Mickaël Ferton (auditeur et consultant SSI) : « Une entreprise qui respecte la norme ISO 27001 apporte la confiance nécessaire à tous ses interlocuteurs »

Auditeur et consultant Sécurité des Systèmes d’Information (SSI) chez Digitemis, Mickaël Ferton accompagne les organisations dans la prise de conscience des risques liés à l’usage du numérique et dans la mise en place de solutions adaptées. Certifié ISO 27001 Lead Auditor depuis quelques semaines, il nous explique dans cet article ce qu’est la norme ISO 27001 et comment obtenir la certification ISO 27001 à titre individuel. Il rappelle l’intérêt pour une organisation de se conformer à cette norme ISO 27001 ou d’être certifiée.

photo de mickael ferton consultant ssi auditeur norme iso 27001

Les questions posées à Mickaël Ferton :

1. Quelles sont tes missions d’auditeur et de consultant SSI ?
2. Qu’est-ce que la norme ISO 27001 ? Pourquoi s’y conformer ou être certifié ?
3. En quoi consiste la certification ISO 27001 Lead Auditor et comment l’obtient-on ?
4. Comment se déroulent les audits ISO 27001 chez Digitemis ?

1. Quelles sont tes missions d’auditeur et de consultant SSI ?

Mickaël Ferton : « Mon métier d’auditeur et de consultant SSI consiste à accompagner les organisations de tout type et de toute taille – indépendamment de leur secteur d’activité – dans la prise de conscience des risques liés à l’usage du numérique ainsi que dans la mise en place de solutions adaptées.

Je le fais de manière informelle, à l’occasion de la sensibilisation des personnels techniques, des managers voire des directions générales. Par exemple, pour les techniciens, le focus se porte sur souvent sur l’état de l’art : quel sont les moyens les plus efficaces aujourd’hui pour répondre à la menace cyber ?

J’accompagne également les entreprises de manière formelle dans l’appréciation de leurs risques. C’est une démarche qui synthétise les risques auxquels l’organisation est soumise. Une fois les risques identifiés, je conseille sur les traitements possibles, aussi bien sur les aspects techniques, organisationnels et juridiques. Il y a des décisions à prendre – par la direction ou par les propriétaires des actifs par délégation – afin de traiter chaque risque (acceptation, évitement, réduction ou encore transfert).

Pour aboutir à une démarche de conseil, cela passe souvent par une démarche d’audit préalable. D’où ma double casquette d’auditeur et de consultant. À l’issue de l’audit, un plan d’action priorisé est fourni au client. Il a souvent besoin d’être accompagné pour le mettre en place. Il m’arrive de faire uniquement du conseil lorsque le client souhaite travailler un sujet sans audit préalable ou lorsque j’interviens en tant que RSSI externe chez ce dernier. »

2. Qu’est-ce que la norme ISO 27001 ? Pourquoi s’y conformer voire être certifié ?

Mickaël Ferton : « ISO 27001 est un cadre normatif, une norme internationale que les entreprises choisissent de suivre ou non. Cette norme contient une liste d’exigences permettant de mettre en œuvre et de maintenir un Système de Management de la Sécurité de l’Information (SMSI). L’objectif du SMSI est d’organiser efficacement la sécurité de l’information, sur un périmètre choisi, en considérant les risques identifiés et en adoptant une démarche d’amélioration continue.

Après application des exigences, une entreprise peut choisir d’être certifiée ISO 27001 pour répondre à des obligations liées à son marché (fournisseurs et clients notamment) ou tout simplement dans l’intention d’apporter la confiance nécessaire à ses parties prenantes. Une entreprise certifiée ISO 27001 par un organisme de certification accrédité l’est pour une durée de 3 ans. Durant cette période, elle est contrainte d’être auditée annuellement par le biais d’audits intermédiaires dits de surveillance puis d’un audit de renouvellement à l’issue de la période. »

3. En quoi consiste la certification ISO 27001 Lead Auditor et comment l’obtient-on ?

Mickaël Ferton : « Il s’agit d’une certification individuelle e cette fois-ci. L’examen atteste de la connaissance des exigences de la norme ISO 27001 – et par extension ISO 27002 – mais aussi le savoir-faire et les qualités personnelles nécessaires à la pratique de l’audit d’un Système de Management, tels que définis dans la norme ISO 19011.

