Accueil de l'Académie
Blogs
10 choses que j'aurais aimé savoir : Démarrer votre projet ISO 27001 sur la bonne voie
Fait partie de la collection ISO 27001
Fait partie de la collection NIS2

10 choses que j'aurais aimé savoir : Démarrer votre projet ISO 27001 sur la bonne voie

Collection ISO 27001
10 choses que j'aurais aimé savoir : Démarrer votre projet ISO 27001 sur la bonne voie
Collection NIS2
10 choses que j'aurais aimé savoir : Démarrer votre projet ISO 27001 sur la bonne voie
Cyberday blog
10 choses que j'aurais aimé savoir : Démarrer votre projet ISO 27001 sur la bonne voie

Se lancer dans une démarche de certification ISO 27001 peut sembler insurmontable. Norme, exigences, contrôles, auditeurs, certification... Ne vous laissez pas abattre par ces mots compliqués !

En fin de compte, obtenir la certification ISO 27001 est un projet tout à fait clair. Il existe même un document prêt à l'emploi qui décrit toutes les exigences ! Une fois le projet mené à bien, vous disposez d'un système de gestion de la sécurité des informations (ISMS) et son fonctionnement devient un élément naturel de votre organisation.

Chez Cyberday, nous sommes certifiés ISO 27001 depuis 2021 et nous avons aidé des centaines de clients (de toutes tailles et de tous secteurs) à atteindre le même objectif.

Cela nous a permis de recueillir de nombreux enseignements qui peuvent s'avérer utiles, en particulier pour tout administrateur d'un SMSI. Voici les dix choses essentielles que j'aurais aimé savoir avant de commencer.

Quelques informations de Cyberday Inc.

Pour moi, le voyage dans le monde fascinant des cadres de sécurité de l'information a commencé en 2017. À l'époque, le GDPR existait, la norme ISO 27001 aussi... et d'autres cadres étaient créés en permanence.

Nous avons commencé par approfondir la norme ISO 27001, en essayant surtout de comprendre les différentes choses possibles à faire pour se conformer aux exigences et mettre en place des contrôles.

Depuis, nous avons étendu la couverture de Cyberday à plus de 35 cadres de sécurité. Ce que nous constatons en permanence, c'est que tous les cadres de sécurité partagent le même noyau. Ils parlent tous de sauvegardes, de sensibilisation du personnel, de gestion des risques, de gestion des actifs, etc. Il ne faut pas considérer la conformité aux différents cadres comme des choses distinctes, mais comme des priorités dans la mise en place de la gestion de la sécurité de l'information au sein de votre organisation.

C'est ce que nous nous efforçons de faire aujourd'hui en organisant la Cyberday - vous aider à simplifier la gestion de la sécurité de l'information et la mise en conformité, tout en préservant votre santé mentale.

1. ISO 27001 est un projet - comme n'importe quel autre projet.

Les normes de sécurité de l'information peuvent sembler un peu intimidantes. En particulier pour les autres membres de votre organisation, que vous devez à un moment ou à un autre associer au processus.

Il n'en reste pas moins que vous devez aborder ISO 27001 comme tout autre projet d'entreprise :

  • Comprendre ce qui est demandé.
  • Mettre en œuvre ce qui est nécessaire.
  • Ne sous-traitez pas la compréhension de la norme - c'est là que réside une grande partie de la valeur réelle.

La norme ISO 27001 comporte 22 exigences et 93 contrôles, et il est utile d'en comprendre le sens dans votre contexte. Achetez la norme et comprenez son contenu.

Il faut viser haut, mais aussi toujours rester pratique. La compréhension de la norme permet d'éviter les excès et de s'assurer que l'on crée un SMSI pertinent et que l'on souhaite continuer à le faire fonctionner et à l'améliorer après la certification initiale.

2. La chronologie est d'abord un mystère

Combien de temps dure la certification ? Cela dépend. Pour certains, c'est deux semaines. D'autres ont besoin de deux ans - ou n'y parviennent jamais. La plupart peuvent l'obtenir en quelques mois.

