Aikido vient de passer le cap de la certification ISO 27001:2022 et SOC 2 Type 2. Et l'une des choses que nous aurions aimé avoir, c'est des conseils pratiques, sans prise de tête, sur la façon de commencer. Les meilleures pratiques, les choses à surveiller - essentiellement des conseils de quelqu'un qui est déjà passé par le processus de certification ISO 27001.
En savoir plus sur le chemin parcouru par l'Aïkido pour devenir conforme à la norme ISO 27001:2022 et sur les exigences de la norme ISO 27001.
C'est la raison pour laquelle nous avons rédigé cet article de blog : pour aider toute personne travaillant dans une entreprise SaaS qui envisage de se mettre en conformité avec la norme ISO:27001.
8 choses que nous avons apprises au cours du processus de certification ISO 27001
1. Sachez dans quoi vous vous engagez
Si vous n'avez jamais fait cela auparavant, la première chose à faire est de demander à vos amis et à vos relations d'affaires. Vous trouverez probablement quelqu'un qui est passé par là, alors contactez-le et demandez-lui conseil.
Si vous ne trouvez vraiment personne, vous pouvez prendre contact avec un auditeur préalable. Sachez qu'ils essaieront de vous vendre des services, ce qui est compréhensible.
Quoi qu'il en soit, il est vraiment utile d'avoir une bonne idée de la manière dont tout cela fonctionne. Vous gagnerez ainsi du temps et obtiendrez plus rapidement votre certificat ISO 27001.
2. Faites savoir que vous travaillez à la mise en œuvre de la norme ISO 27001.
Les gens apprécient que vous mentionniez que vous êtes en train de mettre en œuvre la norme ISO 27001. Ils seront ravis de savoir qu'ils auront moins de soucis à se faire dans un avenir proche. Ce qui, en retour, favorisera vos ventes et vos conversions. Mentionnez-le donc sur votre site web, dans les conversations de vente, sur LinkedIn, etc. Faites savoir à vos utilisateurs que vous rendez votre produit plus conforme.
3. Décider de la norme ISO 27001 à mettre en œuvre (2013, 2017 ou 2022)
2022 comporte beaucoup plus de contrôles concernant le codage sécurisé et la sécurité des logiciels. (par exemple, la détection des logiciels malveillants est un nouveau contrôle). Cela signifie que sa mise en œuvre nécessite plus de travail que celle d'une version plus ancienne. Si vous optez pour l'une des normes les plus récentes, elle nécessitera davantage de contrôles, mais vous serez déjà prêt pour l'avenir. Il est donc probablement préférable d'opter pour la version 2022.
Petit conseil: la certification ISO 27001 doit faire l'objet d'un audit complet tous les trois ans. Il est donc préférable de ne pas opter pour la norme ISO 27001:2013, car elle n'est valable que pour deux ans.
Chaque version de la norme ISO 27001 encadre également différemment le processus de gestion des risques. La version 2022 comprend des exigences de certification actualisées qui reflètent l'évolution des risques de cybersécurité. Il est donc important pour les entreprises de mettre en place un processus de gestion des risques solide afin d'identifier, d'évaluer et d'atténuer ces risques.
Notez que, si vous êtes une grande entreprise mature, vous préférerez peut-être opter pour la version 2017, car elle est mieux établie et risque de perturber moins vos processus existants.
4. Ne pas tout externaliser
Il est risqué d'externaliser l'ensemble du processus... Même s'il est possible de confier l'ensemble du processus à un consultant, je vous le déconseille. Certes, un consultant peut vous aider, vous fournir des modèles, etc. Mais si vous externalisez tout et que vous rencontrez un problème, vous devez savoir comment le gérer. Je vous conseille d'impliquer au moins deux, voire quatre personnes de l'entreprise.
Petit conseil : n'oubliez pas que l'audit final doit être effectué par un organisme de certification accrédité !
5. Obtenez un pentest adapté à votre entreprise
Si vous êtes un éditeur de logiciels, vous devriez choisir un pentester qui se concentrera sur les aspects qui ne sont pas couverts par des outils automatisés tels que OWASP ZAP. Choisissez des pentesters ayant une expérience de chasseur de bogues, plutôt que des pentesters de la "vieille école".
6. Exploiter les normes de conformité et accélérer
Le fait d'être déjà conforme à la norme SOC2 accélère la mise en conformité à la norme ISO. Et il est bon de savoir que, si vous êtes conforme à la norme ISO, NIS2 (une nouvelle réglementation applicable dans l'UE) sera plus facile à mettre en œuvre.
Petit conseil : vérifiez que votre auditeur a été audité (c'est une obligation). Ne vous contentez pas de quelqu'un qui n'a pas les bonnes références, vous risquez de vous faire avoir.
7. Réaliser que personne n'est parfait
L'audit éventuel trouvera toujours des non-conformités et il n'y a pas de mal à être imparfait. Mais vous devez connaître ces imperfections et vous assurer que vous disposez d'un plan d'action formel pour résoudre les problèmes. Il s'agit d'un processus d'amélioration continue qui, à terme, conduira à une meilleure sécurité dans l'ensemble de l'entreprise. Bien sûr, vous n'atteindrez peut-être jamais la "perfection", mais vous devriez faire de votre mieux pour y parvenir !
8. Commencer tôt à mettre en œuvre des outils qui couvrent les contrôles ISO
Si vous envisagez de vous mettre en conformité avec la norme ISO, il est toujours judicieux de tester les outils qui vous aideront à effectuer certains contrôles (et à produire les preuves dont vous avez besoin).
Par exemple, l'ISO exige que vous mettiez en œuvre certains processus concernant les personnes, tels que l'intégration et la désinsertion, la vérification des antécédents, l'attribution et la récupération des actifs de l'entreprise. La mise en œuvre de ces processus dans un système d'information sur les ressources humaines (SIRH) tel qu'Officient, Personio ou Workday, vous permettra d'être opérationnel dès que vous devrez produire vos preuves pour l'ISO.
Il en va de même pour Aikido, qui effectue déjà des vérifications sur 22 contrôles et génère un rapport ISO 27001 complet. Il s'agit là d'un autre excellent exemple d'anticipation dans la préparation de votre ISO.
ISO 27001:2022 gestion de la vulnérabilité technique
Vous êtes sur la voie de la certification ISO 27001:2022 ? Notre plateforme, Aikido Security, répond à tous les besoins de gestion des vulnérabilités techniques pour les applications ISO 27001:2022. Nous avons également décidé de nous associer à des plateformes de contrôle de conformité (comme Vanta ou Drata) pour synchroniser facilement les données et s'assurer que vos informations sur les vulnérabilités sont toujours à jour. Cela vous aide à rester au top de votre posture de sécurité.
Demander notre rapport
N'hésitez pas à demander notre propre certificat ISO 27001:2022 directement sur notre page de présentation de la sécurité. Nous sommes plus qu'heureux de partager les fruits de notre dur labeur ! 😉
J'espère que ce billet vous sera utile. J'aurais certainement aimé connaître tous ces conseils lorsque nous avons entamé le processus. Si vous envisagez la certification ISO, contactez-moi sur LinkedIn et je me ferai un plaisir de vous faire part de mes observations !
.jpg)
.svg)
.jpg)
.jpg)
.jpg)
