ISO/IEC 27001 — Management de la sécurité de l’information

Laisser un commentaire / ISO/CEI 27001 / 20 minutes de lecture

Le terme sécurité est employé pour s’appliquer à de nombreux domaines : civil, industriel, financier, transport, militaire, sanitaire, au travail, juridique … et informatique. La sécurité correspond à une situation qui présente un minimum de risques. Donc, elle suscite un sentiment de confiance.

La définition de la sécurité

Ce mot vient du terme latin securitas, et signifie « sûr ». Le dictionnaire Le Robert en donne la définition suivante : État d’esprit confiant et tranquille d’une personne qui se croit à l’abri du danger. Situation tranquille qui résulte de l’absence réelle de danger (absence d’accident). Et un danger, c’est une menace qui pèse sur l’existence de quelqu’un ou de quelque chose. Les conséquences de cette menace pourront avoir des impacts plus ou moins importants. En cas extrême, ces conséquences peuvent entraîner des dommages irrémédiables pouvant aller jusqu’à la mort.

Le fascicule de documentation FD X 50-252 nous donne la définition suivante pour le danger :

C’est une substance, un objet, une situation ou un phénomène pouvant être à l’origine d’un dommage ou d’un préjudice.

Quel est la norme internationale de sécurité des systèmes d’information la plus réputée permettant de certifier la sécurité d’un réseau d’entreprise ?

La norme ISO/IEC 27001 est largement connue. Elle fournit des exigences pour un système de management de la sécurité de l’information (SMSI), mais il existe plus d’une douzaine de normes dans la famille ISO/IEC 27000. Leur utilisation permet aux organisations de tout type de gérer la sécurité des actifs tels que les informations financières, la propriété intellectuelle, les coordonnées des employés ou les informations confiées par des tiers.

ISO 27002 ou 27001 ?

Quiconque s’intéresse à la sécurité de l’information aura rencontré la norme ISO 27001, la norme internationale qui décrit les meilleures pratiques pour un SMSI (système de management de la sécurité de l’information).

Toutefois, vous ne connaissez peut-être pas aussi bien la norme ISO 27002. Il s’agit d’une norme supplémentaire qui fournit des conseils sur la manière de mettre en œuvre les contrôles de sécurité énumérés à l’annexe A de la norme ISO 27001.

Bien que la norme ISO 27001 soit la plus connue – et celle que les organisations certifient – aucune des deux ne peut être considérée isolément. Ce blog explique pourquoi c’est le cas, en vous aidant à comprendre le fonctionnement de chaque norme et les différences entre elles.

Les différences entre l’ISO 27001 et l’ISO 27002

Il existe trois différences principales entre l’ISO 27001 et la norme ISO 27002 :

Détail

Si la norme ISO 27001 entrait autant dans les détails que la norme ISO 27002, elle serait inutilement longue et compliquée.

Au lieu de cela, elle fournit un aperçu de chaque aspect d’un SMSI, les conseils spécifiques se trouvant dans des normes supplémentaires. L’ISO 27002 n’est qu’une de ces normes. Par exemple, l’ISO 27003 couvre les conseils de mise en œuvre du SMSI et l’ISO 27004 couvre la surveillance, la mesure, l’analyse et l’évaluation du SMSI.

Certification

Vous pouvez certifier la norme ISO 27001 mais pas la norme ISO 27002. En effet, l’ISO 27001 est une norme de management qui fournit une liste complète d’exigences de conformité, tandis que les normes supplémentaires telles que l’ISO 27002 traitent d’un aspect spécifique d’un SMSI.

Applicabilité

Un élément clé à prendre en compte lors de la mise en œuvre d’un SMSI est que tous les contrôles de sécurité de l’information ne s’appliqueront pas à votre organisation.

La norme ISO 27001 l’indique clairement, en précisant que les organisations doivent effectuer une évaluation des risques pour identifier et hiérarchiser les menaces pour la sécurité de l’information. La norme ISO 27002 n’en fait pas mention, de sorte que si vous deviez prendre la norme seule, il vous serait pratiquement impossible de savoir quels contrôles vous devriez adopter.

