Face à l’augmentation des cyberattaques (+15 % en 2024 selon l’ANSSI), sécuriser ses systèmes d’information n’est plus une option. La norme internationale ISO 27001 offre un cadre structurant pour protéger efficacement les données et améliorer en continu sa cybersécurité.
Obtenir la certification permet aux entreprises de prouver leur engagement en matière de sécurité, mais aussi de s’assurer qu’elles ont mis en place des processus solides pour gérer les incidents et s’améliorer en continu. Pourtant, nombreuses sont celles qui abandonnent en cours de route, confrontées à un manque de ressources, à la complexité du processus ou à une perte de sens.
Céline Béni, experte AFNOR BAO en audit et accompagnement ISO 27001, décrypte les principaux freins rencontrés et partage des solutions concrètes pour réussir sa démarche jusqu’à la certification.
1. Bien se préparer et ne pas sous-estimer le temps nécessaire ?
« L’ISO 27001, ce n’est pas inné, c’est une vraie démarche à construire. Il faut commencer par établir un état des lieux des informations à protéger. Ensuite, c’est un énorme travail d’analyse des risques. »
Certaines entreprises pensent pouvoir obtenir leur certification en quelques mois, mais sous-estiment l’ampleur du travail. Il ne s’agit pas seulement de documenter des procédures : il faut cartographier les risques, étudier le patrimoine informationnel de l’entreprise, classifier les données sensibles, et mettre en place des mesures de protection adaptées.
Le conseil de l’experte : Avant de se lancer, il est essentiel d’évaluer son niveau de maturité en cybersécurité avec un diagnostic initial. Cela permet d’identifier les forces et faiblesses et de prioriser les actions à mener.
2. Ne pas s'appuyer uniquement sur les équipes internes
« Dans les DSI, les experts en cybersécurité sont souvent très pris par l’opérationnel et n’ont pas le recul nécessaire pour auditer leur propre système. »
Dans de nombreuses entreprises, la gestion de la sécurité repose sur une équipe réduite, voire une seule personne, qui jongle déjà avec la gestion quotidienne des incidents et des mises à jour techniques. La mise en place d’un système de management de la sécurité de l’information (SMSI) devient alors une charge supplémentaire difficile à absorber.
Le conseil de l’experte : S’appuyer sur un expert externe permet de structurer la démarche, d’apporter un regard neuf et d’éviter les biais internes. Un accompagnement ponctuel ou un audit interne réalisé par un expert indépendant peut faire gagner un temps précieux.
3. Impliquer les équipes opérationnelles
« Je vois des entreprises qui ont voulu aller vite, qui ont externalisé toute leur mise en conformité … pour obtenir un système « hors sol » et des collaborateurs qui n’ont pas intégré la démarche », explique Céline Béni.
90 % des cyberattaques trouvent leur origine dans une erreur humaine. Certaines organisations adoptent une approche très académique, en copiant des procédures types qui ne sont ni adaptées, ni comprises par les équipes. Résultat : un système inefficace qui ne protège pas réellement l’entreprise.
Le conseil de l’experte : Impliquer les équipes opérationnelles dès le début, notamment lors des ateliers d’analyse des risques, pour que le SMSI reflète réellement les enjeux et contraintes du terrain.
4. Une direction engagée pour une procédure fluide
« Si la direction ne porte pas le projet et ne met pas à disposition les ressources nécessaires, la certification devient un parcours du combattant et perd tout son sens. »
L’ISO 27001 ne se limite pas à la DSI : c’est une démarche stratégique qui touche toute l’entreprise. Sans un engagement clair des dirigeants – à travers l’attribution de budgets, de moyens humains et de temps – le projet s’essouffle rapidement.
Le conseil de l’experte : Sensibiliser les décideurs dès le départ sur les enjeux business de la cybersécurité : protection de la réputation, conformité réglementaire, continuité d’activité, avantage concurrentiel…
