Les articles WELIOM
ISO 27001 : 8 CONSULTANTS WELIOM CERTIFIÉS ET UNE DÉMARCHE D’ACCOMPAGNEMENT ORIGINALE ET OUTILLÉE
Accompagner les établissements de santé à sécuriser leurs processus SI fait partie intégrante des missions de WELIOM, Cabinet de conseil leader en stratégies de transformation du système de santé.
Que ce soit dans le cadre d’une certification HDS ou dans la mise en œuvre de la directive NIS, la certification ISO 27001 des activités de la DSI en support des processus métiers est une stratégie gagnante.
Certification ISO 27001 : quels avantages ?
La définition et la mise en œuvre opérationnelle d’un Système de Management de la Sécurité de l’Information (SMSI) permet d’agir sur tous les volets de la sécurité :
- l’organisation : par le déploiement d’un système de gouvernance cadré de la sécurité, dans le cadre d’une démarche d’amélioration continue de type PDCA,
- les ressources humaines : par l’encadrement des pratiques des agents de la DSI et leur plus forte responsabilisation dans la sécurité du SI,
- la gestion des actifs matériels et logiciels du SI,
- l’analyse régulière des risques pesant sur le SI et sur ses actifs en support,
- la production d’indicateurs de suivi et de pilotage de la sécurité,
- le contrôle continu du respect des mesures de sécurité, par des campagnes d’audits régulières, menées en interne (par le RSSI et / ou le responsable du SMSI) ou en externe, par le recours à des sociétés spécialisées.
En s’engageant dans la démarche de certification, une DSI va non seulement muscler ses processus de travail, mais également répondre de façon directe à bon nombre des exigences portées par le réglementaire et les programmes d’Etat (PSSI-MCAS, PGSSI-S, PSSI locale, prérequis HOP’EN, SUN-ES du SEGUR Numérique, RGPD, Directive NIS…) et se préparer ainsi à l’application du référentiel Maturin-H.
Vincent TRELY, Directeur associé WELIOM, précise l’intérêt de la certification : « L’ISO 27001 permet d’inscrire la sécurité des SI dans une démarche cadrée et « irréversible », tout comme un processus qualité classique. Je conseille à nos Clients de se lancer dans cette certification, sur le périmètre de la DSI au service des processus métiers. Il est donc naturel de certifier nos consultants, pour qu’ils maitrisent la norme et son état d’esprit, et pour qu’ils puissent délivrer cette compétence dans le cadre de nos missions de conseil stratégique et opérationnel. »
Quelles difficultés ?
A la question « est-ce compliqué de certifier son SI ? », le Directeur répond avec pragmatisme : « Avec les DSI que j’accompagne, nous constatons qu’une partie des politiques et procédures à rédiger et à mettre en œuvre sont déjà opérationnelles, mais pas documentées. 30 à 40% de la norme est donc déjà en vigueur, sans qu’on l’ait formalisée ! Pour le reste, il s’agit de travailler sur le cadrage des actions de la DSI (gestion des évolutions, sauvegardes, management des actifs, dont les actifs de sécurité, suivi des risques, gestion des droits…), sur le suivi des risques et sur le contrôle continu de la conformité. Il faut comprendre que mettre en œuvre la norme, c’est avant tout s’engager sur un chemin vertueux progressif. »
C’est un projet valorisant pour une DSI, et notre rôle est de faire en sorte qu’il soit vécu comme une opportunité et surtout pas comme une punition.
Vincent Trély – Directeur associé WELIOM
WELIOM sait évaluer rapidement l’écart à la norme et répondre aux interrogations des DSI.
Pour réaliser votre étude, n’attendez pas ! Contactez Vincent TRELY : vtrely@weliom.fr
lire
lire
lire