Si vous lisez ces lignes, c’est que ISO/IEC 27001:2013 vous intéresse, et on vous comprend ! C’est LA norme internationale pionnière dans le domaine de la sécurité informatique.

ISO/IEC 27001:2013 pose le référentiel en matière de SMSI, ou Système de Management de la Sécurité des Informations. Contrôle d’accès, analyse de risque, gestion des actifs, ressources humaines, communication… Pour se faire certifier, il est nécessaire de déployer tout un ensemble de recommandations (114 exactement) pour faciliter le management de la sécurité.

Les objectifs ? Protéger la confidentialité, la disponibilité et l’intégrité de toutes les données au sein de votre organisation. Mais comment faire ?

ISO, c’est toute une aventure. Alors dans cet article, on vous donne la checklist avec 9 cases à cocher pour bien vous préparer.

La checklist pour bien se préparer à ISO/IEC 27001:2013

1) Lisez la norme.

Cela paraît évident ; d’accord. Mais on vous assure que beaucoup ne le font pas, surtout s’ils se font accompagner ! Il vous faudra l’acheter sur le site officiel.

Comme l’autrice de cet article est magnanime, elle vous donne les titres des 18 chapitres : 00 – Gouvernance, 01 – Amélioration continue, 02 – Audits et contrôles, 03 – Tableaux de bord, 04 – Organisation, 05 – Dérogations, 06 – Communication, 07 – Sécurité des ressources, 08 – Gestion des actifs, 09 – Contrôle d’accès, 10 – Crypto, 11 – Sécurité physique, 12 – Exploitation, 13 – Sécurité des réseaux, 14 – Sécurité physique, 15 – Gestion des fournisseurs, 16 – Gestion des incidents, 17 – Continuité et gestion de crise.

PS : Et sinon, on vous recommande chaudement la page qu’on a créé dans laquelle on vous dévoile tout ce que vous avez toujours voulu savoir sur ISO 27 001 sans jamais oser le demander 👉 Qu’est-ce que la norme ISO 27001 ?

2) Contactez des personnes qui se sont lancées dans l’aventure !

N’hésitez surtout pas à envoyer un mail à notre COO Christophe Henner (chenner[at]hyperlex.fr), pour lui poser des myriades de questions sur ISO/IEC 27001:2013, et lui offrir un déjeuner pour le remercier. Certains l’ont déjà fait, et ont apprécié l’expérience à 100%…

3) Faites-vous accompagner !

Le certificat ISO 27001 est délivré par une entité de certification tierce partie : l’AFNOR en France. Si vous souhaitez vous faire certifier, nous vous conseillons de faire appel à une société spécialisée. C’est ce que l’équipe d’Hyperlex a fait, et elle ne le regrette pas.

Nous étions d’ailleurs tellement ravis de recevoir la certification que nous avons même écrit un CP pour l’occasion 👉 Hyperlex : la certification ISO/IEC 27001:2013 récompense son engagement en matière de sécurité de l’information

4) Définissez clairement qui s’occupe du sujet en interne.

« Seul on va plus vite, ensemble on va plus loin ». Vous allez le voir : le sujet de la sécurité est un travail d’équipe et ce proverbe africain l’illustre bien. Sachez que pour que le système de management de la sécurité de l’information soit déployé, il faut que les ressources adéquates soient allouées au projet. Et cela inclut autant le temps dédié, que les personnes, et le budget. Et cela veut dire que le personnel responsable du sujet doit recevoir une formation adéquate, conserver la documentation et veiller à sa mise en œuvre.

 

5) Faites un inventaire clair et précis de ce qui est fait dans l’entreprise en termes de sécurité !

C’est le moment de se poser les bonnes questions. Peut-on accéder à vos locaux par badge ? Les postes de travail sont-ils équipés de mots de passe puissants ? Le matériel sensible laissé au bureau le soir est-il protégé dans un coffre ou dans une salle fermée à clé ? Les données des ordinateurs sont-elles chiffrées ?

6) Obtenez l’engagement de la direction

Il est absolument indispensable que l’équipe dirigeante fasse partie de l’aventure ISO/IEC 27001:2013. La direction doit non seulement communiquer au reste de l’entreprise les exigences de la norme en matière de sécurité, mais également s’engager à établir, déployer, maintenir et améliorer le fameux SMSI. C’est elle qui veille à ce que les salariés chargés de la sécurité soient bien formés (cf point 4).

7) Épaulez la direction pour préparer la communication

La direction doit être pédagogue et notamment transmettre au reste du personnel : une politique de sécurité de l’information, des objectifs et des plans de sécurité de l’information, avec les rôles et les responsabilités en matière de sécurité de l’information.

8) Rendez le sujet de la sécurité sexy auprès de toute l’entreprise !

On ne le dira jamais assez : pour bien se préparer à ISO/IEC 27001:2013, la communication est clé. Chaque salarié de chaque département de l’entreprise doit être engagé sur le sujet de la sécurité. C’est d’ailleurs ce qu’a fait Christophe Henner chez Hyperlex, et c’est pour cela que cet article est actuellement en cours de rédaction… #SecurityIsSexy

 

9) Ne prenez jamais ISO pour acquis !

Ne faites jamais cette erreur ! La norme ISO/IEC 27001:2013 concerne la mise en place, la mise en œuvre, la mise à jour ET l’amélioration CONTINUE d’un SMSI. Sachez qu’une fois la certification ISO/IEC 27001:2013 obtenue, un nouvel audit par an est réalisé pendant trois ans. A la fin de cette période, ISO/IEC 27001:2013 peut être renouvelée (ou non).

Vous voulez en savoir plus sur ISO ? De nouveaux articles arrivent bientôt…

Nous avons déjà parlé de ou écrit sur la sécurité en entreprise, parce que pour nous c’est très important…