novembre 2023 par Luc Pernet, Directeur du Développement d’Akerva
L’Organisation Internationale de Normalisation (ISO) a récemment publié les statistiques du nombre de certifications obtenues selon les standards de systèmes de management en 2022. Il y a aujourd’hui environ 72 000 certificats ISO 27001 recensés dans le monde (1) pour plus de 120 000 sites. Cela concerne tous les secteurs d’activité mais avec une prédominance du secteur IT. En France, cela représente 927 certificats pour 2 810 sites, chaque certificat dans notre pays semblant donc couvrir plus de sites que la moyenne internationale. Bien sûr, on est loin des 1,5M de sites certifiés ISO 9001 dans le monde mais ce nombre en constante progression témoigne de l’ancrage de la norme ISO 27001 dans la gouvernance des organisations.
Rappel rapide : qu’est-ce que la certification ISO 27001 ?
Le Management de la Sécurité est un processus de gouvernance permettant de s’assurer de la pertinence et de l’efficacité des mesures de sécurité déployées dans une organisation. La norme ISO 27001, est le principal standard international définissant des exigences pour ce processus de management et pour ces mesures de sécurité : elle est centrée sur la maîtrise des risques, la mesure d’efficacité, l’amélioration continue – et bien sûr une certaine organisation des mesures de sécurité dans une vision à 360°. La certification quant à elle est une démarche volontaire pour faire reconnaître par un Tiers de Confiance le respect des exigences de la norme et l’efficacité du processus déployé en termes de sécurité.
L’obtention de la certification ISO 27001 est une démarche assez longue et assez coûteuse sur laquelle nous reviendrons dans un prochain article. Alors, la question se pose : pourquoi se faire certifier ISO 27001, en 2024 ?
Il n’y a pas de bonne ou de mauvaise raison…
Les motivations qui peuvent animer les organisations candidates à une certification sont variables et liées à leur contexte propre, on peut en distinguer plusieurs sortes :
Les contraintes externes
Beaucoup d’entreprises concourent à la certification d’abord à cause d’une exigence : que ce soit l’exigence d’un client majeur, un prérequis dans les cahiers des charges, ou même une exigence règlementaire. Par exemple, l’activité d’hébergeur de données de santé exige une « certification HDS » qui repose sur une certification ISO 27001 à laquelle sont ajoutées un certain nombre d’exigences sur la protection des données personnelles tirées pour la plupart de l’ISO 27018. On peut aussi citer les entreprises déjà certifiées ou sujettes à des besoins de maîtrise de la sécurité de leurs fournisseurs, qui soumettent ces fournisseurs à des questionnaires de sécurité. Ces questionnaires commencent souvent par vérifier les certifications obtenues, et les questions plus détaillées sont généralement déclinées de la norme ISO 27001. Ainsi, être certifié ISO 27001 est souvent un bon moyen de rassurer ses clients et même de gagner du temps dans les processus de contrôles, quand ce n’est pas directement un prérequis pour décrocher un marché.
La volonté marketing
On constate aussi que dans beaucoup d’entreprises, la proposition d’être certifié émane des services marketing… Ils identifient comme un avantage concurrentiel, ou comme besoin pour ne pas être distancé, de pouvoir afficher un certificat montrant qu’on gère efficacement la sécurité. Cette motivation est malheureusement à l’origine de beaucoup de quiproquos, volontaires ou non, et dévalorise parfois la certification. En effet, certains choisissent un périmètre réduit plus facile à faire certifier mais qui ne garantit pas suffisamment la maîtrise de sécurité là où il y en aurait besoin. D’autres laissent entendre que la certification ISO 27001 détenue garantirait le niveau de sécurité des logiciels ou matériels produits alors qu’elle porte d’abord sur la gestion de la sécurité du SI de l’entreprise et de ses processus : pas nécessairement sur le résultat de son travail (2). La volonté marketing peut donc sembler une mauvaise raison de se faire certifier pour les puristes de la gouvernance cyber mais ce n’est évidemment pas toujours le cas lorsqu’elle aboutit à un solide déploiement du SMSI !
Le soucis de maîtriser et améliorer son niveau de sécurité
Pour les puristes, au contraire, la prise de conscience d’un besoin de maîtrise des risques cyber par le plus haut niveau de direction de l’entreprise est bien sûr la meilleure raison de briguer une certification ISO 27001. Le processus de gestion de la sécurité basé sur l’identification des besoins, le choix de mesures appropriées, le contrôle de leur efficacité, l’audit régulier des processus suivi de près par la direction assure une amélioration progressive et continue du niveau de protection effectif des actifs informationnels de l’entreprise. La certification apparait alors comme un objectif qui motive les équipes pour réussir la mise en place du système de management de la sécurité de l’information (SMSI). Et si aucune certification ne garantit l’absence de faille, on réduit fortement ses risques en maîtrisant leur gestion. Comme je l’expliquais un jour à un client, grand club de rugby français : « quand un sélectionneur aligne ses meilleurs plaqueurs sur le terrain, il n’a pas la garantie qu’il ne prendra pas d’essai mais il augmente ses chances de victoire ! ».
Comme on le voit, il y a beaucoup de bonnes et de moins bonnes raisons d’être certifié ISO 27001, mais si la démarche est sincère et engage toute l’entreprise, elle fournit le plus souvent un retour sur investissement indéniable, même s’il reste parfois difficile à quantifier. En effet, pour se lancer dans une certification il faut d’abord un sponsor motivé, quel qu’il soit mais le plus élevé possible dans les sphères de direction, et la conscience qu’il s’agit d’un investissement qui peut être très profitable.
(1) ce nombre ne concerne que les certificats déclarés à l’ISO par les organismes de certification, qui n’ont pas obligation de le faire : le nombre réel de certificats est donc probablement plus élevé.
(2) nous pourrons revenir dans un prochain article sur la manière de gérer la sécurité dans les projets et le « Security By Design », notamment en s’appuyant sur les exigences ISO 27001
Publiée le 4 novembre 2023 par Global Security Mag