Évidemment, on notera la grande pertinence de l'image d'illustration de cet article. Mais pas que. Parce qu'en 3 semaines, je suis tombé déjà deux fois sur de magnifiques certificats ISO 27001 qui valaient moins que le papier sur lequel ils étaient imprimés. En tout cas dans le contexte dans lequel j'évoluais.

Une fois à l'accueil d'une entreprise que je visitais (vous savez, sur ce mur qui affiche les certificats et récompenses de l'entreprise), une fois sur le site d'une entreprise que je passais en revue pour le compte d'un client commun.

Évidemment je l'ai fait remarquer aux entreprises concernées.  Le directeur de la première entreprise est tombé de sa chaise, tandis que le second m'a avoué du bout des lèvres qu'il se doutait des limites de son approche et qu'il pensait bien mettre de l'ordre dans tout ça un jour. 

Sachant que mon évaluation se faisait dans le contexte d'un marché exigeant, il va devoir le "un jour" se transforme en "dans l'urgence". Ce qui aurait pu être évité.

Le risque du faux certificat ISO 27001 

Obtenir la certification ISO 27001 devient le Graal pour beaucoup de PME. C’est le sésame qui rassure les grands comptes, ouvre les portes des appels d’offres, prouve que vous prenez la cybersécurité au sérieux. Bref, un incontournable.

La promesse ? Un tampon obtenu sans trop d'efforts. Ce qui est vrai, d'ailleurs.

Avec, pour celles et ceux qui veulent bien y croire, un risque réel et sérieux sur plusieurs aspects, parce que le magnifique certificat que vous allez recevoir n'a pas toujours la valeur que vous pensez vis-à-vis de l'ISO.

• En termes d'image, vous affichez une certification qui n'existe pas hors de l'organisme qui a délivré le document. Elle est non transférable dans un autre organisme, puisque non reconnue par ailleurs. On a vu mieux pour gagner la confiance du marché.
• Si vous cherchez à obtenir des certifications complémentaires dont le prérequis est d'être certifié ISO 27001, vous allez devoir revoir vos ambitions car vous risquez de ne pas remplir toutes les conditions.
• Votre certificat ne sera jamais visible sur le site de référence ( https://www.iafcertsearch.org/ ).
• Si vous avez répondu "oui" à la question "disposez-vous d'une certification ISO 27001 délivrée par un organisme accrédité", vous prenez un risque contractuel. Vous pourriez même devoir choisir entre passer pour une société naïve ou pour une société qui triche (un indice, les deux choix sont mauvais).
• Personne ne vient contrôler l'organisme qui vous donne un certificat de ce type. Est-il compétent ? Les auditeurs sont-ils formés et évalués ? Peut être que oui, mais sans un tiers de confiance pour le garantir, personne ne sait.
• Si vous souhaitez revenir sous le couvert d'un organisme accrédité, vous allez devoir lancer le processus réel de certification pour rattraper les choses. Et ça va prendre du temps même si, avec un peu de chance, votre Système de Management est robuste.

Comment reconnaître un certificat douteux ?

C'est souvent un certificat qui joue sur les mots, par exemple en disant "approuvé" et non pas "certifié".

Ensuite, c'est un certificat qui affiche le nom de la société qui le délivre, mais pas celui de l'organisme d'accréditation.

En France, c’est le COFRAC (Comité Français d'Accréditation) qui accorde ce pouvoir. Dans d'autres pays, on parle de l'UKAS (Royaume-Uni), du DAkkS (Allemagne), etc. Tous ces organismes officiels sont regroupés au sein de l'IAF (International Accreditation Forum).

Le piège est subtil. Certains organismes non accrédités utilisent des termes flous comme :

• " Certifié par notre institut partenaire "
• " Système approuvé conforme aux normes ISO "
• " Enregistré auprès de notre registre privé "
• " Registered company" sous le nom de l'organisme.
• Un logo avec de jolies palmes, mais pas le couple certificateur/accréditeur.

Plus un certificat joue sur l’ambiguïté, et plus le risque est grand que le processus d'évaluation soit discutable. Dans le cas de la première entreprise citée en début d'article, la direction pensait disposer d'une certification largement reconnue.

Revenons aux fondamentaux

La certification ne doit pas être une simple case à cocher pour faire plaisir à un client ou faire illusion sur le marché. C’est un levier de croissance et de protection pour votre activité.

ISO 27001 agit comme un véritable catalyseur de confiance. S'appuyer sur un organisme non accrédité, c'est construire votre sécurité sur des raccourcis et prendre le risque d'endommager les relations ou la confiance des tiers.

Parce que si pour l'évaluation vous choisissez cette approche "par facilité", que risque-t-on de penser de votre posture de sécurité ?

De mon coté, je n'accompagne que vers des certification via des organismes certificateurs reconnus, en bâtissant un système de management de la sécurité de l'information (SMSI) qui résistera à tous les examens, même les plus pointus.

Un doute sur un prestataire ou sur la validité d'une proposition commerciale ? Ne prenez pas de risque avec votre réputation.

Prenons le temps d'en discuter. C'est sans le moindre engagement.