Si vous lisez notre série de contenus sécurité, vous savez que Hyperlex a reçu la certification ISO/IEC 27001:2013 relatives aux systèmes de management de la sécurité des informations (SMSI), ainsi que son extension qui spécifie les exigences relatives au système de management de la protection de la vie privée (PIMS) ISO 27701. Cette certification délivrée par l’AFNOR atteste du haut niveau de sécurité apporté par Hyperlex à ses clients et ses partenaires.
Que l’on soit utilisateur ou Ă©diteur de logiciel B2B SaaS, la question de la sĂ©curitĂ© va devenir chaque jour plus centrale. C’est pourquoi nous avons dĂ©cidĂ© de vous proposer des contenus pĂ©dagogiques pour tout apprendre et tout comprendre de ces normes. Mais aussi, de vous partager les retours d’expĂ©rience de nos Ă©quipes pour que vous puissiez apprĂ©hender les enjeux, les bĂ©nĂ©fices et les conditions de ces certifications.
Nous avons demandĂ© autour de nous quelles Ă©taient les questions que tout le monde se posait sur cette certification. En voici une : “dites-nous, c’est quand le bon moment pour se lancer dans ISO/IEC 27001:2013 ?”.Â
C’est une vaste question, à laquelle nous allons répondre dans cet article. Bienvenue dans les coulisses de la certification d’Hyperlex !
🛡️ Vous n’avez pas lu nos articles qui parlent de sécurité, et il vous manque quelques connaissances pour comprendre le contenu de cet article ?
👉 Rendez-vous dans notre rubrique du blog dédiée à la sécurité !
Certification ISO/IEC 27001:2013 : y a-t-il un moment idéal pour se lancer dans l’aventure ?
Spoiler alert : il n’y a pas un seul et unique bon moment.Â
Pourquoi ? Simplement car c’est toujours intéressant de se faire certifier, peu importe l’étape à laquelle est l’entreprise. Magnanime, notre équipe a pesé le pour et le contre pour chaque stade de croissance d’une entreprise.
Cas n°1 : la société en est à ses débuts (early stage 🍅)
Si l’entreprise connaît ses premiers mois d’existence, l’équipe est plutôt petite et les moyens plutôt restreints. De plus, peu de process de sécurité ont été mis en place.
Dans ce cas, cela peut être intéressant d’axer l’entreprise sur la sécurité, et d’entrer dans l’aventure de la certification ! En effet, il y a peu de chance que des processus existent déjà , et chaque nouvel arrivant peut se conformer facilement.
Vous voyez la contradiction qui se dessine : quand une entreprise en est Ă ses dĂ©buts, elle a des objectifs forts de croissance. Donc, les questions suivantes se posent :Â
- Est-ce que l’équipe va choisir de mener Ă bien la certification seule, ce qui signifie allouer du temps de travail non nĂ©gligeable, quitte Ă ĂŞtre moins performante (ex : signer moins de clients) ?Â
- Va-t-elle faire appel à un cabinet pour l’accompagner ? Va-t-elle recruter un Compliance Officer à temps plein, ou un stagiaire ? Cela rendrait la certification plus simple, mais augmenterait encore le coût.
A lire aussi : Hyperlex est certifiĂ© ISO/IEC 27001:2013 !Â
Cas n°2 : la société en est au stade intermédiaire (mid-stage 🍊)
Si l’entreprise en est au stade intermĂ©diaire (comme Hyperlex Ă l’époque du dĂ©but de l’aventure de la certification), s’emparer du sujet de la sĂ©curitĂ© peut ĂŞtre considĂ©rĂ© comme un frein Ă l’hypercroissance. Â
En effet, dans ce cas, il n’est pas forcĂ©ment facile de mettre en place de nouveaux process liĂ©s Ă la sĂ©curitĂ©, et les ressources financières ainsi que le temps allouĂ© Ă l’obtention d’une certification peuvent ralentir son dĂ©veloppement.
En revanche, l’intĂ©rĂŞt d’obtenir la certification ISO/IEC 27001:2013 est palpable ! Notamment si l’entreprise souhaite signer des grands groupes, qui ont des exigences fortes en termes de sĂ©curitĂ©. La certification sera un moyen de se diffĂ©rencier de la concurrence, donc en ce sens, ce sera un moyen de doper sa croissance sur le long terme. C’est ce qu’il s’est passĂ© pour Hyperlex !Â
Cas n°3 : la société est bien développée (late stage 🍏)
Dans le cas où l’entreprise est bien développée, il y a peu de freins sur le temps et les coûts financiers de la certification. Comme la société est relativement bien installée sur son marché, la croissance en pâtit peu. Et la certification pourra donner un sacré avantage concurrentiel à l’entreprise, notamment vis-à -vis des clients qui ont des besoins forts de sécurité.
Mais dans le mĂŞme temps, le processus de certification est beaucoup plus compliquĂ© Ă lancer, parce qu’il faut changer tous les processus de l’entreprise, former toutes les Ă©quipes, faire Ă©voluer les mentalitĂ©s… Tout est beaucoup plus complexe que dans le cas 1 ou 2, mais rassurez-vous, ce n’est pas insurmontable non plus.
Â
En conclusion, le bon moment sera celui pendant lequel le coĂ»t de la certification ISO/IEC 27001:2013 sera infĂ©rieur au bĂ©nĂ©fice qu’elle va vous apporter. Et cela, c’est dĂ©pendant du stade de dĂ©veloppement de la sociĂ©tĂ©, de son marchĂ©, de ses clients, de sa stratĂ©gie de dĂ©veloppement commercial et des risques auxquels elle est exposĂ©e. A vous de faire l’arbitrage avant de vous lancer !Â
Magnanime, nous avons créé un graphique pour vous résumer cette idée !
Retour d’expérience de Pierre-Alexis, Business Operations Analyst chez Hyperlex, qui a mené à bien le projet ISO/IEC 27001:2013 : « Grosso modo, cela coûte moins cher en valeur absolue de se lancer dans un processus de certification tôt. En revanche, c’est plus cher en valeur relative car l’entreprise a moins de moyens, et le ROI de cette opération peut arriver tard.”
Ça vous a plu ? Voici nos autres articles qui parlent de sĂ©curitĂ© :Â
- La Data Privacy Week, dĂ©diĂ©e Ă la sĂ©curitĂ© des donnĂ©esÂ
- 7 bonnes pratiques pour maîtriser les risques contractuels
- Pourquoi protĂ©ger ses donnĂ©es contractuellesÂ
- Comment protĂ©ger ses donnĂ©es contractuelles Ă l’ère du cloud ?
- SĂ©curiser les donnĂ©es juridiques de l’entreprise dans le cloudÂ