Évidemment, on notera la grande pertinence de l'image en haut de cet article. Et le choix un peu provocateur du titre ... C'est pleinement assumé.

Il y a une raison à cela : en 3 semaines, je suis tombé déjà deux fois sur de magnifiques certificats ISO 27001 qui ne tenaient pas leurs promesses. En particulier dans le contexte dans lequel j'évoluais.

Une fois à l'accueil d'une entreprise que je visitais (vous savez, sur ce mur qui affiche les certificats et récompenses de l'entreprise). Une fois sur le site d'une entreprise que j'étudiais dans un contexte d'évaluation fournisseurs.

Évidemment je l'ai fait remarquer aux entreprises concernées. Avec plus de tact que dans le titre (for sure) !

Le directeur de la première entreprise est tombé de sa chaise. Le second m'a avoué du bout des lèvres qu'il se doutait des limites de son approche et qu'il pensait mettre de l'ordre dans tout ça. Un jour.

Sachant que mon évaluation se faisait dans le contexte d'un marché exigeant, la seule conclusion possible était que "un jour" devait se transformer en "dans l'urgence".

Ce qui aurait pu être facilement évité avec une approche "dès le début" ;-)

Le risque du certificat ISO 27001 "facile"

Obtenir la certification ISO 27001 devient le Graal pour beaucoup de PME. C’est le sésame qui rassure les grands comptes, ouvre les portes des appels d’offres, prouve que vous prenez la cybersécurité au sérieux. Bref, un incontournable.

La promesse ? Un tampon obtenu sans trop d'efforts. Ce qui est vrai, d'ailleurs.

Avec, pour celles et ceux qui veulent bien y croire, un risque réel et sérieux sur plusieurs aspects, parce que le magnifique certificat que vous allez recevoir n'a pas toujours la valeur attendue vis-à-vis de l'ISO.

• En termes d'image, vous affichez une certification qui n'existe pas hors de l'organisme qui a délivré le document. Elle est non transférable dans un autre organisme, puisque non reconnue par ailleurs. On a vu mieux pour gagner la confiance du marché.
• Si vous cherchez à obtenir des certifications complémentaires dont le prérequis est d'être certifié ISO 27001, vous allez devoir revoir vos ambitions car vous risquez de ne pas remplir toutes les conditions.
• Votre certificat ne sera jamais visible sur le site de référence ( https://www.iafcertsearch.org/ ). Celui de vos concurrents, oui.
• Si vous avez répondu "oui" à la question "disposez-vous d'une certification ISO 27001 délivrée par un organisme accrédité", vous prenez un risque contractuel. Vous pourriez même devoir choisir entre passer pour une société naïve ou pour une société qui triche (un indice, les deux choix sont mauvais).
• Personne ne vient contrôler l'organisme qui vous donne un certificat de ce type. Est-il compétent ? Les auditeurs sont-ils formés et évalués ? Peut être que oui, mais sans un tiers de confiance pour le garantir, personne ne sait. 
• Si vous souhaitez revenir dans le giron d'un organisme accrédité, vous allez devoir lancer le processus réel de certification pour rattraper les choses et revenir dans le cycle normal. Ce qui va prendre du temps même si, avec un peu de chance, votre Système de Management est robuste.

Comment reconnaître un certificat douteux ?

C'est souvent un certificat qui joue sur les mots, par exemple en disant "approuvé" et non pas "certifié".

Ensuite, c'est un certificat qui affiche le nom de la société qui le délivre, mais pas celui de l'organisme d'accréditation (obligatoire sinon).

En France, c’est le COFRAC (Comité Français d'Accréditation) qui accorde ce privilège. Dans d'autres pays, on parlera de l'UKAS (Royaume-Uni), du DAkkS (Allemagne), etc. Tous ces organismes officiels sont regroupés au sein de l'IAF (International Accreditation Forum).

Le piège est subtil. Certains organismes non accrédités utilisent des termes flous comme :

• " Certifié par notre institut partenaire"
• " Système approuvé conforme aux normes ISO"
• " Enregistré auprès de notre registre privé"
• " Registered company" sous le nom de l'organisme.
• Un logo avec de jolies palmes, mais pas le couple certificateur/accréditeur.

Plus un certificat joue sur l’ambiguïté, et plus le risque est grand que le processus d'évaluation soit discutable et difficile à transférer.

Dans le cas de la première entreprise citée en début d'article, la direction pensait clairement disposer d'une certification reconnue et efficace. Un audit rapide a montré des non-conformités (majeures) sur pas mal d'aspects.

Revenons aux fondamentaux

La certification ne doit pas être une simple case à cocher pour faire plaisir à un client ou faire illusion sur le marché. C’est un levier de croissance et de protection pour votre activité.

ISO 27001 agit comme un véritable catalyseur de confiance. S'appuyer sur un organisme non accrédité, c'est construire votre sécurité sur des raccourcis et prendre le risque d'endommager les relations ou la confiance des tiers.

De mon coté, je n'accompagne que vers des certification via des organismes certificateurs accrédités, en bâtissant un système de management de la sécurité de l'information (SMSI) opérationnel et résistant..

Un doute sur un prestataire ou sur la validité d'une proposition commerciale ? Ne prenez pas de risque avec votre réputation, sollicitez mon avis. J'adore le donner, comme tout le monde ;-)

Même chose si vous disposez d'un certificat "non IAF" et que vous souhaitez passer le cap ou auditer la réalité de vos pratiques. En très peu de temps, vous pouvez savoir où vous en êtes exactement.

Prenons le temps d'en discuter. C'est sans le moindre engagement.