La norme ISO 27001 est une norme internationale d'exigences pour les systèmes de gestion de la sécurité de l'information (Information Security Management Systems, ISMS). Elle évalue le contrôle des risques liés aux actifs numériques et largement répandue dans les entreprises du monde entier. Mais combien coûte exactement la mise en œuvre de cette norme ? Voyons ensemble ce qui vous attend lorsque vous budgétez la mise en œuvre de la norme ISO 27001.
Comme première ressource, vous pouvez télécharger le cadre directement à partir du site Web de l'ISO ici : https://www.iso.org/standard/82875.html.
Le temps nécessaire pour obtenir la certification ISO 27001 dépend principalement de la taille de l’organisation et du périmètre évalué. En général, cela va de 6 mois pour les petites entreprises, à 18 mois ou plus pour les plus grandes. Pendant cette période, votre organisation devra passer en revue ses actions existantes afin de s'assurer qu'elles répondent aux exigences définies par la norme. Cela comprend la réalisation d’un audit des risques, la création de politiques et de procédures, la formation du personnel, et l'élaboration de plans de réponse à incident.
Le coût de la mis en conformité est un facteur primordial pour les entreprises qui envisagent de mettre en œuvre la norme. Il est important de comprendre que ce coût dépend largement de la taille de votre organisation, ainsi que des ressources dont vous disposez. Vous devez tenir compte de facteurs tels que le nombre d'employés, de projets déployés, et de processus qui nécessiteront une certification. Ces coûts seront les seuls décrits ici, car toutes les autres variables dépendent de votre posture de sécurité existante.
L'ISO 27001 étant un processus à plusieurs niveaux, attendez-vous à trois types de coûts principaux :
Votre travail préliminaire consistera à comprendre dans quelle mesure votre posture actuelle est éloignée des exigences de la norme. Vous avez 3 possibilités :
Vous pouvez engager un employé à plein temps (si votre entreprise peut en supporter la charge), soit confier la tâche à un employé que vous avez déjà.
À première vue, la voie du Do It Yourself peut apparaître comme la plus rentable. Cependant, lorsque l'on analyse le coût total du projet mené par une équipe interne sans aucune assistance extérieure, on se rend compte que cette option est très coûteuse. Un poste d’expert en gouvernance qui requiert les compétences et l'expertise nécessaires pour franchir l’étape de la certification peut coûter jusqu’à 75 000€ par an !
D'autre part, en décomposant ce chiffre, on peut calculer le coût journalier de cet expert gouvernance à environ 300€. Essayons de calculer le coût associé à l’allocation du temps d’un employé que vous avez déjà. Avec un délai estimé entre 2 et 4 mois pour achever l'étape de préparation, mettre un employé sur ce projet reviendrait à dépenser entre 12 000€ et 24 000€. En outre, un non-professionnel de la conformité peut avoir besoin d'utiliser une plateforme automatisée pour mettre en œuvre le projet.
Investir dans une plateforme de gouvernance automatisée telle que Vanta ou Drata peut être un moyen efficace de réduire les coûts. Grâce aux automatisations et à la mise à disposition de templates, une telle plateforme peut considérablement réduire votre charge de travail.
Les plateformes proposent généralement une mise en conformité en quelques semaines plutôt qu'en quelques mois, ce qui signifie que vous pourriez réduire considérablement les coûts. Même en tenant compte du coût de la plateforme, estimé à 10 000€, cette option reste un des plus abordables. En outre, l'utilisation d'un tel logiciel offre bien plus que des économies brutes ; elle permet également de garantir la conformité avec toutes les autres réglementations et normes liées à la protection des données, telles que le RGPD.
Attention toutefois, les coûts de la plateforme ne sont que des frais initiaux. Ils ne prennent pas en compte les connaissances nécessaires pour appliquer les recommendations, ni le temps que quelqu'un doit y passer à un moment donné. On pourrait ajouter à ces frais une partie du salaire de l'employé en charge du projet de conformité, que nous avons estimé dans la partie précédente.
