Duquesne Group Duquesne Group

English version
Blog des experts

Les avis et les commentaires exprimés dans les blogs sont ceux des experts individuels. Ils ne représentent pas nécessairement l'opinion du cabinet. Contactez-nous pour en savoir +
French version
Blogs

In these blogs, individual experts freely express their own opinions and comments. They do not necessarily reflect the opinion of the firm. Contact us to find out more


Cinq idées fausses sur la certification ISO 27001


Dans nos missions, il nous arrive d'accompagner des clients vers la certification de leur système de management de la sécurité (ISO 27001).

Nous entendons souvent des réactions tranchées sur le sujet du degré de préparation de l'entreprise à la certification.

Petit recueil en cinq points.



"L'audit interne a découvert des non-conformités, nous ne sommes pas prêts"

Si l'audit interne a découvert ces non conformités, c'est qu'il fait bien son travail : c'est un point positif pour la certification.

Il serait illusoire et dangereux de penser qu'il n'y a plus de non-conformités et que cet "état de non-conformité" sera durablement atteint un jour !

La norme demande d'identifier les non conformités et de réagir, pas de se voiler la face... les non-conformités, il y en aura toujours. Le SMSI permet de les découvrir et de réagir correctement.

En résumé : ce n'est pas parce que l'audit interne découvre des non-conformités (sauf si elles sont énormes) que votre SMSI n'est pas certifiable !

On peut d'ailleurs souhaiter que vos audits internes continueront à en découvrir et que vous continuerez à les supprimer ! C'est à cela qu'un SMSI sert.


"Toutes les mesures demandées par la norme sont en place : cela devrait aller !"

Répétons-le encore : la norme ne demande pas de mettre en place "toutes les mesures" ... elle demande uniquement celles qui correspondent à vos risques identifiés. Vous devez apprécier vos risques et mettre en place des barrières ("mesures") en conséquence.

"Mettre en place les mesures demandées par la norme" : cette phrase n'a donc pas de sens, sauf si les mesures en question sont les processus d'appréciation et de traitement de risques !

Je réagis toujours quand on me dit : "telle mesure, je ne sais pas à quoi elle sert, mais la norme le demande". Ma réponse est alors systématiquement : "prenez-vous un risque si vous la supprimez ?" Si oui, vous savez à quoi elle sert, si non supprimez-la !


"Nous avons bien documenté ce que nous voulons faire : c'est bon"

Nous ne le dirons jamais assez : ce qui compte ce n'est pas ce qui est écrit, c'est ce qui est réellement vécu dans l'entreprise.

"Documenter ce que nous voulons faire", c'est bien à condition que cela passe dans les actes. L'auditeur de certification regardera les actes et vérifiera que la documentation y correspond.

Il vaut mieux dire "nous avons bien documenté ce que nous faisons" couplé à la phrase : "ce que nous faisons est ce que nous voulons pour réduire nos risques de sécurité".


"Avec la certification, la Direction peut être rassurée : tout ira bien"

La certification ne plonge pas l'entreprise dans un état de nirvana permanent où la direction s'endort !

Ce serait même plutôt le contraire car la Direction est sollicitée doublement par la norme :
  • pour impulser la démarche et l'amélioration continue
  • pour vérifier et corriger le tir par des revues de direction régulière

Avec un bon SMSI, la direction tient le volant en main et voit l'état de la route et de la trajectoire ! Pas question de s'endormir !


"Aucun client ne pourra nous prendre en faute : nous sommes certifiés"

Un peu de théorie : un SMSI sert à traduire dans la pratique de l'entreprise les exigences sécurité des "parties intéressées" et donc des clients dans le cas présent.

Un SMSI oblige à prendre en compte -dans le cadre de la politique de l'entreprise- les exigences des clients pour les traduire en mesures à respecter. Si un client est plus exigeant que tous les autres jusque là, alors il faudra hausser les protections.

La tournure de la phrase est trompeuse, on devrait dire "les clients savent que leurs exigences seront prises en compte et traduites dans les faits".

Encore une fois, un SMSI est une "machine à traduire dans des mesures de sécurité les exigences des parties intéressées selon l'appréhension du risque de la direction".

Emmanuel Besluau
Jeudi 15 Juin 2017

Home Home    Mail Mail    Print Print    Zoom + Zoom +    Zoom - Zoom -    Share Share


Articles du même auteur :

Halte aux PCA bidons ! - 19/01/2014

1 2