9 étapes de mise en place de la

norme ISO 27001

 Sophie Meunier  4th juillet 2018
Il existe de nombreuses raisons d’adopter la norme ISO 27001, norme
internationale décrivant les bonnes pratiques à suivre pour les systèmes de
gestion de la sécurité de l’information (ISMS). Elle aide les organisations à
améliorer leur sécurité, à se conformer aux règlementations de cyber
sécurité et à protéger et améliorer leur réputation.
Mais la mise en place de la norme prend beaucoup de temps et d’efforts.
Cela doit être évident, au moins si vous croyez en la phrase « Rien de ce qui
vaut la peine n’arrive sans effort ». Nous avons rendu le processus plus
simple en le divisant en neuf étapes.

1.Contenu de la mission
Le projet de mise en place doit commencer par la désignation d’un leader de
projet, qui travaillera avec d’autres membres du personnel. Il s’agit
essentiellement d’un ensemble de réponses aux questions suivantes :

 Qu’espérons-nous réaliser ?
 Combien de temps cela prendra-t-il ?
 Qu’est-ce que cela coutera ?
 Avons-nous le soutient des équipes de direction ?
2.Initiation du projet
Les organisations doivent utiliser leur contenu de mission afin de construire
une structure plus définie et plus détaillée concernant les objectifs liés à la
sécurité de l’information et l’équipe gérant le projet, la planification et les
risques.

3.Initiation du ISMS
La prochaine étape est d’adopter une méthodologie de mise en place d’un
ISMS. La norme ISO 27001 reconnait que la démarche d’amélioration
continue suivant une approche par processus est le modèle le plus efficace
pour la gestion de la sécurité de l’information.

Cependant, elle ne précise aucune méthodologie en particulier et permet aux

organisations d’utiliser la méthode de leur choix ou de continuer avec le
modèle déjà en place.

4.Cadre de gestion
 A ce stade, l’ISMS aura besoin d’une signification plus large du cadre. Cela
comprend l’identification de la portée du système, qui dépendra du contexte.
La portée doit également prendre en compte les appareils mobiles et les
télétravailleurs.

5.Critères de sécurité
Les organisations doivent identifier leurs principaux besoins de sécurité. Il
s’agit des exigences et mesures correspondantes ou des contrôles
nécessaires pour gérer l’entreprise.

6.Gestion des risques

La norme ISO 27001 permet aux organisations de définir de manière plus
large leurs propres processus de gestion des risques. Les méthodes les plus
communes sont axées sur les risques liés à des actifs précis ou les risques
présentés dans des scénarios précis. Les points positifs et négatifs de chacun
et certaines organisations seront plus en mesure d’utiliser l’une ou l’autre
des méthodes.

L’analyse des risques ISO 27001 comprend cinq points importants :

 Etablir un cadre d’analyse des risques

 Identifier les risques
 Analyser les risques
 Evaluer les risques
 Sélectionner les options de gestion des risques
7.Plan de traitement des risques
Il s’agit du processus de construction des contrôles de sécurité ayant pour
but de protéger les informations de votre organisation. Afin de garantir
l’efficacité de ces contrôles, vous devrez vérifier que les employés sont
capables d’opérer et d’interagir avec les contrôles, et qu’ils connaissent leurs
obligations en matière de sécurité de l’information.

Vous devrez également développer un processus vous permettant de

déterminer, réviser et maintenir les compétences nécessaires afin
d’atteindre vos objectifs en matière d’ISMS. Cela comprend la mise en place
d’analyses et la définition d’un bon niveau de compétence.

8.Mesurer, contrôler et réviser

Pour qu’un ISMS soit utile, il doit répondre aux objectifs de sécurité de
l’information. Les organisations doivent mesurer, contrôler et réviser la
performance du système. Cela implique l’identification de métriques ou
 d’autres méthodes permettant de juger l’efficacité et la mise en place des
contrôles.

9.Certification
Une fois l’ISMS en place, les organisations devraient essayer d’obtenir un
certificat auprès d’un organisme de certification accrédité. Cela prouve aux
parties prenantes que l’ISMS est efficace et que les organisations
comprennent l’importance de la sécurité de l’information.

Le processus de certification implique la révision des documentations des

systèmes de gestion de l’organisation afin de vérifier que les contrôles
appropriés ont été mis en place. L’organisme de certification mènera
également un audit sur-site afin de tester les procédures.

En savoir plus
Obtenez plus de détails sur chacune de ces étapes dans notre livre
vert : Implementing an ISMS – The nine-step approach. Ce guide gratuit
montre exactement ce que vous devez faire pour répondre aux exigences de
la norme ISO 27001, ainsi que la mise en avant des enjeux auxquels vous
devrez faire face et comment en venir à bout.
Obtenez des conseils pratiques concernant la mise en place de la norme en
vous inscrivant à notre formation certifiée d’introduction à la norme ISO
27001 – ISMS (Formation en Anglais).
Cette formation d’une journée vous explique comment bénéficier au mieux
de la norme ISO 27001 et vous fournit une introduction complète aux
éléments clés requis pour se conformer à la norme.

Réservez cette formation avant le 31 juillet et recevez

gratuitement nos outils d’analyse des écarts ISO 27001
2013 ISMS et ISO 27002 2013 ISMS.
La certification est une procédure destinée à faire valider par un organisme indépendant le respect
du cahier des charges d'une organisation par une entreprise. C'est un processus d'évaluation de la
conformité qui aboutit à l'assurance écrite qu'un produit, une organisation ou une personne répond à
certaines exigences1. On distingue trois grandes catégories de certification :

 la certification première partie, une auto-déclaration réalisée par soi-même ;

 la certification seconde partie, où le client vérifie la conformité de son fournisseur ;
 la certification tierce partie, où la conformité est vérifiée par un organisme certificateur
indépendant.

Sommaire
 1Historique
 2Typologie
 3Certification participative ou Systèmes Participatifs de Garantie
 4Voir aussi
o 4.1Articles connexes
o 4.2Liens externes
 5Références

Historique[modifier | modifier le code]
Autrefois, en France, le certificateur était « celui qui affirme qu'une caution présentée est solvable,
sans néanmoins se charger d'autre obligation que celle de répondre de la solvabilité de la
caution » ; les adjudicataires des « Bois du Roi » devaient « donner caution & certificateur »2.
Les systèmes de certification participatifs apparaissent dans les années 1970 pour pallier l'absence
de certification officielle dans certains domaines comme l'agriculture biologique3.

Typologie[modifier | modifier le code]
 Certification comptable : processus de vérification de comptes d'une société.
 Certification électronique : processus d'attribution de certificat électronique, ou certificat
numérique ou certificat de clé publique, par un tiers de confiance.
 Certification des systèmes de management : processus qui vise à vérifier la qualité,
la protection de l'environnement, la santé et la sécurité au travail, les économies d'énergie, etc.
 Certification financière : processus de mesure et d'évaluation de la qualité financière d'une
société.
 Certification professionnelle : processus d'attribution d'un diplôme, titre, ou certificat attestant
d'une compétence professionnelle.
 Disque de certification : récompense attestant un nombre donné de ventes concernant une
œuvre musicale.
 Certification forestière : qui permet d'informer le consommateur que le bois qu'il achète est
issu de forêts gérées durablement
 Certification agro-alimentaire ;
 Certification environnementale :
o En France : Haute Qualité Environnementale, certification « NF Ouvrage Démarche HQE »
par l'AFNOR, qui concerne le bâtiment.
o En France : Haute Valeur Environnementale, certification environnementale qui concerne
les exploitations agricoles.

Certification participative ou Systèmes Participatifs de

Garantie[modifier | modifier le code]
Dans les systèmes de certification participatifs, la certification est élaborée par un réseau d'acteurs,
par exemple des groupes de producteurs et de consommateurs. Ils sont basés sur la confiance et
les réseaux d'échange de connaissance3. On parle alors de Systèmes Participatifs de Garantie. Les
avantages de la certification participative sont la création d'échanges de connaissances entre les
acteurs, la possibilité d'inclure des questions portant sur un périmètre large (par exemple, critères de
qualité environnementale, économique et sociale) et l'accessibilité de la certification pour des petits
producteurs ne pouvant pas économiquement accéder à la certification tierce-partie4. La certification
participative est défendue par l'IFOAM, dans le domaine de l'agriculture biologique, et par le groupe
 Minga dans le secteur de l'économie équitable3. Elle est également mise en œuvre dans le secteur
du bâtiment par les associations EnvirobatBDM (Provence-Alpes-Côte d'Azur) et l'association
EcobatpLR (Occitanie), porteuses du label Bâtiments Durables Méditerranéens.

