Skip content
Infosec ISO 27001

La certification ISO/IEC 27001 (SMSI) pour le management de la sécurité de l’information

Bénéficiez de la certification et de la formation LRQA

LRQA est leader du marché dela certification ISO 27001

Pour toute entreprise, quelle que soit sa taille ou son secteur, la norme ISO/IEC 27001 fournit une base solide pour une stratégie complète d’information et de cybersécurité. La norme définit un cadre de bonnes pratiques du SMSI pour réduire les risques et protéger les données critiques de l’entreprise grâce à l’identification, à l’analyse et aux contrôles exploitables.

La certification ISO/IEC 27001 accréditée prouve que vous avez mis en place les processus et les contrôles pour protéger les données de votre entreprise, et celles de vos clients, face à un ensemble de menaces de plus en plus complexe.

Consultez les Questions fréquemment posées sur la norme et nos offres.

Pour allez plus loin, consultez nos témoignages clients sur le sujet.

La norme ISO/IEC 27001:2022 a été publiée.

Le 25 octobre 2022, la nouvelle version de la norme ISO 27001 a été publiée, marquant une nouvelle ère pour les meilleures pratiques en matière de sécurité de l'information.

La norme ISO/IEC 27001:2022 a été publiée.
Person using a tablet

Nos services ISO/IEC 27001

Nos auditeurs sont rompus à l'évaluation de la norme ISO 27001, ce qui vous permet de vous assurer que vos systèmes de sécurité de l'information sont conformes aux dernières exigences et lignes directrices. Nous ne nous contentons pas de fournir des services de certification, mais nous proposons des programmes de formation de pointe qui ont été conçus pour améliorer les compétences de votre équipe.

icône d’écran d’ordinateur

Formation

Développez vos connaissances de la norme ISO 27001 grâce à une gamme de cours conçus pour différents niveaux d'expérience.

 

image94kd3.png

Gap Analysis

Avec ce service facultatif, l’un de nos auditeurs spécialisés vous aidera à identifier les domaines essentiels, à haut risque ou de faiblesse de votre système avant votre audit ISO 27001 officiel

imageao21.png

Certification accréditée

Un processus indépendant en deux étapes qui fournit un énoncé clair de vos capacités, ce qui vous aide à remporter de nouvelles affaires et à instaurer un climat de confiance avec les parties prenantes.

icône des services intégrés.png

Audits intégrés

Si vous avez mis en place plusieurs systèmes de management, vous pourriez bénéficier d’un audit intégré et d’une surveillance plus efficiente et plus rentable.

Une approche globale de l’information et de la cybersécurité

Notre connaissance technique approfondie et notre expertise, alliées à notre portefeuille étoffé en cybersécurité, nous permettent de travailler en collaboration avec votre entreprise pour vous aider à identifier les menaces spécifiques auxquelles vous êtes confronté avant d’y apporter des solutions pour les atténuer. Nous pouvons certifier vos systèmes, identifier des vulnérabilités et aider à prévenir des attaques et des incidents pouvant avoir un impact sur l’intégrité de votre marque, vos finances et vos activités opérationnelles.

Services dédiés à la cybersécurité de LRQA : vue d’ensemble.png

Pourquoi travailler avec nous ?

Capacité globale

Présents dans plus de 55 pays, avec plus de 250 spécialistes de la cybersécurité et plus de 300 auditeurs hautement qualifiés en matière de sécurité de l'information, nous sommes en mesure de fournir un service local avec une volonté d'excellence constante à l'échelle mondiale.

LRQA auditors having a conversation with a client

Prestation flexible

Tous nos services de formation et de certification ISO 27001 peuvent être assurés sur site ou à distance à l’aide d’une technologie sûre et sécurisée. Si vous optez pour nos prestations à distance, vous bénéficiez du même service de haute qualité avec plusieurs avantages supplémentaires, notamment la flexibilité, la livraison rapide et l’accès à une expertise mondiale.

Group video call on a laptop

L’histoire de pionniers

Nous avons été les premiers à recevoir l’accréditation UKAS pour fournir des services de certification selon un large éventail de normes à travers le monde. Nous continuons à jouer un rôle déterminant dans le développement de diverses normes et référenciels spécifiques dans différents secteurs.

Group of people having a discussion in a meeting room

Certification complète

Avec notre entreprise de cybersécurité primée, ayez un temps d’avance sur les cybermenaces sophistiquées grâce à des services premium qui assure votre première ligne défensive permettant de faire face à toutes les menaces et vulnérabilités informatiques.