Quand utiliser chaque norme

Les normes ISO 27001 et ISO 27002 ont des objectifs différents et seront utiles dans des circonstances différentes.

Si vous débutez avec la norme ou si vous planifiez le cadre de mise en œuvre de votre SMSI, la norme ISO 27001 est idéale. Vous devriez vous référer à la norme ISO 27002 une fois que vous avez identifié les contrôles que vous allez mettre en œuvre pour en savoir plus sur le fonctionnement de chacun d’eux.

Qu’est-ce que la norme NF ISO/CEi 27000 ?

Figure : Famille De La Norme Iso/Cei 27Xx [Source: Auteurs]
Figure : Famille de la norme ISO/CEI 27XX

Cette norme qui a pour titre Technologies de l’information – Techniques de sécurité – Systèmes de gestion de la sécurité des informations – Vue d’ensemble et vocabulaire a été publiée par l’ISO en mai 2009 avec le statut de norme internationale.

Elle a été reprise à l’identique par AFNOR sous le même titre en tant que NF ISO/CEi 27000 et publiée en février 2011 (indice de classement Z74-220).

Le paragraphe 2 de cette norme détaille les termes et définitions. Dans cet articlee, nous faisons référence à nombre de ces définitions normées. Le paragraphe 3 de cette norme décrit :

  1. les composantes d’un système de management de la sécurité de l’information (SMSI) ;
  2. les raisons de l’importance d’un SMSI ;
  3. l’établissement, la surveillance, la mise à jour et l’amélioration d’un SMSI.

Le paragraphe 4 de cette norme décrit la famille de normes et les relations entre elles. Enfin, dans son annexe A (informative), cette norme précise le degré d’interprétation à prendre en compte dans les expressions verbales utilisées :

~ Exigence : qui doit être strictement respecté ; ce qui est permis (doit) ou interdit (ne doit pas) pour être conforme. ~ Recommandation : qui n’est pas exigé mais souhaitable (il convient/ne convient pas de … ).

~ Permission : qui est une conduite à tenir (peut/n’a pas besoin).

~ Possibilité : qui a une possibilité d’apparition (peut/ne peut pas).

Qu’est-ce que la norme NF ISO/CEI (IEC) 27001:2013 ?

Cette norme intitulée Technologies de l’information – Techniques de sécurité – Systèmes de gestion de la sécurité des informations – Exigences a été publiée par l’ISO en octobre 2005 avec le statut de norme internationale.

Elle a été reprise à l’identique par AFNOR sous le même titre en tant que NF ISO/CEI 27001 et publiée en décembre 2007 (indice de classement Z74-221).

Le contenu de cette norme décrit :

  • le domaine d’application ;
  • les références normatives ;
  • le rappel des termes et définitions ;
  • le SMSI ;
  • la responsabilité de la direction ;
  • les audits internes du SMSI ;
  • la revue de direction du SMSI ;
  • l’amélioration du SMSI.

Cette norme comporte une seule annexe : l’Annexe A (normative). Cette annexe très importante décrit les objectifs et les mesures de sécurité.

À noter

On pourra remarquer que la structure de cette norme est calée sur la structure en dix paragraphes dite de « niveau supérieur » (high level) définie par l’ISO (annexe SL, appendice 2 des directives ISO/CEI, partie 1, supplément ISO consolidé 2013) pour
toutes les normes de système de management. Cette nouvelle structure est actuellement également appliquée dans les versions 2015 pour la norme de management de la qualité (ISO 9001:2015) et la norme de management de l’environnement (ISO 14001:2015).

En bref les Exigences de la norme ISO/CEI 27001:2013

Comme toutes les normes ISO, cette norme comporte deux premiers paragraphes relatifs au domaine d’application et aux références normatives. Le paragraphe 3, consacré aux termes et définitions, renvoie aux termes et définitions de la norme ISO/CEI 27000:2018 qui s’appliquent.