Faire appel à un consultant ou à un prestataire externe pour l'étape de préparation à l’ISO 27001 peut être un moyen efficace d'économiser à court terme. Cependant, n'oubliez pas que la partie la plus difficile de la norme est en fait de la maintenir, et non de l'obtenir. L'embauche d'une ressource interne peut être utile pour économiser sur les frais de renouvellement.
Les honoraires varient généralement entre 1 000 et 1 800€ par jour ou plus pour une mise en œuvre complète, ce qui représente un coût global de 20 à 30 000€.
Une fois que vous avez terminé les préparatifs, il est temps de vous lancer pour de vrai. Ce projet peut impliquer la formation des collaborateurs, l'achat d'outils de sécurité, ainsi que la perte de productivité due au temps consacré aux projets de conformité. Ces coûts peuvent varier considérablement en fonction des ressources dont vous disposez et de vos besoins spécifiques en matière de sécurité.
Ce poste couvre le coût de la formation de votre personnel aux exigences de la norme ISO 27001, ainsi qu'à la sensibilisation à la sécurité et aux meilleures pratiques. La formation est essentielle pour garantir que le personnel est conscient des politiques, procédures et directives de sécurité qu'il doit suivre afin de maintenir un environnement sécurisé.
La formation doit couvrir les points suivants
Il est important que tout le contenu de formation soit personnalisé à votre organisation, afin qu'il réponde au mieux à vos besoins propres. En outre, la formation doit être mise à jour régulièrement, car les menaces et les protocoles de sécurité changent au fil du temps.
Enfin, l'efficacité de la sensibilisation des collaborateurs doit être évaluée régulièrement afin de maintenir une culture sécurité maximale. Cette évaluation doit inclure un feedback de la part des collaborateurs sur leur compréhension des politiques et procédures de sécurité, ainsi que des tests permettant d'évaluer leur capacité à les appliquer dans la pratique.
En offrant à votre personnel une formation complète conforme à la norme ISO 27001, vous vous assurez que chacun est aligné pour créer et maintenir un environnement sécurisé pour votre entreprise. Et ainsi vous protégerez non seulement vos données, mais vous contribuerez également à instaurer la confiance entre vous et vos clients.
Les outils pour vous mettre en conformité constituent une dépense supplémentaire. Il est impossible de prévoir le coût de ces dépenses, car il dépendra de ce dont vous avez besoin et du type de technologie nécessaire.
Vous devez également prendre en compte le coût de la formation du personnel à l'utilisation de tout nouveau logiciel et veiller à prévoir un budget pour la maintenance et l'assistance.
Outre l'achat du logiciel, votre organisation devra peut-être investir dans d'autres aspects de la conformité qui nécessitent du matériel supplémentaire. Par exemple, si vous devez mettre en œuvre le chiffrement des données sur tous les appareils, cela peut nécessiter une mise à niveau du parc informatique existant ou l'achat de nouveaux postes. Toute mise à niveau ou sauvegarde de serveur requise doit également être prise en compte lors de la budgétisation des coûts de compliance.
Vous devrez peut-être aussi acquérir des logiciels de surveillance du réseau, qui peuvent détecter du trafic inhabituel, des tentatives d'accès non autorisé, et d'autres activités suspectes. Ce type de système est essentiel pour aider les organisations à minimiser leurs risques et à s'assurer qu'elles restent conformes. Le coût de ces outils dépendra du type de surveillance et d'analyse nécessaire, ainsi que de tout matériel ou logiciel supplémentaire requis.
Il s'agit des heures de productivité perdues en raison du temps supplémentaire requis pour le projet de mise en conformité. Si on demande aux collaborateurs de mettre en pause leurs tâches habituelles pour se concentrer sur l’ISO, il leur faudra plus de temps pour accomplir les mêmes tâches et cela peut entraîner des retards dans d'autres projets. La conformité exige des ressources et du temps qui pourraient être utilisés ailleurs. Il existe donc un coût d’opportunité lié à ce projet. En outre, si une entreprise ne se conforme pas à certaines réglementations, elle peut se voir infliger des pénalités ou des amendes, ce qui peut réduire encore davantage ses bénéfices potentiels.