Aerial shot of container ships

 

Questions fréquemment posées

Qu’est-ce qu’ISO 27001 ?

La norme ISO 27001 est la norme de système de management internationale qui décrit les exigences relatives à un système de management de la sécurité de l’information (SMSI). La norme fournit un cadre de meilleures pratiques permettant d’identifier, d’analyser et de mettre en œuvre des contrôles afin de gérer et diminuer les risques en tout réduisant la probabilité de violation de la sécurité de l’information.
Toute entreprise, quels que soient sa taille et son secteur d’activité, peut utiliser les exigences et les contrôles de la norme ISO 27001 pour mettre en œuvre un SMSI efficace qui peut faire l’objet d’une certification indépendante.

La certification ISO 27001 accréditée assurée par un organisme de certification réputé et indépendant témoigne d’un engagement en matière de sécurité de l’information et d’une vision impartiale de la solidité et de l’efficience de votre SMSI. Cela permet de remplir des obligations contractuelles et constitue dans de nombreux cas une homologation pour commercer.

C'est quoi le SMSI ?

 Le SMSI, ou Système de Management de la Sécurité de l'Information, est un cadre de politiques et de procédures qui inclut tous les aspects légaux, physiques et techniques liés à la gestion des risques de sécurité de l'information de l'organisation.  

Quels sont les avantages de la norme ISO 27001 et pourquoi est-elle si importante ?
Protection de vos données et de votre réputation

La certification ISO 27001 prouve que vous avez mis en place une démarche de sécurité de l’information systématique et basée sur les risques qui sous-tend les meilleures pratiques pour ce qui est de : 

  • L’identification des risques liés à l’information et à la cybersécurité
  • L’analyse des risques en fonction de l’impact et de la probabilité
  • L’évaluation des risques et l’établissement des priorités lorsqu’ils sont traités sur la base de facteurs liés à votre activité
  • La sélection des options de traitement du risque
Démontrer la conformité aux lois, réglementations et exigences contractuelles

Pour obtenir la certification ISO 27001, vous devez identifier la législation applicable, notamment le règlement UE RGPD ou les réglementations comme HIPAA aux États-Unis. Cette démarche influe positivement sur la gestion des risques et la gouvernance d’entreprise en vous aidant à témoigner de votre conformité et de la satisfaction des exigences contractuelles.

Avantage concurrentiel

La certification LRQA garantit aux clients et aux parties prenantes que les risques sécuritaires, pouvant concerner l’informatique, les personnes, l’environnement physique et la continuité des opérations, ont été correctement traités afin de protéger leurs informations.

La certification ISO 27001 fournit un énoncé clair de vos capacités et prouve que vous fonctionnez conformément aux meilleures pratiques reconnues à l’échelle internationale, ce qui vous aide à remporter de nouveaux contrats.

Comment fonctionnent les audits ISO 27001 ?

Les audits ISO 27001 suivent la même approche que les autres systèmes de management basés sur l’Annexe SL. Vous pouvez commencer par la formation et l’analyse des écarts ou gap analysis, mais le processus formel comprend un audit de la conception du SMSI (étape 1) et un audit de son fonctionnement (étape 2). Les résultats de ces audits sont examinés sur le plan technique par une personne qualifiée et indépendante au sein de LRQA afin d’assurer la cohérence et l’alignement avec nos engagements en matière de meilleures pratiques définies par les organismes d’accréditation.

Une fois validé, votre certificat ISO 27001 est délivré et vous entamez un cycle d’audits de surveillance de trois ans menant à un audit de renouvellement pour ajouter les trois années suivantes. La surveillance permet à LRQA et à votre organisation et votre entreprise de gérer les changements et de s’assurer que les audits sont pertinents pour répondre aux besoins actuels du secteur.

Combien de temps dure la certification ISO 27001 ?

Une fois homologuée, la certification de la norme ISO 27001 est valable trois ans sous réserve d’une maintenance efficace du système démontrée grâce au programme de surveillance.

Qu’est-ce qui est inclus dans un champ d’application classique de SMSI et dans une déclaration d’applicabilité ?

Un énoncé type du champ d’application du certificat du SMSI comprend des activités liées à la fourniture de produits et de services. Vous avez pas besoin d’inclure des activités internes ou des processus du SMSI. L’objectif est de garantir au lecteur que les informations fournies lors de la réception du produit ou du service sont protégées.