Le schéma classique est de suivre une formation d’une semaine à l’issue de laquelle on passe l’examen. Pour ma part, je n’ai pas fait de formation mais cet examen a nécessité un travail préparatoire : même si nous sommes familiarisés avec la norme ISO 27001, il faut pouvoir maîtriser la terminologie et s’assurer d’un certain nombre de subtilités avant de passer l’examen de Lead Auditor, notamment celles liées à la pratique de l’audit d’un Système de Management (ISO 19011).

La certification ISO 27001 Lead Auditor est valable 3 ans. Elle est déclinée sur plusieurs niveaux :

– en fonction de l’expérience de l’auditeur : de Provisional Auditor à Confirmed Auditor puis Lead Auditor 

– en fonction du score à l’examen : du niveau Élémentaire à Intermédiaire puis Avancé

Cette certification n’est pas obligatoire dans le cadre des audits de SMSI réalisés par Digitemis. Plusieurs collaborateurs disposent néanmoins aujourd’hui de cette certification, assurant à Digitemis une légitimité dans la pratique de l’audit de SMSI. » 

4. Comment se déroulent les audits ISO 27001 chez Digitemis ?

Mickaël Ferton : « Trois types d’audits ISO 27001 sont couramment réalisés chez Digitemis :

État des lieux : nous balayons les exigences de la norme ISO 27001 et nous vérifions l’état de conformité pour chaque exigence. Nous conseillons ensuite l’organisation pour qu’elle puisse atteindre le niveau de conformité nécessaire.

Audit à blanc : de la même manière que l’état des lieux, il s’agit de balayer l’ensemble des exigences de la norme, après la démarche de mise en conformité réalisée par l’organisation et bien sûr avant l’intervention de l’organisme de certification. Nous conseillons ensuite l’organisation pour qu’elle puisse ajuster les éléments nécessaires avant l’audit de certification.

–  Audit interne : nous intervenons régulièrement dans le cadre de l’audit interne annuel, l’une des exigences de la norme. Souvent, nos clients nous sollicitent car ils ne sont pas en mesure de s’appuyer sur des auditeurs internes compétents et impartiaux. Par exemple, il est impossible pour un RSSI d’auditer le SMSI qu’il a lui-même mis en place. Cet audit n’est pas forcément exhaustif, il peut aller de la simple revue des non-conformités détectées lors des précédents audits (interne et surveillance) ou à une démarche plus complète, selon la demande du client. De notre côté, nous participons également à l’impartialité de l’audit en nous assurant que l’auditeur choisi n’a pas conseillé l’organisation les deux dernières années. »

Je partage

Derniers articles

edito digitemis par ludovic de carcouet avril 2022

L’édito de Digitemis, par Ludovic de Carcouët (juin 2022)

Cyber humanum est : l’édito de Ludovic de Carcouët, CEO de Digitemis (juin 2022). L’édition 2022 du Forum International de la Cybersécurité (FIC) qui s’est déroulée à Lille la semaine dernière a montré que le facteur humain demeure le socle d’une politique cyber efficace et ambitieuse. L’humain reste le meilleur garant de la solidité et de la continuité d’un écosystème grâce à son savoir-faire, à sa réflexion, à ses compétences, à sa capacité d‘innovation et de réponse aux problématiques technologiques qui se posent. Il est le plus à même de réguler son rapport à la machine et de doser son usage.

Lire l'article
miniature entretien julien nocetti gafam

Julien Nocetti (spécialiste des enjeux numériques) : « Il existe aujourd’hui une asymétrie entre le pouvoir des Gafam et celui des États » (3/3)

Troisième volet de notre série d’entretiens avec des experts de la cyberstratégie et de la géopolitique. Après Olivier Kempf et Kevin Limonier, c’est au tour de Julien Nocetti – directeur de la chaire ‘Gouvernance du risque cyber’ à Rennes School of Business, enseignant à Saint-Cyr, chercheur à GEODE et à l’IFRI – de répondre à nos questions au sujet de l’influence des Gafam en Europe, de la notion de souveraineté numérique ou des enjeux liés aux nouvelles technologies d’ici 2030.

Lire l'article