Troisième chapitre rédigé par nos experts ISO 27001. Examinez les obstacles typiques que vous pouvez rencontrer au cours d’un projet de certification ISO 27001.
Nos chapitres ISO 27001
Sur ce marché à croissance rapide et dans un secteur concurrentiel, les organisations qui prennent au sérieux la sécurité et la confidentialité des données sont plus dignes de confiance que celles qui ne le font pas. Par conséquent, la certification ISO 27001 devrait idéalement stimuler vos opportunités, améliorer vos processus dans un esprit de sécurité et apporter la confiance à vos clients et partenaires. Bien que la certification apporte de nombreux avantages (voir chapitre 2 – 14 février), les organisations sont souvent réticentes à mettre en œuvre cette norme internationale.
Les organisations se concentrent principalement sur leurs activités, leurs objectifs et leur croissance. Elles considèrent souvent la mise en œuvre d’une norme telle que l’ISO 27001 comme un fardeau, qui les oblige à établir de nouveaux processus tels que la gestion des risques, la gestion des vulnérabilités et la gestion des actifs, ainsi qu’à effectuer des contrôles réguliers.
Qui fera cela dans une organisation où les ressources sont limitées, où il n’y a pas de connaissances internes et où il sera nécessaire d’investir dans des outils ? De plus, les normes semblent complexes et, la plupart du temps, difficiles à comprendre si votre entreprise utilise les systèmes de sécurité de l’information uniquement comme des actifs de soutien plutôt que comme un service tel que l’hébergement.
Investissement initial
L’investissement initial peut également être un facteur de réticence, en fonction du degré de maturité de votre organisation (la gestion des risques, la gestion des actifs, la gestion des accès font-elles déjà partie de vos processus ?) La norme ISO 27001 peut représenter un effort supplémentaire considérable, car sans un engagement fort de la direction, la mise en œuvre pourrait tourner au cauchemar.
Prenons deux exemples :
- Gestion de la vulnérabilité : La mise en œuvre d’un processus de gestion des vulnérabilités représente un investissement que chaque organisation devrait prendre en considération. Ce processus doit être soutenu par un outil (généralement un scanner de vulnérabilités). Avant de décider si vous voulez utiliser un outil opensource ou une version sous licence, réfléchissez-y à deux fois : un outil opensource est évidemment gratuit mais ne vous offrira pas toute la gamme de fonctionnalités (comme le signalement des faux positifs) qu’un produit commercial vous proposera.
Conseil: Vous pouvez commencer par une analyse mensuelle. Rapidement, vous comprendrez qu’un scanner doit fonctionner jour et nuit et que des alertes doivent être programmées pour informer les équipes, car vous vous rendrez compte que les cybercriminels ne dorment jamais.
- Gestion du changement : une organisation doit démontrer que la « sécurité », généralement le RSSI, est et doit être impliquée dans tous les changements (logiciels, infrastructure, développement, services, localisation…) simplement parce que ces changements pourraient avoir un impact sur la sécurité. Souvent, les gens ont tendance à se heurter à une résistance au changement, parce que les organisations ont l’impression que la charge de travail et les coûts vont augmenter, et donc il y a une réticence à admettre les lacunes ou simplement une mauvaise compréhension de ce qui est nécessaire et pourquoi c’est utile.
Conseil: la mise en œuvre d’une gestion du changement peut facilement commencer par l’identification des gains rapides, des fruits les plus faciles à cueillir, en utilisant et/ou en dérivant des outils existants (comme le système de billetterie). En outre, la sensibilisation est un facteur clé de succès et permet de s’assurer que tout le monde est d’accord.
Le facteur humain
Un autre facteur susceptible de mettre en péril la mise en œuvre de la norme ISO 27001 est le facteur humain, vous connaissez tous la vallée du désespoir lorsqu’il s’agit de « changements ». Le changement d’état d’esprit, les mauvaises habitudes, la résistance aux nouveaux processus peuvent ralentir toute mise en œuvre. Mais croyez-nous, une fois que l’organisation est certifiée, personne ne veut revenir au « bon vieux temps » où tout était possible, mais à quel prix et avec quels risques ?
Heureusement, il existe des partenaires qui soutiennent les entreprises confrontées à ces obstacles.
Cet article a été rédigé par Marc Degembes, consultant principal.
