Orion light logo
Orion Dark Logo

ISO 27001: Gestion de la sécurité des renseignements

Chez Orion, notre équipe d’experts vous guidera tout au long de la certification. Nos vérificateurs bien informés et sympathiques feront de ce processus une expérience enrichissante qui contribuera à renforcer vos contrôles internes. Les résultats du processus de certification mettront en évidence vos forces, vos faiblesses (non-conformités) et toute possibilité d’amélioration.
Télécharger les documents d'accréditation
Meeting room people smiling - ISO 27001 Certifications

Pourquoi faire appel à Orion pour la certification selon la norme ISO 27001?

Orion possède une longue expérience en matière de délivrance de certifications qui répondent aux préoccupations en matière de sécurité des renseignements dans un monde de plus en plus interconnecté et axé sur l’infonuagique.

Nous sommes actuellement la seule entreprise approuvée par trois associations industrielles pour effectuer les vérifications de leurs membres, et nous récompensons cette confiance en n’ayant recours qu’à des vérificateurs dont le taux de satisfaction globale de la clientèle est de 98 % ou plus. Nos vérificateurs ont plus de 15 ans d’expérience en vérification, ce qui fait d’eux des professionnels chevronnés et éprouvés.

Grâce à notre vaste et longue expérience, nous avons une excellente connaissance et compréhension de l’industrie des technologies de l’information, y compris ses processus, ses logiciels couramment utilisés et sa terminologie.

Par conséquent, nos services de vérification sont efficaces et rentables, et nous travaillerons avec vous pour établir des objectifs communs dès le départ afin de nous assurer que vos besoins sont pleinement satisfaits. Si vous souhaitez obtenir une certification selon plusieurs normes, nous fournissons également des vérifications intégrées afin que vous puissiez obtenir une certification selon de multiples normes en une seule vérification (p. ex., ISO 27001/ISO 9001/ISO 14001/ISO 45001 /ISO 17100 /R2), ce qui vous fera économiser du temps et de l’argent.

L’importance de la norme ISO 27001

L’environnement de travail mondial a considérablement changé dans les dernières années, la pandémie de la COVID-19 ayant contraint de nombreuses entreprises à adopter un régime de travail à distance ou mixte faisant appel à des plateformes infonuagiques. Ce changement ayant entraîné une augmentation spectaculaire de la transmission de documents, de données et de renseignements sensibles sur Internet, la cybersécurité est désormais plus importante que jamais.

Selon le rapport Cybersecurity Ventures du 24 août 2020, les coûts mondiaux de la cybercriminalité devraient augmenter de 15 % par année au cours des cinq prochaines années et atteindre 10,5 milliers de milliards de dollars par année d’ici 2025. Ces coûts sont notamment associés au vol de propriété intellectuelle, de renseignements sur les clients et de données financières personnelles ou d’entreprise, à la perte de productivité, à la fraude, au détournement de fonds, aux rançons pour le verrouillage de systèmes et aux efforts nécessaires pour restaurer les données modifiées ou supprimées.

Une atteinte à la sécurité des renseignements peut avoir des effets dévastateurs sur la réputation d’une organisation et l’exposer à des risques de poursuites éventuelles.

En raison du risque accru d’atteinte à la cybersécurité, la demande de normes de cybersécurité, telle que la norme ISO 27001 Technologies de l’information – Techniques de sécurité, a augmenté. En mettant l’accent sur l’amélioration continue, les entreprises certifiées doivent identifier les renseignements qu’elles essaient de protéger, évaluer les facteurs de risque entourant ces renseignements et mettre en œuvre les contrôles et processus requis pour les protéger.

Ventilation de la norme

Comme d’autres normes ISO telles que la norme ISO 9001, la norme ISO 27001 comporte un ensemble d’exigences fondamentales relatives au système de gestion, telles que l’établissement de buts et d’objectifs, et la réalisation de revues de direction, mais la principale différence réside dans les contrôles de l’annexe A. Cette section identifie 114 contrôles répartis en 14 groupes et 35 catégories de contrôles que l’entreprise doit prendre en compte et justifier ceux qui ne sont pas applicables. 

