Jacques Badagbon monte en compétence sur l’ISO27001

En Mai dernier, Jacques a passé avec succès l’examen PECB ISO/IEC 27001 Lead Implementer, avec à la clé une certification incontournable et plébiscitée qui reconnait à son titulaire une expertise pour mettre en place un Système de management de la sécurité de l’information (SMSI).

Depuis cette formation spécifique de plusieurs jours, Jacques a donc les compétences professionnelles pour intervenir sur la mise en place de la norme.

Trois questions au nouvel expert.

Qu’est-ce que la norme ISO 27001 ?

L’ISO/CEI 27001 est une norme internationale de sécurité des systèmes d’information de l’Organisation Internationale de Normalisation (ISO) et la Commission Électrotechnique Internationale (CEI) dont la dernière version date de 2013. Intitulée “Technologies de l’information – Techniques de sécurité – Systèmes de gestion de sécurité de l’information – Exigences”, elle permet de certifier des organisations. 

Concrètement, cette norme permet l’amélioration du niveau de sécurité via le management d’un périmètre défini par l’organisation. En plus des actions techniques de sécurisation du système informatique, elle préconise l’établissement de bonnes pratiques. En tout, 6 processus composent ce référentiel largement appuyé sur la roue de Deming (Plan, Do Check, Act) (principe d’amélioration continue) et sur la gestion des risques. 

En sécurisant et consolidant le socle SI, la norme ISO 27001 offre des garanties aux parties prenantes de l’organisation quant aux enjeux de confidentialité, intégrité et disponibilité des données. Rentrer dans une démarche normative d’amélioration continue de la sécurité de l’information est un enjeu réglementaire dans de nombreux secteurs, notamment dans le numérique en santé. Il y a également un intérêt du point de vue du marketing et de la communication, puisque cette norme inspire la confiance aux partenaires de l’organisation. 

 

En quoi consiste une formation ISO 27001 Lead Implementer ? 

En tant que responsable de la sécurité du système d’information chez Ventio, il était essentiel de me former en profondeur sur le référentiel le plus abouti sur le sujet.

Ma formation s’est faite auprès de l’organisme Edugroupe, cependant l’examen et la certification était via PECB qui est à même de délivrer la certification des personnes. C’était une formation de quatre jours, réunissant une dizaine de personnes, alternant des moments en présentiel et d’autres à distance, et qui se terminait par un examen le cinquième jour. La formation est composée de sessions théoriques et pratiques (études de cas, quizz, discussions…) couvrant les différentes parties de la norme ISO 27001:2013, de son annexe mais aussi des normes ISO 27002, ISO 27003, ISO 27004 et ISO 27005. 

En effet il faut savoir que si l’ISO 27001 rassemble les différentes mesures à vérifier pour attester d’un bon système de management de la sécurité de l’information et est en ce sens la norme certifiante. Elle est aussi accompagnée pour se faire d’une annexe qui propose 114 mesures à considérer pour répondre à la norme.  

L’ISO 27002 donne cet ensemble de bonnes pratiques pour le management de la sécurité de l’information. La 27003 propose la marche à suivre pour la mise en œuvre du SMSI, et la norme ISO 27004 donne des recommandations sur les indicateurs et tableaux de bord relatifs au SMSI. Enfin la norme ISO 27005 est une méthodologie de gestion des risques liés à la sécurité de l’information.

L’examen de certification porte ensuite sur tous les aspects de la norme ISO 27001 mais aussi sur les normes précédemment évoquées qui la complètent. Il dure trois heures et se présente sous forme de questions à choix multiple et d’études de cas. Il faut ensuite justifier d’une expérience professionnelle en matière de sécurité de l’information pour l’établissement de la certification, ce qui est le cas avec mon expérience chez Ventio. 

 

Quel est ton feedback, Jacques ?

Cette formation fut très intéressante. La diversité des participants (juristes, responsables sécurité des systèmes d’information, chefs de projet, consultants cyber…) ont rendu les échanges et travaux pratiques assez enrichissants.

En effet, face à un incident de sécurité, les réactions du responsable sont étroitement liées à son profil et son poste, et en cela peuvent différer d’un individu à l’autre. Analyser l’hétérogénéité des réactions a été particulièrement intéressant 

Le formateur était également très bienveillant et savait diriger les échanges en préservant le fil rouge de la norme et de la sécurité de l’information, ce qui a permis des discussions toujours très pertinentes. Il nous a également fait profiter de ses différentes expériences sur ces sujets. 

J’ai personnellement apprécié cette semaine de formation qui a parfaitement répondu à mes attentes. J’en ressors riche de compétences sur le management de la sécurité de l’information au sein d’une organisation, une certification et de nouvelles relations professionnelles dans le secteur de la cybersécurité. Cette certification vient renforcer mes compétences dans le domaine de la protection des données, puisque je suis déjà certifié provisional DPO (délégué à la protection des données) et bénéficie de certifications CISCO CyberOps. 

 

Conclusion

Chez Ventio, nous mettons un point d’honneur à favoriser la montée en compétence de nos équipes sur des sujets stratégiques relatifs à la protection des données sensibles, avec un focus en santé, pour être en mesure d’accompagner les organisations sur ces sujets. Conseils sur la norme ISO27001 et conformité RGPD dans le traitement de données sensibles de santé, sont des services que Ventio est en mesure de proposer à ses clients avec des experts certifiés. 

Notre R&D interne intègre également la cybersécurité et le respect de la réglementation by design dans nos services, ce qui pousse à former et sensibiliser les collaborateurs aux normes et aux bonnes pratiques applicables.  

Jacques, à l’issue de cette deuxième année en apprentissage dans l’entreprise en parallèle de sa formation d’excellence du Master Réseaux et Télécommunication d’Aix-Marseille Université, aura ainsi un solide socle professionnel pour mener à bien ses missions.  

 

Ventio, c’est aussi le vent qui pousse les jeunes talents du territoire vers l’excellence pour être prêts à affronter les défis du numérique de demain.