Les certifications en sécurité des SI et leurs mythes
La sécurité des SI (systèmes d’information) est soumise à des exigences réglementaires strictes, et cruciale pour convaincre vos clients. Mais ce n’est pas forcément votre cœur de métier. Comment choisir le bon partenaire pour vous accompagner ?
Vous pouvez vous appuyer sur les certifications. Ce sont de bons indicateurs de l’engagement d’une entreprise pour la sécurité…. à condition de bien comprendre leur fonctionnement, leur valeur réelle et leur portée !
Ci-dessous un « myth-busting » de 7 fausses croyances sur le sujet :
#1 Avec une entreprise certifiée, mes données sont 100 % en sécurité
Eh non ! Avoir répondu à certaines exigences de compétence ou de conformité à un moment donné n’est pas synonyme d’infaillibilité. De nombreux facteurs influent sur la sécurité de vos données, comme l’évolution des cybermenaces ou la qualité du processus de gestion des risques au sein de l’entreprise.
Ce sont donc les compétences humaines qui priment, par exemple :
- les compétences techniques ;
- la rigueur dans l’application des processus internes ;
- la capacité d’adaptation aux changements du marché.
#2 Toutes les certifications se valent
Deux erreurs pour le prix d’une.
D’abord, les certifications existantes sont nombreuses et très diverses. Même lorsque les domaines de spécialisation sur lesquels elles portent coïncident, leurs critères diffèrent. Il faut donc bien les étudier, et choisir la certification la plus pertinente quant à l’activité de votre entreprise.
Surtout, gare à la réputation – certaines certifications sont plus reconnues que d’autres, selon l’industrie. Choisissez celle qui vous avantagera le plus dans votre secteur.
#3 Certifiés, et puis basta !
Pour beaucoup, obtenir la certification est l’épilogue de l’aventure. Faux – ce n’est que le prologue ! Au programme : un engagement pour l’excellence et un processus d’amélioration continu. Après tout, la technologie et les normes évoluent sans cesse. Pour rester alignés avec le niveau d’exigence autrefois validé, il faut continuer à se former.
#4 Qui dit certification, dit conformité réglementaire
Les certifications ne sont pas exhaustives – elles ne portent que sur certaines réglementations. Elles ne suffisent donc pas à prouver un respect de l’ensemble des règles en vigueur.
Pas de surprise : assurer une conformité réglementaire totale est une tâche complexe. Cela requiert un savant cocktail de mesures, comme :
- une veille réglementaire ;
- des politiques internes strictes ;
- des audits internes réguliers et exhaustifs, etc.
#5 Les certifications ne sont utiles que pour les grandes entreprises
Les certifications dans le domaine des SI sont accessibles à un grand nombre de types d’entreprises : grands groupes, grandes entreprises, PME, start-ups… La taille importe peu.
D’ailleurs, qui plus que les petites entreprises est susceptible d’en bénéficier ? Les certifications leur permettent de prouver leur expertise à un marché sur lequel elles cherchent peut-être encore à s’imposer. Elles signalent aussi à leurs prospects leur engagement en faveur de la qualité et de la sécurité des données.
#6 Certifiés à vie : les certifications sont intemporelles
Ce serait bien pratique, mais leurdurée de validité est limitée. Pas d’inquiétude, vous pouvez les reconduire. Il suffit de mettre du cœur à l’ouvrage, avec :
- une formation continue de votre personnel ;
- des examens de mise à jour de certification ;
- des audits, etc.
De quoi se tenir au courant des nouvelles normes et bonnes pratiques de la gestion des systèmes d’information.
#7 Les certifications sont une simple formalité
Obtenir une certification demande beaucoup plus de travail que de remplir un formulaire. Le processus est même assez lourd :
- état des lieux ;
- mise en conformité de votre système d’information ;
- audits réguliers menés en interne mais aussi par des organisations externes…
Prenons l’exemple de la norme ISO 27001, établie par l’Organisation Internationale de Normalisation (ISO) – un organisme agréé qui émet un ensemble de normes internationalement reconnues. Son but : aider les entreprises à aligner leurs processus de gestion de la sécurité des systèmes d’informations. Mais les indications et bonnes pratiques énoncées sont nombreuses.
S’y conformer peut représenter un véritable investissement humain et financier.
Les certifications : facultatives, donc inutiles ?
Se conformer à la norme HDS est indispensable pour héberger des données de santé non anonymisées. Par contre, les certifications ISO et bien d’autres ne sont pas requises pour se lancer dans le management de l’information.
Elles seraient donc inutiles ?
Certains pourraient le penser… à tort. Fondées sur une liste de critères clairs et connus, et délivrées par des organismes indépendants, les certifications restent pour vos clients de vraies preuves :
- de votre conformité à une partie des réglementations imposées et aux normes plébiscitées par le marché, selon la certification concernée ;
- de votre attention à la qualité de votre service et à la sécurité des données ;
- de votre crédibilité générale.
Elles vous permettent de passer le premier palier de leurs exigences.
Alors oui, se conformer à la norme ISO 27 001 est facultatif. Mais vu l’importance croissante des enjeux de sécurité aujourd’hui, c’est plus que recommandé.
Chez Agora Calycé, nous accordons une grande importance à l’établissement d’une réelle stratégie autour de nos certifications, sans perdre de vue bien sûr les autres conditions de conformité à la réglementation.
D’où notre choix de faire certifier ISO 27 001 et HDS notre maîtrise de la sécurité des systèmes d’information – une garantie de qualité qui renforce aussi la fiabilité de nos clients !
Agora Calycé utilise uniquement des cookies nécessaires au fonctionnement de son site internet. Pour en savoir plus cliquez sur la