ISO/CEI 27001

Cet article peut contenir un travail inédit ou des déclarations non vérifiées (décembre

2018).

Vous pouvez aider en ajoutant des références ou en supprimant le contenu inédit. Voir la page
de discussion pour plus de détails.
L'ISO/CEI 27001 est une norme internationale de sécurité des systèmes
d'information de l'ISO et la CEI. Publiée en octobre 2005 et révisée en 2013, son titre
est "Technologies de l'information - Techniques de sécurité - Systèmes de gestion de
sécurité de l'information - Exigences". Elle fait partie de la suite ISO/CEI 27000 et
permet de certifier des organisations.

Sommaire

 1Objectifs
 2La structure de la norme
o 2.1Phase d'établissement (Plan)
 2.1.1Étape 1 : Définir la politique et le périmètre du SMSI
 2.1.2Étape 2 : Identifier et évaluer les risques liés à la sécurité et élaborer la politique de
sécurité
 2.1.3Étape 3 : Traiter le risque et identifier le risque résiduel par un plan de gestion
 2.1.4Étape 4 : Choisir les mesures de sécurité à mettre en place
o 2.2Phase d'implémentation (Do)
o 2.3Phase de maintien (Check)
o 2.4Phase d'amélioration (Act)
 3Processus de certification
 4Critique du standard
o 4.1Avantages
o 4.2Limites
 5Notes et références
 6Voir aussi
o 6.1Bibliographie
o 6.2Articles connexes
o 6.3Liens externes
Objectifs[modifier | modifier le code]
La norme ISO/CEI 27001, publiée en octobre 2005 et révisée en 2013, succède à la
norme BS 7799-2 de BSI (British Standards Institution)1. Elle s’adresse à tous les types
d’organismes (entreprises commerciales, ONG, administrations…) et définit les
exigences pour la mise en place d'un système de management de la sécurité de
l'information (SMSI). Le SMSI recense les mesures de sécurité, dans un périmètre
défini, afin de garantir la protection des actifs de l'organisme. L’objectif est de protéger
les fonctions et informations de toute perte, vol ou altération, et les systèmes
informatiques de toute intrusion et sinistre informatique. Cela apportera la confiance des
parties prenantes.
La norme précise que les exigences en matière de mesures de sécurité doivent être
adéquates et proportionnées aux risques encourus donc n'être ni trop laxistes ni trop
sévères.
L'ISO/CEI 27001 énumère un ensemble de points de contrôles à respecter pour
s'assurer de la pertinence du SMSI, permettre de l'exploiter et de le faire évoluer. Plus
précisément, l'annexe A de la norme est composée des 114 mesures de sécurité de la
norme ISO/CEI 27002 (anciennement ISO/CEI 17799), classées dans 14 sections.
Comme pour les normes ISO 9001 et ISO 14001, il est possible de faire certifier un
organisme ISO/CEI 27001.
Des points ont disparu par rapport à la norme BS 7799-2 : l’ISO 27001 n’incorpore plus
l’amélioration de la compétitivité, des cash flow, de la profitabilité, le respect de la
réglementation et l’image de marque.

La structure de la norme[modifier | modifier le code]

Dans sa version 2013, la norme est conforme à la nouvelle structure commune des
normes de management de l'ISO, l'HLS 2. Elle ne fait plus explicitement allusion au
PDCA ou roue de Deming mais utilise à la place la formulation « établir, implémenter,
maintenir, améliorer »3.
La norme 27001 comporte 10 chapitres et une annexe ; les exigences qu'ils contiennent
doivent être respectées pour obtenir une certification.
Phase d'établissement (Plan)[modifier | modifier le code]
On y détermine les objectifs du SMSI. Cette phase d'établissement du SMSI comprend
4 étapes :
Étape 1 : Définir la politique et le périmètre du SMSI[modifier | modifier le code]
Périmètre : domaine d’application du SMSI. Son choix est libre, mais il est essentiel, car
il figure ensuite le périmètre de certification. Il doit comprendre tous les actifs métiers
(actifs primordiaux au sens de la norme ISO/CEI 27005) et les actifs support à ces
activités qui sont impliquées dans le SMSI.
Politique : niveau de sécurité (intégrité, confidentialité, disponibilité de l’information) qui
sera pratiqué au sein de l’entreprise. La norme n’impose pas de niveau minimum de
sécurité à atteindre dans le SMSI. Son niveau devant être proportionné aux risques
évalués.
Le choix du périmètre et de la politique étant libre, ces deux éléments sont des « leviers
de souveraineté » pour l’entreprise. Ainsi, une entreprise peut être certifiée ISO 27001
tout en définissant un périmètre très réduit et une politique de sécurité peu stricte et
sans répondre aux exigences de ses clients en matière de sécurité.
Étape 2 : Identifier et évaluer les risques liés à la sécurité et élaborer la politique de
sécurité[modifier | modifier le code]
La norme ISO 27001 ne donne pas de directives sur la méthode d’appréciation des
risques à adopter. Les entreprises peuvent donc en inventer une en veillant à bien
respecter le cahier des charges ou en choisir une parmi les plus courantes notamment
la méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité)
mise en place en France par l'ANSSI (Agence Nationale de la Sécurité des Systèmes
d’Information). Le cahier des charges relatif à l’appréciation des risques se développe
en 7 points :

1. Identifier les actifs ;

2. Identifier les personnes responsables ;
3. Identifier les vulnérabilités ;
4. Identifier les menaces ;
5. Identifier leurs impacts sur les actifs à défendre ;
6. Évaluer la vraisemblance ou potentialité du risque ;
7. Estimer les niveaux de risque, fonction de leur potentialité et de leur impact.
Étape 3 : Traiter le risque et identifier le risque résiduel par un plan de
gestion[modifier | modifier le code]
Il existe quatre traitements possibles de chacun des risques identifiés, présentés par
ordre décroissant d'intérêt pour l'organisme :

1. L’évitement : politique mise en place si l’incident est jugé inacceptable ou si les

mesures sont aisément accessibles. Il s'agit de réorganiser le système
d'information à protéger de façon à éliminer totalement la potentialité du risque.
2. La réduction : on ramène la potentialité et/ou l'impact du risque à un niveau
acceptable par la mise en œuvre de mesures techniques et organisationnelles.
C'est la solution la plus utilisée.
3. Le transfert (ou partage) : la part de risque qui ne peut pas être évitée ou
réduite est dénommée risque résiduel. L'organisme peut transférer la
responsabilité technique de tout ou partie de ce risque résiduel en recourant à
une solution d'externalisation de sécurité. Il peut aussi souscrire une assurance
pour diminuer l'impact financier du risque.
4. L’acceptation (ou maintien) : ne mettre en place aucune mesure de sécurité
supplémentaire car les conséquences du risque résiduel non transférable sont
acceptables. Par exemple, le vol d’un ordinateur portable ne comportant pas de
données primordiales pour l’entreprise est sans grand impact. Cette solution
peut n'être que ponctuelle.
Lorsque la décision de traitement du risque est prise, l’entreprise doit identifier les
risques résiduels c’est-à-dire ceux qui persistent après la mise en place des mesures
de sécurité. S'ils sont jugés inacceptables, il faut définir des mesures de sécurité
supplémentaires. Cette phase d'acceptation formelle des risques résiduels s'inscrit
souvent dans un processus d'homologation. Le système étant homologué en tenant
compte de ces risques résiduels.
Étape 4 : Choisir les mesures de sécurité à mettre en place[modifier | modifier le code]
La norme ISO 27001 contient une annexe A qui propose 114 mesures de sécurité
classées en 14 catégories (politique de sécurité, sécurité du personnel, contrôle des
accès…) Cette annexe normative, n'est qu’une liste qui ne donne aucun conseil de
mise en œuvre au sein de l’entreprise. Les mesures sont présentées dans la norme
ISO 27002.
Phase d'implémentation (Do)[modifier | modifier le code]
Met en place les objectifs. Elle comporte plusieurs étapes :