Les paragraphes suivants sont consacrés aux exigences applicables à un SMSI :

  • paragraphe 4 : Contexte de l’organisation ;
  • paragraphe 5 : Leadership ;
  • paragraphe 6 : Planification ;
  • paragraphe 7 : Support ;
  • paragraphe 8 : Fonctionnement ;
  • paragraphe 9 : Évaluation des performances ;
  • paragraphe 10 : Amélioration ;

À la différence des autres normes, l’Annexe A de l’ISO/CEI 27001:2013 est une annexe normative, c’est-à-dire que les objectifs et mesures de références contenues dans cette Annexe A sont des exigences normatives à satisfaire.

Pour obtenir une certification, aucune exclusion n’est autorisée sur l’ensemble de ces paragraphes et des objectifs et mesures de l’Annexe A. Toutes les exigences de la norme doivent être satisfaites par l’organisme candidat à la certification.

Les annexes informatives B et C de la version précédente de la norme sont supprimées.

Qu’est ce que le système de management de la sécurité de l’information dans le contexte de l’organisme selon la norme 27001:2013 ?

Un SMSI se compose des politiques, des procédures, des lignes directrices et des ressources gérées par un organisme dans le but de protéger ses actifs informationnels. L’organisme doit maîtriser la sécurité de ses informations pour atteindre ses objectifs métiers. L’approche utilisée se fonde sur l’appréciation du risque, les niveaux d’acceptation des risques identifiés et le traitement de ces risques par des mesures appropriées.

Afin de contribuer à la protection des actifs informationnels, un SMSI s’appuiera sur les principes suivants :

  1. sensibiliser à la sécurité de l’information ;
  2. attribuer des responsabilités liées à la sécurité de l’information ;
  3. prendre en compte l’engagement de la direction ;
  4. prendre en compte les intérêts des parties prenantes ;
  5. apprécier les risques ;
  6. déterminer les mesures de sécurité appropriées ;
  7. déterminer les niveaux de risques acceptables ;
  8. intégrer la sécurité dans les réseaux d’information ;
  9. prévenir et détecter les incidents liés à la sécurité de l’information ;
  10. adopter une approche globale du système de management ;
  11. réexaminer régulièrement l’appréciation de la sécurité de l’information ;
  12. améliorer.

Comment obtenir la certification de la norme iso 27001 ISMS ?

Si vous utilisez la norme ISO 27001:2013 pour créer un système de management de la sécurité de l’information (SMSI) pour votre entreprise, vous envisagerez probablement une certification par rapport à cette norme. La certification par un registraire tiers indépendant est un bon moyen de démontrer la conformité de votre entreprise, mais vous pouvez également certifier des individus pour obtenir les compétences appropriées.

Alors, comment obtenir la certification ISO 27001, me direz-vous ?

Qu’est-ce que la certification ISO 27001 Information security management systems ?

La certification ISO 27001 peut se référer soit à la certification du système de management de la sécurité de l’information d’une entreprise par rapport aux exigences de l’ISO 27001, soit à la certification de personnes capables de mettre en œuvre l’ISO 27001 ou de réaliser des audits par rapport aux exigences de l’ISO 27001.

Certification ISO 27001 pour les entreprises vs. certification pour les particuliers

L’ISO 27001 est une norme de management qui a été initialement conçue pour la certification des organisations. Le système fonctionne comme suit : une entreprise (ou tout autre type d’organisation) élabore son système de management de la sécurité de l’information (SMSI), qui se compose de politiques (par exemple, la politique de sécurité de l’information), de procédures (par exemple, l’évaluation des risques), de personnes (par exemple, l’auditeur interne), de technologies (par exemple, la cryptographie), etc. Si l’audit de certification est concluant, le SMSI est alors certifié ISO 27001.

