Le guide pour comment choisir un prestataire, les considérations financières, les critères de sélections : vous saurez tout !
Dans cette deuxième partie, nous allons discuter des différentes catégories d’entreprise vous pouvez rencontrer ou des différents dispositifs d’accompagnement existants.
Vous n’avez pas consulté la première partie de cet article ? Cliquez ici !
Dans les faits, le choix d’un consultant indépendant non adossé à un réseau n’est pas le choix idéal.
Opter pour un consultant indépendant ou une petite société pour accompagner un projet de certification ISO 27001 peut présenter certains inconvénients. Bien que l’expertise individualisée et l’approche personnalisée soient des avantages, les entreprises pourraient se heurter à des limites en termes de ressources et de disponibilité. Un consultant indépendant, gérant simultanément plusieurs clients, pourrait ne pas être en mesure d’offrir la réactivité et l’attention continues que requiert ce projet.
De plus, si l’expertise du consultant est étendue mais peu profonde, il pourrait ne pas posséder les connaissances spécialisées nécessaires pour des cas de figure complexes ou spécifiques à un secteur d’activité (juridiques ou en cybersécurité). Il y a également le risque qu’un seul consultant ne dispose pas d’un réseau de contacts étendu pour soutenir le projet, contrairement aux cabinets de conseil qui peuvent offrir une équipe multidisciplinaire et un accès à un éventail plus large de compétences et d’expériences. Enfin, la continuité du service peut être menacée si le consultant tombe malade ou décide de changer de carrière.
De plus, la question des coûts est contre-intuitive, car à prestation égale, le consultant indépendant va être plus cher, et surtout sans engagement. Nous avons constaté que certains projets dépassaient les 60/80 K € sans apporter de réels résultats.
Le choix d’un cabinet de formation qui fait uniquement de la formation pour un accompagnement ISO 27001 peut présenter certains inconvénients qui méritent une réflexion approfondie. Un cabinet de formation peut se concentrer principalement sur les aspects théoriques de la norme ISO 27001. Ainsi, il pourra offrir une compréhension robuste des principes et des exigences, mais pourra parfois manquer de l’expérience concrète de la mise en œuvre pratique nécessaire à une véritable intégration de la norme au sein des processus de l’entreprise.
Cette lacune peut conduire à un fossé entre la théorie apprise et les applications pratiques, compliquant la phase d’implémentation. De plus, les cabinets de formation peuvent parfois adopter une approche standardisée. Cette approche ne tient pas compte des particularités et des besoins spécifiques de chaque entreprise. En conséquence, cela peut s’avérer moins efficace pour des organisations ayant des exigences uniques.
La formation en groupe dispensée par ces cabinets peut également diluer l’attention individualisée qu’un consultant dédié pourrait offrir. Enfin, les coûts associés à l’embauche d’un cabinet de formation pour l’accompagnement peuvent être significativement plus élevés, notamment lorsque des sessions de formation supplémentaires sont nécessaires pour couvrir tous les aspects de la norme et sa mise en application. Il est donc essentiel de s’assurer que le cabinet choisi offre un équilibre entre formation théorique et support pratique, adapté aux réalités opérationnelles de l’entreprise.
Opter pour un cabinet d’accompagnement spécialisé en ISO 27001 qui propose à la fois formation et soutien opérationnel représente un choix stratégique riche en avantages. L’un des principaux bénéfices réside dans l’approche intégrée offerte par ces cabinets, qui allie la transmission des connaissances théoriques essentielles à un accompagnement pratique personnalisé. Ce modèle permet aux entreprises de non seulement comprendre les exigences de la norme ISO 27001, mais aussi de savoir comment les mettre en œuvre de manière concrète et efficace au sein de leurs opérations quotidiennes.
Un cabinet d’accompagnement offre généralement l’expertise d’une équipe multidisciplinaire qui peut apporter une diversité de perspectives et de compétences, enrichissant ainsi le processus d’implémentation et augmentant les chances d’une certification réussie. De plus, l’assistance opérationnelle continue garantit que les pratiques de sécurité de l’information sont non seulement conformes aux standards internationaux, mais aussi adaptées et évolutives en fonction des innovations.
Enfin, l’investissement dans un cabinet d’accompagnement peut s’avérer économiquement avantageux sur le long terme, en évitant les erreurs coûteuses et en optimisant les processus internes, ce qui conduit à une amélioration de la gestion des risques et une meilleure résilience organisationnelle.