La déclaration d’acceptabilité fait référence à la liste des contrôles sélectionnés. Il ne fournit pas de détails sur ces contrôles, mais une référence traçable à une déclaration de contrôle utilisée comme base du dernier audit ISO 27001. Parfois, les organisations ont une version publique partageable qui répertorie simplement les contrôles sélectionnés dans l’annexe A de la norme ISO 27001, mais ce n’est pas une exigence impérative.

Combien coûte la certification de la norme ISO 27001 ?

Les frais sont calculés en fonction du nombre de journées d’audit, qui se rapporte au nombre d’employés dans le champ d’application du SMSI. Le nombre de journées d’audit figure dans la norme d’accréditation ISO 27006, tout le monde peut en prendre connaissance. En faisant appel à un organisme de certification accrédité à l’instar de LRQA, vous avez l’assurance de vous voir proposer une durée d’audit basée sur les meilleures pratiques du secteur, comparable à celle de tous les autres organismes de certification accrédités.

Par exemple, une entreprise de 100 équivalents temps plein (ETP) devrait s’attendre à ce que l’audit initial prenne entre 8 et 12 jours (étape 1 + étape 2), en fonction du secteur dans lequel elle opère, de la complexité de son environnement de travail, de son implication dans le développement de solutions logicielles ou de la nécessité d’intégrer la sécurité dans le produit. Le programme de surveillance ultérieur serait de 3 à 4 jours/an et le renouvellement de 6 à 8 jours.

J’applique déjà la norme ISO 9001. Puis-je l’intégrer à la norme ISO 27001 ?

Oui, car les normes ISO 9001 et ISO 27001 sont toutes deux basées sur les meilleures pratiques génériques pour les systèmes de management, l’Annexe SL. Il est possible d’optimiser les processus de management de base pour répondre aux exigences des deux normes. En fait, la conception d’un système répondant à ces deux normes améliore l’efficacité de la gouvernance organisationnelle. Par exemple, les objectifs opérationnels, tels que la croissance, nécessitent souvent le développement de nouveaux produits, la sécurité étant généralement considérée comme une norme de qualité conformément aux attentes du marché. L’intégration peut également réduire les doublons, ce qui peut réduire le temps consacré à l’audit et fournir une solution rentable.

Qu’est-ce qu’un processus classique de certification ISO 27001 ?

La voie qu’emprunte votre organisation pour obtenir la certification ISO 27001 dépend souvent du niveau de maturité de votre entreprise en matière de sécurité de l’information et de gestion plus large des risques, entre autres. Mais le processus type pour obtenir la certification ISO 27001 comprend 3 étapes principales.

  • Étape 1 de l’audit : examiner les documents et planifier : Votre auditeur examinera la conception et la documentation de votre système de management. Dans la plupart des cas, cela se fait à distance.
  • Étape 2 de l’audit : évaluer votre mise en place : Votre auditeur évaluera la mise en place et l’efficience de votre SMSI conformément aux exigences de la norme ISO 27001. S’il n’y a pas de non-conformités, vous obtiendrez votre certification. Cette étape peut être réalisée à distance ou sur site.
  • Promouvoir votre certification ISO 27001 : Votre certification témoigne de votre engagement envers les meilleures pratiques et à l’amélioration continue reconnues à l’échelle internationale, ce qui vous permet de décrocher de nouveaux marchés et de répondre aux demandes de vos clients.
Qu’est-ce que la norme ISO 27002:2022 et quel est son impact ?

La publication de la norme ISO 27002:2022 fournit une mise à jour de la liste des contrôles présents dans la norme ISO 27001 – qui date de 2013. Les contrôles révisés reflètent les développements liés à la fois aux menaces et aux meilleures pratiques actuelles, et le champ d’application élargi de la norme ISO 27002 permet de s’assurer que les mesures de gestion des risques sont vastes et efficaces. Les entreprises peuvent utiliser la liste de contrôle complète pour traiter les risques qu’elles ont identifiés ou découvrir des lacunes potentielles, ce qui les aide à conserve un temps d’avance sur l’ensemble des menaces complexe en pleine évolution auxquelles les entreprises font face de nos jours.

Une nouvelle version de la norme ISO 27001 est-elle en cours d’élaboration ?

Une nouvelle version de la norme ISO 27001 devrait être publiée d’ici fin octobre 2022. Elle présentera les nouveaux contrôles décrits par la norme ISO 27002:2022, qui exigent des organisations qu’elles revoient leur évaluation des risques et déterminent si de nouvelles gestions des risques doivent être mises en œuvre.

Êtes-vous déjà certifié ISO 27001 et souhaitez passer chez LRQA ?

ÉTUDES DE CAS

EXPERTISE