Si vous lisez notre série de contenus sécurité, vous savez que Hyperlex a reçu la certification ISO/IEC 27001:2013 relatives aux systèmes de management de la sécurité des informations (SMSI), ainsi que son extension qui spécifie les exigences relatives au système de management de la protection de la vie privée (PIMS) ISO 27701. Cette certification délivrée par l’AFNOR atteste du haut niveau de sécurité apporté par Hyperlex à ses clients et ses partenaires.

Que l’on soit utilisateur ou Ă©diteur de logiciel B2B SaaS, la question de la sĂ©curitĂ© va devenir chaque jour plus centrale. C’est pourquoi nous avons dĂ©cidĂ© de vous proposer des contenus pĂ©dagogiques pour tout apprendre et tout comprendre de ces normes. Mais aussi, de vous partager les retours d’expĂ©rience de nos Ă©quipes pour que vous puissiez apprĂ©hender les enjeux, les bĂ©nĂ©fices et les conditions de ces certifications.

Nous avons demandé autour de nous quelles étaient les questions que tout le monde se posait sur cette certification. En voici une : “dites-nous, c’est quand le bon moment pour se lancer dans ISO/IEC 27001:2013 ?”. 

C’est une vaste question, à laquelle nous allons répondre dans cet article. Bienvenue dans les coulisses de la certification d’Hyperlex !

🛡️  Vous ne connaissez pas la certification pionnière dans le domaine de la sécurité informatique ? 👉  On vous explique tout sur cette page : tout ce que vous devez savoir sur ISO/IEC 27001:2013.

🛡️  Vous n’avez pas lu nos articles qui parlent de sécurité, et il vous manque quelques connaissances pour comprendre le contenu de cet article ?

👉  Rendez-vous dans notre rubrique du blog dédiée à la sécurité !

Certification ISO/IEC 27001:2013 : y a-t-il un moment idéal pour se lancer dans l’aventure ?

Spoiler alert : il n’y a pas un seul et unique bon moment. 

Pourquoi ? Simplement car c’est toujours intéressant de se faire certifier, peu importe l’étape à laquelle est l’entreprise. Magnanime, notre équipe a pesé le pour et le contre pour chaque stade de croissance d’une entreprise.

 

Cas n°1 : la société en est à ses débuts (early stage 🍅)

Si l’entreprise connaît ses premiers mois d’existence, l’équipe est plutôt petite et les moyens plutôt restreints. De plus, peu de process de sécurité ont été mis en place.

Dans ce cas, cela peut être intéressant d’axer l’entreprise sur la sécurité, et d’entrer dans l’aventure de la certification ! En effet, il y a peu de chance que des processus existent déjà, et chaque nouvel arrivant peut se conformer facilement.

Vous voyez la contradiction qui se dessine : quand une entreprise en est à ses débuts, elle a des objectifs forts de croissance. Donc, les questions suivantes se posent : 

  • Est-ce que l’équipe va choisir de mener Ă  bien la certification seule, ce qui signifie allouer du temps de travail non nĂ©gligeable, quitte Ă  ĂŞtre moins performante (ex : signer moins de clients) ? 
  • Va-t-elle faire appel Ă  un cabinet pour l’accompagner ? Va-t-elle recruter un Compliance Officer Ă  temps plein, ou un stagiaire ? Cela rendrait la certification plus simple, mais augmenterait encore le coĂ»t.

 

💡 Bon à savoir : le montant de l’accompagnement par un cabinet externe pour la certification ISO/IEC 27001:2013 est autour de 30 000 euros.

A lire aussi : Hyperlex est certifié ISO/IEC 27001:2013 ! 

 

Cas n°2 : la société en est au stade intermédiaire (mid-stage 🍊)

Si l’entreprise en est au stade intermédiaire (comme Hyperlex à l’époque du début de l’aventure de la certification), s’emparer du sujet de la sécurité peut être considéré comme un frein à l’hypercroissance.  

En effet, dans ce cas, il n’est pas forcĂ©ment facile de mettre en place de nouveaux process liĂ©s Ă  la sĂ©curitĂ©, et les ressources financières ainsi que le temps allouĂ© Ă  l’obtention d’une certification peuvent ralentir son dĂ©veloppement.

En revanche, l’intérêt d’obtenir la certification ISO/IEC 27001:2013 est palpable ! Notamment si l’entreprise souhaite signer des grands groupes, qui ont des exigences fortes en termes de sécurité. La certification sera un moyen de se différencier de la concurrence, donc en ce sens, ce sera un moyen de doper sa croissance sur le long terme. C’est ce qu’il s’est passé pour Hyperlex ! 

⌛ Bon à savoir : l’audit à l’issue duquel la certification peut être délivrée ou non a lieu environ un an après le début du travail de préparation. Cette temporalité doit être prise en compte : les bénéfices de la certification se font sentir sur le long terme !

 

Cas n°3 : la société est bien développée (late stage 🍏)

Dans le cas où l’entreprise est bien développée, il y a peu de freins sur le temps et les coûts financiers de la certification. Comme la société est relativement bien installée sur son marché, la croissance en pâtit peu. Et la certification pourra donner un sacré avantage concurrentiel à l’entreprise, notamment vis-à-vis des clients qui ont des besoins forts de sécurité.

Mais dans le mĂŞme temps, le processus de certification est beaucoup plus compliquĂ© Ă  lancer, parce qu’il faut changer tous les processus de l’entreprise, former toutes les Ă©quipes, faire Ă©voluer les mentalitĂ©s… Tout est beaucoup plus complexe que dans le cas 1 ou 2, mais rassurez-vous, ce n’est pas insurmontable non plus.

 

🏦  Bon à savoir :  Si vos clients font partie du secteur banque, assurance, finance, la sécurité est un point central pour l’entreprise, et la certification ISO/IEC 27001:2013 sera plus qu’appréciée ! En revanche, tous les secteurs ne sont pas concernés, donc posez-vous la question de la valeur que cela va vous apporter. Par exemple, si vous travaillez dans le B2C, est-ce que la certification sera vraiment utile ?

 

En conclusion, le bon moment sera celui pendant lequel le coĂ»t de la certification ISO/IEC 27001:2013 sera infĂ©rieur au bĂ©nĂ©fice qu’elle va vous apporter. Et cela, c’est dĂ©pendant du stade de dĂ©veloppement de la sociĂ©tĂ©, de son marchĂ©, de ses clients, de sa stratĂ©gie de dĂ©veloppement commercial et des risques auxquels elle est exposĂ©e. A vous de faire l’arbitrage avant de vous lancer ! 

Magnanime, nous avons créé un graphique pour vous résumer cette idée !

 

 

 

Retour d’expérience de Pierre-Alexis, Business Operations Analyst chez Hyperlex, qui a mené à bien le projet ISO/IEC 27001:2013 : « Grosso modo, cela coûte moins cher en valeur absolue de se lancer dans un processus de certification tôt. En revanche, c’est plus cher en valeur relative car l’entreprise a moins de moyens, et le ROI de cette opération peut arriver tard.”

 


Ça vous a plu ? Voici nos autres articles qui parlent de sécurité :