1. Établir un plan de traitement des risques

2. Déployer les mesures de sécurité
3. Générer des indicateurs
o De performance pour savoir si les mesures de sécurité sont efficaces
o De conformité qui permettent de savoir si le SMSI est conforme à ses
spécifications
4. Former et sensibiliser le personnel
Phase de maintien (Check)[modifier | modifier le code]
Consiste à gérer le SMSI au quotidien et à détecter les incidents en permanence pour y
réagir rapidement. Trois outils peuvent être mis en place pour détecter ces incidents :

1. Le contrôle interne qui consiste à s’assurer en permanence que les processus

fonctionnent normalement.
2. Les audits internes qui vérifient la conformité et l’efficacité du système de
management. Ces audits sont ponctuels et planifiés.
3. Les revues (ou réexamens) qui garantissent périodiquement l’adéquation du
SMSI avec son environnement.
Phase d'amélioration (Act)[modifier | modifier le code]
Mettre en place des actions correctives, préventives ou d’amélioration pour les incidents
et écarts constatés lors de la phase Check

 Actions correctives : agir sur les effets pour corriger les écarts puis sur les causes
pour éviter que les incidents ne se reproduisent
 Actions préventives : agir sur les causes avant que l’incident ne se produise
 Actions d’amélioration : améliorer la performance d’un processus du SMSI.
Processus de certification[modifier | modifier le code]
La certification n’est pas un but en soi, c’est-à-dire que l’organisme qui décide de mettre
en place un SMSI en suivant les exigences de l’ISO/CEI 27001, n’a pas pour obligation
de se faire certifier. Cependant, c’est l’aboutissement logique de l’implémentation d’un
SMSI puisque les parties prenantes n’ont confiance qu’en un système certifié par un
organisme indépendant.
La certification ISO/CEI 27001 se déroule sur un cycle de trois ans jalonné par l’audit
initial, les audits de surveillance et l’audit de renouvellement.
L’audit initial porte sur l’ensemble du SMSI. Sa durée est déterminée dans l’annexe C
de la norme ISO/CEI 27006. L’auditeur ne donne pas la certification, il donne juste un
avis qui sera étudié par un comité de validation technique, puis par un comité de
certification. Ce n’est qu’après cela que le certificat initial est délivré pour une durée de
trois ans. Dans le cas contraire, il y a un audit complémentaire dans le délai maximum
de trois mois. L’organisme devra, durant ce délai, corriger les problèmes décelés lors
de l’audit initial pour obtenir le certificat.
L’audit de surveillance, annuel, a lieu pendant la période de validité du certificat (3 ans)
afin de s’assurer que le SMSI est toujours valable. L’audit porte notamment sur les
écarts ou non-conformités relevés lors de l’audit initial ainsi que sur d’autres points :

 le traitement des plaintes ;

 l’état d’avancement des activités planifiées ;
 la viabilité du SMSI ;
 l’utilisation de la marque de l’organisation certificatrice ;
 différentes clauses choisies par l’auditeur.
Si l’auditeur relève des non-conformités, le certificat sera suspendu, voire annulé.
L’organisme doit donc être perpétuellement mobilisé.
L’audit de renouvellement se déroule à l’échéance du certificat. Il porte sur les non-
conformités du dernier audit de surveillance ainsi que sur la revue des rapports des
audits de surveillance précédents et la revue des performances du SMSI sur la période.

Critique du standard[modifier | modifier le code]

Avantages[modifier | modifier le code]

 Une description pratique et détaillée de la mise en œuvre des objectifs et mesures

de sécurité.
 Un audit régulier qui permet le suivi entre les risques initialement identifiés, les
mesures prises et les risques nouveaux ou mis à jour, afin de mesurer l’efficacité
des mesures prises.
 Sécurité :

1. Processus d'amélioration continue de la sécurité, donc le niveau de sécurité a

plutôt tendance à croître.
 2. Meilleure maîtrise des risques
3. Diminution de l'usage des mesures de sécurité qui ne servent pas.

 Une certification qui améliore la confiance avec les parties prenantes.

 Homogénéisation : c’est un référentiel international. Cela facilite les échanges,
surtout pour les entreprises qui possèdent plusieurs sites.
 Processus simple et peu coûteux : réduction des coûts grâce à la diminution
d'usage de mesures de sécurité inutiles et à la mutualisation des audits (baisse du
nombre et de la durée des audits quand on obtient la certification).
 La norme fournit des indicateurs clairs et fiables ainsi que des éléments de pilotage
financier aux directions générales.
 La norme permet d'identifier plus efficacement les risques et les coûts associés.
Limites[modifier | modifier le code]

 Parfois, faible expérience des organismes d'accréditation par rapport aux

spécificités des enjeux en sécurité des systèmes d'information. La norme ISO/CEI
27006 permet de certifier ces organismes certificateurs.
 Relations commerciales prépondérantes (achat de certification, de conseil, de
produits, de services), ce qui conduit à une dévalorisation du processus de
certification.
 Durée courte pour les audits.
 La définition et la mise en place d'une méthodologie sont des tâches lourdes.
 L'application de cette norme ne réduit pas forcément de manière notable le risque
en matière de piratage et de vols d'informations confidentielles. Les intervenants,
notamment internes, connaissent les règles et peuvent ainsi plus aisément les
contourner. Les normes sont inopérantes dans ce domaine.

Notes et références[modifier | modifier le code]

1. ↑ Norme ISO 27001 [archive] sur le site de BSI Group
2. ↑ « HLS: La structure universelle des normes de management » [archive], 18 novembre 2014
3. ↑ « ISO 27001:2013, comparatif avec la version 2005 » [archive] [PDF], sur club-27001.fr, p. 5

Voir aussi[modifier | modifier le code]

Bibliographie[modifier | modifier le code]

 Alexandre Fernandez-Toro, Management de la sécurité de l'information :

implémentation ISO 27001 : mise en place d'un SMSI et audit de certification, Paris,
Eyrolles, 2012
Articles connexes[modifier | modifier le code]

 Liste de normes ISO par domaines

 Liste des normes ISO de la suite ISO/CEI 27000
 ISO/CEI 17799
 Exigences
 ITSEC
 Sécurité de l'information
 EBIOS, méthode de gestion des risques développée par l'Agence nationale de la
sécurité des systèmes d'information (ANSSI)
 MÉHARI développé par le Club de la Sécurité de l'Information Français (CLUSIF),
méthode de management de la sécurité de l'information par le risque

Comment obtenir la certification de sécurité

ISO 27001 ?
#Aventure PayFit
@PayFit

Édité le 28 janvier 2021

Sommaire
 Pourquoi PayFit a décidé d’obtenir la norme ISO 27001 ?
 Comment le processus a-t-il démarré ?
 Quelles ont été les grandes étapes de ce processus ?
 Une fois obtenue, que vous apporte cette certification ?
 Justement, comment faire pour garder cette certification sur la durée ?
 Quelle a été l'étape la plus compliquée ?
 Doit-on faire des compromis pour avoir la certification ?

Obtenir une certification est toujours un parcours du combattant,

notamment pour une jeune entreprise. Souvent perçu comme long et
coûteux, le processus est aussi flou : par où commencer ? Doit-on se faire
accompagner ? Une démarche compliquée, alors qu’aujourd’hui la sécurité est
un enjeu crucial pour les entreprises, quelle que soit leur taille ou leur
ancienneté. 
Chez PayFit, nous avons entrepris les démarches d’obtention de la certification
ISO 27001 en 2018*. Nous l’avons eu deux ans plus tard, en septembre
2020. Il nous a fallu du temps pour comprendre comment entamer un
sujet aussi complexe. A l’époque, il n’existait pas de retours d’expériences
d'entreprises similaires à la nôtre ou de bonnes pratiques dont nous aurions
pu nous inspirer.