Les 14 groupes comprennent:

  • A.5 : Politiques de sécurité de l’information (2 contrôles)
  • A.6 : Organisation de la sécurité de l’information (7 contrôles)
  • A.7 : Sécurité des ressources humaines (6 contrôles devant être appliqués avant l’embauche d’un employé, pendant son mandat ou après son départ)
  • A.8 : Gestion des actifs (10 contrôles)
  • A.9 : Contrôle d’accès (14 contrôles)
  • A.10 : Cryptographie (2 contrôles)
  • A.11 : Sécurité physique et environnementale (15 contrôles)
  • A.12 : Sécurité des opérations (14 contrôles)
  • A.13 : Sécurité des communications (7 contrôles)
  • A.14 : Acquisition, développement et maintien des systèmes (13 contrôles)
  • A.15 : Relations avec les fournisseurs (5 contrôles)
  • A.16 : Gestion des incidents de sécurité de l’information (7 contrôles)
  • A.17 : Aspects de la sécurité de l’information liés à la gestion de la continuité des activités (4 contrôles)
  • A.18 : Conformité aux exigences internes, telles que les politiques, et aux exigences externes, telles que les lois (8 contrôles)

Aperçu du processus de vérification

Orion Assessment Services peut accompagner votre entreprise tout au long du processus de certification, depuis la demande initiale jusqu’à son approbation en passant par toutes étapes requises, y compris:
step 1 icon

Signature de l’entente

1

Signature de l’entente

Celle-ci énonce nos conditions générales et doit être signée et renvoyée à Orion, accompagnée de tout accompte requis.
1

Évaluation des lacunes (facultative)

2

Évaluation des lacunes (facultative)

Avant votre vérification de première ou de deuxième étape, Orion vous propose d’effectuer une évaluation des lacunes afin de cerner les principales lacunes dans le respect des exigences de la norme. Cet examen indépendant permettra de déceler les forces, les faiblesses et les améliorations possibles. De nombreuses entreprises préfèrent procéder à une évaluation préliminaire des lacunes afin de s’assurer qu’elles comprennent parfaitement les exigences de la norme avant de procéder aux vérifications aux fins de certification proprement dites.
2

Vérification de première étape : Examen de l’état de préparation

3

Vérification de première étape : Examen de l’état de préparation

Cet examen vise à déterminer si votre organisation est prête à passer à la vérification de deuxième étape (vérification aux fins de certification) en confirmant que :

  • Le système de gestion respecte toutes les exigences de la norme;
  • Le système de gestion a été mis en œuvre et le client est prêt pour la vérification de deuxième étape (vérification aux fins de certification).

Notez que la vérification de deuxième étape (vérification aux fins de certification) ne peut avoir lieu avant qu’une revue de direction et une vérification interne complètes ne soient effectuées.

3

Vérification de deuxième étape : Vérification aux fins de certification

4

Vérification de deuxième étape : Vérification aux fins de certification

Cette vérification sur place vise à s’assurer que les processus et les documents examinés pendant la vérification de première étape (examen de l’état de préparation) sont utilisés et que le système est mis en œuvre conformément aux exigences de la norme. 

Les principaux produits livrables de cette étape comprennent :

  • un rapport de vérification complet qui détaille les aspects positifs, les problèmes à résoudre (non-conformités) et les points à améliorer;
  • une recommandation concernant votre accréditation.
4

Rédaction du rapport de vérification et délivrance du certificat

5

Rédaction du rapport de vérification et délivrance du certificat

Les résultats des vérifications de première et de deuxième étapes sont examinés pour s’assurer que toutes les exigences en matière d’accréditations d’Orion ont été respectées et qu’une recommandation appropriée a été formulée. C’est à cette étape que la certification de votre entreprise est soit approuvée, soit refusée, soit mise en suspens jusqu’à la réception de certains éclaircissements de votre part.
5

Vérification de surveillance et renouvellement de la certification

6

Vérification de surveillance et renouvellement de la certification

La certification est fondée sur un cycle de trois ans. Afin de conserver votre certification, votre organisation doit se soumettre à une évaluation sur place chaque année. Les deux premières évaluations sont des vérifications de surveillance et ne portent que sur une partie de votre système, tandis que la troisième évaluation (renouvellement de la certification) est une vérification plus complète et examine votre système dans son ensemble pour en vérifier l’efficacité continue.
6
step 1 icon

Signature de l’entente

1

Signature de l’entente

Celle-ci énonce nos conditions générales et doit être signée et renvoyée à Orion, accompagnée de tout accompte requis.
1

Évaluation des lacunes (facultative)

2

Évaluation des lacunes (facultative)

Avant votre vérification de première ou de deuxième étape, Orion vous propose d’effectuer une évaluation des lacunes afin de cerner les principales lacunes dans le respect des exigences de la norme. Cet examen indépendant permettra de déceler les forces, les faiblesses et les améliorations possibles. De nombreuses entreprises préfèrent procéder à une évaluation préliminaire des lacunes afin de s’assurer qu’elles comprennent parfaitement les exigences de la norme avant de procéder aux vérifications aux fins de certification proprement dites.
2

Vérification de première étape : Examen de l’état de préparation

3

Vérification de première étape : Examen de l’état de préparation

Cet examen vise à déterminer si votre organisation est prête à passer à la vérification de deuxième étape (vérification aux fins de certification) en confirmant que :

  • Le système de gestion respecte toutes les exigences de la norme;
  • Le système de gestion a été mis en œuvre et le client est prêt pour la vérification de deuxième étape (vérification aux fins de certification).