Cependant, l’ensemble de l’industrie liée aux normes ISO (organismes de certification, consultants, institutions de formation, etc.) s’est vite rendu compte que sans personnes qualifiées capables de développer et de maintenir le système de management, l’ensemble du concept échouerait. C’est pourquoi diverses formations ont été mises au point pour les personnes qui ont besoin de se former à la norme ISO 27001. Ainsi, les personnes qui suivent la formation et réussissent l’examen de certification ISO 27001 obtiennent un certificat personnel qui est délivré à leur nom.

Certification des organismes

Qu’est-ce qui est requis pour la certification ISO IEC 27001 2013 ? La documentation et la mise en œuvre des exigences liées à la sécurité de l’information (par exemple, les exigences d’évaluation des risques) ne sont qu’une partie du travail si un organisme veut obtenir la certification. La norme ISO 27001 exige également que les organismes effectuent une revue de management des audits internes, ainsi que le traitement des non-conformités et des actions correctives.

Combien de temps faut-il pour obtenir la certification ISO CEI 27001 ?

La durée du processus de certification ISO 27001, entre le début de la mise en œuvre et la fin de l’audit de certification, varie en fonction de nombreuses variables (par exemple, les ressources disponibles, l’expérience des exigences de la norme, l’implication du top management, etc.), mais l’ensemble du processus prend généralement entre 3 et 12 mois. Certaines organisations effectuent une analyse des écarts par rapport aux exigences de la norme pour avoir une idée du temps qu’il leur faudra pour la mettre en œuvre.

Combien d’entreprises sont certifiées ISO ?

La norme ISO 27001 est devenue la norme de sécurité de l’information la plus populaire dans le monde, et de nombreuses entreprises l’ont certifiée – vous pouvez voir ici le nombre de certificats obtenus au cours des deux dernières années :

27001 : Source : L'Étude Iso Des Certifications De Normes De Systèmes De Management
Source : L’Étude ISO des certifications de normes de systèmes de management

Quelles entreprises sont certifiées ISO 27001 ?

Il n’existe pas de liste centrale officielle des organisations certifiées ISO 27001. Les informations concernant les entreprises certifiées ISO 27001 doivent donc être recueillies directement auprès des entreprises certifiées ISO 27001.

Certification des individus – Lead Auditor – Lead Implementer

Une personne peut-elle être certifiée ISO ?

Oui, une personne peut obtenir la certification ISO 27001 en suivant une ou plusieurs des formations suivantes :

ISO 27001 Lead Implementer Course – cette formation est destinée aux praticiens et consultants avancés.

ISO 27001 Lead Auditor Course – cette formation est destinée aux auditeurs des organismes de certification et aux consultants. ISO 27001 Internal Auditor Course – cette formation est destinée aux personnes qui effectueront des audits internes dans leur entreprise. ISO 27001 Foundations Course – cette formation est destinée aux personnes qui veulent apprendre les bases de la norme et les principales étapes de sa mise en œuvre.

Comment obtenir la certification ISO 27001 ?

Pour obtenir la certification ISO 27001, vous devez suivre un cours et passer son examen final. L’examen de certification ISO 27001 comporte à la fois des questions théoriques et des questions de mise en situation, où le candidat doit démontrer comment appliquer les concepts appris.

27001 certification process – Le processus de certification

La certification de système atteste qu’un organisme a élaboré et mis en place un système de management. Ce système doit s’appuyer sur une volonté de la direction d’orienter les activités vers le client et la recherche de sa satisfaction. Tous les processus organisationnels de l’organisme sont formalisés et une démarche volontaire de progrès incite à rechercher
l’amélioration.

Lorsque l’organisme fournisseur de produits ou de services est prêt, il demande à un organisme de certification (accrédité par le CO FRAC) de venir vérifier sur place le respect des exigences édictées dans le référentiel. C’est l’audit initial de certification. Il porte sur la conformité de la documentation par rapport à la norme, et la conformité du fonctionnement par rapport au
référentiel de l’organisme. Un rapport d’audit est établi qui permet de statuer à la commission de certification.
Le certificat est obtenu pour une durée de trois années.

