D’abord, « être conforme”, qu’est-ce que ça signifie pour une entreprise?
Tout simplement respecter des réglementations ou certains standards qui s’appliquent à son industrie, ou qui sont requis par certains types de clients.
Ex. Certaines organisations qui conservent des données issues de cartes de crédit sont soumises aux normes de sécurité PCI.
Quand on parle de conformité des TI, on parle essentiellement de sécurité, et beaucoup de certifications comme :
- ISO 27001 pour la sécurité des systèmes d’information
- ISO 27018 pour la protection des données à caractère personnel dans le Cloud
- ISO 27017 pour la sécurité des services dans le nuage
Comme bien des PME non technologiques, l’évocation de ces normes de sécurité peut vous amener les réflexions suivantes :
Quelques idées reçues des PME concernant la conformité TI en sécurité
Ce n’est pas pour moi, je ne suis soumis à aucune obligation.
Bon point. Mais, avec l’essor rapide des technologies en milieu de travail, protéger vos TI, vos employés, ou les données de vos clients et partenaires peut devenir un enjeu. Avez-vous correctement sécurisé le télétravail implanté ces derniers mois dans votre entreprise? Que dire de votre nouveau processus de commerce en ligne?
Ce n’est pas pour moi, je ne suis pas une entreprise de services/solutions informatiques.
Certes. Mais, comme toutes les entreprises, vous avez un « joyau » à protéger. Recette secrète de produit, liste confidentielle de fournisseurs, procédé de fabrication unique : une certification vous garantit de passer au crible vos processus, vos systèmes et vos plans de continuité TI pour le mettre à l’abri des regards indiscrets.
Pas besoin, je n’ai jamais été attaqué!
En êtes-vous sûr? Les pirates ne laissent pas de cartes lors de leurs passages! La mise en place d’une norme de sécurité – en fonction du périmètre pertinent pour vos activités – identifie vos failles, car on y teste toutes les “portes d’entrée” de vos systèmes d’information. Sinon, vous restez dans le domaine des suppositions.
Ça me coûterait trop cher de me faire certifier (versus ce que ça me rapporte)
Oui, la certification a un coût variable en fonction d’où on part, d’où on veut aller et de ce qu’on veut protéger. Mais combien vous coûterait la récupération de vos données en cas d’attaque par rançongiciel? Ou un vol de données? Voyez l’investissement dans une certification comme une assurance, même si l’infaillibilité à 100% n’existe (malheureusement) pas.
La conformité TI est donc souvent perçue comme une contrainte. Ou comme un projet utile, mais pas nécessaire pour une PME. Cette démarche rigoureuse est pourtant une opportunité d’entrer dans un cycle d’amélioration continue bénéfique à de nombreux points de vue.
Quels avantages à passer une certification TI en sécurité?
- Relevez votre niveau de sécurité, peu importe votre situation de départ
Travailler sur ses processus, ses systèmes et sa sensibilisation, c’est améliorer la prise de conscience en interne sur ce sujet devenu crucial. On ne vous demande pas d’être parfait dès la première tentative de certification, mais d’augmenter progressivement le niveau de maturité de votre entreprise. Pour tirer tous les bénéfices de la démarche, définissez la certification et le périmètre les plus adaptés à votre cœur de métier. - Inspirez confiance à vos clients et partenaires
L’impact sur le plan de l’image est significatif. Une certification peut vous aider à gagner de nouveaux clients, ou vous éviter d’en perdre. Certains l’exigent directement dans leurs appels d’offres, d’autres y voient un avantage concurrentiel pour choisir leur fournisseur. C’est une preuve (validée par une tierce partie) que vous faites votre possible pour sécuriser la relation d’affaires, et ainsi éloigner le risque de faire les manchettes pour vol d’informations. - Prenez le chemin d’une performance durable
La conformité des TI en matière de sécurité s’inscrit dans une bonne gouvernance de votre entreprise. C’est un des aspects à considérer concernant sa santé globale. Une donnée supplémentaire pour anticiper les problèmes, prendre des décisions éclairées, et ainsi assurer sa pérennité à long terme.
Chez R2i, on prend la conformité TI très au sérieux. Certifiés ISO 27001, 27017 et 27018, nous avons l’expertise pour vous accompagner dans ces deux certifications afin de rendre votre PME conforme aux meilleurs standards de sécurité, en fonction de votre industrie. N’hésitez pas à nous contacter pour en discuter.