Le calendrier dépend des éléments suivants

  • Champ d'action de l'organisation : Quelle est l'étendue de vos activités ?
  • Démarrer la maturité de la sécurité de l'information : les choses ont-elles déjà été mises par écrit ? Avez-vous utilisé des bonnes pratiques pour comparer vos mesures ?
  • Ressources: Dans quelle mesure pouvez-vous définir clairement l'équipe nécessaire au projet ?
  • Outils: Utilisez-vous un système ISMS intelligent ou procédez-vous de manière plus manuelle ?

Si vous commencez par comprendre la norme, puis par comparer ISO 27001 à vos mesures actuelles, vous aurez une bonne idée du chemin à parcourir.

De cette manière, vous pouvez comprendre le travail et le calendrier nécessaires dans votre organisation.

3. Ne passez pas à côté de la définition de vos objectifs

Assurez-vous que vous et votre direction générale avez une compréhension commune de la raison pour laquelle vous faites l'ISO 27001. Est-ce...

  • pour améliorer la sécurité de l'information ?
  • pour répondre aux exigences des clients ?
  • pour se démarquer de la concurrence ?
  • ou tout cela à la fois ?

Ce ne sont pas de petits objectifs, mais ce sont généralement ceux qui sont poursuivis dans le cadre de la certification ISO 27001.

Lorsque les objectifs sont ambitieux, l'effort doit être à la hauteur. La norme ISO 27001 peut devenir difficile si l'on s'attend à ce qu'elle soit facile.

Veillez à ce que votre direction et l'équipe chargée du SMSI s'accordent sur les objectifs, afin de pouvoir comprendre de manière réaliste les efforts à fournir.

Votre direction générale est un acteur clé pour garantir les ressources nécessaires à la réalisation de ces objectifs. Sans cela, le projet peut perdre de son élan, lorsque les choses ne sont pas faciles.

Et n'oubliez pas : quel que soit le nombre d'heures que vous consacrez à votre SMSI, les autres membres de votre organisation ne se mettront pas soudainement à s'intéresser à ISO 27001. Ils ont besoin de comprendre les objectifs et de voir la pertinence pour s'engager.

4. Vous pouvez avoir 3 ou 30 polices - c'est votre décision.

En matière de sécurité de l'information, la documentation est essentielle, mais il n'y a pas de raison de la rendre envahissante.

En général, les choses sont mieux mises en œuvre si vous les définissez clairement et si vous les mettez par écrit. Cela permet également d'assurer l'audit, la révision et l'amélioration des choses. Certains documents clés (par exemple la déclaration d'intention, la procédure de gestion des risques, la description du SMSI) sont des exigences obligatoires de la norme ISO 27001, mais ils ne sont pas nombreux.

Lors de la rédaction d'un document sur la sécurité de l'information, il faut toujours privilégier la clarté et l'adéquation à l'objectif visé plutôt que la longueur du document.

  • Veiller à ce que la documentation soit pratique et facile à tenir à jour.
  • Utilisez des formats intelligents (par exemple des tâches) - il n'est pas nécessaire que tout soit une politique de mots de 10 pages.
  • Évitez les politiques de sécurité trop complexes ou copiées - elles effraient les gens et rendent le SMSI non pertinent pour votre organisation.

L'administrateur du SMSI doit toujours agir comme un filtre pour que les choses restent simples et pertinentes.

5. Personne ne reçoit de médaille pour la mise en œuvre d'un contrôle parfait

Oui, la plupart des contrôles prévus par la norme ISO 27001 sont pertinents. La norme a été élaborée par des personnes très intelligentes et a été testée au fil des ans par des centaines de milliers d'organisations. Prenez donc les contrôles au sérieux.

Mais il existe différents niveaux de mise en œuvre des contrôles. Les normes ISO 27001 fournissent de nombreux conseils de mise en œuvre, qui doivent être considérés comme des exemples de meilleures pratiques. Il n'est pas nécessaire de tout mettre dans le manuel dès le premier jour et il convient d'utiliser une réflexion axée sur les risques pour déterminer le niveau qui vous convient.

  • Une mise en œuvre légère basée sur le risque peut être plus défendable que l'exclusion totale des contrôles de base.
  • Évitez d'abuser de la mention "Sans objet", qui doit toujours être solidement justifiée.
  • Vous constaterez naturellement des améliorations au fil du temps dans la mise en œuvre de votre contrôle.