Nous partageons donc aujourd’hui notre expérience et nos conseils aux

personnes qui souhaiteraient se lancer dans cette aventure. Guillaume Gohin,
Responsable Sécurité des Systèmes d'Information, a mené le processus
d'obtention de la norme ISO 27001 chez PayFit et témoigne aujourd'hui.
*Qu’est-ce que la certification ISO 27001 ? 
La certification ISO 27001  est une norme internationale de sécurité des
systèmes d'information de l'ISO (Organisation internationale de
normalisation). Elle a pour objectif de protéger l'entreprise de toute perte, vol
ou altération de données, en défendant les systèmes informatiques contre des
intrusions ou des sinistres. En complément des mesures techniques, elle
apporte également de bonnes pratiques pour une sécurité à 360 degrés. 
Pourquoi PayFit a décidé d’obtenir la norme ISO 27001
?
Chez PayFit, la sécurité est un de nos grands enjeux de développement.
Elle fait partie intégrante de notre produit. Par la nature-même de notre
activité, à savoir le traitement de fiche de paie, nous manipulons des données
sensibles, personnelles et confidentielles. Nous devons garantir et délivrer un
produit sûr.
"Puisque la sécurité fait partie de notre produit, elle doit faire partie de tous nos
sujets, de tous nos projets et de la culture d'entreprise."
Guillaume Gohin, Head of Information Security @PayFit
En forte croissance, PayFit poursuit son développement en Europe.
Aujourd’hui, nous sommes présents dans 5 pays et travaillons sous des
législations différentes. Nous servons aussi davantage de clients, de taille de
plus en plus importante. Nous avions donc besoin d'un cadre dans lequel
organiser l'ensemble de nos opérations avec un niveau commun de sécurité.
Comment le processus a-t-il démarré ?
Nous avons commencé à faire nos recherches sur l'obtention d'une
certification fin 2018. Être dans le déclaratif n’était plus suffisant. Nous
souhaitions aller plus loin que de simples affirmations et attester de la fiabilité
de nos dispositifs de sécurité avec une norme.
La norme ISO 27001 est internationalement reconnue et porte sur plus de
150 points de contrôle. Elle certifie l'ensemble des produits et des services
d’une entreprise, sans exception. Elle n'englobe pas seulement la sécurité
d’une application ou d’un produit, mais celle d’une organisation entière. De ce
point de vue, elle est particulièrement intéressante.
Nous avons fait un “benchmark” d’entreprises qui auraient eu cette démarche
et pourraient nous conseiller. Malheureusement, la littérature sur le sujet est
assez modeste. Nous avons donc rapidement compris la nécessité d’être
accompagné par un tiers. Début 2019, BSI Group, un organisme de
certification, a commencé à nous accompagner dans ce processus.
Quelles ont été les grandes étapes de ce processus ?
Nous avons procédé en 5 grandes étapes :  

 se former en interne ;
 créer et renseigner la documentation fondamentale ;
 s’entraîner avec un audit blanc ;
 réussir l’audit documentaire niveau 1, appelé “stage 1” ; 
 passer l’audit de niveau 2, appelé “stage 2”.

Etape 1 - Se former en interne (5 jours)

Pour commencer, se former en interne a été notre priorité. Il est recommandé
qu’au moins une personne de l’entreprise suive une formation pour être
habilitée à mener un audit. Chez PayFit, nous sommes deux à avoir suivi
cette formation durant 5 jours, auprès de BSI Group. Anne-Flore de
Belenet, Directrice juridique, et moi avons obtenu la plus haute certification en
matière de sécurité, “ISO 27001 Lead auditor”. 
Etape 2 - Phase documentaire : renseigner la stratégie et les contrôles
opérationnels (1 an et demi)
Dès juin 2019, nous avons ensuite créé les documents fondamentaux qui
vont structurer notre sécurité au quotidien selon la norme ISO 27001.
Concrètement, ces documents comportent 114 contrôles spécifiques et très
opérationnels, répartis en 9 grandes politiques : 

 politique générale de sécurité ;

 sécurité des opérations ;
 sécurité du développement ;
 plan de réponse à incidents ; 
 manuel du système d'information ; 
 continuité d'activité ; 
 relations avec les fournisseurs ; 
 gestion des accès et des ressources ; 
 sécurité physique et des équipements. 

Chez nous, il s’agissait par exemple de mettre en place une procédure pour
l'arrivée des nouveaux collaborateurs, de prévoir un plan de formation des
salariés à la sécurité, etc.
L’entreprise doit cocher ces 114 contrôles pour passer à l’étape suivante. Ils
permettent aussi de définir la politique de sécurité et de faire une analyse
complète du risque dans l'organisation, pour tous les métiers et toutes les
opérations. 
A savoir :
Pour être certifié, il faut réussir deux audits. Le premier porte sur la
documentation de l’entreprise et constitue le niveau 1, dit la “stage 1”. Puis,
l’audit de niveau 2, dit la “stage 2”, va contrôler si les processus et
l’organisation de l’entreprise correspondent à la documentation établie. 
Au cours de ces inspections, il existe 3 types d’anomalies :
- Des observations : l’auditeur émet un conseil pour améliorer un point, mais
cela reste informatif.
- Des non-conformité mineures : l’audit n’est pas compromis, à condition
que l’entreprise s’engage à corriger cette anomalie, en donnant un plan de
correction (qui va être engagé, quand, comment, etc). Plusieurs non-
conformités mineures peuvent se transformer en majeure. 
- Des non-conformité majeures : l’entreprise ne réussit pas l’audit.
Etape 3 - L’audit blanc, confronter notre documentation à la réalité (au bout de 6
mois de préparation de l’audit)
Avant l’audit niveau 1, nous avons organisé un audit blanc avec BSI
Group. Nous avons alors simulé un audit de niveau 2 pour évaluer notre état
d'avancement. Jusque-là, nous parlions beaucoup de documentation, mais
cela restait très théorique et nous voulions nous confronter à la réalité. Cette
simulation s’est révélée extrêmement utile, et nous a permis de faire le point
sur nos avancées. Puis, nous avons passé et réussi le niveau 1 en juin 2020.

Etape 4 - L’audit “Niveau 1”, présenter une documentation suffisamment solide (6

mois)
Nous avons commencé à préparer l’audit niveau 1 en janvier 2020. Cette
première étape a deux objectifs précis :

 améliorer les processus, voir ce qu'il manque et faire un nouveau plan

pour atteindre le niveau requis. Avec l'auditeur, on regarde l’ensemble
des documents fondamentaux créés, pour s’assurer qu’ils correspondent
aux exigences de la norme ;
  présenter à la direction le résultat de tout le travail effectué lors
d'une "Management Review" (dont l'audit blanc). Concrètement, il
s'agit d'une réunion avec l'ensemble des directeurs de département, où
vous présentez les différentes politiques mises en place et les
indicateurs de performance, le succès des actions menées jusqu'ici et
tout ce qu'il reste encore à faire : tout ce qui peut nécessiter leur
validation comme leur soutien.

