Pour s’éviter des maux de tête lorsque l’on cherche à obtenir la certification ISO 27001, il importe d’adopter une approche stratégique et systémique, en plus de favoriser la collaboration et l’engagement au sein de l’entreprise.
Il peut en effet être difficile de respecter les diverses exigences de conformité, surtout si l’on ne sait pas par où commencer.
Voici quelques conseils qui vous aideront
à obtenir la certification :
Avant d’entamer les démarches, réunissez les parties prenantes et posez-vous les questions suivantes :
a) Quels objectifs commerciaux souhaitez-vous atteindre en obtenant la certification, et quels problèmes cette norme permettra-t-elle de régler selon vous?
b) Avez-vous déjà un programme de sécurité de l’information ou un cadre stratégique?
c) Avez-vous des exigences particulières à respecter en raison de certains clients, de lois ou de règlements?
Fixez avec précision les objectifs de votre entreprise relativement à la norme ainsi que la portée de cette dernière. Déterminez les actifs et les processus essentiels au traitement des renseignements confidentiels ainsi que les parties qui les traitent.
Bien définir la portée simplifiera le processus de conformité, vous maintiendra sur la bonne voie et vous permettra de concentrer vos efforts sur les aspects les plus importants pour votre entreprise.
Obtenez le soutien de la haute direction afin qu’elle alloue les ressources et le budget nécessaires à l’adoption de la norme.
Effectuez un examen complet de la norme pour relever les exigences, les principes et la portée s’appliquant à votre entreprise.
Formez une équipe de projet attitrée qui sera responsable de la mise en œuvre du programme de conformité lié à la norme. Assurez-vous d’inclure des membres des services pertinents et des spécialistes en technologies de l’information, en sécurité, en ressources humaines, en droit, en conformité et en audit. Favorisez les communications ouvertes et intégrez le souci de la sécurité à votre culture entreprise.
Élaborer des politiques, des procédures et des lignes directrices en matière de sécurité de l’information adaptées aux besoins et aux exigences réglementaires de votre entreprise.
Définissez soigneusement les rôles et les responsabilités de tout le personnel de même que les attentes à leur égard.
Assurez-vous que les politiques sont facilement accessibles, bien comprises et régulièrement révisées et mises à jour en fonction des nouvelles menaces ainsi que de la dynamique changeante de l’entreprise.
Cette étape est cruciale. Elle consiste à repérer et à évaluer les risques et leur incidence sur les données et les systèmes d’information de votre entreprise, puis à déterminer les contrôles appropriés pour les réduire.
Après avoir évalué les risques, élaborez un plan pour les gérer. Celui-ci devrait présenter l’ensemble des contrôles, des procédures et des actifs informatiques utilisés pour gérer chacun des risques relevés.
La déclaration d’applicabilité est un document essentiel se rapportant à la norme et remis à un auditeur externe.
Elle doit comprendre les contrôles choisis pour gérer les risques à la sécurité de l’information relevés précédemment. Elle fait office de feuille de route pour mettre en œuvre les contrôles de sécurité pertinents et démontrer l’harmonisation de vos pratiques avec vos objectifs généraux en matière de sécurité et vos exigences de conformité.
Mettez en œuvre des contrôles de sécurité conformes aux exigences de la norme pour réduire les risques relevés et protéger les renseignements confidentiels.
Adoptez les pratiques exemplaires du secteur et les technologies appropriées pour renforcer vos contrôles d’accès, vos techniques de chiffrement, la sécurité de votre réseau et vos mécanismes d’intervention en cas d’incident. Si vous le pouvez, automatisez les tâches répétitives en vue d’améliorer votre efficacité et votre uniformité pour la mise en œuvre et la surveillance des contrôles.
Investissez dans des programmes complets de formation et de sensibilisation afin que vos employés acquièrent les connaissances et les compétences nécessaires pour respecter les normes en matière de sécurité de l’information.
Créez une culture de la sensibilisation à la sécurité en informant vos employés des menaces courantes, des pratiques exemplaires et de leur rôle dans la protection des données confidentielles.
La norme ISO 27001 n’exige pas d’évaluation de l’état de préparation. Toutefois, cette évaluation est grandement recommandée, car elle peut aider votre entreprise à repérer de possibles failles avant l’audit externe.
Elle vise aussi à déceler les éléments non conformes, les vulnérabilités et les lacunes des contrôles de sécurité de votre entreprise. Elle servira de feuille de route pour établir l’ordre de priorité des mesures correctives et allouer efficacement les ressources tout au long du processus de certification.
La norme suit le cycle planifier, faire, vérifier et agir. Pour réussir la mise en œuvre du SGSI, la direction doit adopter un processus d’audit et d’examen rigoureux pour surveiller les efforts en matière de conformité, évaluer l’efficacité des contrôles de sécurité et cerner les points à améliorer.
Il est pertinent de réaliser des audits internes et des évaluations des risques à des intervalles prédéfinis pour vérifier le respect des exigences de la norme et gérer en amont les nouveaux risques et les nouvelles vulnérabilités.
Les conclusions des audits peuvent servir à optimiser vos politiques et vos contrôles, en plus de favoriser l’amélioration continue.
Avantages de la conformité
Se conformer à toutes les exigences de la norme nécessite une préparation minutieuse. Il faut élaborer les bonnes politiques, évaluer les risques, rédiger des documents d’information, former le personnel et mettre en place des solutions de cybersécurité efficaces. En prenant ces mesures, votre entreprise sera mieux à même de se conformer à la norme et renforcera sa posture de sécurité.
Nous sommes là pour vous
Se conformer à la norme ISO 27001 n’est pas une mince affaire, et suivre tous les changements peut être difficile. Que vous ayez déjà cette certification ou que vous souhaitiez l’obtenir, notre équipe des Services de certification de tiers peut vous accompagner tout au long du processus de conformité en travaillant étroitement avec vous. Voici quelques-uns de nos services se rapportant à cette norme :
- Évaluation préliminaire de l’état de préparation pour repérer les lacunes et définir votre niveau actuel de conformité réglementaire;
- Élaboration d’une feuille de route de mise en œuvre pour combler ces lacunes et mettre en place les améliorations nécessaires;
- Soutien à la préparation en vue de l’audit préalable à la certification.
Communiquez avec nous pour en savoir plus :
Sam Khoury, CPA, CRISC, CITP
Responsable principal de la mise en œuvre de la norme ISO 27001
Associé, Services de certification de tiers
416-369-6030
[email protected]
Dishank Rustogi
Directeur principal, Services-conseils en cybersécurité,
Gestion et transformation des cyberrisques
416-369-3109
[email protected]
Winnie Phung, CPA, CMA
Directrice principale,
Services de certification de tier
403-956-0115
[email protected]