Chaque année, un audit de suivi permet de vérifier le respect des exigences du référentiel et les améliorations réalisées.
La figure ci-dessous schématise le déroulement d’une certification de système.

L’audit initial de certification

Lorsque l’organisme a déployé son système de management de la sécurité de l’information (SMSI), et qu’il s’estime prêt, il va demander à un organisme de certification accrédité sur le référentiel sécurité de l’information de procéder à un audit initial.

  1. Le référentiel :
    1. NF ISO/CEI 27001 , Technologies de l’information – Techniques de sécurité – Système de gestion de la sécurité de l’information.
    2. NF EN ISO 19011, Lignes directrices pour l’audit des systèmes de management.
  2. Le champ de la certification :
    1. Périmètre géographique : service, entreprise, domaine applicatif.
    2. Possibilité d’audit combiné avec le référentiel NF EN ISO 9001 ou NF ISO/CEi 20000-1 .
  3. Étape 1 – La préparation de l’audit :
    1. un examen de la documentation en place ;
    2. une visite du site ;
    3. livrable : une revue documentaire (voir gestion documentaire qualité iso 9001);
    4. une préparation des activités d’audit ;
    5. livrable : un plan d’audit.
  4. Étape 2 – La réalisation de l’audit sur le/les site(s) :
    1. un délai de quelques jours ouvrés après la préparation ;
    2. la durée d’audit sur site est fonction de la taille de l’entreprise ;
    3. une réunion d’ouverture ;
    4. la réalisation des interviews conformément au plan d’audit ;
    5. une réunion de clôture ;
    6. livrables : PV réunions d’ouverture/clôture et fiche des écarts.
  5. Après la réalisation de l’audit sur le/les site(s) :
    1. un délai de cinq à dix jours ouvrés après la réalisation ;
    2. rédaction d’un document rapport d’audit provisoire ;
    3. envoi du rapport provisoire à l’entreprise auditée ;
    4. réponses de l’entreprise ;
    5. rédaction d’un document rapport d’audit définitif;
    6. diffusion du rapport définitif à l’entreprise auditée ;
    7. délivrance du certificat pour une durée de validité de trois ans.
Figure Le Processus De Certification De Système
Figure : Le processus de certification de système

Un guide rapide des contrôles ISO 27001 de l’annexe A

L’annexe A de l’ISO 27001 est probablement l’annexe la plus connue de toutes les normes ISO, car elle fournit un outil essentiel pour le management des risques liés à la sécurité de l’information : une liste de contrôles de sécurité (ou mesures de protection) à utiliser pour améliorer la sécurité des actifs informationnels.

Cet article vous permettra de comprendre la structure de l’annexe A, ainsi que sa relation avec la partie principale de la norme ISO 27001 et avec la norme ISO 27002.

Combien de domaines y a-t-il dans la norme ISO 27001 ?
La liste des contrôles de l’ISO 27001 se trouve à l’annexe A, et elle est organisée en 14 sections (domaines). Contrairement à ce que l’on pourrait penser, ces sections ne sont pas toutes orientées vers les technologies de l’information – vous trouverez ci-dessous une classification des sections sur lesquelles elles se concentrent :

Sections relatives aux questions d’organisation : A.5, A.6., A.8, A.15
Section relative aux ressources humaines : A.7
Sections liées à l’informatique : A.9, A.10, A.12, A.13. A.14, A.16, A.17
Section relative à la sécurité physique : A.11
Section relative aux questions juridiques : A.18

Quels sont les 14 domaines de l’ISO 27001 ?