Chez PayFit, nous avons bénéficié du soutien total de la direction qui a été très
proactive pour nous aider. Comme elle reste proche des équipes, le projet a
été porté par une envie commune de mener à bien les changements
proposés, ainsi que par l’agilité inscrite dans l’ADN de PayFit. C’est ainsi
devenu un projet d’entreprise avec le top management, et un projet pour les
équipes avec des objectifs définis. 
Etape 5 - L’audit “Niveau 2”, obtenir la certification à travers 150 contrôles (4
mois) 
Le deuxième audit a eu lieu fin juillet. Il se déroule dans tous les sites de
l’entreprise, pour nous dans les quatre pays où nous sommes présents
(Allemagne, Espagne, France et Royaume-Uni). L’auditeur confronte alors la
documentation au terrain pour vérifier les pratiques de l’entreprise sur les 150
contrôles exigés par la norme. Nous regardons ensemble toutes les preuves
contrôle par contrôle. Par exemple, nous avons analysé nos processus et
mesures de sécurité pris sur tout un cycle de développement d'une
fonctionnalité. Nous avons aussi revu les accès et le matériel à la disposition
d'un employé, en choisissant quelques salariés de manière aléatoire. 
Honnêtement, c’était un moment très stressant. Pendant deux ans, nous avons
travaillé à mettre en place tous les processus pour obtenir la certification, et
nous aurions été très déçus de ne pas l’avoir. Nous l’avons finalement
obtenue en septembre 2020. 
Une fois obtenue, que vous apporte cette
certification ?
Obtenir la certification ISO 27001 est une super nouvelle. D’abord, elle a un
impact formidable en externe. Présenter la certification permet de changer
notre image en montrant que PayFit grandit tout en devenant plus solide et
mature. Nous passons du déclaratif à une preuve très concrète de nos
engagements. Elle donne la garantie à toutes les parties prenantes de
l’entreprise de travailler avec un acteur pleinement engagé dans la sécurité :
clients, prestataires, partenaires. Cela aura sûrement un impact sur l’acquisition
de nouveaux clients. Lorsqu’ils choisissent un prestataire pour gérer la paie, la
sécurité est un élément décisif pour eux. 
En interne, avoir la certification requiert et prouve une volonté forte de
s'engager durablement dans des enjeux de sécurité.
Justement, comment faire pour garder cette
certification sur la durée ?
Cet audit du système d'informations est réalisé à un instant-T, mais
l’entreprise ne relâche pas ses efforts pour autant. Par exemple, elle se
fixe des objectifs durant l'audit, comme augmenter l'usage de certains
outils. L'audit complet est renouvelé tous les trois ans, mais un contrôle est
effectué chaque année. 
Si ces audits "allégés" sont ratés, la certification est immédiatement perdue.
Guillaume Gohin, Head of Information Security @PayFit
Aujourd'hui, on forme tous les employés à la sécurité, lors de leur
premier jour et au moins une fois par an. C’est un processus obligatoire,
mais je trouve cela extrêmement sain et positif. Avoir une formation spécifique
à la sécurité et aux usages met en valeur la place qu’elle occupe dans notre
organisation. Elle devient une problématique de l'entreprise entière et de
chaque collaborateur, pas seulement celle de l'équipe IT. C’est ainsi que le
niveau de sécurité peut être maintenu et amélioré au sein de l’entreprise.
Chacun peut ainsi comprendre en quoi un manquement aux procédures peut
impacter toute l'entreprise, comment chacun participe à la disponibilité de
notre produit, etc.
Quelle a été l'étape la plus compliquée ?
La première étape de documentation a été la plus complexe pour nous.
Nous devions écrire toutes les actions que l’entreprise allait mettre en œuvre
pour être conforme à l’intégralité de la norme. Nous étions face à une
montagne documentaire et théorique. Construire les fondations d’un tel projet
est long et fastidieux, d’autant plus que nous avions peu d’expérience en la
matière !
En général, l’étape du “change management” est extrêmement compliquée
dans les entreprises, notamment dans celles comptant des milliers de
salariés. Si on rencontre de la résistance en interne, le processus
d’obtention de la norme devient très pénible. Vous demandez à certaines
équipes de rajouter ou de changer leurs processus et leurs habitudes
quotidiennes. Il faut donc que la direction et l’ensemble des managers portent
le projet. 
Chez PayFit, avec 500 employés, nous n’avons pas eu à affronter cela. Au
contraire, l’équipe sécurité a une mission comme les autres, et participe autant
à la réussite de l’entreprise que n'importe quelle autre fonction.
L’équipe de sécurité de l’information n’a pas simplement un rôle de contrôle,
mais elle participe à la solidité du produit et de la croissance, dans l’intérêt du
business et des salariés.
Firmin Zocchetto, CEO & Cofondateur de PayFit
Doit-on faire des compromis pour avoir la
certification ?
Forcément, lorsque vous décidez de renforcer les processus de sécurité, vous
renoncez à une partie de votre agilité. Davantage de processus sont mis en
place, notamment pour les relations avec des tiers (prestataires, partenaires,
etc). Par exemple, lorsque nous travaillons avec un nouveau prestataire, nous
devons nous assurer des garanties de sécurité qu’il fournit. S’il est certifié, le
processus est très rapide. C’est en revanche plus long s’il ne l’est pas !
De mon point de vue, c’est extrêmement positif et je ne le vois pas
comme un sacrifice. D’abord, inclure la sécurité dans ses enjeux de
développement et dans la structuration de l’entreprise est fondamental,
notamment quand on traite par nature des données sensibles, comme PayFit.
Ensuite, il faut savoir trouver le bon équilibre entre l'agilité et la sécurité.
Chez nous, l’équilibre penche vers l’agilité et l’innovation, mais en toute
sécurité. Il faut que les gens puissent aller le plus vite possible, mais pas à
n'importe quelle condition. C'est maintenant une limite très claire, que nous
prenons en compte dans chaque nouveau projet dès les étapes de design.
Les conseils de Guillaume pour entamer sereinement le processus de
certification
1. Faire les choses dans le bon ordre : ne vous lancez pas dans le processus
de certification si la sécurité n’a pas été un enjeu stratégique auparavant. La
norme vient valider un système. Or si on se lance sans avoir de système en
place, le retard à rattraper est trop important.
2. Avoir la volonté d’engager durablement l’entreprise dans des enjeux
de sécurité : 
- impliquer les fondateurs et la direction dans le processus permet d’engager
l’ensemble des équipes ;
- faire de la sécurité un enjeu structurant pour l'entreprise. Il ne s’agit pas
simplement de cases à cocher. La sécurité est une problématique quotidienne
qui fait partie de l’ensemble des opérations.
3. Prévoir un budget suffisant : prenez en compte les audits blancs et réels,
l'accompagnement, les outils, etc
4. Mettre en place des outils nécessaires à l’obtention de la norme :
comme l’outil de gestion centralisée pour manager la sécurité du matériel
(JAMF chez PayFit) ou la vérification des antécédents pour les nouveaux
employés qu'on ne faisait pas avant (diplôme, identité, dernière expérience).
5. Faire un audit blanc : cela permet de faire le point sur votre situation et
d’améliorer ce qui doit l’être avant la grande inspection.
6. Former ses équipes : 
- avoir au moins une personne certifiée auditeur ISO 27001 ;
- former tous les employés à la sécurité.
7. Communiquer sur les enjeux de sécurité : généralement, les gens
pensent que “sécurité” signifie uniquement “confidentialité”. Les développeurs
et profils tech entendent “intégrité”. Peu voient le dernier pan : la disponibilité.
S’assurer que notre application, notre produit et notre service soit disponible
fait pourtant pleinement partie des garanties de la sécurité. La norme 27001
inclut d’ailleurs une partie business security et incident response.
8. Rendre sa certification visible : 
- afficher le logo en signature de mail ;
- dédier une page aux garanties de sécurité sur votre site ;
- prévenir vos équipes commerciales : c’est un atout qui peut être déterminant
pour certains clients.

Suite ISO/CEI 27000

La suite ISO/CEI 27000 (aussi connue sous le nom de Famille des standards
SMSI ou ISO27k) comprend les normes de sécurité de l'information publiées
conjointement par l'Organisation internationale de normalisation (ISO) et la Commission
électrotechnique internationale (CEI, ou IEC en anglais).
La suite contient des recommandations des meilleures pratiques en management de la
sécurité de l'information, pour l'initialisation, l'implémentation ou le maintien
de systèmes de management de la sécurité de l'information (SMSI, ou ISMS en
anglais), ainsi qu'un nombre croissant de normes liées au SMSI.

Normes publiées[modifier | modifier le code]

