Menu

Checklist : ISO/IEC 27001:2013 pour les nuls

Si vous lisez ces lignes, c’est que ISO/IEC 27001:2013 vous intéresse, et on vous comprend ! C’est LA norme internationale pionnière dans le domaine de la sécurité informatique.

ISO/IEC 27001:2013 pose le référentiel en matière de SMSI, ou Système de Management de la Sécurité des Informations. Contrôle d’accès, analyse de risque, gestion des actifs, ressources humaines, communication… Pour se faire certifier, il est nécessaire de déployer tout un ensemble de recommandations (114 exactement) pour faciliter le management de la sécurité.

Les objectifs ? Protéger la confidentialité, la disponibilité et l’intégrité de toutes les données au sein de votre organisation. Mais comment faire ?

ISO, c’est toute une aventure. Alors dans cet article, on vous donne la checklist avec 9 cases à cocher pour bien vous préparer.

La checklist pour bien se préparer à ISO/IEC 27001:2013

1) Lisez la norme

Cela paraît évident ; d’accord. Mais on vous assure que beaucoup ne le font pas, surtout s’ils se font accompagner ! Il vous faudra l’acheter sur le site officiel.

La norme compte avec 18 chapitres : 00 – Gouvernance, 01 – Amélioration continue, 02 – Audits et contrôles, 03 – Tableaux de bord, 04 – Organisation, 05 – Dérogations, 06 – Communication, 07 – Sécurité des ressources, 08 – Gestion des actifs, 09 – Contrôle d’accès, 10 – Crypto, 11 – Sécurité physique, 12 – Exploitation, 13 – Sécurité des réseaux, 14 – Sécurité physique, 15 – Gestion des fournisseurs, 16 – Gestion des incidents, 17 – Continuité et gestion de crise.

2) Contactez des personnes qui se sont lancées dans l’aventure

N’hésitez surtout pas à contacter votre entourage professionnel afin de poser des questions sur ISO/IEC 27001:2013. Cela vous permettra de comprendre les défis auxquels vos semblabes ont pu faire face et comment ils les ont surmonté, c’est aussi l’occasion de demander conseil quant à l’adoption des normes de sécurité en interne.

3) Faites-vous accompagner

Le certificat ISO 27001 est délivré par une entité de certification tierce partie : l’AFNOR en France. Si vous souhaitez vous faire certifier, nous vous conseillons de faire appel à une société spécialisée.

4) Définissez clairement qui s’occupe du sujet en interne

« Seul on va plus vite, ensemble on va plus loin ». Vous allez le voir : le sujet de la sécurité est un travail d’équipe et ce proverbe africain l’illustre bien. Sachez que pour que le système de management de la sécurité de l’information soit déployé, il faut que les ressources adéquates soient allouées au projet. Et cela inclut autant le temps dédié, que les personnes, et le budget. Et cela veut dire que le personnel responsable du sujet doit recevoir une formation adéquate, conserver la documentation et veiller à sa mise en œuvre.

5) Faites un inventaire clair et précis de ce qui est fait dans l’entreprise en termes de sécurité

C’est le moment de se poser les bonnes questions. Peut-on accéder à vos locaux par badge ? Les postes de travail sont-ils équipés de mots de passe puissants ? Le matériel sensible laissé au bureau le soir est-il protégé dans un coffre ou dans une salle fermée à clé ? Les données des ordinateurs sont-elles chiffrées ?

7) Épaulez la direction pour préparer la communication

La direction doit être pédagogue et notamment transmettre au reste du personnel : une politique de sécurité de l’information, des objectifs et des plans de sécurité de l’information, avec les rôles et les responsabilités en matière de sécurité de l’information.

8) Intéressez toute l’entreprise au sujet de la sécurité

On ne le dira jamais assez : pour bien se préparer à ISO/IEC 27001:2013, la communication est clé. Chaque salarié de chaque département de l’entreprise doit être engagé sur le sujet de la sécurité.

9) Ne prenez jamais ISO pour acquis !

Ne faites jamais cette erreur ! La norme ISO/IEC 27001:2013 concerne la mise en place, la mise en œuvre, la mise à jour et l’amélioration continue d’un SMSI. Sachez qu’une fois la certification ISO/IEC 27001:2013 obtenue, un nouvel audit par an est réalisé pendant trois ans. A la fin de cette période, ISO/IEC 27001:2013 peut être renouvelée (ou non).