Les coûts d'opportunité sont un mal nécessaire si vous voulez prendre de l'avance sur votre posture de sécurité. Si vos systèmes tombent en panne ou ne sont pas correctement gérés, cela peut conduire à des brèches de données aux graves conséquences. Il peut s'agir de pertes financières, d'une atteinte à votre réputation, voire de sanctions réglementaires. La conformité est donc essentielle pour assurer la sécurité des données des clients. Les mesures de conformité sont également nécessaires pour rester compétitif sur le marché actuel. Pouvoir afficher une norme comme l’ISO est un vrai avantage sur vos concurrents !
Un audit interne préliminaire est nécessaire pour mettre en place l’ISO 27001. Une fois que vous aurez effectué tous les préparatifs et mises en œuvre nécessaires, un auditeur tiers indépendant évaluera votre ISMS par rapport aux exigences de la norme et délivrera une certification si vous respectez ou dépassez les attentes.
La certification est valable pendant trois ans, après quoi le maintient de la norme doit être vérifié par des audits réguliers.
Audit de l'étape 1
Le processus initial de certification ISO 27001 comprend deux étapes distinctes.
Au cours de l'étape 1, un auditeur examinera la manière dont est conçue la documentation de votre ISMS pour s'assurer qu'il répond aux exigences de la norme. Il s'agit d'un audit superficiel et documentaire, qui prépare le terrain pour le "vrai audit" de l'étape 2.
Il peut s'agir d’une analyse de l'architecture de sécurité et des politiques de déployées, ainsi que d’une vérification de la bonne application des politiques. En outre, l’auditeur vérifiera que toutes les non-conformités ont été traitées, afin que vous puissiez être sûr que votre SMSI est sécurisé et conforme à la norme ISO 27001.
Audit d'étape 2
En une phrase, l'étape 2 de l'audit est conçue pour s'assurer que tous les aspects de la gestion de la sécurité répondent aux exigences définies par l’ISO. L'auditeur évaluera en profondeur les politiques et méthodologies que vous avez mises en place. Il analysera la manière dont vous gérez la protection des données et les opérations de sécurité, inspectera les mesures de contrôle d'accès au système, vérifiera les plans de réponse à incident, évaluera les mesures de sécurité physique et s'assurera que les utilisateurs sont conscients de leurs responsabilités. L'auditeur examinera également les audits internes et les évaluations réguliers des performances du SMSI afin de s'assurer que tout reste conforme à la norme ISO 27001 au fil du temps.
Une fois que vous aurez obtenu votre certification, un audit interne et un audit de surveillance vous seront demandés chaque année pendant les deux années suivantes. Le coût de ces audits est important, et varie en fonction du nombre de personnes impliquées dans le périmètre.
On peut estimer ce coût à 7 500€ par audit, ce qui ramène le coût des deux processus d'audit à 15 000€ par an. Cela représente une charge financière non-négligeable, mais cela démontre également l'importance de jouer le jeu de la planification avec sérieux. En outre, le non-respect des exigences peut entraîner de graves répercussions, allant jusqu’à l’annulation de la certification. Il est donc essentiel que les organisations certifiées soient pleinement conscientes de leurs obligations lorsqu'il s'agit de mener régulièrement des audits internes et de surveillance.
Bien que la mise en œuvre de la certification ISO 27001 ait un coût, les avantages dépassent largement l'investissement initial. En mettant en œuvre de solides pratiques de sécurité de l'information basées sur les meilleures pratiques, vous pouvez réduire réellement les risques. La mise en place d'un système de gestion de la sécurité de l'information (ISMS) garantit que toute faille de données ou tout autre incident de sécurité sera traité rapidement et efficacement afin de ne pas perturber ou endommager gravement votre activité.
En outre, l'obtention de l'ISO renforce grandement la confiance des clients dans vos produits ou services.
La mise en œuvre d'un ISMS basé sur les normes ISO 27001 est essentielle pour protéger les informations précieuses au sein de toute organisation. Bien que la démarche demande une dépense conséquente -en temps et financièrement- cet investissement initial est rentable pour votre tranquillité d'esprit et la confiance accrue des clients à long terme. En comprenant bien les différentes étapes du processus, vous devriez être en mesure de budgétiser avec précision un projet de mise en œuvre de la norme ISO 27001.