 ISO/CEI 27000 : Introduction et vue globale de la famille des normes relatives
au Système de Management de la Sécurité de l'Information (SMSI), ainsi qu'un
glossaire des termes communs (2018)
 ISO/CEI 27001 : Norme d'exigences des SMSI, permettant la certification (publiée
en 2005, révisée en 2013)
 ISO/CEI 27002 : Guide des bonnes pratiques en SMSI (précédemment connu
sous le nom de ISO/CEI 17799, et avant BS 7799 Partie 1 (renuméroté en ISO/CEI
27002:2005 en juillet 2007, dernière révision en 2014)
 ISO/CEI 27003 : Guide d'implémentation d'un SMSI, publié le 3 février
2010 révisée en 2017 (Lignes directrices pour la mise en œuvre du système de
management de la sécurité de l'information)
 ISO/CEI 27004 : Norme de mesures de management de la sécurité de l'information
(publiée le 12 juillet 2009, révisée en 2016)
 ISO/CEI 27005 : Norme de gestion de risques liés à la sécurité de l'information
(publiée le 4 juin 2008, révisée en 2018)
 ISO/CEI 27006 : Guide de processus de certification et d'enregistrement
(publié (en) le 1er décembre 2011, révisée en 2015)
 ISO/CEI 27007 : Guide directeur pour l'audit des SMSI (publié (en) le 14 novembre
2011, révisée en 2017)
 ISO/CEI 27008 : Lignes directrices de vérification en matière de mesures de
sécurité (publiée (en) le 15 octobre 2011)
 ISO/CEI 27010 : Gestion de la sécurité de l’information des communications
intersectorielles et interorganisationnelles (2015)
 ISO/CEI 27011 : Guide pour l'implémentation de ISO/CEI 27002 dans l'industrie
des télécommunications (publié le 15 décembre 2008, révisée en 2016)
 ISO/CEI 27013 : Guide sur la mise en œuvre intégrée de l’ISO/CEI 27001 et de
l’ISO/CEI 20000-1 pour la gestion des services (2015)
 ISO/CEI 27014 : Gouvernance de la sécurité de l’information (2013)
 ISO/CEI 27015 : Lignes directrices pour le management de la sécurité de
l’information pour les services financiers (2012, actuellement annulée)
 ISO/CEI 27016 : Management de la sécurité de l'information - Économie
organisationnelle (2014)
 ISO/CEI 27017 : Code de pratique pour les contrôles de sécurité de l'information
fondés sur l'ISO/CEI 27002 pour les services du nuage (2015)
 ISO/CEI 27018 : Guide de pratiques pour la protection des données à caractère
personnel (PII - personally identifiable information) dans les clouds publics (publié
le 29 juillet 2014)
 ISO/CEI 27019 : Lignes directrices de management de la sécurité de l'information
fondées sur l'ISO/CEI 27002 pour les systèmes de contrôle des procédés
spécifiques à l'industrie de l'énergie (2017)
 ISO/IEC 27021 : Exigences de compétence pour les professionnels de la gestion
des systèmes de management de la sécurité (2017)
 ISO/IEC 27023 : Mappage des éditions révisées de l'ISO/CEI 27001 et de l'ISO/CEI
27002 (2015)
 ISO/CEI 27031 : Lignes directrices pour mise en état des technologies de la
communication et de l’information pour continuité des affaires (publiée le 1er mars
2011)
 NF ISO/IEC 27031 : Lignes directrices pour la préparation des technologies de la
communication et de l'information pour la continuité d'activité (2014)
 ISO/CEI 27032 : Lignes directrices pour la cybersécurité (publiée le 7 juillet 2012)
 ISO/CEI 27033 : Sécurité des réseaux (2010 à 2015)
 ISO/CEI 27034 : Sécurité des applications (2011 à 2018)
 ISO/CEI 27035 : Gestion des incidents de sécurité de l'information (2016)
 ISO/CEI 27036 : Sécurité d'information pour la relation avec le fournisseur (2013
à 2014)
 ISO/CEI 27037 : Lignes directrices pour l'identification, la collecte, l'acquisition et la
préservation de preuves numériques (publié le 15 octobre 2012 + 2017 pour la
version française)
 ISO/CEI 27038 : Spécifications pour la rédaction et l'expurgation
numérique (2014 et 2017 pour la version française)
 ISO/CEI 27039 : Sélection, déploiement et opérations des systèmes de détection
d'intrusion (publié le 11 février 2015)
 ISO/CEI 27040 : Sécurité de stockage (publié le 5 janvier 2015 + 2017 pour la
version française)
 ISO/CEI 27701 : Normes d'exigences complétant l'ISO/CEI 27001 sur les sujets de
protection de la vie privée (publié en août 2019)
 ISO 27799 : Guide pour l'implémentation de ISO/CEI 27002 dans l'industrie de la
santé (publié le 12 juin 2008, révisée en 2016), sera probablement renommé en
2701x

L'ISO/IEC 27001, la norme

internationale pour la sécurité de
l'information
Le succès d'une organisation peut être mesuré aujourd'hui en fonction de la façon dont cette
organisation traite l'information. A la fois la confidentialité des données personnelles, la
disponibilité des systèmes informatiques et l'exactitude des informations financières sont
cruciales pour tout type d'organisation: grande ou petite, entreprise ou gouvernement. Des
exemples récents ont montré qu'aucune entreprise ou organisation n'est protégée contre
d’éventuelles cyberattaques ou violations de données. Outre le fait qu'en tant qu'organisation
vous risquez de perdre la confiance du client, cela peut également entraîner de graves préjudices
financiers.
Un système de management de la sécurité de l'information (SMSI) basé sur l’ISO/IEC 27001
apporte une solution afin de maîtriser au mieux les risques ci-dessus.

1. Que prévoit la norme ISO/IEC 27001 ?

2. Pourquoi appliquer la norme ISO/IEC 27001 ?
3. À qui s'adresse la norme ISO/IEC 27001 ?
4. Certificat ISO/IEC 27001
5. Audit externe ISO/IEC 27001
6. Formations ISO/IEC 27001
7. Norme de la famille ISO/IEC 27000
 Vous souhaitez introduire vous-même un système de management de la sécurité de
l'information ?

Achetez la norme ISO/IEC 27001:2017 auprès du NBN et découvrez toutes les exigences à
prendre en compte.
Acheter

1. Que prévoit la norme ISO/IEC 27001 ?

Appelée « ISO/IEC 27001 : Technologies de l'information - Techniques de sécurité - Systèmes
de management de la sécurité de l'information – Exigences », cette norme montre, à l'aide d'un
ensemble d'exigences, comment établir, mettre en œuvre, évaluer et améliorer en permanence un
SMSI efficace. L'objectif : protéger la confidentialité, la disponibilité et l'intégrité de toutes les
données au sein de votre organisation.
LES ASPECTS ESSENTIELS D'UN ISMS :

 Confidentialité – Seules les personnes autorisées ont accès aux informations

 Intégrité – Les informations sont exactes, complètes et correctes.
 Disponibilité – L'information est accessible aux utilisateurs au bon moment et en temps utile.

L'ISO/IEC 27001 : 10 chapitres

Dans la dernière version, la structure de la norme ISO/IEC 27001 a été adaptée à la High Level
Structure (HLS). Des dizaines d'autres normes de management de l'ISO ont également subi la
même transformation ces dernières années. L'ISO veille ainsi à ce qu'elles aient toutes la même
structure de base uniforme. L'avantage ? Il est plus facile pour les organisations d'intégrer
différentes normes dans un seul système de management. Par exemple, il est possible de mettre
en place votre SMSI en combinaison avec les normes ISO 9001 (managementde la qualité), ISO
14001 (management de l'environnement) ou ISO 45001 (santé et sécurité au travail).
Pourquoi la High Level Structure est-elle si importante ?

Hendrik Decroos, représentant de la Belgique et du NBN au sein du groupe de travail

international chargé d'examiner la HLS, en explique l'importance.
Lire
Plus concrètement, la HLS signifie, entre autres, que la norme ISO/IEC 27001 comporte les dix
chapitres suivants :

1. Domaine d'application
2. Références normatives
3. Termes et définitions tels que définis dans la norme ISO/IEC 27000
4. Contexte de l'organisation
5. Leadership
6. Planification: risques et opportunités
7. Support du SMSI
8. Fonctionnement du SMSI
9. Évaluation des performances
10. Amélioration 

 
ISO/IEC 27001: des mots de passe à la protection incendie

Les chapitres de la norme ISO/IEC 27001 traitent notamment des thèmes suivants :

 Règlementation (protection des données à caractère personnel)
 Organisation (rôles et responsabilités des collaborateurs)
 Ressources (infrastructures, réseaux et systèmes informatiques)
 Personnel (politique, erreurs humaines, vols, fraudes et autres abus)
 Sécurité physique (accès aux bâtiments ou à l'infrastructure informatique)
 Communication (gestion des systèmes, des processus et des procédures)
 Développement et maintenance de systèmes et de logiciels (documentation et processus)
 Continuité des affaires (politiques et procedures)

2. Pourquoi appliquer la norme ISO/IEC 27001 ?

Les principaux avantages de la norme ISO/IEC 27001 :

 Protection des données cruciales : avec un SMSI, vous réduisez le risque que vos
informations soient utilisées à mauvais escient, qu'elles soient incorrectes ou qu'elles ne soient
plus disponibles à temps.
 Clarté : des procédures opérationnelles écrites et une répartition claire des rôles vous
permettent d'identifier systématiquement les vulnérabilités et de prendre en main de manière
ciblée.
 Confiance accrue des clients : les clients manifestent un intérêt croissant pour la manière
dont leurs données sont gérées. Avec un SMSI, vous pouvez les rassurer et avoir la certitude
qu'ils continueront à choisir votre organisation à l'avenir.
 Risque financier réduit : le non-respect des lois pertinentes peut entraîner des amendes
élevées. De plus une perte de réputation et une perte de clients peuvent entraîner de graves
préjudices financiers.
 Du sur mesure pour chaque organisation : la norme ISO/IEC 27001 est applicable à toute
organisation, quels que soient son secteur, sa taille ou son type.
 Renommée internationale : la norme de management ISO est connue dans le monde entier et
renforce sensiblement votre crédibilité au-delà des frontières nationales.

