Pour les prestataires de services informatiques, un système de gestion de la sécurité de l'information (SMSI) certifié selon la norme ISO 27001 est aujourd'hui plus important que jamais. Sa mise en place n'apporte pas seulement des défis, mais ouvre également de nouvelles opportunités - pour plus de structure, de sécurité et de confiance. Dans cet article, nous revenons sur notre propre parcours et partageons ouvertement ce que nous ferions différemment aujourd'hui.
Chez Netstream , la mise en place de notre système de gestion de la sécurité de l'information (ISMS) en 2022 ressemblait plutôt à une opération coup de poing. Malgré cela, nous avons réussi à mettre en place le SMSI en à peine trois mois. Après notre premier audit de recertification - qui a lieu tous les trois ans - nous regardons en arrière et nous demandons : ferions-nous la même chose aujourd'hui ? Pas tout à fait.
Nos attentes initiales étaient loin d'être optimistes. Lorsque nous avons envisagé pour la première fois l'idée d'une certification ISO 27001, nous nous attendions à des coûts à six chiffres - et à une durée de projet d'un à deux ans. Il n'est donc pas étonnant que le sujet ait d'abord été remisé au placard.
Avec les besoins croissants du marché et les exigences de plus en plus élevées en matière de sécurité de l'information, nous avons finalement décidé d'aborder le sujet de manière proactive. Notre objectif était clair : mettre en œuvre la certification ISO 27001 de manière efficace et durable, et ce de façon à ce qu'elle nous convienne en tant que PME.
Étapes de la mise en place de notre SMSI : mise en œuvre et conclusions
1. évaluer le budget de manière réaliste
Pour être franc, nous n'avions au départ aucune idée claire des coûts réels de la mise en place d'un ISMS. Les estimations précédentes nous semblaient clairement trop élevées. C'est pourquoi nous avons opté pour une approche pragmatique : au lieu de travailler avec un cadre budgétaire fixe, nous avons réfléchi à ce que nous valait fondamentalement le pas vers la certification ISO 27001 - et nous avons constamment remis en question cette valeur indicative.
Pour beaucoup, le lancement d'un projet sans budget défini peut sembler dissuasif. Pourtant, avec une petite équipe et des voies décisionnelles courtes, ce cadre flexible nous a permis d'investir de manière ciblée - sans perdre le contrôle.
2. accepter de l'aide
Dès le début, nous savions que sans soutien professionnel, ce serait difficile. Nous nous sommes donc mis à la recherche d'un partenaire de conseil qui comprendrait notre situation et nous aiderait à mettre en place un ISMS qui nous convienne - pragmatique, efficace et réalisable au quotidien.
3. ISMS à la bonne échelle
Nous ne voulions pas créer un système convaincant sur le papier, mais difficilement applicable dans l'entreprise. C'est pourquoi nous avons veillé dès le départ à ce que notre ISMS reste pragmatique - sans pour autant perdre l'ambition de répondre de manière sérieuse et compréhensible aux exigences de la norme ISO 27001.
4. impliquer l'équipe - pas seulement l'informer
Ne faites pas l'erreur de jeter la décision d'introduire un ISMS par-dessus la clôture. Ce sont en fin de compte les collaborateurs qui doivent vivre le système.
C'est pourquoi il était important pour nous d'impliquer les personnes centrales à un stade précoce plutôt que de simplement les informer. Nous avons parlé ouvertement des craintes et des réticences, mais nous avons également repris les idées de l'équipe et les avons intégrées dans la mise en œuvre.
5. clarifier rapidement les outils et la structure
Notre première version du SMSI était dispersée dans des outils et des plates-formes très divers : Word, Excel, Confluence et d'innombrables dossiers.
Un logiciel spécialisé n'est certes pas indispensable, mais il peut apporter un soutien considérable, notamment dans des domaines tels que la gestion des risques ou la gestion des directives.
Aujourd'hui, nous misons sur une solution ISMS centrale, mais nous la complétons de manière ciblée avec des outils comme Confluence et Jira - parce qu'ils ont fait leurs preuves au quotidien chez nous. Ce qui aide en outre : une ligne directrice claire et simple pour les collaborateurs, indiquant où trouver quels contenus.
6. définir consciemment le champ d'application
Qu'est-ce qui fait partie de notre ISMS ? Au début, nous n'avions honnêtement pas de réponse claire à cette question.
Aujourd'hui, nous le savons : Un domaine d'application bien défini simplifie non seulement la documentation, mais aussi l'ensemble du processus de certification. À l'époque, nous avons procédé par étapes.