Voici une brève description de chacun des 14 domaines :

  • A.5 Politiques de sécurité de l’information – contrôles sur la manière dont les politiques sont rédigées et révisées.
  • A.6 Organisation de la sécurité de l’information – contrôles sur la façon dont les responsabilités sont attribuées ; comprend également les contrôles pour les appareils mobiles et le télétravail.
  • A.7 Sécurité des ressources humaines – contrôles avant, pendant et après l’embauche.
  • A.8 Management des actifs – contrôles liés à l’inventaire des actifs et à leur utilisation acceptable ; également pour la classification des informations et la manipulation des médias
  • A.9 Contrôle d’accès – contrôles pour la gestion des droits d’accès des utilisateurs, des systèmes et des applications, et pour la gestion des responsabilités des utilisateurs.
  • A.10 Cryptographie – Contrôles liés au cryptage et à la gestion des clés.
  • A.11 Sécurité physique et environnementale – contrôles définissant les zones sécurisées, les contrôles d’entrée, la protection contre les menaces, la sécurité des équipements, l’élimination sécurisée, la politique du bureau et de l’écran transparents, etc.
  • A.12 Sécurité opérationnelle – nombreux contrôles liés à la gestion de la production informatique : gestion du changement, gestion de la capacité, logiciels malveillants, sauvegarde, journalisation, surveillance, installation, vulnérabilités, etc.
  • A.13 Sécurité des communications – contrôles liés à la sécurité des réseaux, à la ségrégation, aux services de réseau, au transfert d’informations, à la messagerie, etc.
  • A.14 Acquisition, développement et maintenance des systèmes – contrôles relatifs à la définition des exigences de sécurité et à la sécurité des processus de développement et de support.
  • A.15 Relations avec les fournisseurs – contrôles sur ce qu’il faut inclure dans les accords et sur la manière de surveiller les fournisseurs.
  • A.16 Gestion des incidents de sécurité de l’information – contrôles relatifs à la notification des événements et des faiblesses, à la définition des responsabilités, aux procédures de réponse et à la collecte des preuves.
  • A.17 Aspects de la sécurité de l’information liés au management de la continuité des activités – contrôles exigeant la planification de la continuité des activités, des procédures, de la vérification et de la révision, et de la redondance informatique.
  • A.18 Conformité – contrôles exigeant l’identification des lois et règlements applicables, la protection de la propriété intellectuelle, la protection des données personnelles et les examens de la sécurité de l’information.

Combien de contrôles comporte la norme ISO 27001 ?
La révision 2013 de la norme ISO 27001 compte 114 contrôles de sécurité de l’information énumérés dans son annexe A (contre 133 dans la révision 2005 de la norme). Voici une ventilation des types de contrôles inclus :

Contrôles liés aux questions organisationnelles : 24
Contrôles liés aux ressources humaines : 6
Contrôles liés à l’informatique : 61
Contrôles liés à la sécurité physique : 15
Contrôles liés aux questions juridiques : 8

La meilleure façon de comprendre l’annexe A est de la considérer comme un catalogue de contrôles de sécurité de l’information dans lequel vous pouvez faire votre choix – parmi les 114 contrôles énumérés dans l’annexe A, vous pouvez choisir ceux qui sont applicables au champ d’application de votre entreprise. Une autre approche consiste à utiliser l’annexe A comme une liste de contrôle des contrôles ISO 27001, pour une évaluation initiale de l’état de préparation de votre organisation au processus de management de la sécurité de l’information.

Relation avec les clauses principales de l’ISO 27001

Tous ces contrôles ISO 27001:2013 ne sont pas obligatoires – les organisations peuvent choisir elles-mêmes les contrôles qu’elles jugent applicables, puis elles doivent les mettre en œuvre (dans la plupart des cas, au moins 90 % des contrôles sont applicables) ; les autres sont déclarés non applicables.

Par exemple, le contrôle A.14.2.7 Développement externalisé peut être marqué comme non applicable si une entreprise n’externalise pas le développement de logiciels. Le principal critère de sélection des contrôles est le management des risques, qui est défini dans les clauses 6 et 8 de la partie principale de l’ISO 27001. Pour en savoir plus, cliquez ici : Évaluation et traitement du risque ISO 27001 – 6 étapes de base.

