Aikido vient de terminer le processus pour devenir conforme ISO 27001:2022 et SOC 2 Type 2. Et l'une des choses que nous aurions aimé avoir, c'est des conseils pratiques et concrets sur la façon de commencer. Les meilleures pratiques, les points de vigilance – en somme, des astuces de quelqu'un qui a déjà traversé le processus de certification ISO 27001.
En savoir plus sur le parcours d'Aikido pour devenir conforme à ISO 27001:2022 et les exigences ISO 27001.
C'est pourquoi nous avons rédigé cet article de blog : pour aider toute personne au sein d'une entreprise SaaS souhaitant se conformer à la norme ISO:27001.
8 choses que nous avons apprises pendant le processus de certification ISO 27001
1. Sachez à quoi vous vous exposez
Si vous n'avez jamais fait cela auparavant, la première chose à faire est de demander à vos amis et à vos relations professionnelles. Vous trouverez probablement quelqu'un qui a déjà traversé ce processus, alors contactez-les et demandez conseil.
Si vous ne trouvez vraiment personne, vous pouvez prendre contact avec un pré-auditeur. Sachez simplement qu'ils essaieront, à juste titre, de vous vendre des services.
Dans tous les cas, il est vraiment utile de bien comprendre comment tout cela fonctionne. Cela vous fera gagner du temps au final et vous aidera à obtenir votre certificat ISO 27001 plus rapidement.
2. Communiquez que vous travaillez à la mise en œuvre de la norme ISO 27001
Les utilisateurs apprécient que vous mentionniez être en cours d'implémentation de la norme ISO 27001. Ils seront ravis de savoir qu'ils auront moins de préoccupations à l'avenir, ce qui contribuera à augmenter vos ventes et vos conversions. Mentionnez-le donc sur votre site web, lors de vos entretiens commerciaux, sur LinkedIn, et ailleurs. Faites savoir à vos utilisateurs que vous rendez votre produit plus conforme.
3. Décidez quelle norme ISO 27001 mettre en œuvre (2013, 2017 ou 2022)
La version 2022 comporte beaucoup plus de contrôles concernant le codage sécurisé et la sécurité logicielle (par exemple, la détection de logiciels malveillants est un nouveau contrôle). Cela signifie qu'elle demande plus de travail à mettre en œuvre qu'une version plus ancienne. Si vous optez pour l'une des normes les plus récentes, cela nécessitera plus de contrôles, mais vous serez déjà préparé pour l'avenir. Il est donc probablement préférable d'opter pour la version 2022.
Conseil rapide : La certification ISO 27001 nécessite un audit complet tous les trois ans. Cela signifie qu'il est préférable de ne pas opter pour l'ISO 27001:2013, car elle n'est valable que pour deux années supplémentaires.
Chaque version de la norme ISO 27001 encadre également différemment le processus de gestion des risques. La version 2022 inclut des exigences de certification mises à jour qui reflètent l'évolution des risques de cybersécurité. Il est donc important pour les entreprises de disposer d'un processus de gestion des risques robuste pour identifier, évaluer et atténuer ces risques.
Notez que si vous êtes une grande entreprise mature, vous pourriez préférer opter pour la version 2017, car elle est plus établie et pourrait entraîner moins de perturbations dans vos processus existants.
4. Ne pas tout externaliser
Il est risqué d'externaliser l'ensemble du processus... Même s'il est possible d'externaliser l'ensemble du processus à un cabinet de conseil, je le déconseillerais. Bien sûr, un consultant peut certainement aider, fournir des modèles, et ce genre de choses. Mais si vous externalisez tout et que vous rencontrez un problème, vous devez savoir comment le gérer. Mon conseil est d'impliquer au moins deux, et jusqu'à quatre, personnes de l'entreprise.
Conseil rapide : N'oubliez pas que l'audit final doit être réalisé par un organisme de certification accrédité !
5. Obtenez un pentest adapté à votre entreprise
Si vous êtes une entreprise de logiciels, vous devriez choisir un pentester pour se concentrer sur les aspects non couverts par les outils automatisés comme OWASP ZAP. Privilégiez les pentesters ayant une expérience de bug bounty hunter, plutôt que les pentesters « à l'ancienne ».
6. Exploiter les normes de conformité et accélérer
Être déjà conforme SOC2 accélère la conformité ISO. Et il est bon de savoir que, si vous êtes conforme ISO, NIS2 (une nouvelle réglementation applicable dans l'UE) sera plus facile à gérer.
Conseil rapide : Vérifiez que votre auditeur a lui-même été audité (c'est une exigence). Ne vous contentez pas de quelqu'un sans les bonnes références, ou vous pourriez vous faire avoir.
7. Réalisez que personne n'est parfait
L'audit éventuel trouvera toujours des non-conformités et il est acceptable d'être imparfait. Mais vous devez connaître ces imperfections et vous assurer d'avoir un plan d'action formel pour résoudre les problèmes. C'est un processus d'amélioration continue qui mènera finalement à une meilleure sécurité au sein de votre entreprise. Bien sûr, vous n'atteindrez peut-être jamais la « perfection », mais vous devriez faire de votre mieux pour y parvenir !
8. Commencez tôt à implémenter des outils qui couvrent les contrôles ISO
Si vous envisagez d'obtenir la conformité ISO, il est toujours judicieux de faire un essai des outils qui vous aideront à couvrir certains contrôles (et à produire les preuves dont vous avez besoin).
Par exemple, la norme ISO exige la mise en œuvre de certains processus relatifs aux personnes. Par exemple, l'onboarding, l'offboarding, les vérifications d'antécédents, l'attribution et la récupération des actifs de l'entreprise. L'implémentation de ces processus dans un système d'information des ressources humaines (SIRH) tel qu'Officient, Personio ou Workday, vous aidera à démarrer rapidement au moment de produire vos preuves pour l'ISO.
C'est la même chose avec Aikido, qui effectue déjà des vérifications sur 22 contrôles et génère un rapport ISO 27001 complet. C'est un excellent exemple pour prendre de l'avance dans la préparation de votre ISO.
ISO 27001:2022 gestion technique des vulnérabilités
Sur votre propre chemin vers la certification ISO 27001:2022 ? Notre plateforme, Aikido Security, répond à tous les besoins de gestion technique des vulnérabilités pour les applications ISO 27001:2022. Nous avons également décidé de nous associer à des plateformes de surveillance de la conformité (comme Vanta ou Drata) pour synchroniser facilement les données et garantir que vos informations sur les vulnérabilités sont toujours à jour. Cela vous aide à maintenir facilement votre posture de sécurité.
Demander notre rapport
N'hésitez pas à demander notre propre certificat ISO 27001:2022 directement sur notre page d'aperçu de la sécurité. Nous sommes plus qu'heureux de partager les fruits de notre travail acharné ! 😉
J'espère que cet article de blog vous sera utile. J'aurais certainement aimé connaître tous ces conseils lorsque nous avons commencé le processus. Si vous explorez la certification ISO, connectez-vous avec moi sur LinkedIn et je serai ravi de partager mes connaissances !
Sécurisez votre logiciel dès maintenant.
.jpg)
