Les certifications ISO 9001 et ISO 14001 ont démontrées les avantages concurrentiels qu’elles procurent aux entreprises.
Alors que l’interconnexion croissante des systèmes soumet les organisations à de nombreuses menaces (virus, d’espionnage industriel, ou de sabotages), les services informatiques se doivent aujourd’hui de manager et piloter au quotidien la sécurité de l’information et protéger ainsi le patrimoine informationnel, les processus et métiers critiques, et assurer la continuité de service.
C’est là que se pose la question d’une certification ISO 27001, qui atteste de la mise en place d’un système efficace de protection, de sécurité et d’une surveillance rigoureuse de tous les processus via ce certificat reconnu internationalement et qui s’imbrique parfaitement aux normes qualités existantes.
Faire appel à un consultant certifié
Savez-vous qu’à ce jour seule une dizaine d’entreprises sont certifiées en France, contrairement à des pays comme l’Inde ou le Japon ?
Pour être certifié, un organisme doit faire appel à l’un des deux certificateur accrédité en France, lequel va mandater un auditeur, appelé « Lead Auditor », lui même habilité à remettre après Audit le sésame… ou pas.
La certification Lead Auditor ISO/CEI 27001 permet d’attester qu’un consultant a acquis l’expérience et les capacités à mener un audit selon la norme ISO/CEI 27001 ainsi que le maintien de son savoir-faire par la réalisation d’audits réguliers.
Elle passe par la maitrise de deux normes, la 27001 bien sûr, mais aussi la norme19011 qui défini les lignes directrices pour l’audit des systèmes de management, l’ensemble sanctionné par un examen.
En tant que Consultante certifiée Lead Auditor j’accompagne les DSI et/ou RSSI dans l’analyses périmètres et applique dans tous les cas la démarche de certification, qu’elle soit visée ou non.
Pour l’entreprise c’est un avantage méthodologique et un gain de temps potentiel important.
L’essentiel de cet accompagnement consiste à piloter, analyser et traiter les risques, contrôler, sensibiliser et enfin gérer la documentation et les preuves. Cela implique une bonne connaissance des enjeux business, l’intégration des processus métiers dans une démarche d’amélioration continue, de comprendre les risques et concentrer les actions selon leurs impacts.
Facteurs de réussite
A mon sens, la réussite de ce type de projet repose en premier lieu sur une bonne compréhension des enjeux et des processus métiers afin hiérarchiser efficacement les risques.
Il est également primordial et nécessaire de s’assurer tout au long de l’étude de l’implication sans faille de la direction et de posséder un bon sens de la communication pour conserver l’enthousiasme de tous les métiers à faire progresser l’organisation et son système d’information.
Muriel MOENZA
Directrice régionale
Ankaa Engineering® PACA
Lead Auditor ISO 27001
/Ajout du Service communication Ankaa Engineering®/
Muriel est par ailleurs diplômée :
– Exécutive MBA en Management de la Sécurité de l’Information IAE Aix en Provence et HEG de Genève
– Maîtrise en Sciences et Techniques en Communication des Entreprises et Collectivités
– Certification Lead Auditor Iso 27001
– Diplôme de l’Institut des Hautes Etudes de Défense Nationale et accréditation « confidentiel défense »