Vérifiez que vous êtes prêt pour la norme ISO 27001

Faites notre évaluation gratuite et obtenez une vue rapide de la façon dont votre organisation s'aligne sur la norme ISO 27001 - et des points sur lesquels vous devez vous concentrer par la suite.

Faire l'évaluation

6. Le rôle d'administrateur du SMSI peut être solitaire

La norme ISO 27001 pouvant être un peu effrayante, l'administrateur du SMSI peut avoir l'impression d'être seul dans cette situation. D'autres personnes peuvent ne pas être intéressées par l'idée d'approfondir l'idée des normes de sécurité - en particulier si elles n'en voient pas la pertinence du point de vue de votre organisation.

Il y a cependant quelques éléments clés qui vous aideront beaucoup. Se concentrer sur une bonne définition des rôles dès le départ - il s'agit d'un élément essentiel de la mise en place d'un SMSI.

Définir clairement les rôles, les autorités concernées et les compétences, au moins pour :

  • Administrateur du SMSI (probablement vous)
  • RSSI (il peut également s'agir de vous ou, dans les grandes organisations, d'une fonction distincte)
  • Responsable de la sensibilisation des RH / du personnel
  • Gestionnaire de risques
  • Responsable de la sécurité technique
  • Responsable de la sécurité physique

Ces personnes vous soutiendront et travailleront avec vous. Et si vous ne trouvez que votre propre nom pour tous ces rôles, c'est un message pour que votre organisation engage probablement plus de personnes pour certains aspects - au moins dans un avenir proche.

N'oubliez pas non plus le rôle actif de l'encadrement supérieur (ISO 27001, clause 5). Ils sont nécessaires pour soutenir les progrès, examiner les choses de leur point de vue, définir les objectifs et les ressources correspondantes, etc.

La norme ISO 27001 vise à instaurer une culture, ce n'est pas "juste une affaire de technologie de l'information". Et la culture se construit grâce aux personnes. Vous avez besoin des gens, et un SMSI pertinent vous aide à les faire venir.

Dans un outil ISMS intelligent (tel que Cyberday), vous pouvez facilement créer des rôles et attribuer des droits de propriété.

7. Les auditeurs sont aussi des personnes (occupées)

Si vous souhaitez obtenir une certification, réservez votre auditeur à l'avance. Leurs calendriers peuvent être remplis des mois à l'avance.

Lors de la mise en œuvre de l'audit :

  • Ne visez pas la perfection. La perfection n'est pas attendue.
  • Soyez transparent, clair et honnête pour tirer le meilleur parti des audits.
  • Se concentrer sur l'apprentissage et l'amélioration - les audits sont d'autant plus utiles qu'ils sont utilisés comme des outils de progrès.

Une bonne collaboration entre les auditeurs (avec les audits internes et externes) peut s'avérer très utile pour trouver les domaines les plus importants à améliorer dans votre SMSI.

8. Le pire, c'est de faire du travail inutile

Pour éviter cela, votre processus de gestion des risques doit piloter le navire correctement.

La gestion des risques liés à la sécurité de l'information est un processus clé de la norme ISO 27001. Mais il faut l'aborder correctement :

  • Ne compliquez pas trop les choses, mais évitez les listes de risques génériques.
  • Utilisez la gestion des risques pour poser à votre organisation la question suivante : sommes-nous satisfaits du niveau de sécurité actuel et où se situent les plus grandes menaces ?
  • Donnez la priorité à la clarté dès le début, puis approfondissez votre approche au fil du temps.

La gestion des risques évolue avec votre SGSI et devient même plus importante au fur et à mesure que votre SGSI mûrit - il ne s'agit certainement pas d'un exercice ponctuel dans Excel.

9. La certification n'est qu'un début

Le vrai travail commence après la certification.

  • Maintenir le SGSI à jour
  • Réaliser des revues de direction et des audits internes
  • Former vos employés
  • Améliorer en permanence la sécurité de vos informations

Bien menée, la norme ISO 27001 devient un élément clé de l'ADN de votre organisation, garantissant des pratiques de sécurité matures et ne se contentant pas de cocher des cases.

