5 moyens de rater sa certification ISO 27001

5 moyens de rater sa certification ISO 27001

#1 : Ne pas avoir de vision claire des objectifs de la certification

 

Beaucoup d’entreprises se lancent dans une démarche de mise en place d’un SMSI* certifié ISO 27001** . Ceci pour satisfaire à des demandes de clients ou répondre à des obligations légales et réglementaires.

Mais très peu prennent le temps de réellement évaluer l’impact d’une telle démarche et déterminer son ROI. Cela se traduit souvent par des tergiversations quant à la poursuite du projet, le choix du périmètre de la certification, la mise en œuvre des changements nécessaires au respect de la norme.

Ces tergiversations donnent du grain à moudre aux détracteurs du projet : qu’il s’agisse de ceux qui ne veulent pas changer leurs habitudes, de ceux qui voient la sécurité comme un frein ou de ceux qui considèrent que la sécurité est l’affaire de l’équipe sécurité et non la leur.

Les conséquences ne sont parfois visibles immédiatement que sur le long terme : processus non respectés, désengagement des équipes, incidents de sécurité répétés, efforts concentrés sur les semaines qui précèdent l’audit ce qui implique des coûts supplémentaires et un risque important de perte de certification, un stress significatif pour tous les collaborateurs

 

#2 Transformer le projet de certification en projet documentaire

Dans un SMSI conforme à la norme ISO 27001, il faut « dire ce que l’on fait », ce qui nécessite de documenter les différents processus. La tentation est forte alors de transformer le SMSI en projet documentaire dans lequel : toute la documentation exigée par la norme est soigneusement rédigée et maintenue à jour.

Mais cela ne suffit pas. La norme demande aussi « de faire ce que l’on dit » et de « corriger les écarts ». L’un des objectifs est de savoir ce qui est réellement fait et si cela correspond à la documentation. Les écarts doivent être identifiés et corrigés.

Le risque à se focaliser uniquement sur la documentation est d’avoir des processus pas ou peu appliqués, des incohérences dans les réponses qui seront fournies par les personnes interrogées par l’auditeur ; et donc des non-conformités voire une suspension/perte de certification.

 

#3    Attendre la dernière minute pour mettre le maximum d’efforts.

 

Ceci se traduit de diverses manières dans les entreprises :

  • embaucher une armée de consultant à quelques semaines de l’audit et tout leur déléguer,
  • suspendre toutes les activités à quelques de l’audit et concentrer les efforts des équipes sur le SMSI,
  • prendre toutes les décisions à la dernière minute ou ne pas en prendre.

Très souvent, cela marche lors du 1er audit et on se dit qu’on peut recommencer. Mais un SMSI doit vivre et l’auditeur est là pour le vérifier. Au fil des audits il s’apercevra que ce n’est pas le cas.  Très souvent les documents et enregistrements sont toujours datés de quelques semaines avant l’audit ; parce qu’il y a beaucoup d’actions « en cours ». Ce qui était au départ une observation de l’auditeur pourrait ainsi à la longue se transformer en point bloquant.

 

#4 Faire de la sécurité l’affaire de l’équipe sécurité et uniquement de cette équipe

Ceci n’est pas propre au SMSI. Trop souvent les équipes considèrent que la sécurité est la seule affaire de l’équipe sécurité. Ce qui aboutit régulièrement à des mises en production de solutions avec des défauts élémentaires de sécurité (les dernières sanctions de la CNIL en sont le témoin) ; des systèmes obsolètes déployés ou maintenues en production.

Les conséquences peuvent être encore plus lourdes. La Loi relative au secret des affaires impose 3 critères à respecter pour qu’une information soit considérée comme protégée. En particulier, l’information doit faire «l’objet de la part de son détenteur légitime de mesures de protection raisonnables, compte tenu des circonstances, pour en conserver le caractère secret ».

Comment justifier qu’une information relève du secret des affaires si les mesures élémentaires de sécurité pour la protéger n’ont pas été prises ?

 

 #5 « last but not least » Continuer le business « as usual »

La mise en place d’un SMSI est très souvent un révélateur des dysfonctionnements au sein d’une entreprise :

  • absence de processus homogènes pour traiter les demandes clients aboutissant à des degrés de satisfaction très variés ;
  • Impossibilité pour certains collaborateurs de savoir quel client a commandé quoi aboutissant à des services fournis payants fournis gratuitement ;
  • applications maintenues en production sans utilisateurs, ce qui engendre des coûts qu’il est difficile de justifier
  • Documents contractuels incomplets

Ne pas adresser ces problématiques est un des moyens de ne pas bénéficier des avantages d’un SMSI. Un socle commun de pratiques, adaptables au cas par cas (lorsque nécessaire) permet de renforcer la satisfaction des clients, de concentrer les efforts là où cela est nécessaire et de faire ainsi des économies tout en augmentant les revenus possibles de l’entreprise.

 

Le SMSI est un moyen formidable de gouverner la sécurité de l’information (voire même la protection des données, en adoptant les pratiques ISO 27001). Mais pour en tirer tous les bénéfices, l’entreprise doit faire sa part du travail.

 

Pour en savoir plus sur la certification ISO 27001, nous vous donnons rendez-vous le 13 Septembre : https://stratechno.com/webinar-certification-iso-27001-et-certification-hds/

2018-08-20T13:23:09+00:00