 
3. À qui s'adresse la norme ISO/IEC 27001 ?
La sécurité de l'information et un SMSI efficace sont importants pour toutes les organisations.
Chaque organisation ou entreprise garde une trace des flux d'informations physiques et/ou
numériques.

4. Certificat ISO/IEC 27001

L’ISO/IEC 27001 est la norme internationale pour la sécurité de l'information par excellence.
Elle se classe parmi les 4 normes de management ISO les plus populaires si l’on considère le
nombre de certifications. Selon la dernière étude ISO (2018), 59.934 sites dans le monde ont un
certificat ISO/IEC 27001, dont 208 en Belgique.
 
Qu'est-ce qu'un certificat ISO/IEC 27001 ?

La mise en œuvre correcte et complète d'une norme de management ISO n'est pas une
obligation pour les organisations. Vous pouvez, par exemple, appliquer une partie de la norme.
Mais si vous visez la certification, vous devez remplir toutes les exigences que contient la norme.
Dans ce cas, une institution indépendante évaluera votre SMSI à votre demande. Si
l’évaluation est positive, vous recevrez une preuve écrite attestant que vous répondez à toutes les
exigences de la norme. Ce certificat est valable 3 ans. Vous passez ensuite par un nouveau
processus de certification (si vous le souhaitez) pour en renouveler la validité.
 
Pourquoi tenter d’obtenir un certificat ISO/IEC 27001 ?

Les 3 principaux avantages d'un certificat ISO/IEC 27001 :

1. De nouvelles opportunités commerciales : tout le monde veut avoir la certitude à l’heure

actuelle que ses données seront conservées en toute sécurité au sein de votre organisation. Un
certificat inspire confiance aux clients.
2. Un atout dans les appels d'offres : les pouvoirs publics et les grandes entreprises qui lancent
des appels d'offres recherchent de plus en plus des organisations qui offrent des garanties
optimales en matière de sécurité de l’information.
3. Une amélioration continue de votre sécurité de l'information : obtenir et conserver un
certificat impliquent que vous devez effectuer (ou faire effectuer) des audits périodiques. Cela
signifie que vos objectifs et vos procédures sont toujours à jour.
 Nous avons soumis à l’analyse de Peter Brosens, Innovation Manager au NBN, 4 mythes
persistants sur la certification ISO/IEC 27001 :

1. Un certificat n'offre aucune valeur ajoutée à mon organisation.

2. Trouver un organisme de certification approprié est un travail de longue haleine.
3. Un certificat s'applique toujours à l'ensemble de mon organisation et à tous ses processus.
4. L’obtention d’un certificat est un processus coûteux, long et complexe.

Curieux de connaître ses réponses ?

Lire
Comment obtenir un certificat ISO/IEC 27001 ?
Bien que l'ISO, la CEI et le NBN facilitent l'élaboration de normes de management, ces
organisations ne participent pas à leur certification. En d'autres termes, vous ne pouvez jamais
faire certifier votre organisation par l'ISO, la CEI ou le NBN. Ce sont des organismes de
certification indépendants qui délivrent les certificats à l’issue d’une évaluation positive.
 
Quels organismes délivrent des certificats pour l’ISO/IEC 27001 ?

En Belgique, il existe de nombreux organismes qui délivrent des certificats ISO/IEC 27001 après
un audit de votre organisation. Cependant, tous ne sont pas accrédités par BELAC, l'organisme
d'accréditation belge. Passer par un organisme accrédité n'est pas obligatoire, mais avec un
acteur accrédité, vous aurez la garantie d’avoir été audité par des experts. L’accréditation est en
effet une preuve d'impartialité, d'indépendance et de compétence technique.
En Belgique, vous trouverez une liste de tous les organismes de certification accrédités sur le site
web de BELAC.
Plus d'info
Certification ISO/IEC 27001 : plan par étape

Vous prévoyez de faire certifier votre système de management de la sécurité de l'information ? Il

est conseillé de suivre les étapes suivantes :

1. Soutien : L'adhésion des dirigeants est sine qua non. Ce n'est que lorsqu'ils soutiendront l’idée
que vous pourrez entamer la démarche.
2. Achat de la norme NBN EN ISO/IEC 27001:2017 : Rendez-vous dans l’e-shop du NBN.
3. Formation : Qu’ils soient débutants ou expérimentés, les utilisateurs d’une norme tireront
profit d'une formation. Ne manquez pas de consulter la page de présentation des formations
ISO/IEC 27001 proposées par NBN Learning Solutions.
4. Mesure de référence : Effectuez une mesure de référence vous-même, avec vos collègues ou
en collaboration avec un consultant externe. Cette analyse GAP de la situation actuelle et de la
situation souhaitée vous montrera où se situent les principaux points à travailler.
5. Préparation : Sur la base de l'analyse préalable, élaborez un plan par étape avec des objectifs
concrets pour votre organisation et la direction. Établissez un calendrier et, si nécessaire,
désignez des équipes de projet avec une répartition des tâches claire.
6. Communication : Communiquez votre plan aux parties prenantes les plus importantes afin
que tout le monde soit sur la même longueur d'onde. Cela facilitera la mise en œuvre de la
norme de management.
7. Mise en œuvre : Réaliser toutes les actions prédéfinies et travailler (progressivement) à la
mise en œuvre complète de la norme de management.
8. Audit interne : Dès que votre SMSI est prêt, effectuez un audit interne pour voir si vous êtes
entièrement prêt pour l'audit officiel (externe). Cet audit interne est une étape obligatoire dans
l'obtention du du certificat et vous pouvez le faire vous-même ou en collaboration avec un
prestataire de services externe.
9. Audit de certification : Contactez un organisme de certification pour un audit. Préparez-le
bien en discutez ensemble après l'audit des lacunes éventuelles et de la manière dont vous
pouvez y remédier.
10. Certification : Si votre organisation remplit toutes les exigences de la norme, vous recevrez
un certificat. Il est bien sûr prévu que vous continuiez à travailler sur votre SMSI après la
certification.

Selon la taille et la complexité de votre organisation, le délai d'exécution de ce plan par étape
est de 3 mois à 1 an. Votre préparation, votre compréhension des exigences spécifiques de la
norme et le niveau de maturité de votre organisation seront déterminantes.
 
Certification ISO/IEC 27001 : le coût

Le coût dépend de plusieurs facteurs. Par exemple, êtes-vous entièrement responsable du

système de gestion de la sécurité de l'information ou êtes-vous encadré par un partenaire
externe ? La taille et la complexité de votre organisation jouent également un rôle. Vous devez
en tout cas faire appel à un organisme de certification pour effectuer les audits. En principe, vous
concluez un contrat de 3 ans avec lui, soit la durée de validité d'un certificat.
Toutes les lignes directrices en matière d'audit

Vous disposez d'un système de management de la sécurité de l'information (SMSI) et vous

souhaitez vous préparer à un audit externe ou interne ? Dans la norme révisée ISO/IEC
27007:2020 (Sécurité de l'information, cybersécurité et protection des données privées -
Lignes directrices pour l'audit des systèmes de management de la sécurité de
l'information), vous trouverez toutes les lignes directrices pour l'audit.
 
Plus d'info

5. Audit externe ISO/IEC 27001

Il est important de savoir que vous déterminez vous-même le champ d’application de la
certification – et donc des audits. Cela vous permet de choisir d'inclure certains services et pas
d'autres dans le champ d'application. Le SMSI du ou des services pour lesquels vous souhaitez
être certifié est ensuite évalué dans le cadre d'un audit par un organisme de certification
indépendant. Avant ces audits officiels, vous pouvez également organiser des audits internes
pour vous y préparer.
 
Comment se déroule un audit externe ?

À partir de 3 mois après la mise en œuvre complète de la norme de management, vous pouvez
entamer le processus de certification et programmer un audit externe. Selon la taille de votre
organisation, cet audit prendra un ou plusieurs jours. Si vos services sont répartis sur plusieurs
sites, l'auditeur visitera toutes les installations.
L'audit comporte deux phases :

 phase 1 : un contrôle approfondi de tous les documents nécessaires

 phase 2 : une analyse (sur place) du fonctionnement du SMSI
 
Que se passe-t-il après l'audit ?

Après l'audit, l'organisme de certification décide si vous avez correctement mis en œuvre votre
système de gestion. En cas d'avis négatif, vous recevrez un rapport avec les non-conformités et
les points sur lesquels vous devez travailler. Dans ce cas, un audit supplémentaire apportera une
réponse définitive. En cas d'avis positif, vous obtiendrez un certificat. L'auditeur vous rendra
ensuite visite chaque année pour évaluer votre SMSI. Vous pouvez demander le renouvellement
de votre certificat tous les 3 ans – le délai de validité d'un certificat.

