Blog sur la cybersécurité en entreprise

Le paysage des cybermenaces et des cyberattaques est en constante évolution. Explorez notre blog sur la cybersécurité pour obtenir des conseils en matière de conformité, formation et sensibilisation à la sécurité en entreprise.

Vos fournisseurs sont-ils vraiment certifiés ISO 27001 ?

Certification ISO 27001 : vos fournisseurs sont-ils certifiés ?

AU SUJET DE L'AUTEUR

James MacKay

La sécurité et la confidentialité des données sont les mots d'ordre de l'ère moderne. Avec chaque nouvelle violation très médiatisée, et avec le renforcement des lois sur la protection des données au niveau mondial, il incombe à chaque entreprise et organisation de démontrer qu'elle prend des mesures raisonnables pour protéger les informations personnelles qu'elle utilise. C'est là que les normes de sécurité, telles que la norme ISO 27001, jouent un rôle important.

Qu'est-ce que la certification ISO 27001 ?

La certification ISO 27001 vous permet de montrer que vous avez analysé vos activités, identifié les risques, pris des mesures pour minimiser la probabilité et/ou l'impact de ces risques, et qu'une partie extérieure indépendante a vérifié que tout ce que vous faites est raisonnable. Comme ce contrôle a lieu chaque année, il s'agit d'un engagement permanent en matière de conformité.

Lorsque vous sélectionnez des fournisseurs, qu'il s'agisse d'un sous-traitant pour le traitement de vos documents, d'un fournisseur SaaS pour le stockage de vos informations dans le cloud ou de tout autre service pour lequel vous comptez sur des normes de sécurité pour protéger vos données et votre réputation, la certification ISO 27001 est un label de qualité essentiel. Cependant, comment pouvez-vous être sûr que l'entreprise avec laquelle vous traitez dispose réellement d'une certification ISO 27001 valide ?

Conforme à l'ISO 27001 versus Certifié ISO 27001

La première chose à faire est de demander une copie du certificat ISO 27001. Il est courant de trouver des fournisseurs qui affirment fièrement qu'ils sont "alignés sur la norme ISO 27001", mais réfléchissez à ce que cela signifie. Aligné et certifié sont des choses très différentes. Si une entreprise fait tout son possible pour "s'aligner" sur la norme ISO, pourquoi ne pas franchir la dernière étape et obtenir la certification ? Ou bien, a-t-elle déjà été certifiée et s'est-elle vue retirer sa certification pour ne pas avoir respecté les normes requises ?

Le champ d'application de l'ISO 27001

Une fois que vous avez reçu la certification, la deuxième chose à vérifier est qu'elle est valide et qu'elle couvre les domaines pour lesquels vous avez l'intention d'utiliser le fournisseur. La première étape consiste donc à vérifier la date d'expiration de la certification. Si elle a expiré, elle n'est pas valide. Ensuite, vérifiez que l'organisme qui a délivré la certification est accrédité. La liste des membres de l'IAF indique clairement qui est autorisé à accréditer les organismes de certification. Par exemple, au Royaume-Uni, il s'agit de l'UKAS. Vérifiez ensuite que l'organisme qui a accrédité le certificat du vendeur figure sur le site du pays concerné.

Nous savons maintenant que la certification est valide, mais nous n'avons pas encore terminé. Nous devons encore vérifier que la certification couvre les activités que nous voulons que le fournisseur entreprenne sur les sites où le travail aura lieu. La norme ISO 27001 vous permet de sélectionner l'objet de votre certification et les sites spécifiques auxquels elle s'applique. C'est le champ d'application de la certification.

Par exemple, supposons qu'une entreprise qui s'occupe de l'élimination sécurisée des documents administratifs étende ses activités à un nouveau site. Elle dispose d'une certification ISO pour son site d'origine. La certification ne couvre pas le nouveau site tant qu'elle n'a pas achevé le processus de certification pour celui-ci. Il est vrai qu'une certification peut couvrir plusieurs sites, mais seulement si cela est explicitement indiqué. Mais que se passe-t-il si la même entreprise décide d'acheter un fournisseur de services de paie en mode SaaS ? Le certificat ISO ne concerne que l'élimination sécurisée des documents administratifs, il ne couvre pas l'opération SaaS.

Enfin, une fois que vous êtes convaincu que le certificat couvre le champ d'application dont vous avez besoin, vous devez vérifier que les contrôles mis en place par le fournisseur répondent à vos exigences et à vos attentes. La certification ISO 27001 est un processus continu et évolutif. La nature des risques et les exigences des clients changent, tout comme les contrôles. Vérifiez donc les contrôles de votre fournisseur et, s'ils ne répondent pas à vos exigences, insistez pour que des contrôles supplémentaires soient mis en place. Cela vous apportera la tranquillité d'esprit dont vous avez besoin, tout en facilitant le renouvellement de la certification pour le fournisseur, puisqu'il pourra démontrer qu'il évalue activement les contrôles qu'il utilise et les met à jour si nécessaire.

La façon dont vous sélectionnez et évaluez vos fournisseurs est un aspect important du maintien de votre propre certification ISO 27001, alors n'oubliez pas ces trois étapes :

Tout d'abord, vérifiez que la certification ISO 27001 du fournisseur est valide.

Deuxièmement, vérifiez que le champ d'application est applicable.

Enfin, vérifiez que les contrôles répondent à vos besoins et à vos attentes.

MetaCompliance est fier d'être conforme à la norme ISO 27001. Chez MetaCompliance, nous nous sommes toujours efforcés de fournir à nos clients l'infrastructure de sécurité de l'information la plus solide. Cette certification garantit que nos produits sont conformes aux normes les plus strictes grâce à des processus approuvés et documentés, et que nous nous engageons à respecter le plus haut niveau de sécurité de l'information. Pour plus d'informations, contactez-nous