7. bien appréhender les risques - et ne pas s'y noyer
Notre première analyse des risques était un monstre Excel confus qui nous donnait régulièrement mal à la tête. Nous n'étions souvent pas sûrs de ce que nous étions en train d'évaluer.
Assez rapidement, il est devenu clair que nous avions besoin d'une solution qui nous aiderait à saisir les risques de manière structurée et compréhensible - tout en conservant la vue d'ensemble nécessaire.
Le passage d'Excel a certes été plus compliqué que prévu, mais il en a valu la peine. Aujourd'hui, nous travaillons avec un outil SaaS spécialisé qui nous aide à la fois à évaluer et à suivre les risques.
8. développer des politiques que l'on peut vivre
Une directive est vite écrite, mais elle est loin d'être automatiquement utile.
Nous avons vite compris qu'il était essentiel de se demander pour chaque politique : est-elle vraiment pertinente ? Est-elle compréhensible ? Et surtout : pouvons-nous la mettre en œuvre au quotidien ?
Le risque est grand de se disperser et de finir par créer un système qui est certes formellement correct, mais que personne ne vit vraiment. Notre objectif a donc toujours été le suivant : autant que nécessaire, aussi peu que possible.
9. documenter, documenter, documenter
C'est un aspect central, mais en même temps pénible, du SMSI. Si la documentation n'est pas prise en compte dès le départ, cela se retournera contre vous plus tard. Les auditeurs veulent voir des preuves à la fin.
ISO 27001 ne prescrit pas la manière dont il faut documenter - et c'est justement là que réside la chance. Nous avons choisi une voie qui correspond à notre méthode de travail : Aujourd'hui, nous utilisons Jira, complété par Confluence, et nous documentons directement là où nous travaillons de toute façon. Cela nous permet de gagner du temps et d'avoir une vue d'ensemble.
10. tout le monde n'a pas besoin de connaître la politique cryptographique
L'une des plus grandes illusions lors de l'introduction d'un ISMS : que tout le monde doit maintenant tout savoir. Ce n'est pas le cas. Au lieu de distribuer des collections entières de directives, nous avons réfléchi de manière ciblée : Qui a besoin de quelles connaissances ? Une information bien placée apporte plus que 40 pages de politique que personne ne lit.
11e audit sans panique ? La préparation aide.
Lors de notre premier audit début 2022, tout s'est enchaîné : Pandémie, audit en ligne et la moitié de l'équipe malade. L'audit s'est déroulé par appel vidéo - avec écran partagé, questions spontanées et attente que tous les documents soient trouvables du premier coup. Nous avions certes tout classé quelque part, mais la recherche de certaines preuves à ce moment-là était... disons : stimulante.
Aujourd'hui, nous savons ce qui aide : rassembler au préalable tous les justificatifs, politiques, rapports et liens pertinents - de préférence classés par chapitre de la norme. Ainsi, le pouls reste bas, même lorsque la caméra tourne.
12. après la certification, c'est avant la certification
Une fois le certificat en main, on pourrait penser que c'est fait. Mais en fait, c'est après que le travail commence vraiment.
Depuis notre première certification, nous avons plus d'une fois complètement chamboulé notre ISMS - nous l'avons repensé, réorganisé, reconstruit. Pas pour le plaisir, mais parce que nous avons remarqué : Un ISMS doit être adapté à l'entreprise, et non l'inverse.
Aujourd'hui, nous sommes plus sereins : l'ISMS n'est pas un projet achevé, mais une partie vivante de notre entreprise. Et si on s'y prend bien, c'est même plutôt utile.
Conclusion
Notre entrée dans le monde de la sécurité de l'information a été plutôt cahoteuse - avec beaucoup de questions, quelques détours et quelques décisions spontanées.
Aujourd'hui, trois ans plus tard, nous avons un ISMS qui nous convient : vivable, efficace et en mouvement continu.
Ce que nous avons appris ? Que la perfection ne doit pas être un objectif. Un ISMS peut grandir, s'adapter et même être repensé - l'essentiel est qu'il reste adapté à la pratique.
Et oui : l'investissement en valait la peine. Non seulement parce que nous sommes désormais certifiés, mais aussi parce que nous comprenons mieux les risques, que nous avons structuré nos processus de manière plus claire - et que la confiance de nos clients et partenaires a été renforcée.
Pour tous ceux qui sont confrontés à la décision : Commencez de manière pragmatique, restez flexible - et ne considérez pas l'ISMS comme un exercice obligatoire, mais comme une opportunité de mieux positionner l'entreprise.