 
Comment se préparer à un audit ?
Ces 4 conseils augmentent vos chances de réussite :

1. effectuer un audit interne – avec ou sans aide extérieure – pour identifier les éventuelles
lacunes ;
2. veiller à ce que la direction soit présente lors de l'audit et que tous les collaborateurs soient
informés ;
3. conserver tous les documents nécessaires dans un endroit central et vérifier qu'ils sont rédigés
dans la langue de la norme de management ;
4. établir une liste d'actions et de projets réussis et mesurables, qui garantissent une amélioration
continue.

6. Formations ISO/IEC 27001

Le NBN organise des formations tant dans des lieux centraux en Belgique qu'à votre bureau :
NOUVEAU : E-LEARNING ET MASTER TRACK ISO/IEC 27001

Notre nouveau programme d’e-learning a été mis au point pour les personnes qui désirent
maîtriser les bases de la norme ISO/IEC 27001. De quoi apprendre, où et quand vous le
souhaitez, ce que contient la norme et quels avantages sa mise en œuvre apportera à votre
organisation.
Suivre l’e-learning
Envie d’acquérir encore plus de connaissances? NBN Learning Solutions a mis au point un
programme unique! Le Master Track ISO/IEC 27001 comporte quatre parties : une  introduction 
à  la  norme  ISO/IEC 27001  sous  la  forme  d’un  e-learning,  deux approfondissements  en 
présentiel  et  une  épreuve  finale  avec  présentation  en présentiel. Cerise sur le gâteau : si vous
réussissez l’examen, vous décrocherez le titre d’ISO/IEC 27001 Certified Master.
Vous inscrire au Master Track

7. Norme de la famille ISO/IEC 27000

Bien que la norme ISO/IEC 27001 soit la seule norme certifiable de la série ISO/IEC 27000, il
peut être utile de la mettre en œuvre en combinaison avec d'autres normes de la même famille.
Celles-ci indiquent comment appliquer la norme ISO/IEC 27001 et renforcer votre SMSI. Il
s'agit concrètement des normes suivantes :

 NBN EN ISO/IEC 27000:2017 - Technologies de l'information - Techniques de sécurité -

Systèmes de management de la sécurité de l'information - Vue d'ensemble et
vocabulaire : cette norme donne un aperçu de la terminologie essentielle utilisée dans
l'ensemble de la série de normes. En outre, la norme ISO/IEC 27000 montre comment les
autres normes sont liées entre elles.
 NBN EN ISO/IEC 27002:2017 - Technologies de l'information - Techniques de sécurité -
Code de pratique pour le management de la sécurité de l'information : fournit une image
détaillée des mesures que vous pouvez prendre pour répondre aux exigences de la norme
ISO/IEC 27001.
 NBN ISO/IEC 27018:2019 - Technologies de l'information - Techniques de sécurité --
Code de bonnes pratiques pour la protection des informations personnelles identifiables
(PII) dans l'informatique en nuage public agissant comme processeur de PII : cette
norme vous permet d'assurer la sécurité des informations personnelles identifiables dans un
nuage public, comme Microsoft365, SalesForce et Gmail.
 NBN ISO/IEC 27701:2019 - Techniques de sécurité - Extension d'ISO/IEC 27001 et
ISO/IEC 27002 au management de la protection de la vie privée - Exigences et lignes
directrices : l’outil par excellence pour un système de gestion des informations personnelles
(SGIP). Vos données numériques sont ainsi toujours protégées.

SO/IEC 27000 standards

Introduction
Les normes de la famille ISO/IEC 27000 constituent un ensemble de méthodes,
mesures et bonnes pratiques reconnues au niveau international dans le domaine de la
sécurité de l’information. Elles sont destinées à tout type de société, quelle que soit sa
taille, son secteur d’activité ou son pays d’origine. Ces normes ont pour but de décrire
les objectifs à atteindre en matière de sécurité informatique, et non la manière concrète
d’y arriver. Celle-ci dépend généralement du contexte propre à toute organisation.
Au niveau international, c’est le sous-comité 27 du comité joint entre l’ISO et
l’IEC numéro 1, en abrégé: ISO/IEC JTC 1/SC 27, qui s’occupe de de la gestion et de la
publication de ses normes phares du domaine de la sécurité de l’information. Le
création de norme ISO, resp. IEC, se font par des experts volontaires. Aussi au
Luxembourg il est possible d’y participer, pour plus d’informations veuillez consutler le
site de l’ILNAS (Institut Luxembourgeois de la Normalisation, de l’Accréditation, de la
Sécurité et qualité des produits et services).
Les normes portant les numéros 27000 à 27010 sont réservés à la documentation
générale d’un ISMS (Information Security Management System, appellation générique
de la méthode de gestion de la sécurité de l’information). À côté des normes décrits ci-
dessous, d’autres normes, actuellement en développement, vont s’y rajouter.
Les numéros 27011 à 27019 sont dédiées à la spécification d’un SGSI pour des
secteurs économiques spécifiques (p.ex. ISO/IEC 27015 pour le secteur financier,
ISO/IEC 27011 pour le secteur des télécommunications).

ISO/IEC 27000
L’ISO/CEI 27000:2009 fournit une vue d’ensemble des systèmes de management de la
sécurité de l’information (SMSI); cette vue d’ensemble constitue l’objet de la famille des
normes SMSI et définit les termes qui s’y rattachent. Suite à la mise en oeuvre de
l’ISO/CEI 27000:2009, tous les types d’organismes (par exemple entreprises
commerciales, organismes publics et organismes à but non lucratif) sont censés obtenir
 1. une vue d’ensemble de la famille des normes SMSI,
2. une introduction aux SMSI,
3. une brève description du processus Planifier-Déployer-Contrôler-Agir (PDCA), et
4. les termes et définitions utilisés dans la famille des normes SMSI.
Les objectifs de l’ISO/CEI 27000:2009 sont la fourniture de termes et définitions, et une
introduction à la famille des normes SMSI qui
1. définissent les exigences pour un SMSI et pour les organismes certifiant de tels
systèmes,
2. apportent un soutien direct, des recommandations détaillées et/ou une
interprétation des processus et des exigences générales selon le modèle Planifier-
Déployer-Contrôler-Agir (PDCA),
3. traitent des lignes directrices propres à des secteurs particuliers en matière de
SMSI, et
4. traitent de l’évaluation de la conformité d’un SMSI.

ISO/IEC 27001
ISO/IEC 27001: “ISMS requirements”. La norme ISO 27001 est une mise à jour de la
norme BS7799-2, rendant celle-ci obsolète. Elle a été publiée en octobre 2005. Elle est
à la base de la certification d’un SGSI, à l’instar de ses homologues ISO 9001 pour la
qualité et ISO 14001 pour l’environnement.

ISO/IEC 27002
ISO/IEC 27002: “Code of practice for information security management”.

ISO/IEC 27003
ISO/IEC 27003: ISMS implementation guidance. La norme ISO 27003 a pour objectif de
fournir un guide d’aide à l’implémentation des exigences d’un SGSI. Cette est plus
particulièrement orientée sur l’utilisation du cycle PDCA et des différentes exigences
requises à chaque étape du cycle.

ISO/IEC 27004
ISO/IEC 27004: Information security management measurements”. Cette norme a pour
but d’aider les organisations à mesurer et à documenter  l’efficacité de la mise en
oeuvre de leur SGSI.

ISO/IEC 27005
ISO/IEC 27005: “Information security risk management”. La norme ISO 27005 est une
continuation de la norme ISO 13335. Elle reprendra les parties 3 et 4 de cette dernière,
définissant les techniques à mettre en œuvre dans le cadre d’une démarche de gestion
des risques.

ISO/IEC 27006
ISO/IEC 27006: “Requirements for the accreditation of bodies providing certification of
ISMS.” Cette norme, a pour but d’accompagner les organismes de certification, dans
les exigences nécessaires à atteindre pour être accrédités en tant qu’organisme de
certification d’un SGSI.

ISO/IEC 27007
ISO/IEC 27007: “Auditor guidelines”. Cette norme sert comme guide spécifique pour les
audits d’ISMS, notamment en support à l’ISO 27006.

Literature