En outre, la clause 5 de la partie principale de la norme ISO IEC 27001 exige que vous définissiez les responsabilités pour la gestion de ces contrôles, et la clause 9 exige que vous mesuriez si les contrôles ont rempli leur objectif. Enfin, la clause 10 vous demande de corriger tout ce qui ne va pas avec ces contrôles et de vous assurer que vous atteignez les objectifs de sécurité de l’information avec ces contrôles.

Quel est le coût d’une IEC security certification ?

Combien coûte l’ISO-27001 ?
La norme ISO 27001 étant un sujet si brûlant et Pivot Point Security étant un ardent défenseur de la norme ISO 27001, le client potentiel demande invariablement : « Quel est le coût estimé pour obtenir un certificat ISO 27001 ? ».

La difficulté de fournir un coût approximatif pour un certificat 27001 tient au fait qu’il existe une très grande variabilité potentielle. Par exemple :

  • La taille de l’entreprise et la portée physique/logique du certificat ISO-27001
  • le niveau de maturité actuel du système de management de la sécurité de l’information (SMSI)
  • l’écart entre l’état actuel et l’état souhaité de l’environnement de contrôle
  • La capacité interne à développer le SGSI et à combler les lacunes identifiées.
  • La rapidité avec laquelle le certificat est requis

Néanmoins, nous finissons par obtenir une estimation du coût de l’ISO 27001 dans leur environnement particulier. Si nous passons beaucoup de temps à approfondir les domaines mis en évidence ci-dessus, nous nous appuyons aussi largement sur l’expérience acquise au cours des 3 ou 4 dernières années en accompagnant des clients dans le processus de certification.

Si l’on considère l’ensemble de ces projets, un client « moyen » ressemble à peu près à ceci :

  • 75 employés
  • Traite des données sensibles soumises aux réglementations des lois PII/PHI
  • Co-localisent leurs services dans deux centres de données disparates
  • Il fournit des logiciels (SaaS) qui font partie intégrante de son offre de services.
  • dispose d’un environnement de contrôle qui, bien qu’ayant déjà fait l’objet d’un examen externe, serait encore considéré comme immature et non entièrement documenté, c’est-à-dire un modèle de maturité de la capacité (CMM) de 2
  • dispose d’un « CSO » très technique mais qui ne connaît pas bien la norme ISO 27001/ISO 27002 (c’est-à-dire un CISSP plutôt qu’un CISA ou un CISM).
  • subit des pressions de la part de ses clients pour obtenir une attestation de tierce partie – et demande souvent spécifiquement une certification ISO 27001
  • Doit obtenir un certificat (sans trop perturber le fonctionnement normal de l’entreprise) dans un délai de 12 mois.
  • A besoin d’un certain niveau de conseil ISO-27001 pour préparer l’audit de certification.

En supposant que ce qui précède est plus ou moins vrai, les coûts « externes » pour obtenir la certification ISO 27001 peuvent se présenter comme suit :

  • Phase de pré-certification I : 20 000 $ (par exemple, définition de la portée, évaluation des risques, plan de traitement des risques, évaluation des lacunes, plan de remédiation de la phase II).
  • Phase II de la pré-certification : 18 000 $ (par exemple, comblement des lacunes (en collaboration), sélection du registraire, développement des artefacts du SMSI, comité de gestion des risques, réponse aux incidents, audit interne du SMSI, soutien à l’audit de certification sur site).
  • Audit de certification : 10 000

Coût total du certificat ISO 27001 : 48 000 $.

Site internet de référence :

Agence nationale de la sécurité des systèmes d’information (ANSSI) : http://www.ssi.gouv.fr/
Association française de normalisation (AFNOR) : http://www.afnor.org
Club de la sécurité de l’information français : http://www.clusif.asso.fr
Club EBIOS (communauté des experts en gestion de la sécurité) : http://www.club-ebios.org/site/productions.html
Commission électronique internationale (CEI) : http://www.iec.ch

Articles associés

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

× Logiciel de Gestion de la Qualité

× Logiciel de Gestion de la Qualité