Quand doit-on se lancer dans un processus de certification ? 🍅🍊🍏

Si vous lisez notre série de contenus sécurité, vous savez que Hyperlex a reçu la certification ISO/IEC 27001:2013 relatives aux systèmes de management de la sécurité des informations (SMSI), ainsi que son extension qui spécifie les exigences relatives au système de management de la protection de la vie privée (PIMS) ISO 27701. Cette certification délivrée par l’AFNOR atteste du haut niveau de sécurité apporté par Hyperlex à ses clients et ses partenaires.

Que l’on soit utilisateur ou éditeur de logiciel B2B SaaS, la question de la sécurité va devenir chaque jour plus centrale. C’est pourquoi nous avons décidé de vous proposer des contenus pédagogiques pour tout apprendre et tout comprendre de ces normes. Mais aussi, de vous partager les retours d’expérience de nos équipes pour que vous puissiez appréhender les enjeux, les bénéfices et les conditions de ces certifications.

Nous avons demandé autour de nous quelles étaient les questions que tout le monde se posait sur cette certification. En voici une : “dites-nous, c’est quand le bon moment pour se lancer dans ISO/IEC 27001:2013 ?”. 

C’est une vaste question, à laquelle nous allons répondre dans cet article. Bienvenue dans les coulisses de la certification d’Hyperlex !

Certification ISO/IEC 27001:2013 : y a-t-il un moment idéal pour se lancer dans l’aventure ?

Spoiler alert : il n’y a pas un seul et unique bon moment. 

Pourquoi ? Simplement car c’est toujours intéressant de se faire certifier, peu importe l’étape à laquelle est l’entreprise. Magnanime, notre équipe a pesé le pour et le contre pour chaque stade de croissance d’une entreprise.

Cas n°1 : la société en est à ses débuts (early stage 🍅)

Si l’entreprise connaît ses premiers mois d’existence, l’équipe est plutôt petite et les moyens plutôt restreints. De plus, peu de process de sécurité ont été mis en place.

Dans ce cas, cela peut être intéressant d’axer l’entreprise sur la sécurité, et d’entrer dans l’aventure de la certification ! En effet, il y a peu de chance que des processus existent déjà, et chaque nouvel arrivant peut se conformer facilement.

Vous voyez la contradiction qui se dessine : quand une entreprise en est à ses débuts, elle a des objectifs forts de croissance. Donc, les questions suivantes se posent : 

• Est-ce que l’équipe va choisir de mener à bien la certification seule, ce qui signifie allouer du temps de travail non négligeable, quitte à être moins performante (ex : signer moins de clients) ? 
• Va-t-elle faire appel à un cabinet pour l’accompagner ? Va-t-elle recruter un Compliance Officer à temps plein, ou un stagiaire ? Cela rendrait la certification plus simple, mais augmenterait encore le coût.

A lire aussi : Hyperlex est certifié ISO/IEC 27001:2013 ! 

Cas n°2 : la société en est au stade intermédiaire (mid-stage 🍊)

Si l’entreprise en est au stade intermédiaire (comme Hyperlex à l’époque du début de l’aventure de la certification), s’emparer du sujet de la sécurité peut être considéré comme un frein à l’hypercroissance.  

En effet, dans ce cas, il n’est pas forcément facile de mettre en place de nouveaux process liés à la sécurité, et les ressources financières ainsi que le temps alloué à l’obtention d’une certification peuvent ralentir son développement.

En revanche, l’intérêt d’obtenir la certification ISO/IEC 27001:2013 est palpable ! Notamment si l’entreprise souhaite signer des grands groupes, qui ont des exigences fortes en termes de sécurité. La certification sera un moyen de se différencier de la concurrence, donc en ce sens, ce sera un moyen de doper sa croissance sur le long terme. C’est ce qu’il s’est passé pour Hyperlex ! 

Cas n°3 : la société est bien développée (late stage 🍏)

Dans le cas où l’entreprise est bien développée, il y a peu de freins sur le temps et les coûts financiers de la certification. Comme la société est relativement bien installée sur son marché, la croissance en pâtit peu. Et la certification pourra donner un sacré avantage concurrentiel à l’entreprise, notamment vis-à-vis des clients qui ont des besoins forts de sécurité.

Mais dans le même temps, le processus de certification est beaucoup plus compliqué à lancer, parce qu’il faut changer tous les processus de l’entreprise, former toutes les équipes, faire évoluer les mentalités… Tout est beaucoup plus complexe que dans le cas 1 ou 2, mais rassurez-vous, ce n’est pas insurmontable non plus.

En conclusion, le bon moment sera celui pendant lequel le coût de la certification ISO/IEC 27001:2013 sera inférieur au bénéfice qu’elle va vous apporter. Et cela, c’est dépendant du stade de développement de la société, de son marché, de ses clients, de sa stratégie de développement commercial et des risques auxquels elle est exposée. A vous de faire l’arbitrage avant de vous lancer ! 

Magnanime, nous avons créé un graphique pour vous résumer cette idée !

Retour d’expérience de Pierre-Alexis, Business Operations Analyst chez Hyperlex, qui a mené à bien le projet ISO/IEC 27001:2013 : « Grosso modo, cela coûte moins cher en valeur absolue de se lancer dans un processus de certification tôt. En revanche, c’est plus cher en valeur relative car l’entreprise a moins de moyens, et le ROI de cette opération peut arriver tard.”

Ça vous a plu ? Voici nos autres articles qui parlent de sécurité : 

• La Data Privacy Week, dédiée à la sécurité des données 
• 7 bonnes pratiques pour maîtriser les risques contractuels
• Pourquoi protéger ses données contractuelles 
• Comment protéger ses données contractuelles à l’ère du cloud ?
• Sécuriser les données juridiques de l’entreprise dans le cloud