L’externalisation de la mise en place de la norme ISO 27001, incluant la formation et l’accompagnement opérationnel via une solution logicielle, présente plusieurs avantages stratégiques pour une entreprise. Tout d’abord, cela permet d’accéder à une expertise spécialisée et à des ressources technologiques avancées sans les coûts et les engagements à long terme associés à l’embauche en interne. Les fournisseurs de services externalisés offrent des programmes de formation sur mesure qui peuvent être adaptés aux besoins spécifiques de l’entreprise, garantissant ainsi que le personnel comprend les exigences de la norme et sait comment les appliquer efficacement.
De plus, l’utilisation d’une solution logicielle dédiée facilite le suivi, la gestion et l’amélioration continue des processus de sécurité de l’information, rendant la conformité à l’ISO 27001 plus accessible et moins sujette aux erreurs humaines. Ce type de service offre également une flexibilité accrue, permettant aux entreprises de s’adapter rapidement aux évolutions de la norme ou à de nouvelles exigences réglementaires. Enfin, l’externalisation à travers une solution logicielle peut fournir une plateforme centralisée pour documenter, gérer et rapporter les mesures de sécurité, ce qui simplifie l’audit et la certification, tout en offrant une vue d’ensemble cohérente de la posture de sécurité de l’organisation.
Il faut tout d’abord comprendre ce que veut dire être compétent en matière d’ISO 27001, voici les éléments clés de comparaison qui sont issus de centaines de projets conduits en ISO 27001.
Il vous faut une société qui a accompagné de nombreuses certifications depuis peu d’années. Car les certifications d’aujourd’hui on bien évoluée depuis 3 ans. Les normes et règlementations ont évoluées, les exigences des certificateurs ont changés. Il n’est pas rare que certains prestataires restent ancrés sur des pratiques dépassées ou des exigences dépassées.
La sécurité et la règlementation nécessite une mise à jour constante il faut donc choisir un prestataire disposant des connaissances en organisation, documentation cybersécurité mais aussi juridique.
De plus ce prestataire devra être en mesure de vous proposer un service de veille en cybersécurité.
Ces projets nécessitent fréquemment une expertise globale en normes de sécurité et de qualité, en processus de certification. Cette expertise en certification va vous permettre de bien maîtriser le résultat final en matière de certification.
C’est un critère souvent oublié dans les choix des prestataires. Certaines société pense avoir les compétences requises pour implémenter les actions de sécurité ou ont déjà un partenaire dans ce domaine.
Pourquoi est-ce important d’avoir un cabinet expert en cybersécurité ?
Cela permet d’avoir des conseils sur les solutions les plus simples et économiques à mettre en place pour être sécurisé au plus haut niveau. Ainsi que de permettre de vérifier les solutions technologiques mises en place par vos partenaires actuels et d’avoir un regard extérieur et impartial.
Il faut également que votre société d’accompagnement dispose des compétences nécessaires juridiques pour vous conseiller sur les aspects de réglementaire contractuel lié au RGPD ou lié à la réglementation en sécurité de l’information.
Vous pourrez trouver plus d’informations sur notre blog en matière de sécurité de l’information et réglementation.
Il y a des domaines qui induise parfois en erreur. Le choix de l’intervenant fait partie des erreurs les plus courantes, l’expérience est importante ainsi que les connaissances associées mais il faut avant tout une personne dotée de sens pédagogique et de capacité d’accompagnement au changement. Le profil type expert avec 20 ans d’expérience aura les qualités de parler comme une encyclopédie mais ne permettra pas forcement de vous accompagner correctement. Bien entendu cet intervenant pourra bénéficier de l’aide d’un support interne en terme d’expertise (Cyber ou juridique principalement).
Les méthodes utilisées sont d’une importance cruciale, même si vous ne pouvez pas en juger facilement, une bonne méthode vous aidera à réussir le projet et une méthode complexe vous entrainera dans un projet à rallonge. Faites confiance à votre perception lorsque les prestataires vous présentent la méthode : Est-elle claire ? Est-elle simple ? demander à plusieurs interlocuteurs au sein de la société pour voir s’il y a les mêmes informations. Est-ce une méthode basée sur des principes en phase avec votre culture ?
Un projet sans outil et solution va vous obliger à utiliser des outils bureautiques comme Excel et Word ou à passer énormément de temps à développer votre propre solution.
D’expérience nous n’avons pas vu de société qui avait réellement réussi à mettre en place une solution par elle-même pour suivre un système de management. Il est donc important de s’appuyer sur un logiciel du marché. Les coûts des logiciels réellement à jour et utile ne dépasse pas 5000€ annuels. Mais ce sont des logiciels assez structurés afin de pouvoir maintenir dans le temps votre système de management, de bénéficier des balles de bases de connaissances inclues et à jour, ainsi que de la possibilité d’automatiser votre système de management et donc de gagner du temps chaque année dans la mise en place d’actions de sécurité le maintien.