Notez que la vérification de deuxième étape (vérification aux fins de certification) ne peut avoir lieu avant qu’une revue de direction et une vérification interne complètes ne soient effectuées.

3

Vérification de deuxième étape : Vérification aux fins de certification

4

Vérification de deuxième étape : Vérification aux fins de certification

Cette vérification sur place vise à s’assurer que les processus et les documents examinés pendant la vérification de première étape (examen de l’état de préparation) sont utilisés et que le système est mis en œuvre conformément aux exigences de la norme. 

Les principaux produits livrables de cette étape comprennent :

  • un rapport de vérification complet qui détaille les aspects positifs, les problèmes à résoudre (non-conformités) et les points à améliorer;
  • une recommandation concernant votre accréditation.
4

Rédaction du rapport de vérification et délivrance du certificat

5

Rédaction du rapport de vérification et délivrance du certificat

Les résultats des vérifications de première et de deuxième étapes sont examinés pour s’assurer que toutes les exigences en matière d’accréditations d’Orion ont été respectées et qu’une recommandation appropriée a été formulée. C’est à cette étape que la certification de votre entreprise est soit approuvée, soit refusée, soit mise en suspens jusqu’à la réception de certains éclaircissements de votre part.
5

Vérification de surveillance et renouvellement de la certification

6

Vérification de surveillance et renouvellement de la certification

La certification est fondée sur un cycle de trois ans. Afin de conserver votre certification, votre organisation doit se soumettre à une évaluation sur place chaque année. Les deux premières évaluations sont des vérifications de surveillance et ne portent que sur une partie de votre système, tandis que la troisième évaluation (renouvellement de la certification) est une vérification plus complète et examine votre système dans son ensemble pour en vérifier l’efficacité continue.
6
step 1 icon

Signature de l’entente

Celle-ci énonce nos conditions générales et doit être signée et renvoyée à Orion, accompagnée de tout accompte requis.
1

Évaluation des lacunes (facultative)

Avant votre vérification de première ou de deuxième étape, Orion vous propose d’effectuer une évaluation des lacunes afin de cerner les principales lacunes dans le respect des exigences de la norme. Cet examen indépendant permettra de déceler les forces, les faiblesses et les améliorations possibles. De nombreuses entreprises préfèrent procéder à une évaluation préliminaire des lacunes afin de s’assurer qu’elles comprennent parfaitement les exigences de la norme avant de procéder aux vérifications aux fins de certification proprement dites.
2

Vérification de première étape : Examen de l’état de préparation

Cet examen vise à déterminer si votre organisation est prête à passer à la vérification de deuxième étape (vérification aux fins de certification) en confirmant que :

  • Le système de gestion respecte toutes les exigences de la norme;
  • Le système de gestion a été mis en œuvre et le client est prêt pour la vérification de deuxième étape (vérification aux fins de certification).


Notez que la vérification de deuxième étape (vérification aux fins de certification) ne peut avoir lieu avant qu’une revue de direction et une vérification interne complètes ne soient effectuées.

3

Vérification de deuxième étape : Vérification aux fins de certification

Cette vérification sur place vise à s’assurer que les processus et les documents examinés pendant la vérification de première étape (examen de l’état de préparation) sont utilisés et que le système est mis en œuvre conformément aux exigences de la norme. 

Les principaux produits livrables de cette étape comprennent :

  • un rapport de vérification complet qui détaille les aspects positifs, les problèmes à résoudre (non-conformités) et les points à améliorer;
  • une recommandation concernant votre accréditation.
4

Rédaction du rapport de vérification et délivrance du certificat

Les résultats des vérifications de première et de deuxième étapes sont examinés pour s’assurer que toutes les exigences en matière d’accréditations d’Orion ont été respectées et qu’une recommandation appropriée a été formulée. C’est à cette étape que la certification de votre entreprise est soit approuvée, soit refusée, soit mise en suspens jusqu’à la réception de certains éclaircissements de votre part.
5

Vérification de surveillance et renouvellement de la certification

La certification est fondée sur un cycle de trois ans. Afin de conserver votre certification, votre organisation doit se soumettre à une évaluation sur place chaque année. Les deux premières évaluations sont des vérifications de surveillance et ne portent que sur une partie de votre système, tandis que la troisième évaluation (renouvellement de la certification) est une vérification plus complète et examine votre système dans son ensemble pour en vérifier l’efficacité continue.
6

Demander une consultation

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.