Parole d’Expert – Les certifications en sécurité de l’information – Thomas De Mota

Sommaire de l'article

Présentation de Thomas DE MOTA, Dirigeant de FEEL AGILE

Thomas DE MOTA : J’interviens depuis une dizaine d’années dans des projets d’Organisation, de mise en place de processus et des certifications dans des grands groupes et PME de secteurs variés, allant du numérique et de l’information jusqu’au secteur industriel.

Contacter Thomas De Mota

WINLASSIE : QUELLES SONT LES ACTIVITÉS DE FEEL AGILE ?

Thomas DE MOTA : Feel Agile est une société spécialisée dans les accompagnements de certifications des entreprises du numérique. Nous travaillons principalement avec les éditeurs de logiciel, les hébergeurs de données, les SSII, sociétés de conseil et data center.
Nous aidons ces entreprises à acquérir des certifications. Il y a 2 grandes catégories de certifications : celles concernant la sécurité de l’information telles que l’ISO 27001, le SecNumCloud, l’accompagnement sur le RGPD. Puis il y a celles concernant la qualité de service telles que l’ISO 9001, qui s’applique à tout secteur et type d’activité, et l’ISO 20000 pour les productions et services informatiques.

En savoir plus sur la société Feel Agile

QUELS SONT LES BÉNÉFICES D’OBTENIR LA CERTIFICATION ISO 27001 ?

J’en distingue 4.
Le premier bénéfice est une montée en sécurité pour l’entreprise concernant les services proposés aux clients.
Le second bénéfice est de réduire les risques d’exposition à la cybercriminalité et à la perte de données d’information.
Ensuite, nous avons une amélioration de l’organisation des processus et une clarification des responsabilités de l’entreprise. Ces certifications amènent à structurer les processus métier et d’organisation, améliorant ainsi le fonctionnement de l’entreprise.
Enfin, c’est un avantage concurrentiel par rapport à d’autres entreprises concurrentes.

EN QUOI CONSISTE LA MISE EN PLACE ET L’OBTENTION D’UNE CERTIFICATION ISO 27001 ?

L’obtention de la certification ISO 27001 demande de répondre aux exigences de la norme ISO 27001.
Dans ces exigences, on nous demande de mettre en place un Système de Management de la Sécurité de l’Information, soit les processus, l’organisation et les responsabilités, qui permettent de gérer la sécurité de l’information et de concourir à son amélioration continue.

On distingue généralement 4 phases :
Une première phase de cadrage et d’analyse des risques, afin de bien identifier le périmètre retenu pour la certification,
Une seconde phase d’implémentation et de mise en oeuvre des processus,
Une troisième étape de contrôle, d’audit et de revue par la direction que le système fonctionne bien,
Enfin, la dernière étape est la préparation de la certification et le passage en examen de certification.

Vous obtenez une certification ISO pour 3 ans. C’est ce qu’on appelle un cycle de certification. Cette certification est délivrée par un organisme certificateur, lui-même accrédité par le COFRAC (Comité Français d’Accréditations) en France. Ensuite vous aurez des audits tous les ans pendant ces 3 ans. À la fin de ce cycle de 3 ans, vous recommencerez un nouveau cycle de 3 ans.

QU’EST-CE QUE LA CERTIFICATION HÉBERGEUR DE DONNÉES DE SANTÉ (HDS) ? QUI EST CONCERNÉ PAR CETTE CERTIFICATION ?

C’est une certification qui a été créée pour protéger les données personnelles de santé, qui sont émises par du personnel médical. Tous les acteurs qui hébergent ces données ou infogèrent le système d’information de santé sont concernés par cette certification.

On distingue néanmoins 2 grandes catégories de certifications HDS :
La certification des hébergeurs d’infrastructure (data center) et les certifications d’hébergeurs infogéreurs (ceux qui gèrent le SI de Santé).

QUELS SONT LES LIENS ENTRE LE RGPD ET L’ISO27001 ?

Le RGPD est une démarche obligatoire pour l’entreprise. C’est une réglementation qui vise à protéger et garantir la confidentialité des données personnelles, donc applicable à tout type d’entreprise française et européenne.

La certification ISO 27001 est une démarche volontaire de l’entreprise, qui veut améliorer en continue la sécurité de l’information. Dans le cadre d’une telle certification, nous serons beaucoup plus large en terme d’étude de risques. Elle comprendra et intégrera les risques liés aux données personnelles des clients et salariés, mais également sur d’autres problématiques telles que la perte de données, le vol de données, …

Un projet ISO 27001 nécessite de se mettre en conformité avec toutes les lois et règlements concernant la sécurité de l’information.

COMBIEN DE TEMPS PREND LA MISE EN OEUVRE DE CES DIFFÉRENTES CERTIFICATIONS ?

Ce temps va varier entre 12 mois et 24 mois pour une certification ISO 27001.

Les coûts sont variables selon la maturité de l’entreprise. Ces certifications ont des coûts de mise en oeuvre, de formation, d’accompagnement et de certification, qui peuvent être définis au démarrage du projet mais qui restent spécifiques à toute entreprise, selon sa complexité et son nombre de salariés.

Les facteurs clés de succès d’une démarche de certifications sont l’implication de la direction et que cette certification soit un réel projet d’entreprise. Ensuite, il faut comprendre les normes, le vocabulaire, les exigences et les méthodes d’analyse des risques propres à la sécurité de l’information.

QUELLES SONT LES DIFFÉRENCES ENTRE CYBERSÉCURITÉ ET CERTIFICATION ISO 27001 ?

La cybersécurité est la protection de l’entreprise contre la cybermenace, c’est-à-dire la menace dans un monde avec de plus en plus d’objets connectés à internet et donc la possibilité de prendre à distance le contrôle d’une entreprise industrielle connectée. Ce sont des risques de plus en plus complexe en matière de sécurité informatique.

La sécurité de l’information est beaucoup plus large. Elle se pose toutes les questions de cybersécurité mais également d’ordre juridique et fonctionnel, pour garantir de façon générale la sécurité de l’information.

AVEZ-VOUS UNE ANECDOTE DE SITUATION À RISQUE QUI AURAIT PU ÊTRE ÉVITÉE AVEC L’OBTENTION DE CERTIFICATIONS ?

Les cas les plus courants sont les ransomware et l’incapacité ensuite pour l’entreprise d’accéder à ses données. Il y a également la perte de données mal sauvegardées, des cambriolages ou des pertes de matériel sensible. Ce sont généralement des incidents que l’on peut traiter sur la première année dans le cadre d’une certification ISO 27001. Cela repose beaucoup sur des process simples et la sensibilisation du personnel.

Aujourd’hui, la certification ISO 27001, pour les acteurs du numérique ou de l’information, devient un outil incontournable, un outil commercial, un outil pour structurer l’entreprise, pour s’améliorer et passer à un niveau de maturité beaucoup plus important en terme de qualité de service.

C’est souvent vu comme quelque chose de complexe, de difficile et de long. Cette complexité existe mais nous avons des méthodes qui permettent de le mettre en place de manière plus simple et plus agile, ce qui est adapté aux entreprises d’aujourd’hui.