Comme dans tout choix de solutions on pouvait avoir des biens individuels qui sont liés à vos précédentes expériences ou à des expériences de partenaires. Il était important de prendre du recul afin de ne pas rester sur des a priori ou des fausses croyances.
Parmi ces fausses croyances on peut trouver par exemple :
Je ne peux vous recommander que de comparer les différentes approches et de rester ouvert aux arguments les plus factuels.
Les certifications dont doit disposer l’entreprise sont de 3 types :
L’important étant aussi de vérifier les capacités réelles des sociétés qui vous accompagne.
Le budget global d’un projet ISO 27001 juste pour les achats externes et d’environ 50 000 € minimum. Pour des sociétés qui n’ont pas ce budget il faut envisager une démarche un petit peu différente qu’un accompagnement. Vous pouvez contacter nos services si vous voulez plus d’informations concernant ce sujet spécifique : notre solution Oversecur.
Si vous voulez comprendre les coûts des accompagnements nous avons fait une FAQ et des vidéos sur ce sujet.
Le cout est toujours composé du temps passé en interne, du temps et des coûts d’accompagnement, des couts de maintien, des couts de solutions de sécurité et du cout de certification.
Il faut savoir que si vous êtes bien accompagné par une société cela va faire baisser bien entendu vos coûts internes, mais également vos coûts de maintien et vos coûts de certification.
De plus certaines sociétés comme Feel Agile peuvent vous accompagner au montage de dossiers de subventions et vous guidez dans la meilleure stratégie pour construire votre projet financièrement.
Le fait d’être bien conseillé sur la partie sécurité technique peut vous amener à faire des économies conséquentes. Notamment par le choix de solutions les plus adaptées à votre contexte en matière de cybersécurité.
Les postes sur lesquels il est possible de faire des économies sont :
Dans ces différents éléments si vous êtes bien conseillé vous pourrez avoir les systèmes les plus optimiser parfois avec des solutions open source.
Pourquoi choisir un logiciel de gestion de votre SMSI. Ce logiciel va avoir un coût si vous êtes entre autour de 5000€ annuel. Mais va permettre de gagner énormément de temps dans la mise en place et dans le maintien pour vous de votre certification.
Si vous souhaitez une démonstration de notre solution partenaire vous pouvez contacter les équipes Oversecur.
Vous êtes dans l’obligation pour la norme ISO 27001 de faire des audits internes complets la première année et des audits internes chaque année pour le la surveillance.
Il est important de faire des audits internes assez complets et assez détaillés afin d’avoir un vrai et c’est dans les mêmes conditions que la certification mais avec plus d’exhaustivité afin de vous garantir la réussite d’un projet.
Ainsi il est important d’avoir une certaine durée et donc un certain coût pour les audits internes.
Les prix peuvent varier de phase de façon significative, il est donc important de bien vous faire conseiller par votre organisme accompagnateur. De plus il est important de comprendre que le rôle de l’organisme de certification est uniquement de vérifier la mise en place d’un système. Il ne peut donc pas être juge et parti et vous accompagner ou vous former. Méfiez vous donc des sociétés de certification qui ne respectent pas ce minimum de déontologie, ce n’est généralement pas bon signe.
De plus, ils peuvent avoir des biais importants car ils ne font pas de maintien ou d’accompagnement réel mais une vision uniquement sur la finalité du projet et pas la vie interne de l’entreprise.
La gestion du partenaire de certification représente aussi un temps important donc n’hésitez pas à poser la question à votre partenaire si sa prestation inclut cette gestion de l’organisme de certification et le montage des dossiers. Dans les accompagnements proposés par notre société toutes les actions nécessaires à la certification sont incluses dans l’accompagnement.
Bien entendu les propositions et les devis doivent être claires et détaillées. Ceci dit ce n’est pas parce que un prestataire fournit une présentation avec une cinquantaine de pages que c’est un bon signe.
Il s’agit encore une fois d’accompagnement où il faut privilégier les capacités pédagogiques donc la clarté la simplicité des documents de produits plutôt que le poids de la documentation.
Privilégiez les présentations synthétique mais qui présente l’ensemble des critères précis de l’accompagnement et le contenu des prestations qui vont être réalisées.
Un très bon signe et la présence d’éléments qui précisent qu’il n’est pas compris dans la prestation pour éviter tout malentendu.
