isolés, de moindre importance. Tant que l'auditeur constate que vous réagissez correctement et que vous prenez les bonnes mesures, ce n'est pas une pierre d'achoppement.
Pour obtenir la certification ISO 27001, vous devez satisfaire à au moins 90 % des 114 contrôles. Nous vous assistons à cet égard par des conseils et des actes. Des conseils qui s'appuient sur votre propre expertise et qui seront toujours différents en raison de vos propres connaissances internes.
Comment Easi peut aider ?
Des conseils sur mesure
Nos conseils seront partagés de manière très transparente et seront toujours adaptés à votre champ d'action, à vos objectifs commerciaux et à vos employés. C'est vous et vos employés qui connaissez le mieux votre organisation : cela, combiné à notre expertise, nous permet de travailler de la manière la plus rentable possible.
A votre rythme
Nous démarrons chaque projet en fonction de votre budget et en gardant toujours à l'esprit le coût total de possession (TCO). Vous souhaitez vous occuper vous-même de certains ou de tous les contrôles ? Alors, c'est possible ! Vous déterminez le rythme et les investissements que vous souhaitez faire, en vous appuyant sur la stratégie que nous vous proposons.
Partenaire certifié ISO
Nos experts sont eux-mêmes des "chefs de file certifiés ISO". Nous pouvons ainsi répondre à vos besoins et vous apporter un soutien à valeur ajoutée, grâce à notre connaissance du secteur et à notre expertise en matière de protection des données.
Nous montrons l'exemple
Nous appliquons notre propre approche à nos propres produits et à notre personnel. En effet, les solutions cloud d'Easi sont conformes à la norme ISO 27001. Chacun dans notre organisation est effectivement immergé quotidiennement dans l'atmosphère ISO. Cela garantit que ISO est toujours au premier plan. Notre programme interne de sensibilisation permanente à la sécurité joue un rôle majeur à cet égard.
Même s'il faut aller de l'avant
Notre approche garantit que les principaux pièges du processus de certification sont couverts, ce qui permet d'accélérer le processus. L'impact sur vos activités et vos ressources est réduit au minimum. Si vous le souhaitez, nous vous proposons des conseils de A à Z, de l'analyse des risques à la mise en œuvre de mesures correctives. Si vous tenez quelqu'un en interne pour responsable de cela, nous jouons le rôle de facilitateur et de caisse de résonance.
Rencontrez nos CISO-as-a-Service
ISO 27001 plan d'action
Il n'y a pas d'approche univoque pour obtenir le certificat. Nous partons toujours du principe "Plan-Do-Check-Act" adapté à votre structure : à l'étape 1, nous élaborons ensemble la stratégie pour obtenir le certificat le plus efficacement possible. Sur la base de votre contribution, nous déterminons le champ d'application et le faisons correspondre aux objectifs que vous avez à l'esprit. Tout au long du processus, le leadership est central : certains points de la liste de contrôle restent entre vos mains et vous finissez sous votre propre direction, d'autres points sont faits ensemble et d'autres encore peuvent être entièrement pris en charge. En plus de déterminer le champ d'application, nous le faisons également à l'étape 1 :
- une mesure de référence (en ligne et hors ligne)
- l'analyse des risques liés à la sécurité actuelle des données
- lancer le processus de réflexion autour du programme de contrôle
- déterminer comment la sécurité du SGSI sera contrôlée
- établir un plan de sécurité
Comme le dit le mot, dans cette phase, nous allons réaliser les plans établis au préalable. La mise en œuvre du SGSI et la formation sont les questions les plus importantes. Après tout, un certificat ISO 27001 ne peut être obtenu que si la direction peut démontrer qu'elle fait un effort pour informer toutes les personnes concernées et leur apprendre comment gérer la sécurité des données en ligne et hors ligne. Comme nous l'avons déjà mentionné, nos formations de sensibilisation des utilisateurs sont idéales pour cela. Que faisons-nous encore dans cette phase ?
- mesures et rapports
- le signalement des incidents
- mettre en place l'ISMS
Dans cette phase, nous procédons à un audit interne dont le but est de vérifier si les mesures prises sont conformes aux exigences de l'inspection ISO 27001. L'efficience et l'efficacité du SGSI sont évaluées. Sur la base de cet audit, la direction prendra des décisions concernant les actions de prévention et d'amélioration. L'équipe d'audit interne est tout à fait indépendante dans la formulation de ces recommandations.
La prochaine étape est un audit externe : il sera réalisé par l'un des organismes de certification. Ils déterminent si vous respectez effectivement les normes. Nous pouvons vous mettre en contact avec l'organisation appropriée en fonction de votre champ d'action.
Nous le faisons aussi :
- contrôles et rapports supplémentaires
- Fournir une déclaration d'applicabilité pour l'accès à la norme ISO 27001
Nous veillons à ce que, après vérification par la partie externe, toute action corrective soit planifiée et exécutée. Un processus continu nécessite également des actions d'amélioration. Les pirates informatiques ne restent pas inactifs et la norme exige que des mesures d'amélioration soient prises. Vous pouvez également nous contacter pour cela.