Certifier que vos fournisseurs adhèrent aux normes ISO 27001 est essentiel pour protéger vos données. Vérifiez leur certification pour vous assurer que vos informations sensibles restent sécurisées et protégées.

La sécurité et la protection de la vie privée sont les maîtres mots de l’ère moderne. Avec chaque nouvelle violation très médiatisée, et avec la montée en puissance des lois sur la protection des données au niveau mondial, il incombe à chaque entreprise et organisation de démontrer qu’elle prend des mesures raisonnables pour protéger les informations personnelles qu’elle utilise. C’est là que les normes de sécurité, telles que la norme ISO 27001, jouent un rôle important.

Qu’est-ce que la norme ISO 27001 ?

La norme ISO 27001 vous permet de montrer que vous avez analysé vos activités, identifié les risques, agi pour minimiser la probabilité et/ou l’impact de ces risques, et qu’une partie extérieure indépendante a vérifié que tout ce que vous faites est raisonnable. Ce contrôle ayant lieu chaque année, il s’agit d’un engagement permanent en faveur de la conformité.

Lors de la sélection des fournisseurs, qu’il s’agisse d’un sous-traitant
qui traitera vos documents administratifs, d’un fournisseur SaaS qui traitera des informations
dans le nuage ou de tout autre service pour lequel vous vous appuierez sur
leurs normes de sécurité pour protéger vos données et votre réputation, la norme ISO 27001 est une certification précieuse
. Mais comment pouvez-vous être sûr que l’entreprise avec laquelle vous
traitez possède une certification valide ?

Conformité à la norme ISO 27001 ou certification ISO 27001

La première chose à faire est de demander une copie du certificat ISO. Il est courant de trouver des fournisseurs qui affirment fièrement qu’ils sont « alignés sur la norme ISO 27001 », mais réfléchissez à ce que cela signifie. Aligné et certifié sont deux choses très différentes. Si une entreprise fait tout ce qu’il faut pour « s’aligner » sur la norme ISO, pourquoi ne pas franchir l’étape finale et obtenir la certification ? Ou bien a-t-elle déjà été certifiée et s’est-elle vu retirer sa certification parce qu’elle ne respectait pas les normes requises ?

Le champ d’application de la norme ISO 27001

Une fois que vous avez reçu le certificat, la prochaine chose à vérifier est qu’il est valide et qu’il couvre les domaines pour lesquels vous avez l’intention d’utiliser le vendeur. La première étape consiste donc à vérifier la date d’expiration du certificat. S’il a expiré, il n’est pas valide. Ensuite, vérifiez que l’organisme qui a délivré le certificat est accrédité. La liste des membres de l’IAF indique clairement qui est autorisé à accréditer les organismes de certification. Au Royaume-Uni, par exemple, il s’agit de l’UKAS. Vérifiez ensuite que l’organisme qui a accrédité le certificat du vendeur figure sur le site du pays concerné.

Nous savons maintenant que le certificat est valide,
mais nous n’avons pas encore terminé. Ensuite, nous devons vérifier que le certificat couvre les activités
que nous voulons que le fournisseur entreprenne sur les sites où le travail aura lieu
. La norme ISO 27001 vous permet de sélectionner les éléments sur lesquels vous serez certifié et
les sites spécifiques auxquels elle s’applique. Il s’agit du champ d’application de la certification.

Supposons, par exemple, qu’une entreprise qui s’occupe de l’élimination sécurisée des documents administratifs étende ses activités à un nouveau site. Elle dispose d’une certification ISO pour son site d’origine. La certification ne couvre pas le nouveau site tant qu’elle n’a pas achevé le processus de certification pour ce dernier. Aujourd’hui, une certification peut couvrir plusieurs sites, mais uniquement si cela est explicitement mentionné. Que se passerait-il si la même entreprise décidait d’acheter un fournisseur de services de paie en mode SaaS ? Le certificat ISO ne concerne que l’élimination sécurisée des documents, il ne couvre pas l’activité SaaS.

Enfin, une fois que vous avez la certitude que le certificat
couvre le champ d’application dont vous avez besoin, vous devez vérifier les contrôles mis en place par le fournisseur
pour vous assurer qu’ils répondent à vos exigences et à vos attentes.
La certification ISO est un processus continu et évolutif. Les contrôles évoluent en fonction de la nature des risques
et des exigences des clients. Vérifiez donc les contrôles de votre fournisseur
et, s’ils ne répondent pas à vos exigences, insistez pour que des contrôles supplémentaires
soient mis en place. Cela vous donnera la tranquillité d’esprit dont vous avez besoin, tout en
facilitant le renouvellement de la certification pour le fournisseur, puisqu’il peut
démontrer qu’il évalue activement les contrôles qu’il utilise et qu’il les met à jour
si nécessaire.

La manière dont vous sélectionnez et évaluez les fournisseurs est un aspect important du maintien de votre propre certification ISO 27001, alors n’oubliez pas ces trois étapes :

Tout d’abord , vérifiez que le certificat du vendeur est valide.

Deuxièmement , vérifiez que le champ d’application est applicable.

Enfin, vérifiez que les contrôles répondent à vos besoins et à vos attentes.

MetaCompliance est fière d’être conforme à la norme ISO 27001. Chez MetaCompliance, nous nous sommes toujours efforcés de fournir à nos clients l’infrastructure de sécurité de l’information la plus solide. Cette certification garantit que nos produits répondent aux normes les plus strictes grâce à des processus approuvés et documentés et que nous nous engageons à respecter les normes les plus strictes en matière de sécurité de l’information. Pour plus d’informations, contactez-nous.