Les sociétés qui laissent planer un flou sur les livrables sont à exclure comme celle qui ne sont pas capables de vous indiquer un forfait précis de coût d’une prestation.
En effet une société qui maîtrise bien l’accompagnement ISO 27001 et tout à fait capable de vous dire précisément l’étendue de son travail d’accompagnement pour atteindre un résultat avec une entreprise.
Les sociétés qui ne s’engagent pas sur un forfait soit en fait des sociétés qui n’ont pas réfléchi au processus d’accompagnement et qui n’ont pas vraiment d’approche méthodique en termes d’accompagnement au changement.
Les qualités de communication de la société :
Au-delà de l’intervenant et de la prestation il vaut mieux choisir une société qui a une vraie équipe support et des responsables de comptes qui vont pouvoir être en relation avec vous en cas de questions ou de difficultés. Lorsque vous achetez un service vous achetez aussi un support. Choisissez une société qui est capable de vous offrir un support pendant les heures ouvrées par mail par téléphone ou par visioconférence.
Si vous êtes accompagné pendant le projet vous aurez certainement besoin de supports pendant les années qui suivent que ce soit pour vous mettre à jour en réglementation et normativité, ou bien pour externaliser certaines activités de maintien en sécurité. Il est judicieux de choisir une société qui pourra à la fois vous accompagner mais également vous soutenir sur le long terme en termes de cybersécurité de réglementation ou de veille.
Bien entendu il vaut mieux choisir un prestataire qui sera en phase avec votre culture d’entreprise et vos valeurs. Il faut bien comprendre que choisir par exemple une société qui propose beaucoup d’innovations peut avoir un avantage aujourd’hui en matière de cybersécurité pour mettre en place des processus simples, pragmatiques et agiles. De plus les critères clés pour les entreprises d’aujourd’hui pourrait être de la rigueur mais aussi beaucoup de qualités pédagogiques et d’accompagnement en changement qui serait en phase avec des entreprises qui veulent rester agiles et qui veulent du sur-mesure. Cette partie est vraiment à réfléchir par rapport à vos propres critères.
Un des points importants à mettre en place c’est vraiment d’être transparent avec le prestataire pour qu’il puisse vous conseiller correctement. En effet, en fonction des sociétés vous pouvez avoir envie de garder la main sur un certain nombre d’activités rédaction documentaire mise en place de projets un bon prestataire sera s’adapter à votre contexte à vos objectifs pour vous conseiller précisément ce qui est bien dans votre cas de façon indépendante.
Il n’existe pas beaucoup de sociétés capables d’externaliser la cybersécurité. FeelAgile ait partie des sociétés qui sont capables d’externaliser la plupart des activités liées à la cybersécurité la réglementation et l’ISO 27001.
Même si ces services d’externalisation représentent un coût important pour l’entreprise elles sont un vrai avantage concurrentiel. Effectivement, cela permet en 6 à 12 mois de se mettre en conformité avec toutes les normes et réglementations souhaitées et à atteindre avec certitude les résultats de certification. De plus, ces services d’externalisation peuvent être couplés à une mise en sécurité et une externalisation de la cybersécurité et de tous les pans chronophages pour l’entreprise en matière de conformité.
Par conséquent, c’est une bonne solution si vous voulez rester en équipe resserrée. Cette solution vous ne fera pas perdre du temps à monter en compétence en matière de cybersécurité tout en gardant la maîtrise complète de votre cybersécurité et votre conformité.
En effet externalisé ne veut pas dire perdre la maîtrise. Cela veut dire que vous avez un système de de pilotage et des ressources externalisées via un contrat de prestation.
Nous avons vu les principaux critères à considérer pour bien choisir son prestataire d’accompagnement ISO 27001.
Le point clé à retenir : il est essentiel de comprendre comment le prestataire va vous accompagner de façon concrète, et de vérifier s’il dispose d’une expérience avérée dans des projets similaires.
Autre élément déterminant : la clarté de vos objectifs. Pour les définir, nous recommandons de commencer par un autodiagnostic ou une gap analysis.
L’ISO 27001 est un projet structurant, qui demande du temps et une approche rigoureuse. Il implique des compétences variées : organisation de la sécurité, gouvernance, juridique et technique.
Un accompagnement efficace repose sur une méthodologie claire, une pédagogie adaptée, et une approche agile centrée sur la réalité de votre entreprise.
Enfin, les retours négatifs sur la certification ISO 27001 proviennent souvent d’un mauvais accompagnement, d’un projet mené seul, ou d’une approche trop rigide. S’entourer du bon partenaire peut faire toute la différence.
