La question du coût d’un projet de certification ISO27001 revient fréquemment, c’est bien normal, puisque cette certification s’appuie sur la norme internationale la plus reconnue en matière de gestion de sécurité de l’information.
Les entreprises sont de plus en plus sollicitées par leurs propres clients, partenaires et fournisseurs, ceux-ci leur demandent de fournir des détails sur les mesures et contrôles de sécurité en place et, cela demande beaucoup de temps aux entreprises pour répondre à toutes ces demandes.
Depuis quelques temps, les compagnies d’assurance posent également de nombreuses questions avant de même considérer protéger leurs clients dans le domaine des cyber-risques.
Et finalement, les grandes institutions du Québec et d’ailleurs exigent ces certifications de plus en plus souvent. Elles souhaitent gérer leurs risques et diminuer les efforts de validation des mesures et contrôles de sécurité en place chez leurs fournisseurs et partenaires, elle préfère grandement exiger une certification comme ISO27001, beaucoup moins énergivore et risqué pour elles.
Ventilation des dépenses
Vous trouverez ci-bas, les différents types de dépenses et une explication sommaire de celle-ci avec un effort estimé pour une organisation typique de moins de 75 employés.
Achat de la norme
Devenir conforme à une norme dont on ne possède pas de copie n’est pas très cohérent! Comment pouvons-nous souhaiter devenir conforme à une norme sans la connaître?
L’achat de la norme se fait directement sur le site ISO.ORG au frais de 118 CHF — Franc suisse, soit environ 162CAD.
Attention, la norme comporte des droits d’auteurs qui interdissent le partage de celle-ci. Vous devriez acheter un droit de licence en fonction du nombre de gens impliqué dans sa mise en œuvre.
Efforts de consultations
Il est fortement recommandé pour une entreprise, peu importe sa taille, de travailler avec une firme de consultation ou un consultant expert en la matière afin d’atteindre ses objectifs de conformité le plus rapidement et en commettant le moins d’erreurs possible. Malgré les frais des consultations externes, ceux-ci pourraient vous faire économiser d’autres frais ou erreurs puisqu’ils connaissent les pièges de la norme et les endroits où mettre les efforts et où ne pas perdre de temps.
Afin de vous donner une idée de l’envergure des coûts de consultation et à titre d’exemple, pour des entreprises de 50 employés, j’ai facturé entre 140 et 250 heures pour les assister dans la mise en œuvre.
Détails importants, les efforts effectués par la firme de consultation ou le consultant dépendent beaucoup de la disponibilité et de l’implication des équipes internes. Plus votre équipe comprend et prend en charge rapidement les tâches, moins la facture sera importante et plus le maintien de la norme sera facile dans le futur.
Efforts internes.
Pour qu’un système de gestion de la sécurité de l’information (SGSI) puisse bien fonctionner, il doit y avoir des maîtres d’œuvre responsables de chaque item ou élément de la norme.
Idéalement, un champion doit être nommé pour le rôle de RSSI (Responsable des systèmes et sécurités de l’information ou CISO (Chef information security officer) qui est accompagné et supporté par le reste des équipes internes.
Qui est votre RSSI ?
L’effort des équipes internes varies beaucoup d’une entreprise à l’autre, mais habituellement pour un calcul simple, l’effort fluctuera du double au triple des efforts de la firme de consultation ou du consultant externe. Donc si le mandat externe est d’environ 200 heures, vous pourriez vous attendre à un effort oscillant entre 400 et 600 heures pour l’interne.
Changement ou nouvelles technologies
La bonne nouvelle est que la norme n’exige aucune technologie particulière, cependant certaines technologies sont très utiles et permettent d’accélérer le processus de conformité.
Par exemple:
- Un outil effectuant les mises à jour des systèmes;
- Une console de protection contre les virus (avec un tableau de bord)
- Un gestionnaire de mot de passe;
- Un système de gestion et de surveillance des journaux d’évènements
- Des formations et un programme de sensibilisation
Toute l’organisation doit connaître ses responsabilités en matière de sécurité de l’information. L’ensemble des employés doivent avoir été formé afin de savoir comment réagir en cas d’incident de sécurité. Également un suivi et une sensibilisation en continu sont nécessaires.
Audit interne
Chaque année, l’organisation doit vérifier l’état et la performance de son SGSI. La première étape consiste à une auto-vérification. Celle-ci doit être effectué par une personne neutre, objective, ayant des compétences adéquates et une connaissance de la norme.
En ce qui me concerne, lors de la première année, l’audit est faite par un collègue qui évalue également si j’ai bien fait mon travail et qui est en soi une bonne pratique pour être bien préparé face à l’auditeur externe.
Frais de certifications pour auditeur externe
L’auditeur externe, associé à une firme de certification (Certification body — Entité de certification) effectue un audit similaire à l’audit interne, mais celui-ci doit fournir une opinion sur “l’état de santé” du SGSI. Celui-ci est-il conforme ou non avec la norme.
Bref, voici un sommaire de combien coûtent la mise en œuvre d’un programme de sécurité de l’information certifiée ISO27001 pour une petite entreprise de 25 à 50 employées !
- Achat de la norme: 200$
- Accompagnement par une firme ou un consultant externe : 15 000$ à 30 000$
- Efforts internes: 10 000 à 40 000$
- Implantation de nouveaux outils technologiques: 0$ à 10 000$
- Formations et sensibilisations: 5 000$
- Audit interne : 0$ à 5 000$
- Frais de certifications ou auditeur externe 10 000$
Estimé du total : entre 35,000$ et 100,000$
J’espère que ces informations vous aident dans la planification de la mise en œuvre de votre programme de sécurité.
Je vous invite à cliquer sur “Follow” pour continuer d’en apprendre plus sur le domaine de la sécurité de l’information.