Un conseil important: n'oubliez pas de vous concentrer sur les clauses essentielles de la norme ISO 27001 (4 à 10), même après votre certification initiale. Peu importe la sophistication des détections d'anomalies ou d'autres dispositifs technologiques que vous avez mis en place, votre auditeur ISO 27001 accordera toujours la plus grande attention à ces exigences obligatoires de la norme.

10. Un bon outil peut sauver votre santé mentale

Faire tout manuellement est synonyme de douleur à long terme. Il devient très difficile de contrôler ou d'améliorer votre SGSI à partir de documents statiques.

Un outil ISMS moderne vous aidera à.. :

  • Clarifier les exigences
  • Soutenir la collaboration au sein de l'équipe
  • Automatisation de la documentation et des rapports
  • vous aider à démontrer que votre système est maintenu et amélioré

Toutefois, l'outil n'est qu'une aide. Vous devez toujours vous assurer que vos actions sont pertinentes pour votre organisation et adaptées à l'objectif visé.

Bonus : vous voulez en savoir plus sur ISO 27001 ?

Nous espérons que ces enseignements vous aideront à démarrer ISO 27001 sur la bonne voie.

Si vous souhaitez en savoir plus sur les différents points de vue, nous avons rassemblé pour vous un grand nombre de ressources utiles :

📚 Collection de ressources ISO 27001

🔗 Liste de contrôle de la conformité et de la certification ISO 27001

Ou contactez-nous directement - nous serions ravis de partager notre expérience et de vous aider dans votre démarche.

Rédigé par
Aleksi Pulkkanen
23.4.2025
@
apulkkanen
LinkedIn

Contenu de l'article

Autres articles sur le même thème

Voir la collection ISO 27001
Voir la collection complète de NIS2

Autres articles de blog

Autres contenus similaires de Academy

Blogs

Qu'est-ce qu'un vCISO ? Comprendre le rôle du RSSI virtuel

Qu'est-ce qu'un vCISO, qu'est-ce qu'il fait, et pourquoi le modèle du CISO virtuel se développe rapidement parmi les entreprises et les consultants en cybersécurité.
12.6.2025

Qu'est-ce qu'un cadre modulaire de cybersécurité et pourquoi est-il essentiel pour les consultants ?

Les cadres modulaires de cybersécurité facilitent la gestion de la conformité et aident les consultants à évoluer plus rapidement, à remporter plus de contrats et à générer des revenus récurrents.
12.6.2025

Panne de l'application Cyberday le mardi 10/6/2025 : Explication et suivi

Ce message passe en revue les détails de l'incident récent qui a provoqué des interruptions de service lors du Cyberday du 10.6.2025, ainsi que les mesures d'atténuation précoces qui s'y rapportent.
11.6.2025

Commencez dès aujourd'hui

Commencez gratuitement, dans votre environnement familier des équipes.
Si vous avez d'abord des questions, prenez rendez-vous avec nous.

Commencer un essai gratuit de 14 jours
Réserver une réunion
Comment cela fonctionne-t-il ?
RésuméTâches et assurance de la sécuritéFlux de travail de documentationDirectives pour les employésModèles de rapport
Cas d'utilisation
Par cadreTous les cadresISO 27001Directive NIS2NIST CSFCSA CCMISO 27701GDPRISO 27017ISO 27018
Par méthodeGestion du risque cybernétiqueSensibilisation des employésRapport de conformitéGestion des contrôlesGestion des actifsDocuments de politique dynamiqueGestion de la vie privée
Ressources
AcadémieWebinarsBlogArticles d'aideCours vidéoBibliothèque de contenuBulletinLaissez un commentaireProgramme de partenariatTeamConditions d'utilisationPolitique de confidentialité
Contactez nous
+358 10 231 6010
team@cyberday.ai
L'application fonctionne dans :
Connu en Finlande sous le nom de Digiturvamalli
© Cyberday Inc. Kalevantie 2 33100 Tampere, Finlande
Cyberday.ai - Améliorer et certifier votre cybersécurité